目錄第一章個人信息超范圍收集與泄露的典型問題 .-1-12477（）7910（）10（）11（）12（）1213（）13（）14（）151718（）18（）強個人息處員工理 .-19-（）2022（）22（）2324第一章個人信息超范圍收集與泄露的典型問題一、個人與企業能力和信息不對稱加劇信息濫用企業和機構憑借案例案例1：2023年9月，某學術平臺在用戶進行文獻檢索、下載時，未經用戶同意便收集其瀏覽記錄、搜索偏好等信息，用戶難以及時察覺并阻止其收集。案例2案例2：2024年5月，某詞典軟件在不通知用戶的前提下，其系統自動為客戶默認勾選“已閱讀并同意服務條款和隱私政策”的選項，若用戶拒絕，系統將會自動閃退無法正常使用。二是知識儲備差距引發信息認知偏差。企業和機構在法3：20241月，某餐飲企業軟件在個人信息收集環節，強制索取精準位置信息，由于用戶普遍缺乏相關法律知識，既未意識到自己擁有拒絕提供信息的自主選擇權，也不了解這種強制索取行為是否符合法律法規，最終只能被動接受。二、企業技術防護不足導致泄露頻發技術防護不足也是個人信息泄露的主要誘因之一，具體表現為以下三類情形：技術防護是保障個人信息安全這一基本防護手段，暴露出其在數據安全技術應用上的嚴重缺陷。二是管理漏洞引發危機。數據管理漏洞往往源于企業對盜賣客戶數據，根源在于缺乏全流程的數據管理制度。從數據采集、存儲、使用到傳輸的各個環節，均存在泄露風險。該藥房未能嚴格限制和監控員工的數據訪問權限，導致內部人員輕易獲取并出售大量客戶信息。三是責任逃避加重風險。在個別政務系統的合作項目中，合作方不履行個人信息保護和數據安全義務極易直接導致信息泄露風險現實化。5：20239月，某政務系統的承包商在測試數據時未履行安全義務，導致大量公民的個人身份信息和社保記錄等敏感數據泄露。三、海量數據匯集放大泄露后果一是海量數據集聚放大安全管理挑戰。由于信息化的普及與數據的規模效應，個別個人信息處理者掌握的個人信息量級極大，數據規模的擴大一方面加大了安全管理的難度，另一方面也催生了安全風險的聚集。當個人信息處理者的服務器遭受攻擊時，大量數據將在一方面使得大量信息主體直接暴露在隱私泄露和詐騙等下游損害的風險中，另一方面大量信息被用于惡意數據分析后產生的新信息更是可能危及公共安全。二是大量數據交互暴露安全防護薄弱環節。數據接口作然而，在漏洞被發現之前，攻擊者可能已經利用漏洞獲取了大量敏感個人信息，給企業和用戶帶來了不可挽回的損失。另一方面，泄露數據造成的個人信息失控風險往往具有不可逆性，即便漏洞被修復，泄露的數據仍可能被不法分子長期利用。第二章個人信息超范圍收集與泄露的成因一、企業層面：企業合規缺位與安全管理缺失（一）企業合規制度缺位法律法規對個人信息保護的全部要求。例如，在收集環節，人信息跨境提供等規則的轉化執行也不能達到法律的要求，在推出新的業務模式、產品或服務時，缺乏對數據來源、存儲位置、技術安全等的合法合規審查，風險意識淡薄，欠缺風險評估機制。二是個別企業合規制度浮于表面，事后審查流于形式。相較于行政監管機關和用戶個人，個別企業近乎處于技術、內部操作方式仍存在向用戶隱瞞其超范圍收集個人信息等不合規行為。三是有些企業應急響應機制不健全，落實執行存在困難。個別企業缺乏應對個人信息泄露事件的有效應急響應機制，57條第二款規定的“自由裁量空（二）安全管理缺失在個人信息處理活動中，企業的安全管理缺失體現在四個方面：一是個別企業過度追求數據資產化利益。在數字經濟時二是個別企業員工行為管理存在漏洞。雖然個別企業制三是個別企業與第三方合作缺少個人信息保護安全管理。實踐中存在大量由合作方故意或者過失泄露個人信息的或者提供個人信息后未能持續追蹤第三方個人信息保護情況。四是個別企業數據全生命周期管理缺位。