個(gè)人信息超范圍收集與泄露問題分析研究報(bào)告中國網(wǎng)絡(luò)空間安全協(xié)會(huì)中國消費(fèi)者協(xié)會(huì)新華網(wǎng)2025年3月編者按中國網(wǎng)絡(luò)空間安全協(xié)會(huì)是由中央網(wǎng)信辦主管的網(wǎng)絡(luò)空間安全領(lǐng)域的全國性社會(huì)組織，中國消費(fèi)者協(xié)會(huì)是依法成立的對(duì)商品和服務(wù)進(jìn)行社會(huì)監(jiān)督的保護(hù)消費(fèi)者合法權(quán)益的社會(huì)組織，新華網(wǎng)是國家通訊社新華社主辦的綜合新聞信息服務(wù)門戶網(wǎng)站。面對(duì)個(gè)人信息超范圍收集、泄露等違法違規(guī)處理個(gè)人信息問題的挑戰(zhàn)，中國網(wǎng)絡(luò)空間安全協(xié)會(huì)、中國消費(fèi)者協(xié)會(huì)、新華網(wǎng)在“國際消費(fèi)者權(quán)益日”之際，編制了《個(gè)人信息超范圍收集與泄露問題分析研究報(bào)告》，旨在喚起社會(huì)各界對(duì)這一問題的進(jìn)一步關(guān)注和重視，為企業(yè)、法律從業(yè)者和廣大網(wǎng)民提供參考，共同構(gòu)建更加安全、可靠、透明的個(gè)人信息處理環(huán)境，讓個(gè)人信息在數(shù)字空間中得到進(jìn)一步的尊重和保護(hù)。個(gè)典型案例，一是梳理了個(gè)人信息超范圍收集與泄露的整體情況，提出目前個(gè)人信息超范圍收集和泄露的典型問題，包括個(gè)人和企業(yè)能力與信息不對(duì)稱加劇信息濫用、三是引言個(gè)人信息超范圍收集是指信息收集者在未經(jīng)用戶明確個(gè)人信息泄露是個(gè)人信息超范圍收集與泄露的危害體現(xiàn)于社會(huì)、企業(yè)和個(gè)人三個(gè)層面：在社會(huì)層面，由于個(gè)人信息安全風(fēng)險(xiǎn)具有溢出性、擴(kuò)散性，超范圍收集和泄露個(gè)人信息易導(dǎo)致公共安全遭受威脅。不法分子可能利用相關(guān)個(gè)人信息實(shí)施電信詐騙、網(wǎng)絡(luò)攻擊等犯罪活動(dòng)，破壞社會(huì)秩序，一些個(gè)人信息可能被境外勢力用于間諜活動(dòng)，危及國家安全。在企業(yè)層面，個(gè)人信息泄露不僅會(huì)嚴(yán)重?fù)p害企業(yè)商譽(yù)，導(dǎo)致客戶信任下降、市場份額流失，還會(huì)增加企業(yè)在信息安全治理、合規(guī)整改等方面的成本，威脅企業(yè)可持續(xù)發(fā)展。在個(gè)人層面--PAGE1-目錄第一章個(gè)人信息超范圍收集與泄露的典型問題 .-1-12477（）7910（）10（）11（）12（）1213（）13（）14（）151718（）18（）強(qiáng)個(gè)人息處員工理 .-19-（）2022（）22（）2324--PAGE1-第一章個(gè)人信息超范圍收集與泄露的典型問題一、個(gè)人與企業(yè)能力和信息不對(duì)稱加劇信息濫用企業(yè)和機(jī)構(gòu)憑借1：20239月，某學(xué)術(shù)平臺(tái)在用戶進(jìn)行文獻(xiàn)檢索、下載時(shí)，未經(jīng)用戶同意便收集其瀏覽記錄、搜索偏好等信息，用戶難以及時(shí)察覺并阻止其收集。22：20245月，某詞典軟件在不通知用戶的前提下，其系統(tǒng)自動(dòng)為客戶默認(rèn)勾選“已閱讀并同意服務(wù)條無法正常使用。企業(yè)和機(jī)構(gòu)在法3：20241月，某餐飲企業(yè)軟件在個(gè)人信息收集環(huán)節(jié)，強(qiáng)制索取精準(zhǔn)位置信息，由于用戶普遍缺乏相關(guān)法律知識(shí)，既未意識(shí)到自己擁有拒絕提供信息的自主選擇權(quán)，也不了解這種強(qiáng)制索取行為是否符合法律法規(guī)，最終只能被動(dòng)接受。