借前同事账号密码潜入公司人才库,把手伸向员工简历——
离职招聘专员“偷”走1.3万份简历卖给猎头
“我的账号被盗了,公司去我家里查电脑了……”
2022年9月,前同事告诉已经从某科技公司离职的招聘专员于海(化名)这一消息,于海才意识到,自己盗取前公司内部简历的事情就要败露了。
4月11日,北京市顺义区人民法院审理一起非法出售员工简历案。受害公司通过后台日志监测到有人在非工作时间、非工区IP大量下载个人简历,涉及1.3万余份内部简历被盗,遂报案,犯罪嫌疑人于海被公安机关抓获,公诉机关同时对其提起刑事附带民事公益诉讼。
“想看看‘大佬’们的信息”
2022年5月,于海从公司离职,其内部账户同时被注销。考虑到后续的求职与工作需要,于海以学习技术人员简历、掌握技术知识便于招聘为由,找到前同事孙瑞(化名)借用内部人才库账号密码,称“想看看‘大佬’们的信息”。
孙瑞对于海的话并未多想,她先后将账号密码、短信验证码发了过去,并通过微信扫描登录二维码,帮助于海成功通过了内部权限的审批查询。
进入人才库界面后,于海发现个人简历可以大批量任意下载。想到自己当时找的工作也是猎头,转卖个人信息牟利的念头在于海脑中滋生,“如果能卖出就卖给猎头公司,卖不出的就自己以后当猎头使用”。
2022年6月29日至7月15日期间,于海通过该账号下载前公司求职者及在职员工简历1.3万余份,并将其分别保存至三个U盘中。在此期间,前同事孙瑞对于海非法盗取简历的行为并不知情。当年9月公司排查简历被盗一事时,于海向孙瑞否认了此案与自己的关联,并将存有简历的U盘扔进了家门口的公共垃圾桶。
面试失败后的“交易”
“偷”来的简历卖给了谁?
2022年6月至7月,于海先后面试了两家公司的人力资源岗位,均以失败告终。为了展示自己的资源与岗位匹配度,同时“挣点钱花”,于海表示“我这里有大量公司人员信息,你们这种猎头公司买不买?”之后他拿出随身携带的U盘,向两家公司的相关负责人展示了提前备份好的简历。
经过“讨价还价”,第一家公司以1.5万元的价格买下部分简历,第二家公司以1400元买下2000余份技术人员简历。于海通过微信接收了上述钱款,非法获利共计1.64万元。
对此,受害公司表示,倒卖简历虽未对其造成直接经济损失,但部分候选人与在职员工的个人信息及隐私遭到泄露,会给公司的稳定性带来影响。
别让隐私“裸奔”
公诉机关认为,被告人于海非法获取并出售公民个人信息,构成侵犯公民个人信息罪,且于海的行为侵害了不特定多数人的个人信息权益,损害了社会公共利益,同时提起刑事附带民事公益诉讼。
经当庭宣判,被告人于海犯侵犯公民个人信息罪,判处拘役6个月缓刑8个月,并处罚金1.7万元,没收违法所得;附带民事公益诉讼判决被告人于海在国家级新闻媒体上公开赔礼道歉,赔偿公民个人信息损失1.64万元。
在大数据时代,如何有效防范个人信息泄露?在庭审结束后的普法课堂上,顺义法院刑事审判庭庭长、该案审判长宋素娟提醒:“不点击陌生链接,不下载来路不明程序,不转发有害信息,保护好个人账号和密码,防止信息泄露。”