近日，网传某简历大数据公司被警方一锅端，所有员工都被带走，网站已无法打开。据悉，该公司被查的原因可能是由于在没有获得用户授权的情况下，抓取用户简历等个人身份敏感数据自己使用。

欧盟GDPR(General Data Protection Regulation/通用数据保护条例)于2018年5月25日正式生效，用以保证个人身份敏感数据的安全，该条例对“数据控制者”和“数据处理者”两个角色进行了准确的定义。

数据控制者

数据控制者(Data Controller)是指单独或者与他人一起，决定个人数据处理之目的和方式的自然人、法人或者其他组织。

在招聘系统场景，数据控制者为招聘系统所服务的企业客户。

数据处理者

数据处理者(Data Processor)是指代表数据控制者，处理个人数据的自然人、法人或者其他组织。

在招聘系统场景，数据处理者为招聘系统供应商， 如：SAP、Oracle、Workday、IBM、Tupu等。

“数据处理者”只替“数据控制者”处理个人数据。

在企业招聘过程中，候选人是“数据主体”，企业是 “数据控制者”，而企业采用的招聘系统则是“数据处理者”。 这意味着当求职者在招聘网站注册，授权给招聘网站，招聘网站进而分享给招聘的企业后，企业采用招聘系统处理简历数据，招聘系统只是数据处理者，并未因处理数据而转变为数据控制者，即 招聘系统不拥有数据，也不能用做它途。

图谱天下明确自己在助力企业招聘过程中充当的角色是 “数据处理者”，图谱天下通过实施经过认证的技术及管理上的各项安全措施来保证被处理的个人数据的安全，并确保其提供的SaaS服务均是在企业授权的前提下，在企业设定的任务范围内行事，符合企业所要求的处理目的和处理方式，体现其服务的企业客户的意志。

提供招聘系统的供应商需要明确自己仅仅作为“数据处理者”的角色， 与企业客户签订的协议里，应明确自己不拥有数据，不将数据用于它途。图谱天下愿和所有企业客户一起，明确各自角色，承担自己的责任和义务，帮助客户规避风险，做好招聘的工作。