2025年個人信息超范圍收集與泄露問題分析研究報告

個人信息超范圍收集與泄露問題分析研究報告中國網(wǎng)絡(luò)空間安全協(xié)會中國消費者協(xié)會新華網(wǎng)2025年3月編者按中國網(wǎng)絡(luò)空間安全協(xié)會是由中央網(wǎng)信辦主管的網(wǎng)絡(luò)空間安全領(lǐng)域的全國性社會組織，中國消費者協(xié)會是依法成立的對商品和服務(wù)進行社會監(jiān)督的保護消費者合法權(quán)益的社會組織，新華網(wǎng)是國家通訊社新華社主辦的綜合新聞信息服務(wù)門戶網(wǎng)站。面對個人信息超范圍收集、泄露等違法違規(guī)處理個人信息問題的挑戰(zhàn)，中國網(wǎng)絡(luò)空間安全協(xié)會、中國消費者協(xié)會、新華網(wǎng)在“國際消費者權(quán)益日”之際，編制了《個人信息超范圍收集與泄露問題分析研究報告》，旨在喚起社會各界對這一問題的進一步關(guān)注和重視，為企業(yè)、法律從業(yè)者和廣大網(wǎng)民提供參考，共同構(gòu)建更加安全、可靠、透明的個人信息處理環(huán)境，讓個人信息在數(shù)字空間中得到進一步的尊重和保護。個典型案例，一是梳理了個人信息超范圍收集與泄露的整體情況，提出目前個人信息超范圍收集和泄露的典型問題，包括個人和企業(yè)能力與信息不對稱加劇信息濫用、三是引言個人信息超范圍收集是指信息收集者在未經(jīng)用戶明確個人信息泄露是個人信息超范圍收集與泄露的危害體現(xiàn)于社會、企業(yè)和個人三個層面：在社會層面，由于個人信息安全風(fēng)險具有溢出性、擴散性，超范圍收集和泄露個人信息易導(dǎo)致公共安全遭受威脅。不法分子可能利用相關(guān)個人信息實施電信詐騙、網(wǎng)絡(luò)攻擊等犯罪活動，破壞社會秩序，一些個人信息可能被境外勢力用于間諜活動，危及國家安全。在企業(yè)層面，個人信息泄露不僅會嚴重損害企業(yè)商譽，導(dǎo)致客戶信任下降、市場份額流失，還會增加企業(yè)在信息安全治理、合規(guī)整改等方面的成本，威脅企業(yè)可持續(xù)發(fā)展。在個人層面--PAGE1-目錄第一章個人信息超范圍收集與泄露的典型問題 .-1-12477（）7910（）10（）11（）12（）1213（）13（）14（）151718（）18（）強個人息處員工理 .-19-（）2022（）22（）2324--PAGE1-第一章個人信息超范圍收集與泄露的典型問題一、個人與企業(yè)能力和信息不對稱加劇信息濫用企業(yè)和機構(gòu)憑借1：20239月，某學(xué)術(shù)平臺在用戶進行文獻檢索、下載時，未經(jīng)用戶同意便收集其瀏覽記錄、搜索偏好等信息，用戶難以及時察覺并阻止其收集。22：20245月，某詞典軟件在不通知用戶的前提下，其系統(tǒng)自動為客戶默認勾選“已閱讀并同意服務(wù)條無法正常使用。企業(yè)和機構(gòu)在法3：20241月，某餐飲企業(yè)軟件在個人信息收集環(huán)節(jié)，強制索取精準位置信息，由于用戶普遍缺乏相關(guān)法律知識，既未意識到自己擁有拒絕提供信息的自主選擇權(quán)，也不了解這種強制索取行為是否符合法律法規(guī)，最終只能被動接受。二、企業(yè)技術(shù)防護不足導(dǎo)致泄露頻發(fā)技術(shù)防護不足也是個人信息泄露的主要誘因之一，具體表現(xiàn)為以下三類情形：技術(shù)防護是保障個人信息安全這一基本防護手段，暴露出其在數(shù)據(jù)安全技術(shù)應(yīng)用上的嚴重缺陷。數(shù)據(jù)管理漏洞往往源于企業(yè)對致內(nèi)部人員輕易獲取并出售大量客戶信息。在個別政務(wù)系統(tǒng)的合作項目中，合作方不履行個人信息保護和數(shù)據(jù)安全義務(wù)極易直接導(dǎo)致信息泄露風(fēng)險現(xiàn)實化。5：20239月，某政務(wù)系統(tǒng)的承包商在測試數(shù)據(jù)時未履行安全義務(wù)，導(dǎo)致大量公民的個人身份信息和社保記錄等敏感數(shù)據(jù)泄露。三、海量數(shù)據(jù)匯集放大泄露后果由于信息化的普當(dāng)個人信息處理者的服務(wù)器遭受攻擊時，大量數(shù)據(jù)將在一方面使得大量信息主體直接暴露在隱私泄露和詐騙等下游損害的風(fēng)險中，另一方面大量信息被用于惡意數(shù)據(jù)分析后產(chǎn)生的新信息更是可能危及公共安全。