当今社会正处于大数据时代,这似乎已是个妇孺皆知的常识,而且公众也理所当然地接受了这个现实。在商业世界,基本上只要任何商业模式,只要扯上“大数据”,就好像镀了层金般价值飚升,认为这是掌握了通往大金矿的钥匙。
然而,在一般用户来说,有多少人清楚知道或者了解,自己就是这个大金矿中的一粒金砂呢?在这些大数据淘金者手中,每个人都可能每时每刻都在被筛选,分析,画像,评价,共享,交易,推销……过程中,我们可能知道,也可能从不被告知,就算知道了也无力阻止。
不信?
今年3月25日,号称中国最大的简历大数据公司、曾获李开复旗下创新工场投资的巧达科技(北京)有限公司(以下简称“巧达”)被警方一锅端,所有员工均被带走。据悉,该公司被查可能起因于利用大数据技术盗用个人隐私。
复盘巧达科技的发展历程,我们不单能从中看到简历大数据灰色产业链的冰山一角,还能看得出来,很多所谓的大数据公司,只是掌握了数据收集和处理的技术,至于应当如何正确收集数据、如何保护隐私、如何有规则地变现,包括这些公司以及投资它们的投资机构,其实并不Care。或者说,至少从2014年7月巧达成立到上月被端的这段时间里,事实似乎如此。
需要特别强调的是,巧达科技目前正在被公安机关调查,究竟在哪些方面存在违法行为,目前并没有警方的最终结论。本文复盘的巧达商业模式中的问题操作,都基于巧达公开资料所做的合理推断,并非为针对巧达公司,而是为引申说明、呈现一条存在多年的简历大数据灰色产业链。
一个看似完美的商业模式:“获取简历、数据变现”
公开资料显示,巧达科技成立于2014年7月,号称拥有中国最大的简历数据库,拥有2.2亿自然人的简历、简历累计总数37亿份。此外,还有超过10亿份通讯录,并且掌握着与此相关的社会关系、组织关系、家庭关系数据。结合简历、通讯录,以及外部获取的超过千亿条其他用户数据,巧达自称拥有超过8亿自然人的认知数据。
巧达是如何将这座数据富矿点石成金的呢?“我们的商业模式概括起来也就8个字:获取简历、数据变现”。巧达高管刘博曾在2015年公开表示。
根据媒体得到的一份巧达当时的商业伙伴计划介绍文件,巧达将这些数据用在教培、保险、招聘等行业,某大型地产公司、某职业教育培训机构、某分类信息网站和几家招聘网站在这份文件里被列为典型案例。
这种大数据生意堪称暴利。2016年,巧达科技全年收入1.2亿元,净利润4800万元;2017年,巧达科技全年收入4.11亿元,净利润1.86亿元,净利润率超过45%。
巧达显然从一开始就清楚这种大数据生意即使在当时也是可能触碰到法律红线,并且早有准备的。巧达高管曾在2015年给客户介绍数据合规性时表示:简历中不存在民法规定的个人隐私信息,巧达只分析简历信息中的个人教育经历和个人求职经历两部分,是属于“个人可向公众开放并知悉”的信息,且数据使用时会经过脱敏处理,还称公司COO刘炜曾是中国最大的在线法律服务平台盈科律云的创始人,在法律方面把关格外严谨。
遗憾的是,我国从2018年5月1日起才正式实施《信息安全技术个人信息安全规范》,其中对“个人敏感信息”的标准寄予明确说明:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。此外,《规范》也对个人信息使用做出明确规定,无论直接还是收集、收取用户个人信息时,都需要有个人授权,还应了解授权的同意范围,包括使用目的(如只能用于特定招聘网站的人事招聘、猎头业务),个人信息主体是否授权同意转让、共享、公开披露等。
资料显示,巧达科技在2014年11月获得了来自创新工场的A轮融资,2016年2月获得了来自齐玉杰和创新工场的A+轮融资,2017年1月,获得了来自中信产业基金、骊悦金实、创新工场的B轮融资。创新工场日前对外表示,其仅是巧达科技的财务投资人,从未参与任何公司运营。
数据获取
巧达的大数据生意如此受欢迎,其中的核心在于,传统的用户画像靠的是上*特网**征、媒体及购物偏好等相对模糊的信息,但巧达依据的是个人简历和通讯录,通过自然人数据打通了一般用户个人信息以及敏感信息,其用户画像精准到了每个人,以及他们完整的关系网络。
追溯这些简历、通讯录数据,其获取方式同样存在很多的灰色、争议之处。
在巧达当年的那份商业伙伴计划书中,提到其数据获取主要有三大途径,并且都是合法的:自有招聘网站、招聘工具产品和第三方数据源。
日前有法律专家指出,不管是巧达还是第三方公司的招聘工具,超过为用户直接推荐工作机会之外的用途,都需要取得用户的明确许可,否则就属于擅自利用用户信息并可能侵犯隐私。