二、企業(yè)技術(shù)防護(hù)不足導(dǎo)致泄露頻發(fā)技術(shù)防護(hù)不足也是個(gè)人信息泄露的主要誘因之一，具體表現(xiàn)為以下三類情形：技術(shù)防護(hù)是保障個(gè)人信息安全這一基本防護(hù)手段，暴露出其在數(shù)據(jù)安全技術(shù)應(yīng)用上的嚴(yán)重缺陷。數(shù)據(jù)管理漏洞往往源于企業(yè)對(duì)致內(nèi)部人員輕易獲取并出售大量客戶信息。在個(gè)別政務(wù)系統(tǒng)的合作項(xiàng)目中，合作方不履行個(gè)人信息保護(hù)和數(shù)據(jù)安全義務(wù)極易直接導(dǎo)致信息泄露風(fēng)險(xiǎn)現(xiàn)實(shí)化。5：20239月，某政務(wù)系統(tǒng)的承包商在測試數(shù)據(jù)時(shí)未履行安全義務(wù)，導(dǎo)致大量公民的個(gè)人身份信息和社保記錄等敏感數(shù)據(jù)泄露。三、海量數(shù)據(jù)匯集放大泄露后果由于信息化的普當(dāng)個(gè)人信息處理者的服務(wù)器遭受攻擊時(shí)，大量數(shù)據(jù)將在一方面使得大量信息主體直接暴露在隱私泄露和詐騙等下游損害的風(fēng)險(xiǎn)中，另一方面大量信息被用于惡意數(shù)據(jù)分析后產(chǎn)生的新信息更是可能危及公共安全。數(shù)據(jù)接口作然而，在漏洞被發(fā)現(xiàn)之前，攻擊者可能已經(jīng)利用漏洞獲取了大量敏感個(gè)人信息，給企業(yè)和用戶帶來了不可挽回的損失。另一方面，泄露數(shù)據(jù)造成的個(gè)人信息失控風(fēng)險(xiǎn)往往具有不可逆性，即便漏洞被修復(fù)，泄露的數(shù)據(jù)仍可能被不法分子長期利用。第二章個(gè)人信息超范圍收集與泄露的成因一、企業(yè)層面：企業(yè)合規(guī)缺位與安全管理缺失（一）企業(yè)合規(guī)制度缺位人信息跨境提供等規(guī)則的轉(zhuǎn)化執(zhí)行也不能達(dá)到法律的要求，在推出新的業(yè)務(wù)模式、產(chǎn)品或服務(wù)時(shí)，缺乏對(duì)數(shù)據(jù)來源、存儲(chǔ)位置、技術(shù)安全等的合法合規(guī)審查，風(fēng)險(xiǎn)意識(shí)淡薄，欠缺風(fēng)險(xiǎn)評(píng)估機(jī)制。二是個(gè)別企業(yè)合規(guī)制度浮于表面，事后審查流于形式。相較于行政監(jiān)管機(jī)關(guān)和用戶個(gè)人，個(gè)別企業(yè)近乎處于技術(shù)、內(nèi)部操作方式仍存在向用戶隱瞞其超范圍收集個(gè)人信息等不合規(guī)行為。57條第二款規(guī)定的“自由裁量空（二）安全管理缺失在個(gè)人信息處理活動(dòng)中，企業(yè)的安全管理缺失體現(xiàn)在四個(gè)方面：在數(shù)字經(jīng)濟(jì)時(shí)雖然個(gè)別企業(yè)制三是個(gè)別企業(yè)與第三方合作缺少個(gè)人信息保護(hù)安全管--PAGE10-實(shí)踐中存在大量由合作方故意或者過失泄露個(gè)人信息的或者提供個(gè)人信息后未能持續(xù)追蹤第三方個(gè)人信息保護(hù)情況。實(shí)踐中個(gè)別企二、個(gè)人層面：判斷能力欠缺與尋求救濟(jì)困難（一）信息主體認(rèn)知不足導(dǎo)致“同意”形式化困境在現(xiàn)有“同意”機(jī)制下，個(gè)人信息主體難以有效認(rèn)知該軟件或平臺(tái)收集與使用的個(gè)人信息的類型、范圍、方式，如法律明文之邊界也與實(shí)踐中的具體信息數(shù)據(jù)類型難以完全對(duì)應(yīng)。這使得用戶在面對(duì)復(fù)雜的個(gè)人信息處理規(guī)則時(shí)處于信（二）個(gè)別企業(yè)捆綁授權(quán)模式削弱用戶選擇權(quán)《信息安全技術(shù)-個(gè)人信息安全規(guī)范（GB/T35273-2020）5.3條要求，個(gè)人信息控制者不應(yīng)通過捆綁產(chǎn)品或服務(wù)各6：20236月，某銀行軟件強(qiáng)制用戶同意隱私App。