數(shù)據(jù)接口作然而，在漏洞被發(fā)現(xiàn)之前，攻擊者可能已經(jīng)利用漏洞獲取了大量敏感個人信息，給企業(yè)和用戶帶來了不可挽回的損失。另一方面，泄露數(shù)據(jù)造成的個人信息失控風(fēng)險往往具有不可逆性，即便漏洞被修復(fù)，泄露的數(shù)據(jù)仍可能被不法分子長期利用。第二章個人信息超范圍收集與泄露的成因一、企業(yè)層面：企業(yè)合規(guī)缺位與安全管理缺失（一）企業(yè)合規(guī)制度缺位人信息跨境提供等規(guī)則的轉(zhuǎn)化執(zhí)行也不能達到法律的要求，在推出新的業(yè)務(wù)模式、產(chǎn)品或服務(wù)時，缺乏對數(shù)據(jù)來源、存儲位置、技術(shù)安全等的合法合規(guī)審查，風(fēng)險意識淡薄，欠缺風(fēng)險評估機制。二是個別企業(yè)合規(guī)制度浮于表面，事后審查流于形式。相較于行政監(jiān)管機關(guān)和用戶個人，個別企業(yè)近乎處于技術(shù)、內(nèi)部操作方式仍存在向用戶隱瞞其超范圍收集個人信息等不合規(guī)行為。57條第二款規(guī)定的“自由裁量空（二）安全管理缺失在個人信息處理活動中，企業(yè)的安全管理缺失體現(xiàn)在四個方面：在數(shù)字經(jīng)濟時雖然個別企業(yè)制三是個別企業(yè)與第三方合作缺少個人信息保護安全管--PAGE10-實踐中存在大量由合作方故意或者過失泄露個人信息的或者提供個人信息后未能持續(xù)追蹤第三方個人信息保護情況。實踐中個別企二、個人層面：判斷能力欠缺與尋求救濟困難（一）信息主體認知不足導(dǎo)致“同意”形式化困境在現(xiàn)有“同意”機制下，個人信息主體難以有效認知該軟件或平臺收集與使用的個人信息的類型、范圍、方式，如法律明文之邊界也與實踐中的具體信息數(shù)據(jù)類型難以完全對應(yīng)。這使得用戶在面對復(fù)雜的個人信息處理規(guī)則時處于信（二）個別企業(yè)捆綁授權(quán)模式削弱用戶選擇權(quán)《信息安全技術(shù)-個人信息安全規(guī)范（GB/T35273-2020）5.3條要求，個人信息控制者不應(yīng)通過捆綁產(chǎn)品或服務(wù)各6：20236月，某銀行軟件強制用戶同意隱私App。上述“默認勾選”“捆綁授權(quán)”的設(shè)計不僅進一步削弱了用戶對所收集數(shù)據(jù)與核心功能之關(guān)聯(lián)性的判斷能力，甚至在一定程度上阻礙了個人信息主體行使知情權(quán)與選擇權(quán)。用戶往往出于使用產(chǎn)品或服務(wù)之需要，在不知情的情況下被迫同意超必要范圍之信息的收集與使用。此外，“一鍵授權(quán)”的操作習(xí)慣將導(dǎo)致用戶對權(quán)限請求的敏感度下降，個人信息主體意識在重復(fù)、機械的習(xí)慣性授權(quán)過程中逐漸淡化。（三）技術(shù)復(fù)雜性與后果滯后性加劇安全風(fēng)險由于個人信息處理具有技術(shù)專業(yè)性與后果滯后性的特（四）個人信息主體救濟困難助長違法行為7：20222月，某虛假知識競賽平臺泄露事件350萬學(xué)生的個人信息被第三方詐騙團伙所掌握。中對因個人信息侵權(quán)所導(dǎo)致的精神損失也尚無精準的計算三、技術(shù)層面：保護與利用在技術(shù)上存在沖突（一）數(shù)據(jù)收集技術(shù)層面的原因在當(dāng)前的技術(shù)環(huán)境下，對于個人信息收集的技術(shù)規(guī)范和標準尚不完善。8：2022年測評發(fā)現(xiàn)，個別兒童智能手表使用的App無需用戶授權(quán)，從而導(dǎo)致兒童的位置、通訊錄、人臉畫像等隱私信息被輕松獲取。二是個別企業(yè)數(shù)據(jù)收集技術(shù)的過度應(yīng)用。隨著大數(shù)據(jù)、9：20231月，某互聯(lián)網(wǎng)借貸公司偽裝成正規(guī)借貸公司在搜索引擎、網(wǎng)絡(luò)短視頻平臺等發(fā)布廣告，吸引有貸款需求人員填寫公民個人信息后，在當(dāng)事人未授權(quán)的情況下，通過代理將相關(guān)信息出售給貸款人歸屬地的貸款公司牟利。這些公司利用技術(shù)手段廣泛收集個人信息，遠遠超出了正常借貸業(yè)務(wù)所需的范圍。三是個別企業(yè)存在技術(shù)漏洞導(dǎo)致的個人信息收集失控。