目錄第一章個人信息超范圍收集與泄露的典型問題 .-1-12477（）7910（）10（）11（）12（）1213（）13（）14（）151718（）18（）強個人息處員工理 .-19-（）2022（）22（）2324第一章個人信息超范圍收集與泄露的典型問題一、個人與企業(yè)能力和信息不對稱加劇信息濫用企業(yè)和機構(gòu)憑借案例案例1：2023年9月，某學(xué)術(shù)平臺在用戶進行文獻檢索、下載時，未經(jīng)用戶同意便收集其瀏覽記錄、搜索偏好等信息，用戶難以及時察覺并阻止其收集。案例2案例2：2024年5月，某詞典軟件在不通知用戶的前提下，其系統(tǒng)自動為客戶默認勾選“已閱讀并同意服務(wù)條款和隱私政策”的選項，若用戶拒絕，系統(tǒng)將會自動閃退無法正常使用。二是知識儲備差距引發(fā)信息認知偏差。企業(yè)和機構(gòu)在法3：20241月，某餐飲企業(yè)軟件在個人信息收集環(huán)節(jié)，強制索取精準位置信息，由于用戶普遍缺乏相關(guān)法律知識，既未意識到自己擁有拒絕提供信息的自主選擇權(quán)，也不了解這種強制索取行為是否符合法律法規(guī)，最終只能被動接受。二、企業(yè)技術(shù)防護不足導(dǎo)致泄露頻發(fā)技術(shù)防護不足也是個人信息泄露的主要誘因之一，具體表現(xiàn)為以下三類情形：技術(shù)防護是保障個人信息安全這一基本防護手段，暴露出其在數(shù)據(jù)安全技術(shù)應(yīng)用上的嚴重缺陷。二是管理漏洞引發(fā)危機。數(shù)據(jù)管理漏洞往往源于企業(yè)對盜賣客戶數(shù)據(jù)，根源在于缺乏全流程的數(shù)據(jù)管理制度。從數(shù)據(jù)采集、存儲、使用到傳輸?shù)母鱾€環(huán)節(jié)，均存在泄露風(fēng)險。該藥房未能嚴格限制和監(jiān)控員工的數(shù)據(jù)訪問權(quán)限，導(dǎo)致內(nèi)部人員輕易獲取并出售大量客戶信息。三是責(zé)任逃避加重風(fēng)險。在個別政務(wù)系統(tǒng)的合作項目中，合作方不履行個人信息保護和數(shù)據(jù)安全義務(wù)極易直接導(dǎo)致信息泄露風(fēng)險現(xiàn)實化。5：20239月，某政務(wù)系統(tǒng)的承包商在測試數(shù)據(jù)時未履行安全義務(wù)，導(dǎo)致大量公民的個人身份信息和社保記錄等敏感數(shù)據(jù)泄露。三、海量數(shù)據(jù)匯集放大泄露后果一是海量數(shù)據(jù)集聚放大安全管理挑戰(zhàn)。由于信息化的普及與數(shù)據(jù)的規(guī)模效應(yīng)，個別個人信息處理者掌握的個人信息量級極大，數(shù)據(jù)規(guī)模的擴大一方面加大了安全管理的難度，另一方面也催生了安全風(fēng)險的聚集。當個人信息處理者的服務(wù)器遭受攻擊時，大量數(shù)據(jù)將在一方面使得大量信息主體直接暴露在隱私泄露和詐騙等下游損害的風(fēng)險中，另一方面大量信息被用于惡意數(shù)據(jù)分析后產(chǎn)生的新信息更是可能危及公共安全。二是大量數(shù)據(jù)交互暴露安全防護薄弱環(huán)節(jié)。數(shù)據(jù)接口作然而，在漏洞被發(fā)現(xiàn)之前，攻擊者可能已經(jīng)利用漏洞獲取了大量敏感個人信息，給企業(yè)和用戶帶來了不可挽回的損失。另一方面，泄露數(shù)據(jù)造成的個人信息失控風(fēng)險往往具有不可逆性，即便漏洞被修復(fù)，泄露的數(shù)據(jù)仍可能被不法分子長期利用。第二章個人信息超范圍收集與泄露的成因一、企業(yè)層面：企業(yè)合規(guī)缺位與安全管理缺失（一）企業(yè)合規(guī)制度缺位法律法規(guī)對個人信息保護的全部要求。