上述“默認(rèn)勾選”“捆綁授權(quán)”的設(shè)計(jì)不僅進(jìn)一步削弱了用戶對(duì)所收集數(shù)據(jù)與核心功能之關(guān)聯(lián)性的判斷能力，甚至在一定程度上阻礙了個(gè)人信息主體行使知情權(quán)與選擇權(quán)。用戶往往出于使用產(chǎn)品或服務(wù)之需要，在不知情的情況下被迫同意超必要范圍之信息的收集與使用。此外，“一鍵授權(quán)”的操作習(xí)慣將導(dǎo)致用戶對(duì)權(quán)限請(qǐng)求的敏感度下降，個(gè)人信息主體意識(shí)在重復(fù)、機(jī)械的習(xí)慣性授權(quán)過程中逐漸淡化。（三）技術(shù)復(fù)雜性與后果滯后性加劇安全風(fēng)險(xiǎn)由于個(gè)人信息處理具有技術(shù)專業(yè)性與后果滯后性的特（四）個(gè)人信息主體救濟(jì)困難助長違法行為7：20222月，某虛假知識(shí)競賽平臺(tái)泄露事件350萬學(xué)生的個(gè)人信息被第三方詐騙團(tuán)伙所掌握。中對(duì)因個(gè)人信息侵權(quán)所導(dǎo)致的精神損失也尚無精準(zhǔn)的計(jì)算三、技術(shù)層面：保護(hù)與利用在技術(shù)上存在沖突（一）數(shù)據(jù)收集技術(shù)層面的原因在當(dāng)前的技術(shù)環(huán)境下，對(duì)于個(gè)人信息收集的技術(shù)規(guī)范和標(biāo)準(zhǔn)尚不完善。8：2022年測評(píng)發(fā)現(xiàn)，個(gè)別兒童智能手表使用的App無需用戶授權(quán)，從而導(dǎo)致兒童的位置、通訊錄、人臉畫像等隱私信息被輕松獲取。二是個(gè)別企業(yè)數(shù)據(jù)收集技術(shù)的過度應(yīng)用。隨著大數(shù)據(jù)、9：20231月，某互聯(lián)網(wǎng)借貸公司偽裝成正規(guī)借貸公司在搜索引擎、網(wǎng)絡(luò)短視頻平臺(tái)等發(fā)布廣告，吸引有貸款需求人員填寫公民個(gè)人信息后，在當(dāng)事人未授權(quán)的情況下，通過代理將相關(guān)信息出售給貸款人歸屬地的貸款公司牟利。這些公司利用技術(shù)手段廣泛收集個(gè)人信息，遠(yuǎn)遠(yuǎn)超出了正常借貸業(yè)務(wù)所需的范圍。三是個(gè)別企業(yè)存在技術(shù)漏洞導(dǎo)致的個(gè)人信息收集失控。數(shù)據(jù)收集系統(tǒng)中存在的技術(shù)漏洞也是導(dǎo)致個(gè)人信息超范圍收集的重要原因。一些企業(yè)和機(jī)構(gòu)在開發(fā)數(shù)據(jù)收集系統(tǒng)時(shí)，由于技術(shù)水平有限或安全意識(shí)不足，未能充分考慮系統(tǒng)的安全性和穩(wěn)定性，導(dǎo)致系統(tǒng)存在漏洞。822人信息泄露。（二）數(shù)據(jù)存儲(chǔ)技術(shù)層面的原因加了信息泄露的風(fēng)險(xiǎn)。隨云存儲(chǔ)作為（三）數(shù)據(jù)使用技術(shù)層面的原因在個(gè)人11：某公司出于防范盜竊等目的，于20214月委托某信息科技公司在超市大門位置安裝了一臺(tái)具有人臉識(shí)別功能的攝像頭，對(duì)進(jìn)入超市人員進(jìn)行拍照、人臉識(shí)別分析比對(duì)。該公司在經(jīng)營過程中使用具有人臉識(shí)別功能的攝像頭收集人臉數(shù)據(jù)圖片未經(jīng)消費(fèi)者同意，且經(jīng)營現(xiàn)場無明示收集臉部信息的目的、方式、范圍和收集規(guī)則等，侵害了消費(fèi)者個(gè)人信息依法得到保護(hù)的權(quán)利。在數(shù)據(jù)使用過程中，一些技術(shù)人員的不規(guī)范操作也可能導(dǎo)致個(gè)人信息泄露。