記者 任震宇

　　3月15日，中國消費者協會、中國網絡空間安全協會、新華網聯合發布了《個人信息超范圍收集與泄露問題分析研究報告》（以下簡稱《報告》）。其中，個人和企業能力與信息不對稱加劇信息濫用、企業技術防護不足導致泄露頻發、海量數據匯集放大泄露后果這三大問題被點名。

　　聚焦三大突出問題

　　《報告》指出，個人信息超范圍收集與泄露問題主要發生在互聯網應用、金融、醫療、教育等重要領域，其中互聯網應用領域問題尤為突出。《報告》結合已經處置的11個典型案例，梳理提出目前個人信息超范圍收集與泄露的三大典型問題。

　　首先是個人與企業能力和信息不對稱加劇信息濫用。此類問題的根源在于個人與企業之間能力和信息的高度不對稱性，即企業或機構與個人在技術能力、知識儲備和資源獲取上的差距。具體表現為兩種情形：一是技術能力差異導致信息收集失衡；二是知識儲備差距引發信息認知偏差。2024年5月，某詞典軟件在不通知用戶的前提下，其系統自動為客戶默認勾選“已閱讀并同意服務條款和隱私政策”的選項，若用戶拒絕，系統將會自動閃退，無法正常使用。

　　其次是企業技術防護不足導致泄露頻發。具體表現為3類情形：技術防護短板凸顯、管理漏洞引發危機、責任逃避加重風險。2023年9月，某政務系統的承包商在測試數據時未履行安全義務，導致大量公民的個人身份信息和社保記錄等敏感數據泄露。

　　第三是海量數據匯集放大泄露后果。一方面，海量數據集聚放大安全管理挑戰，大量數據交互暴露安全防護薄弱環節，漏洞響應機制滯后加劇風險聚集傳導；另一方面，泄露數據造成的個人信息失控風險往往具有不可逆性，即便漏洞被修復，泄露的數據仍可能被不法分子長期利用。

　　管理缺失個人選擇權受阻

　　個人信息超范圍收集和泄露，到底是什么原因造成的？《報告》對該問題進行了分析并提出，從企業層面來說，個人信息超范圍收集與泄露存在合規制度缺位與安全管理缺失兩大成因；從個人層面來說，則受到個人判斷能力欠缺與尋求救濟困難等因素影響。

　　在企業層面，存在企業合規缺位與安全管理缺失。企業合規的缺位表現在3個方面：個別企業合規制度不夠完善，難以全面滿足合規要求；個別企業合規制度浮于表面，事后審查流于形式；有些企業應急響應機制不健全，落實執行存在困難。企業安全管理缺失體現在4個方面：個別企業過度追求數據資產化利益；個別企業員工行為管理存在漏洞；個別企業與第三方合作缺少個人信息保護安全管理；個別企業數據全生命周期管理缺位。

　　在個人層面，存在判斷能力欠缺與尋求救濟困難。一是信息主體認知不足導致“同意”形式化困境，使得用戶在面對復雜的個人信息處理規則時處于信息不對等的劣勢地位，無法真正理解個人信息將被如何使用并作出合理決策；二是個別企業捆綁授權模式削弱用戶選擇權，大量平臺與應用軟件采用“全選同意”“一次性授權”的授權方式；三是技術復雜性與后果滯后性加劇安全風險，在此種認知偏差的驅使下，個人極有可能為了一時便利而將隱私問題拋諸腦后，對超范圍收集行為放松警惕，從而為后續的信息安全埋下隱患；四是個人信息主體救濟困難助長違法行為。

　　此外，在技術層面，個人信息保護與利用在技術上存在沖突也是個人信息超范圍收集和泄露的一大原因。在數據收集技術方面，個別企業缺乏明確的技術規范和標準，導致收集行為隨意性較大；個別企業數據收集技術過度應用，一些企業和機構為了獲取更多個人信息，過度依賴數據收集技術，導致個人信息被超范圍收集；個別企業存在技術漏洞導致個人信息收集失控。在數據存儲技術方面，個別企業的存儲技術存在安全性隱患；個別企業的存儲設備和系統老化與維護不善；個別企業采用云存儲帶來安全風險。在數據使用技術方面，個別企業數據處理目的模糊造成數據濫用；個別企業數據使用操作不規范；個別數據分析技術存在局限性。

　　協同共治破解難題

　　為了破解個人信息超范圍收集和泄露的難題，《報告》從企業合規、個人救濟、技術保障3個方面提出對策建議，旨在推動形成個人信息保護的多方協同共治格局，破解個人信息超范圍收集和泄露難題。

　　從企業層面，要規范管理落實主體責任。首先，完善個人信息保護合規體系，制定完善的個人信息處理規則，構建嚴格的內部合規審查流程，引入外部中立的合規監督力量。其次，強化個人信息處理員工管理，包括規范員工操作行為準則，開展全面深入的安全培訓，加強員工職業道德教育。最后，健全落實應急處理安全機制，包括建立高效的信息泄露監測體系，制定詳細的應急處理預案，進行全面的事后恢復與改進。

　　從個體救濟層面，要傾斜保護化解救濟困局。加強個人信息保護宣傳教育，包括增強宣傳教育培養保護意識、創新宣傳模式共建網絡生態。建立健全平臺用戶投訴機制，包括完善平臺規則、明確投訴機制，設計便利的用戶投訴方式。引入外部監督，提升投訴實效。

　　從技術保障層面，要用技術手段嚴守保護紅線。賦予用戶對個人信息的更多控制權，是個人信息保護的重要原則之一。開發用戶自主控制工具，如“一鍵關閉權限”“個人信息可攜帶權”等功能，能夠讓用戶更加便捷地管理個人信息，增強用戶對個人信息保護的參與感和主動權。