例如，在收集環(huán)節(jié)，人信息跨境提供等規(guī)則的轉(zhuǎn)化執(zhí)行也不能達到法律的要求，在推出新的業(yè)務(wù)模式、產(chǎn)品或服務(wù)時，缺乏對數(shù)據(jù)來源、存儲位置、技術(shù)安全等的合法合規(guī)審查，風(fēng)險意識淡薄，欠缺風(fēng)險評估機制。二是個別企業(yè)合規(guī)制度浮于表面，事后審查流于形式。相較于行政監(jiān)管機關(guān)和用戶個人，個別企業(yè)近乎處于技術(shù)、內(nèi)部操作方式仍存在向用戶隱瞞其超范圍收集個人信息等不合規(guī)行為。三是有些企業(yè)應(yīng)急響應(yīng)機制不健全，落實執(zhí)行存在困難。個別企業(yè)缺乏應(yīng)對個人信息泄露事件的有效應(yīng)急響應(yīng)機制，57條第二款規(guī)定的“自由裁量空（二）安全管理缺失在個人信息處理活動中，企業(yè)的安全管理缺失體現(xiàn)在四個方面：一是個別企業(yè)過度追求數(shù)據(jù)資產(chǎn)化利益。在數(shù)字經(jīng)濟時二是個別企業(yè)員工行為管理存在漏洞。雖然個別企業(yè)制三是個別企業(yè)與第三方合作缺少個人信息保護安全管理。實踐中存在大量由合作方故意或者過失泄露個人信息的或者提供個人信息后未能持續(xù)追蹤第三方個人信息保護情況。四是個別企業(yè)數(shù)據(jù)全生命周期管理缺位。實踐中個別企二、個人層面：判斷能力欠缺與尋求救濟困難（一）信息主體認知不足導(dǎo)致“同意”形式化困境在現(xiàn)有“同意”機制下，個人信息主體難以有效認知該軟件或平臺收集與使用的個人信息的類型、范圍、方式，如法律明文之邊界也與實踐中的具體信息數(shù)據(jù)類型難以完全對應(yīng)。這使得用戶在面對復(fù)雜的個人信息處理規(guī)則時處于信（二）個別企業(yè)捆綁授權(quán)模式削弱用戶選擇權(quán)《信息安全技術(shù)-個人信息安全規(guī)范（GB/T35273-2020）5.3條要求，個人信息控制者不應(yīng)通過捆綁產(chǎn)品或服務(wù)各案例案例6：2023年6月，某銀行軟件強制用戶同意隱私協(xié)議，不同意隱私政策就無法使用，只能退出App。上述“默認勾選”“捆綁授權(quán)”的設(shè)計不僅進一步削弱了用戶對所收集數(shù)據(jù)與核心功能之關(guān)聯(lián)性的判斷能力，甚至在一定程度上阻礙了個人信息主體行使知情權(quán)與選擇權(quán)。用戶往往出于使用產(chǎn)品或服務(wù)之需要，在不知情的情況下被迫同意超必要范圍之信息的收集與使用。此外，“一鍵授權(quán)”的操作習(xí)慣將導(dǎo)致用戶對權(quán)限請求的敏感度下降，個人信息主體意識在重復(fù)、機械的習(xí)慣性授權(quán)過程中逐漸淡化。（三）技術(shù)復(fù)雜性與后果滯后性加劇安全風(fēng)險由于個人信息處理具有技術(shù)專業(yè)性與后果滯后性的特（四）個人信息主體救濟困難助長違法行為案例案例7：2022年2月，某虛假知識競賽平臺泄露事件中，近350萬學(xué)生的個人信息被第三方詐騙團伙所掌握。中對因個人信息侵權(quán)所導(dǎo)致的精神損失也尚無精準的計算三、技術(shù)層面：保護與利用在技術(shù)上存在沖突（一）數(shù)據(jù)收集技術(shù)層面的原因一是個別企業(yè)缺乏明確的技術(shù)規(guī)范和標準。在當前的技術(shù)環(huán)境下，對于個人信息收集的技術(shù)規(guī)范和標準尚不完善。一些企業(yè)和機構(gòu)在收集個人信息時，缺乏明確的指導(dǎo)原則和操作規(guī)范，導(dǎo)致收集行為隨意性較大。8：2022年測評發(fā)現(xiàn)，個別兒童智能手表使用的App無需用戶授權(quán)，從而導(dǎo)致兒童的位置、通訊錄、人臉畫像等隱私信息被輕松獲取。二是個別企業(yè)數(shù)據(jù)收集技術(shù)的過度應(yīng)用。