近日,新華社報導稱,從北京市警察局網安總隊獲悉,按照警察部“淨網2019”專項行動部署,北京警方近期破獲備受關注的巧達科技非法獲取計算機信息系統數據案,這家企業非法爬取用戶數據,數量之大、牟利之巨,令人怎舌,公司法人王某某等36人被檢察機關依法批準逮捕。
去年10月,北京市警察局海澱分局警務支援大隊接到轄區某互聯網公司報案稱,發現有人在互聯網上兜售疑似為該公司的用戶信息。根據這條線索,警方迅速開展調查,巧達科技(北京)有限公司非法竊取信息的犯罪事實逐漸浮出水面。今年3月,巧達科技被查封,涉案員工被警方依法刑事拘留。
警方查明,與正規招聘網站的簡歷由用戶自己上傳不同,巧達科技的簡歷數據庫全部是通過非法手段爬取而來。“嫌疑人通過利用大量代理IP地址、偽造設備標識等技術手段,繞過招聘網站伺服器防護策略,竊取存放在伺服器上的用戶數據。”網安總隊辦案民警李文濤說,從不同網站竊取來的信息被重新合並、排列,重名或是信息不全的信息經過“再比對”後形成完整的簡歷和用戶畫像。
針對爬蟲獲取簡歷的手段,一位巧達科技前員工告訴燃財經,巧達在智聯、獵聘 等網站上,建立了上千個企業账戶,每天訪問 智聯、獵聘的網站次數百萬次,都是機器在模擬人工操作。這位員工稱,他去年離開巧達之前,巧達依然在用爬蟲手段獲取簡歷。2017年6月1日,《中華人民共和國網絡安全法》開始施行,其特別加強和明確了個人信息保護方面的要求。《網絡安全法》中明確規定,網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示並取得同意。未經被收集者同意,不得向他人提供個人信息。
據悉,巧達科技非法獲取的簡歷超過2億條。基於這些數據,公司開發了“72招瀏覽器”,將其簡歷數據庫以13800元每年的價格賣給有需求的企業客戶,客戶就可以在瀏覽器上直接調取簡歷信息。
辦案民警介紹,在巧達科技竊取數據過程中,還因傳輸數據量過大導致報案公司伺服器數十次中斷服務,影響上千萬用戶正常訪問,帶來嚴重的經濟損失。
公開資料顯示,巧達科技成立於2014年7月,號稱擁有中國最大的簡歷數據庫。燃財經(ID:rancaijing)曾經拿到一份巧達數據給客戶的商務合作BP(商業計劃書)。文件宣稱巧達科技數據庫有2.2億自然人的簡歷、簡歷累計總數37億份。此外,巧達科技還有超過10億份通訊錄,並且掌握著與此相關的社會關係、組織關係、家庭關係數據,也就是說,它掌握了超過57%的中國人的信息。
這些獲取渠道並不正規的數據為巧達科技帶來了過億的收入。2016年,巧達科技全年收入1.2億元,淨利潤4800萬元;2017年,巧達科技全年收入4.11億元,淨利潤1.86億元,淨利潤率超過45%。
有律師告訴燃財經,不論是通過自有渠道還是第三方渠道,沒有經過用戶同意和違反用戶意願的數據交易,都屬於擅自利用用戶信息並可能侵犯隱私。
近年來,大數據行業中數據造假,竊取、買賣公民信息等亂象頻發,不斷觸碰數據安全和法律監管底線。警方提醒互聯網企業,在收集、存儲、使用用戶個人信息數據開展合法經營時,要嚴格按照國家法律法規,落實數據保護責任,采取必要的技術防範措施,確保用戶信息數據的安全。
附《獨家起底巧達科技》一文:
燃財經(ID:rancaijing)原創
作者 | 賀樹龍 劉素宏 唐亞華
編輯 | 蘇琦 趙力
一份巧達科技的文件,透露出的數據問題,令人十分震驚。
日前,有消息稱招聘數據公司巧達科技被查封,全體員工被警方帶走。一位巧達科技前員工告訴燃財經(ID:rancaijing),“(最近)陸續有HR等非核心員工回家,但核心高管依然失聯中。”多位業內人士和律師認為,巧達科技出事可能與其未經授權獲取和使用簡歷、“販賣”簡歷信息等涉嫌侵犯用戶隱私權、侵犯公民個人信息的行為有關。