實踐中個別企二、個人層面：判斷能力欠缺與尋求救濟困難（一）信息主體認知不足導致“同意”形式化困境在現有“同意”機制下，個人信息主體難以有效認知該軟件或平臺收集與使用的個人信息的類型、范圍、方式，如法律明文之邊界也與實踐中的具體信息數據類型難以完全對應。這使得用戶在面對復雜的個人信息處理規則時處于信（二）個別企業捆綁授權模式削弱用戶選擇權《信息安全技術-個人信息安全規范（GB/T35273-2020）5.3條要求，個人信息控制者不應通過捆綁產品或服務各案例案例6：2023年6月，某銀行軟件強制用戶同意隱私協議，不同意隱私政策就無法使用，只能退出App。上述“默認勾選”“捆綁授權”的設計不僅進一步削弱了用戶對所收集數據與核心功能之關聯性的判斷能力，甚至在一定程度上阻礙了個人信息主體行使知情權與選擇權。用戶往往出于使用產品或服務之需要，在不知情的情況下被迫同意超必要范圍之信息的收集與使用。此外，“一鍵授權”的操作習慣將導致用戶對權限請求的敏感度下降，個人信息主體意識在重復、機械的習慣性授權過程中逐漸淡化。（三）技術復雜性與后果滯后性加劇安全風險由于個人信息處理具有技術專業性與后果滯后性的特（四）個人信息主體救濟困難助長違法行為案例案例7：2022年2月，某虛假知識競賽平臺泄露事件中，近350萬學生的個人信息被第三方詐騙團伙所掌握。中對因個人信息侵權所導致的精神損失也尚無精準的計算三、技術層面：保護與利用在技術上存在沖突（一）數據收集技術層面的原因一是個別企業缺乏明確的技術規范和標準。在當前的技術環境下，對于個人信息收集的技術規范和標準尚不完善。一些企業和機構在收集個人信息時，缺乏明確的指導原則和操作規范，導致收集行為隨意性較大。8：2022年測評發現，個別兒童智能手表使用的App無需用戶授權，從而導致兒童的位置、通訊錄、人臉畫像等隱私信息被輕松獲取。二是個別企業數據收集技術的過度應用。隨著大數據、據收集技術，導致個人信息被超范圍收集。9：20231月，某互聯網借貸公司偽裝成正規借貸公司在搜索引擎、網絡短視頻平臺等發布廣告，吸引有貸款需求人員填寫公民個人信息后，在當事人未授權的情況下，通過代理將相關信息出售給貸款人歸屬地的貸款公司牟利。這些公司利用技術手段廣泛收集個人信息，遠遠超出了正常借貸業務所需的范圍。三是個別企業存在技術漏洞導致的個人信息收集失控。數據收集系統中存在的技術漏洞也是導致個人信息超范圍收集的重要原因。一些企業和機構在開發數據收集系統時，由于技術水平有限或安全意識不足，未能充分考慮系統的安全性和穩定性，導致系統存在漏洞。822中收集了個人和企業等大量公民信息，但未能按照有關等級保護工作要求落實網絡安全保護主體責任，因而導致個人信息泄露。（二）數據存儲技術層面的原因加了信息泄露的風險。二是個別企業的存儲設備和系統的老化與維護不善。隨三是個別企業采用云存儲帶來的安全風險。云存儲作為（三）數據使用技術層面的原因一是個別企業數據處理目的模糊造成數據濫用。在個人案例案例11：某公司出于防范盜竊等目的，于20214月委托某信息科技公司在超市大門位置安裝了一臺具有人臉識別功能的攝像頭，對進入超市人員進行拍照、人臉識別分析比對。該公司在經營過程中使用具有人臉識別功能的攝像頭收集人臉數據圖片未經消費者同意，且經營現場無明示收集臉部信息的目的、方式、范圍和收集規則等，侵害了消費者個人信息依法得到保護的權利。二是個別企業數據使用操作不規范。在數據使用過程中，一些技術人員的不規范操作也可能導致個人信息泄露。三是個別數據分析技術的局限性。數據分析技術在個人信息的使用中發揮著重要作用，但目前的數據分析技術也存綜上所述第三章個人信息超范圍收集與泄露的對策App違法違規收集使用個人信息專項治理，個人信息保護治理取得明顯效果。