隨著大數(shù)據(jù)、據(jù)收集技術(shù)，導(dǎo)致個人信息被超范圍收集。9：20231月，某互聯(lián)網(wǎng)借貸公司偽裝成正規(guī)借貸公司在搜索引擎、網(wǎng)絡(luò)短視頻平臺等發(fā)布廣告，吸引有貸款需求人員填寫公民個人信息后，在當事人未授權(quán)的情況下，通過代理將相關(guān)信息出售給貸款人歸屬地的貸款公司牟利。這些公司利用技術(shù)手段廣泛收集個人信息，遠遠超出了正常借貸業(yè)務(wù)所需的范圍。三是個別企業(yè)存在技術(shù)漏洞導(dǎo)致的個人信息收集失控。數(shù)據(jù)收集系統(tǒng)中存在的技術(shù)漏洞也是導(dǎo)致個人信息超范圍收集的重要原因。一些企業(yè)和機構(gòu)在開發(fā)數(shù)據(jù)收集系統(tǒng)時，由于技術(shù)水平有限或安全意識不足，未能充分考慮系統(tǒng)的安全性和穩(wěn)定性，導(dǎo)致系統(tǒng)存在漏洞。822中收集了個人和企業(yè)等大量公民信息，但未能按照有關(guān)等級保護工作要求落實網(wǎng)絡(luò)安全保護主體責(zé)任，因而導(dǎo)致個人信息泄露。（二）數(shù)據(jù)存儲技術(shù)層面的原因加了信息泄露的風(fēng)險。二是個別企業(yè)的存儲設(shè)備和系統(tǒng)的老化與維護不善。隨三是個別企業(yè)采用云存儲帶來的安全風(fēng)險。云存儲作為（三）數(shù)據(jù)使用技術(shù)層面的原因一是個別企業(yè)數(shù)據(jù)處理目的模糊造成數(shù)據(jù)濫用。在個人案例案例11：某公司出于防范盜竊等目的，于20214月委托某信息科技公司在超市大門位置安裝了一臺具有人臉識別功能的攝像頭，對進入超市人員進行拍照、人臉識別分析比對。該公司在經(jīng)營過程中使用具有人臉識別功能的攝像頭收集人臉數(shù)據(jù)圖片未經(jīng)消費者同意，且經(jīng)營現(xiàn)場無明示收集臉部信息的目的、方式、范圍和收集規(guī)則等，侵害了消費者個人信息依法得到保護的權(quán)利。二是個別企業(yè)數(shù)據(jù)使用操作不規(guī)范。在數(shù)據(jù)使用過程中，一些技術(shù)人員的不規(guī)范操作也可能導(dǎo)致個人信息泄露。三是個別數(shù)據(jù)分析技術(shù)的局限性。數(shù)據(jù)分析技術(shù)在個人信息的使用中發(fā)揮著重要作用，但目前的數(shù)據(jù)分析技術(shù)也存綜上所述第三章個人信息超范圍收集與泄露的對策App違法違規(guī)收集使用個人信息專項治理，個人信息保護治理取得明顯效果。從2021年至今，中國網(wǎng)絡(luò)空間安全協(xié)會受理處理違法違規(guī)收集使用個人信息投訴舉報9.63500余家App2018年以來，中國消費者協(xié)會開100App202410月，中國網(wǎng)絡(luò)空間安全協(xié)會在中國消費者協(xié)機構(gòu)主要職責(zé)是接受業(yè)務(wù)主管單位委托承擔個人信息保護投訴舉報的相關(guān)處理工作等。目前，網(wǎng)民關(guān)注較高的“AppApp一、企業(yè)合規(guī)：規(guī)范管理落實主體責(zé)任（一）完善個人信息保護合規(guī)體系一是制定完善的個人信息處理規(guī)則。企業(yè)應(yīng)制定全面、企業(yè)內(nèi)部應(yīng)設(shè)立獨過嚴格審查的項目，方可進入實施階段。在項目實施階段，三是引入外部中立的合規(guī)監(jiān)督力量。僅靠企業(yè)自身開展內(nèi)部的合規(guī)制度仍需要引入外部中立的力量對合規(guī)情況進行監(jiān)督。首先，提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督；其次（二）強化個人信息處理員工管理二是開展全面深入的安全培訓(xùn)。