公開資料顯示,巧達科技成立於2014年7月,號稱擁有中國最大的簡歷數據庫,其主要數據來源為大數據產品矩陣“喬大招”。喬大招旗下擁有“愛夥伴”、“簡歷時光機”等多款招聘產品。巧達科技在2014年11月獲得創新工場數百萬美元A輪融資,2017年1月獲得中信產業基金數千萬人民幣B輪融資。
燃財經(ID:rancaijing)拿到一份巧達數據給客戶的商務合作BP(商業計劃書)。這份文件宣稱:巧達科技旗下有38個B端招聘產品、超過170萬招聘者用戶,巧達科技數據庫有2.2億自然人的簡歷、簡歷累計總數37億份。此外,巧達科技還有超過10億份通訊錄,並且掌握著與此相關的社會關係、組織關係、家庭關係數據。結合簡歷、通訊錄,以及外部獲取的超過千億條其他用戶數據,巧達科技自稱擁有超過8億自然人的認知數據。也就是說,超過57%的中國人的信息都在巧達科技的數據柯瑞面。
根據文件介紹,巧達科技將這些數據用在教培、保險、招聘等行業,某大型地產公司、某職業教育培訓機構、某分類信息網站和幾家招聘網站在這份文件裡被列為典型案例。數據生意為巧達科技帶來了大量收入。2016年,巧達科技全年收入1.2億元,淨利潤4800萬元;2017年,巧達科技全年收入4.11億元,淨利潤1.86億元,淨利潤率超過45%。
王成予在向一位客戶介紹數據合規性時表示:巧達科技獲取的數據大部分為“非敏感數據”,且數據使用時會經過脫敏處理。
但有律師認為,不論是通過自有渠道還是第三方渠道,沒有經過用戶同意和違反用戶意願的數據交易,都屬於擅自利用用戶信息並可能侵犯隱私。
燃財經(ID:rancaijing)嘗試聯繫王成予,向其證實文件裡信息的真實性,但其電話長時間處於關機狀態。
· 在BP的管理團隊介紹中,其董事長並非工商信息中的王成予,而是由百度風投管理合夥人齊玉傑擔任。
· 假如某APP提供某用戶手機號,巧達科技將其與自有的簡歷庫進行匹配,便能反饋給APP這個自然人包括年齡、性別、行業、職業、戶籍、收入、教育經歷、工作經歷、關係鏈等在內的信息。巧達科技即使沒有掌握你的簡歷,它依然可以“算”出你的信息。
· 巧達科技宣稱通過2.2億+有簡歷的自然人、10億+通訊錄、100億+用戶識別ID組合和1000億+用戶綜合數據,計算出了8億+,也就是可能涉及到57%的中國人的多維度數據。
· 巧達科技提供的多項服務都指向用戶個人,並且涉及在沒有用戶授權情況下對外許可,很可能涉及侵犯隱私。
高管多為百度出身
公司2017年淨賺1.86億元
根據工商信息,巧達科技(北京)有限公司(下稱巧達科技)成立於2014年7月,注冊資本1050萬人民幣,法定代表人為王成予。巧達科技登記有3名股東,其中王成予佔股85.33%,劉煒佔股12.19%,北京創新方舟科技有限公司佔股2.48%。此外,王成予還擔任經理和董事長。
燃財經(ID:rancaijing)發現,巧達科技將股權悉數質押給北京邁可倫科技有限公司,該公司成立於2015年2月,公司類型為有限責任公司(台港澳法人獨資),注冊資本1017.702萬美元,法定代表人、董事長、經理亦為王成予。該公司唯一股東為2014年11月在香港成立的巧達數據集團有限公司。
巧達科技對外稱,自己是“一家專注於商業數據服務領域前瞻性產品設計和技術研發的公司”。核心團隊由“中國互聯網元老級產品經理和技術極客”組成。PPT顯示,巧達科技在2014年11月獲得了來自創新工場的A輪融資,2016年2月獲得了來自齊玉傑和創新工場的A+輪融資,2017年1月,獲得了來自中信產業基金、驪悅金實、創新工場的B輪融資。
創新工場方面對外表示,其僅是巧達科技的財務投資人,從未參與任何公司運營,巧達科技也早已搬離工場。此外,中信產業基金有關人員對燃財經表示:從未投資過巧達科技。