數(shù)據(jù)分析技術(shù)在個(gè)人綜上所述第三章個(gè)人信息超范圍收集與泄露的對(duì)策App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理，個(gè)人信息保護(hù)治理取得明顯效果。從2021年至今，中國網(wǎng)絡(luò)空間安全協(xié)會(huì)受理處理違法違規(guī)收集使用個(gè)人信息投訴舉報(bào)9.63500余家App2018年以來，中國消費(fèi)者協(xié)會(huì)開100App202410月，中國網(wǎng)絡(luò)空間安全協(xié)會(huì)在中國消費(fèi)者協(xié)機(jī)構(gòu)主要職責(zé)是接受業(yè)務(wù)主管單位委托承擔(dān)個(gè)人信息保護(hù)投訴舉報(bào)的相關(guān)處理工作等。目前，網(wǎng)民關(guān)注較高的“AppApp一、企業(yè)合規(guī)：規(guī)范管理落實(shí)主體責(zé)任（一）完善個(gè)人信息保護(hù)合規(guī)體系一是制定完善的個(gè)人信息處理規(guī)則。企業(yè)應(yīng)制定全面、企業(yè)內(nèi)部應(yīng)設(shè)立獨(dú)過嚴(yán)格審查的項(xiàng)目，方可進(jìn)入實(shí)施階段。在項(xiàng)目實(shí)施階段，僅靠企業(yè)自身開展內(nèi)部的合規(guī)制度仍需要引入外部中立的力量對(duì)合規(guī)情況進(jìn)行監(jiān)督。首先，提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督；其次（二）強(qiáng)化個(gè)人信息處理員工管理企業(yè)應(yīng)定期組織員工參除了在技術(shù)和操作層面開（三）健全落實(shí)應(yīng)急處理安全機(jī)制一是建立高效的信息泄露監(jiān)測體系。企業(yè)要建立一套完行深入分析和處理，精準(zhǔn)識(shí)別出異常情況。二是制定詳細(xì)的應(yīng)急處理預(yù)案。企業(yè)應(yīng)預(yù)先制定詳細(xì)、對(duì)于個(gè)人信息處理者二、個(gè)體救濟(jì)：傾斜保護(hù)化解救濟(jì)困局（一）加強(qiáng)個(gè)人信息保護(hù)宣傳教育二是創(chuàng)新宣傳模式共建網(wǎng)絡(luò)生態(tài)?！秱€(gè)人信息保護(hù)法》H5等新媒體形律在個(gè)人信息領(lǐng)域賦予信息主體的合法權(quán)利與信息處理者（二）建立健全平臺(tái)用戶投訴機(jī)制平臺(tái)作為眾多經(jīng)營《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)外，主要為自身平臺(tái)規(guī)則。平臺(tái)規(guī)則之于平臺(tái)發(fā)揮著類似于“公司章程”的作用，是平臺(tái)管理平臺(tái)上違法和不當(dāng)行為的直接依據(jù)。企業(yè)在平臺(tái)規(guī)則制定中應(yīng)當(dāng)結(jié)合自身業(yè)務(wù)性質(zhì)，充分考慮平臺(tái)中可能存在的個(gè)人信息超范圍收集、濫用和泄露等情況，制訂符合風(fēng)險(xiǎn)管理和救濟(jì)需求的平臺(tái)用戶投訴規(guī)則、受理形式、處置方式，設(shè)計(jì)明確可行、便于實(shí)施的平臺(tái)投訴配套機(jī)制，以便制度化、常態(tài)化開展投訴受理工作。平臺(tái)對(duì)用戶投訴方式的設(shè)計(jì)應(yīng)當(dāng)以用戶為核心，告知用戶舉報(bào)和投訴的流程步驟、平臺(tái)的投訴處理效率三、技術(shù)保障：技術(shù)手段嚴(yán)守保護(hù)紅線一是開發(fā)“一鍵關(guān)閉權(quán)限”功能。在移動(dòng)互聯(lián)網(wǎng)時(shí)代，不僅可以加強(qiáng)用戶個(gè)人信息保護(hù)，還可以減少應(yīng)用程序?qū)υO(shè)備