企業(yè)應(yīng)定期組織員工參與個人信息保護安全培訓(xùn)，全面提升員工的安全意識與業(yè)務(wù)能力。培訓(xùn)內(nèi)容應(yīng)涵蓋豐富的法律法規(guī)知識、企業(yè)內(nèi)部的合規(guī)制度、安全防護技術(shù)以及應(yīng)急處理流程等多個方面。通過生動的案例分析、逼真的模擬演練等多元化形式，讓員工深刻認識到個人信息保護的重要性，切實掌握正確的個人信息處理方法和安全防護技能。同時，要對培訓(xùn)效果進行科學(xué)、有效地評估與考核，確保員工真正將安全意識切實轉(zhuǎn)化為實際行動。三是加強員工職業(yè)道德教育。除了在技術(shù)和操作層面開（三）健全落實應(yīng)急處理安全機制一是建立高效的信息泄露監(jiān)測體系。企業(yè)要建立一套完行深入分析和處理，精準識別出異常情況。二是制定詳細的應(yīng)急處理預(yù)案。企業(yè)應(yīng)預(yù)先制定詳細、周全的應(yīng)急處理預(yù)案，一旦發(fā)現(xiàn)個人信息泄露事件，能夠立即啟動應(yīng)急響應(yīng)機制，按照既定流程有條不紊地進行處理。首先，要迅速采取有效措施控制泄露范圍，如立即關(guān)閉相關(guān)服務(wù)器端口、暫停涉及泄露風(fēng)險的業(yè)務(wù)功能等。同時，組織專業(yè)的調(diào)查團隊對泄露事件進行全面、深入地調(diào)查，盡快確定泄露的原因、時間、范圍以及受影響的用戶群體等關(guān)鍵信息。根據(jù)調(diào)查結(jié)果，及時、準確地通知受影響的用戶，向其詳細告知事件的情況以及企業(yè)將采取的補救措施。在整個處理過程中，要積極主動地配合監(jiān)管部門的調(diào)查工作，如實提供相關(guān)信息，爭取監(jiān)管部門的支持與指導(dǎo)。對于個人信息處理者二、個體救濟：傾斜保護化解救濟困局（一）加強個人信息保護宣傳教育一是強化宣傳教育培養(yǎng)保護意識。如前所述，在個人層面，公民對個人信息保護意識淡薄、個人信息處理者對信息二是創(chuàng)新宣傳模式共建網(wǎng)絡(luò)生態(tài)?！秱€人信息保護法》H5等新媒體形律在個人信息領(lǐng)域賦予信息主體的合法權(quán)利與信息處理者（二）建立健全平臺用戶投訴機制一是完善平臺規(guī)則、明確投訴機制。平臺作為眾多經(jīng)營者和消費者的重要載體，其內(nèi)部個人信息保護治理的依據(jù)除《個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律法規(guī)外，主要為自身平臺規(guī)則。平臺規(guī)則之于平臺發(fā)揮著類似于“公司章程”的作用，是平臺管理平臺上違法和不當行為的直接依據(jù)。企業(yè)在平臺規(guī)則制定中應(yīng)當結(jié)合自身業(yè)務(wù)性質(zhì)，充分考慮平臺中可能存在的個人信息超范圍收集、濫用和泄露等情況，制訂符合風(fēng)險管理和救濟需求的平臺用戶投訴規(guī)則、受理形式、處置方式，設(shè)計明確可行、便于實施的平臺投訴配套機制，以便制度化、常態(tài)化開展投訴受理工作。二是設(shè)計便利的用戶投訴方式。平臺對用戶投訴方式的設(shè)計應(yīng)當以用戶為核心，告知用戶舉報和投訴的流程步驟、渠道方式、時間節(jié)點、所需材料，及時處理用戶的舉報和投訴并予以反饋。此外，平臺還可借助其技術(shù)優(yōu)勢，通過開發(fā)風(fēng)險預(yù)警系統(tǒng)等為用戶提供技術(shù)支持。三是引入外部監(jiān)督提升投訴實效。平臺的投訴處理效率三、技術(shù)保障：技術(shù)手段嚴守保護紅線一是開發(fā)“一鍵關(guān)閉權(quán)限”功能。在移動互聯(lián)網(wǎng)時代，不僅可