在BP的管理團隊介紹中,其董事長並非工商信息中的王成予,而是由百度風投管理合夥人齊玉傑擔任。其創始人“成予”曾任IBM WebSphere解決方案副總裁、百度早期產品部負責人、聯想FM365產品經理;其聯合創始人沈毅曾任百度愛樂活技術副總裁、百度電子商務事業部技術總監、百度有啊技術負責人。
此外,其他四位重要高管分別有在聯想、阿里、百度、普華永道等知名企業的從業經驗。巧達科技旗下愛夥伴產品負責人劉博曾經自詡不會侵犯用戶隱私,並稱巧達科技團隊COO劉煒曾是中國最大的在線法律服務平台盈科律雲的創始人,在法律方面把關格外嚴謹。
燃財經(ID:rancaijing)就此聯繫了齊玉傑,對方稱,自己從未出任過巧達科技的董事長,從未參與過巧達科技的日常經營,“我只是巧達科技的小股東。”一位百度員工則告訴燃財經,巧達科技是齊玉傑去百度風投任職之前就投資的公司,跟百度沒有關係。
該文件還展示了兩組十分引人注目的數據。截至2016年12月,巧達科技完成了全年1.2億元的營收,其中淨利潤4800萬元。一年後,其收入和淨利潤完成了成倍的增長,截至2017年12月,其全年收入4.11億元,淨利潤1.86億元。
巧達科技號稱擁有中國最大的簡歷數據庫,其自有的互聯網招聘工具便是“喬大招”,創始人為劉煒,法人為王成予,旗下擁有“愛夥伴”、“簡歷時光機”、“人才蛙”等10多款互聯網招聘相關產品。
另外,劉煒在明易互通信息技術(北京)有限公司擔任聯合創始人,該公司主營“快火箭”和“妙招網”兩款產品。
其中,曾在明易互通任職的葉錦生,是北京紛歷數據技術有限公司的執行董事,“紛簡歷”是其主打產品。“紛簡歷”曾被知乎網友曝光稱,5600多萬份求職簡歷未經當事人允許便被非法兜售,導致個人信息嚴重洩露,致使不少當事人收到大量騷擾電話。
令人驚訝的數據庫
2.2億自然人簡歷
10億通訊錄、100億用戶ID
BP顯示,巧達科技運營的是“以人為核心的大數據”,這其中的關鍵是自然人屬性。
因為傳統的用戶畫像靠行為來猜,依據的是上網特徵、媒體及購物偏好、自定義標簽等相對模糊的信息,很容易猜不準。而巧達科技通過自然人數據還原,能夠精準地進行用戶畫像。
巧達科技的簡歷來源包括38個B端招聘產品和超過170萬招聘者用戶。簡歷解析後自然人的原生數據能夠產生四項定位,包括角色畫像(生活角色、家庭角色、職務角色)、軌跡變化(收入範圍、消費趨勢、社會地位)、社會關係(同學、同事、同鄉、同行業、同職位)以及區域位置(生活區域、工作地點、教育培訓),幾乎涵蓋了個人所有的數據維度。
自稱擁有中國最大的自然人簡歷庫,巧達科技手握2.2億自然人的簡歷,簡歷累計37億份。這也意味著,假如某APP提供某用戶手機號,巧達科技將其與自有的簡歷庫進行匹配,便能反饋給APP這個自然人包括年齡、性別、行業、職業、戶籍、收入、教育經歷、工作經歷、關係鏈等在內的信息。
簡歷之外,巧達科技還通過自有產品獲取用戶授權,以及第三方合作授權等方式,累積了超過10億“本機號不重複”的通訊錄。有了這10億通訊錄和2.2億自然人簡歷庫,加上聚類分析,巧達科技可以給有通訊錄數據但沒有簡歷數據的自然人進行畫像。也就是說,巧達科技即使沒有掌握你的簡歷,它依然可以“算”出你的信息。
拿到自然人的資料後,巧達科技可以通過通訊錄找到他的社會、組織、家庭關係,並進一步挖掘用戶信息。在此基礎上,將這些信息匹配平台的簡歷庫,最終得出這些自然人及其周邊關係的收入水準、潛在需求、關係影響等要素。這些數據可以再進一步分成運營商數據、消費數據以及行為數據,售與相關企業。
同時,公司將用戶數據與其郵箱、微博號、微信號、QQ等社交ID組合,通過多個識別ID關聯、多種設備關聯、跨平台行為關聯、線上線下數據互通,打通自然人與ID的關係。