從2021年至今，中國網絡空間安全協會受理處理違法違規收集使用個人信息投訴舉報9.63500余家App2018年以來，中國消費者協會開100App202410月，中國網絡空間安全協會在中國消費者協機構主要職責是接受業務主管單位委托承擔個人信息保護投訴舉報的相關處理工作等。目前，網民關注較高的“AppApp一、企業合規：規范管理落實主體責任（一）完善個人信息保護合規體系一是制定完善的個人信息處理規則。企業應制定全面、企業內部應設立獨過嚴格審查的項目，方可進入實施階段。在項目實施階段，三是引入外部中立的合規監督力量。僅靠企業自身開展內部的合規制度仍需要引入外部中立的力量對合規情況進行監督。首先，提供重要互聯網平臺服務、用戶數量巨大、成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督；其次（二）強化個人信息處理員工管理二是開展全面深入的安全培訓。企業應定期組織員工參與個人信息保護安全培訓，全面提升員工的安全意識與業務能力。培訓內容應涵蓋豐富的法律法規知識、企業內部的合規制度、安全防護技術以及應急處理流程等多個方面。通過生動的案例分析、逼真的模擬演練等多元化形式，讓員工深刻認識到個人信息保護的重要性，切實掌握正確的個人信息處理方法和安全防護技能。同時，要對培訓效果進行科學、有效地評估與考核，確保員工真正將安全意識切實轉化為實際行動。三是加強員工職業道德教育。除了在技術和操作層面開（三）健全落實應急處理安全機制一是建立高效的信息泄露監測體系。企業要建立一套完行深入分析和處理，精準識別出異常情況。二是制定詳細的應急處理預案。企業應預先制定詳細、周全的應急處理預案，一旦發現個人信息泄露事件，能夠立即啟動應急響應機制，按照既定流程有條不紊地進行處理。首先，要迅速采取有效措施控制泄露范圍，如立即關閉相關服務器端口、暫停涉及泄露風險的業務功能等。同時，組織專業的調查團隊對泄露事件進行全面、深入地調查，盡快確定泄露的原因、時間、范圍以及受影響的用戶群體等關鍵信息。根據調查結果，及時、準確地通知受影響的用戶，向其詳細告知事件的情況以及企業將采取的補救措施。在整個處理過程中，要積極主動地配合監管部門的調查工作，如實提供相關信息，爭取監管部門的支持與指導。對于個人信息處理者二、個體救濟：傾斜保護化解救濟困局（一）加強個人信息保護宣傳教育一是強化宣傳教育培養保護意識。如前所述，在個人層面，公民對個人信息保護意識淡薄、個人信息處理者對信息二是創新宣傳模式共建網絡生態。《個人信息保護法》H5等新媒體形律在個人信息領域賦予信息主體的合法權利與信息處理者（二）建立健全平臺用戶投訴機制一是完善平臺規則、明確投訴機制。平臺作為眾多經營者和消費者的重要載體，其內部個人信息保護治理的依據除《個人信息保護法》《網絡數據安全管理條例》等法律法規外，主要為自身平臺規則。平臺規則之于平臺發揮著類似于“公司章程”的作用，是平臺管理平臺上違法和不當行為的直接依據。企業在平臺規則制定中應當結合自身業務性質，充分考慮平臺中可能存在的個人信息超范圍收集、濫用和泄露等情況，制訂符合風險管理和救濟需求的平臺用戶投訴規則、受理形式、處置方式，設計明確可行、便于實施的平臺投訴配套機制，以便制度化、常態化開展投訴受理工作。二是設計便利的用戶投訴方式。平臺對用戶投訴方式的設計應當以用戶為核心，告知用戶舉報和投訴的流程步驟、渠道方式、時間節點、所需材料，及時處理用戶的舉報和投訴并予以反饋。此外，平臺還可借助其技術優勢，通過開發風險預警系統等為用戶提供技術支持。三是引入外部監督提升投訴實效。平臺的投訴處理效率三、技術保障：技術手段嚴守保護紅線一是開發“一鍵關閉權限”功能。在移動互聯網時代，不僅可