數(shù)據(jù)收集系統(tǒng)中存在的技術(shù)漏洞也是導(dǎo)致個人信息超范圍收集的重要原因。一些企業(yè)和機構(gòu)在開發(fā)數(shù)據(jù)收集系統(tǒng)時，由于技術(shù)水平有限或安全意識不足，未能充分考慮系統(tǒng)的安全性和穩(wěn)定性，導(dǎo)致系統(tǒng)存在漏洞。822人信息泄露。（二）數(shù)據(jù)存儲技術(shù)層面的原因加了信息泄露的風(fēng)險。隨云存儲作為（三）數(shù)據(jù)使用技術(shù)層面的原因在個人11：某公司出于防范盜竊等目的，于20214月委托某信息科技公司在超市大門位置安裝了一臺具有人臉識別功能的攝像頭，對進入超市人員進行拍照、人臉識別分析比對。該公司在經(jīng)營過程中使用具有人臉識別功能的攝像頭收集人臉數(shù)據(jù)圖片未經(jīng)消費者同意，且經(jīng)營現(xiàn)場無明示收集臉部信息的目的、方式、范圍和收集規(guī)則等，侵害了消費者個人信息依法得到保護的權(quán)利。在數(shù)據(jù)使用過程中，一些技術(shù)人員的不規(guī)范操作也可能導(dǎo)致個人信息泄露。數(shù)據(jù)分析技術(shù)在個人綜上所述第三章個人信息超范圍收集與泄露的對策App違法違規(guī)收集使用個人信息專項治理，個人信息保護治理取得明顯效果。從2021年至今，中國網(wǎng)絡(luò)空間安全協(xié)會受理處理違法違規(guī)收集使用個人信息投訴舉報9.63500余家App2018年以來，中國消費者協(xié)會開100App202410月，中國網(wǎng)絡(luò)空間安全協(xié)會在中國消費者協(xié)機構(gòu)主要職責(zé)是接受業(yè)務(wù)主管單位委托承擔(dān)個人信息保護投訴舉報的相關(guān)處理工作等。目前，網(wǎng)民關(guān)注較高的“AppApp一、企業(yè)合規(guī)：規(guī)范管理落實主體責(zé)任（一）完善個人信息保護合規(guī)體系一是制定完善的個人信息處理規(guī)則。企業(yè)應(yīng)制定全面、企業(yè)內(nèi)部應(yīng)設(shè)立獨過嚴格審查的項目，方可進入實施階段。在項目實施階段，僅靠企業(yè)自身開展內(nèi)部的合規(guī)制度仍需要引入外部中立的力量對合規(guī)情況進行監(jiān)督。首先，提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督；其次（二）強化個人信息處理員工管理企業(yè)應(yīng)定期組織員工參除了在技術(shù)和操作層面開（三）健全落實應(yīng)急處理安全機制一是建立高效的信息泄露監(jiān)測體系。企業(yè)要建立一套完行深入分析和處理，精準識別出異常情況。二是制定詳細的應(yīng)急處理預(yù)案。企業(yè)應(yīng)預(yù)先制定詳細、對于個人信息處理者二、個體救濟：傾斜保護化解救濟困局（一）加強個人信息保護宣傳教育二是創(chuàng)新宣傳模式共建網(wǎng)絡(luò)生態(tài)?！秱€人信息保護法》H5等新媒體形律在個人信息領(lǐng)域賦予信息主體的合法權(quán)利與信息處理者（二）建立健全平臺用戶投訴機制平臺作為眾多經(jīng)營《個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律法規(guī)外，主要為自身平臺規(guī)則。平臺規(guī)則之于平臺發(fā)揮著類似于“公司章程”的作用，是平臺管理平臺上違法和不當(dāng)行為的直接依據(jù)。企業(yè)在平臺規(guī)則制定中應(yīng)當(dāng)結(jié)合自身業(yè)務(wù)性質(zhì)，充分考慮平臺中可能存在的個人信息超范圍收集、濫用和泄露等情況，制訂符合風(fēng)險管理和救濟需求的平臺用戶投訴規(guī)則、受理形式、處置方式，設(shè)計明確可行、便于實施的平臺投訴配套機制，以便制度化、常態(tài)化開展投訴受理工作。平臺對用戶投訴方式的設(shè)計應(yīng)當(dāng)以用戶為核心，告知用戶舉報和投訴的流程步驟、平臺的投訴處理效率三、技術(shù)保障：技術(shù)手段嚴守保護紅線一是開發(fā)“一鍵關(guān)閉權(quán)限”功能。在移動互聯(lián)網(wǎng)時代，不僅可以加強用戶個人信息保護，還可以減少應(yīng)用程序?qū)υO(shè)備