至此,巧達科技宣稱通過2.2億+有簡歷的自然人、10億+通訊錄、100億+用戶識別ID組合和1000億+用戶綜合數據,計算出了8億+,也就是可能涉及到57%的中國人的多維度數據。
巧達科技稱認識用戶就可以預知未來,按照其業務邏輯,此話不僅不假,甚至十分恐怖。
掌握這麽多信息,巧達科技將其應用在數據運營、大數據執法、教培、保險、招聘五大領域。
拿教培行業舉例,某職業教育培訓機構每日新增15萬線索號碼,但僅有手機號+簡單信息,面臨需求不明、付費率低、無效溝通增加成本、學員間轉介紹困難等問題。巧達科技則可以自動補全意向學員的資料信息,將學員線索按照關係分配給課程顧問,並且發現學員通訊錄中有培訓需求的人。
據悉,該職業教育培訓機構已積累2億條谘詢號碼,但同樣面臨推薦錯誤形成騷擾、無法挖掘最大價值的困境。巧達科技則將公海裡的號碼進行關係影響建模,再將課程學員號碼進行產品特徵建模,最後進行匹配計算,得出潛在客戶的分級標記,得出最適合每一位客戶的前幾位課程。
自詡“合法獲得”數據
法律專家稱站不住腳
在這份BP中,單獨有5頁講述業務合規性。巧達科技稱,數據獲取於3個途徑:
1,自有招聘網站。巧達科技自稱合法取得,求職者用戶直接授權,包括簡歷中敏感數據和非敏感數據。
2,招聘工具產品。巧達科技自稱合法取得,HR/獵頭用戶授權,包括簡歷中敏感數據和非敏感數據。
3,第三方數據源。巧達科技自稱合法取得,合作方授權,包括用戶ID組合,通訊錄,行為標簽和偏好畫像。
獲得數據後,巧達科技將簡歷中敏感數據、用戶ID組合、通訊錄進行MD5脫敏,以及簡歷中非敏感數據、行為標簽、偏好畫像,一並放入數據庫中。數據通過建模計算,結合用戶的認知引擎,最後提供給客戶。
法律專家、上海版權協會監事林華認為,巧達科技聲稱的“合法性”在事實和法律上來說都是站不住腳的。“合法”的前提是要有當事人的授權,即使巧達是通過自有招聘入口獲取用戶簡歷,使用用戶信息也必須限於用戶投簡歷的目的範圍之內。超過為用戶直接推薦工作機會之外的都是違反用戶意願,屬於擅自利用用戶信息並可能侵犯隱私 。
如果巧達是從第三方獲取用戶數據,第三方本身不僅需要合法獲得用戶數據而且需要取得用戶對轉售簡歷的許可,這兩個條件缺乏其一都不合法,從而導致購買和再利用數據的行為不具有合法性。
即使巧達以合法方式取得用戶簡歷信息,對簡歷的使用也應是另一個獨立行為。如果對匯總的用戶信息經過數據脫敏,使信息不再和具體自然人而是和特定群體掛鉤,即只在統計學意義上利用不包含個人身份的用戶大數據,法學上基本認同這種使用方式不涉及隱私權。
但巧達科技對用戶簡歷的使用應當不止於此,巧達科技提供的多項服務都指向用戶個人,並且涉及在沒有用戶授權情況下對外許可,很可能涉及侵犯隱私。
此前已有販賣簡歷被指控侵犯公民個人信息罪的先例。2017年,在求職網站智聯招聘工作的員工先後私自出售15萬份個人簡歷信息給“獵頭”余秋雲,每份簡歷信息售價2-2.5元,余秋雲再將信息加價賣給他人。上述員工被抓獲,公訴方指控三人犯侵犯公民個人信息罪。
一位行業人士告訴燃財經(ID:rancaijing),做數據生意的公司都很“低調”,屬於“悶聲發大財”,巧達科技也不例外。據他介紹,巧達科技為HR或獵頭提供簡歷管理工具,並引導他們主動上傳自己手中的簡歷以免費換取其他簡歷,巧達科技由此獲得了大量的簡歷數據。
“數據交易行業裡,簡歷數據屬於比較貴的數據。”該行業人士猜測,巧達科技很可能拿著手中免費得來的簡歷數據和擁有其他類型數據的數據公司進行了交換,從而拿到了通訊錄數據、消費數據等等其他數據。
多位行業人士告訴燃財經(ID:rancaijing),數據行業的“水很深”,個人隱私被用來非法牟利的例子比比皆是。對於此類事件,燃財經將持續關注。
*文中部分圖片來源於視覺中國。
香港九龍灣馬來街興發大廈15樓D室