另外一种途径是巧达曾经提供的服务之一是让简历共享,即HR或者猎头把自己用不到的简历上传换取积分,再用积分*载下**平台上有用的简历。法律专家认为,HR并不是这些简历的所有者,简历数据归属于求职者,如果用简历到平台上换取积分,这与买卖简历本质上无差别。
还有人推测,巧达在用爬虫的方式抓取其他招聘网站的简历数据,因为巧达长期在招聘爬虫工程师,其岗位职责包括“设计爬虫策略和防屏蔽规则,解决封账号、封IP、验证码等难点攻克,负责网页信息抽取、清洗、消重和结构化处理等工作”。法律专家认为,如果有公司在未经同意的情况下抓取用户简历,该行为不仅涉嫌侵犯用户的隐私权,情节严重的涉嫌构成侵犯公民个人信息罪,同时也在损害招聘网站的核心竞争力,违反了诚信原则和基本的商业道德。
更进一步的数据交易是巧达很可能拿着手中免费得来的简历数据和拥有其他类型数据的数据公司进行了交换,有行业人士指出,“数据交易行业里,简历数据属于比较贵的数据”,巧达可能籍此拿到了通讯录数据、消费数据等其他数据。
变现
巧达自称商业模式是先“获取简历”,再“数据变现”,但即使是在互联网商业化先驱的美国,也几乎找不出一家公司是直接利用简历信息去牟利的,需要他们自己“创新”。
最简单的商业模式可能就是直接的数据交易了。举例来说,巧达已经掌握了你的简历数据并且建立了一定的用户画像,在此基础上,通过和某些调用过通讯录的工具类APP合作,掌握你的社交网,并且默认你通讯录内好友的用户画像也和你相当,以此找到和你消费能力相匹配的商家“精准营销”。
掌握这么多用户大数据,巧达将其应用在数据运营、大数据执法、教培、保险、招聘五大领域。拿教培行业举例,某职业教育培训机构每日新增15万线索号码,但仅有手机号+简单信息,面临需求不明、付费率低、无效沟通增加成本、学员间转介绍困难等问题。巧达可以自动补全意向学员的资料信息,将学员线索按照关系分配给课程顾问,并且发现学员通讯录中有培训需求的人。更进一步的话,还可以将课程学员号码进行产品特征建模,最后进行匹配计算,得出潜在客户的分级标记,得出最适合每一位客户的前几位课程。
有业内人士透露过,此类通过通讯录匹配、标记画像后的数据,提供给商家用于精准营销的收费在0.5元-2元/每条。
另外一种交易数据的方式是“卖”给求职者的老板们。巧达在2015年推过一项在职场中一片骂声的服务“爱伙伴”——让公司CEO提前知道员工离职。企业每年支付一定费用用于监测员工,一旦有员工在各大招聘网站上有信息更新,投递简历,或资料被猎头频繁查看,系统后台就会预警,“该员工很有可能打算跳槽或者被人挖走”。
灰色
复盘巧达案例后,相信很多读者和网友都有不寒而栗的感觉,感觉自己的个人资料和用户隐私受到的巨大的侵犯。
然而,在法律机关最后结果出来之前,我们并不能就此下定论巧达的商业模式都是违法的。事实上,在大数据行业,对用户隐私的保护,存在太多的灰色空间,让有意籍此牟利的人游刃有余了。
互联网企业与其他企业、商家交易用户精准营销数据违法吗?只要"不具有个人识别性"就是合法的。
经过加工处理后的数据财产权,到底是归属于数据的生产者,还是原始数据的拥有者?国内外至今均无明确规定。
用户能不能拒绝互联网企业将自己的简历数据用于交换或者交易?以智联招聘APP为例,用户在注册时已开宗明义“注册代表您已同意《智联服务协议》和《隐私条款》”,而服务协议中已经列明,其不但可以在不公开姓名的情况下,可以向第三方提供综合性的非个人化信息资料,对用户数据库进行分析并予以商业化的利用,而且对业务合作伙伴公司获得个人信息及之后个人信息的使用不承担任何法律责任。
巧达用爬虫抓取其他招聘网站信息是否违法?这违反了互联网世界的Robots协议,但只是“情节严重的可能存在法律风险”,而被抓取的招聘网站,只要证明自己设置了一定的安全机制,也不用承担信息泄露的法律责任。
离职预警的业务是否违法?有律师说,“尚处于法律灰色地带”。所以,从2015年至今,提供类似服务的互联网公司络绎不绝,如HR家、互推网、人才啊、小鱼HR助手小程序,等等。
简历数据如此,那更敏感的病历、学历、购房者、理财用户大数据呢?2018年7月,山东成功破获一起特大侵犯公民个人信息案,被称为“大数据行业第一股”的新三板上市企业数据堂被指“在8个月时间内,日均传输公民个人信息1亿3千万余条,累计传输数据压缩后约为4000GB左右,公民个人信息达数百亿条,数据量特别巨大”,还曾以众包模式,用每条0.2元的的价格公开采集病历信息。该案至今尚未宣判。