記者 任震宇

　　3月15日，中國(guó)消費(fèi)者協(xié)會(huì)、中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)、新華網(wǎng)聯(lián)合發(fā)布了《個(gè)人信息超范圍收集與泄露問(wèn)題分析研究報(bào)告》（以下簡(jiǎn)稱《報(bào)告》）。其中，個(gè)人和企業(yè)能力與信息不對(duì)稱加劇信息濫用、企業(yè)技術(shù)防護(hù)不足導(dǎo)致泄露頻發(fā)、海量數(shù)據(jù)匯集放大泄露后果這三大問(wèn)題被點(diǎn)名。

　　聚焦三大突出問(wèn)題

　　《報(bào)告》指出，個(gè)人信息超范圍收集與泄露問(wèn)題主要發(fā)生在互聯(lián)網(wǎng)應(yīng)用、金融、醫(yī)療、教育等重要領(lǐng)域，其中互聯(lián)網(wǎng)應(yīng)用領(lǐng)域問(wèn)題尤為突出�！秷�(bào)告》結(jié)合已經(jīng)處置的11個(gè)典型案例，梳理提出目前個(gè)人信息超范圍收集與泄露的三大典型問(wèn)題。

　　首先是個(gè)人與企業(yè)能力和信息不對(duì)稱加劇信息濫用。此類問(wèn)題的根源在于個(gè)人與企業(yè)之間能力和信息的高度不對(duì)稱性，即企業(yè)或機(jī)構(gòu)與個(gè)人在技術(shù)能力、知識(shí)儲(chǔ)備和資源獲取上的差距。具體表現(xiàn)為兩種情形：一是技術(shù)能力差異導(dǎo)致信息收集失衡；二是知識(shí)儲(chǔ)備差距引發(fā)信息認(rèn)知偏差。2024年5月，某詞典軟件在不通知用戶的前提下，其系統(tǒng)自動(dòng)為客戶默認(rèn)勾選“已閱讀并同意服務(wù)條款和隱私政策”的選項(xiàng)，若用戶拒絕，系統(tǒng)將會(huì)自動(dòng)閃退，無(wú)法正常使用。

　　其次是企業(yè)技術(shù)防護(hù)不足導(dǎo)致泄露頻發(fā)。具體表現(xiàn)為3類情形：技術(shù)防護(hù)短板凸顯、管理漏洞引發(fā)危機(jī)、責(zé)任逃避加重風(fēng)險(xiǎn)。2023年9月，某政務(wù)系統(tǒng)的承包商在測(cè)試數(shù)據(jù)時(shí)未履行安全義務(wù)，導(dǎo)致大量公民的個(gè)人身份信息和社保記錄等敏感數(shù)據(jù)泄露。

　　第三是海量數(shù)據(jù)匯集放大泄露后果。一方面，海量數(shù)據(jù)集聚放大安全管理挑戰(zhàn)，大量數(shù)據(jù)交互暴露安全防護(hù)薄弱環(huán)節(jié)，漏洞響應(yīng)機(jī)制滯后加劇風(fēng)險(xiǎn)聚集傳導(dǎo)；另一方面，泄露數(shù)據(jù)造成的個(gè)人信息失控風(fēng)險(xiǎn)往往具有不可逆性，即便漏洞被修復(fù)，泄露的數(shù)據(jù)仍可能被不法分子長(zhǎng)期利用。

　　管理缺失個(gè)人選擇權(quán)受阻

　　個(gè)人信息超范圍收集和泄露，到底是什么原因造成的？《報(bào)告》對(duì)該問(wèn)題進(jìn)行了分析并提出，從企業(yè)層面來(lái)說(shuō)，個(gè)人信息超范圍收集與泄露存在合規(guī)制度缺位與安全管理缺失兩大成因；從個(gè)人層面來(lái)說(shuō)，則受到個(gè)人判斷能力欠缺與尋求救濟(jì)困難等因素影響。

　　在企業(yè)層面，存在企業(yè)合規(guī)缺位與安全管理缺失。企業(yè)合規(guī)的缺位表現(xiàn)在3個(gè)方面：個(gè)別企業(yè)合規(guī)制度不夠完善，難以全面滿足合規(guī)要求；個(gè)別企業(yè)合規(guī)制度浮于表面，事后審查流于形式；有些企業(yè)應(yīng)急響應(yīng)機(jī)制不健全，落實(shí)執(zhí)行存在困難。企業(yè)安全管理缺失體現(xiàn)在4個(gè)方面：個(gè)別企業(yè)過(guò)度追求數(shù)據(jù)資產(chǎn)化利益；個(gè)別企業(yè)員工行為管理存在漏洞；個(gè)別企業(yè)與第三方合作缺少個(gè)人信息保護(hù)安全管理；個(gè)別企業(yè)數(shù)據(jù)全生命周期管理缺位。

　　在個(gè)人層面，存在判斷能力欠缺與尋求救濟(jì)困難。一是信息主體認(rèn)知不足導(dǎo)致“同意”形式化困境，使得用戶在面對(duì)復(fù)雜的個(gè)人信息處理規(guī)則時(shí)處于信息不對(duì)等的劣勢(shì)地位，無(wú)法真正理解個(gè)人信息將被如何使用并作出合理決策；二是個(gè)別企業(yè)捆綁授權(quán)模式削弱用戶選擇權(quán)，大量平臺(tái)與應(yīng)用軟件采用“全選同意”“一次性授權(quán)”的授權(quán)方式；三是技術(shù)復(fù)雜性與后果滯后性加劇安全風(fēng)險(xiǎn)，在此種認(rèn)知偏差的驅(qū)使下，個(gè)人極有可能為了一時(shí)便利而將隱私問(wèn)題拋諸腦后，對(duì)超范圍收集行為放松警惕，從而為后續(xù)的信息安全埋下隱患；四是個(gè)人信息主體救濟(jì)困難助長(zhǎng)違法行為。

　　此外，在技術(shù)層面，個(gè)人信息保護(hù)與利用在技術(shù)上存在沖突也是個(gè)人信息超范圍收集和泄露的一大原因。在數(shù)據(jù)收集技術(shù)方面，個(gè)別企業(yè)缺乏明確的技術(shù)規(guī)范和標(biāo)準(zhǔn)，導(dǎo)致收集行為隨意性較大；個(gè)別企業(yè)數(shù)據(jù)收集技術(shù)過(guò)度應(yīng)用，一些企業(yè)和機(jī)構(gòu)為了獲取更多個(gè)人信息，過(guò)度依賴數(shù)據(jù)收集技術(shù)，導(dǎo)致個(gè)人信息被超范圍收集；個(gè)別企業(yè)存在技術(shù)漏洞導(dǎo)致個(gè)人信息收集失控。在數(shù)據(jù)存儲(chǔ)技術(shù)方面，個(gè)別企業(yè)的存儲(chǔ)技術(shù)存在安全性隱患；個(gè)別企業(yè)的存儲(chǔ)設(shè)備和系統(tǒng)老化與維護(hù)不善；個(gè)別企業(yè)采用云存儲(chǔ)帶來(lái)安全風(fēng)險(xiǎn)。在數(shù)據(jù)使用技術(shù)方面，個(gè)別企業(yè)數(shù)據(jù)處理目的模糊造成數(shù)據(jù)濫用；個(gè)別企業(yè)數(shù)據(jù)使用操作不規(guī)范；個(gè)別數(shù)據(jù)分析技術(shù)存在局限性。

　　協(xié)同共治破解難題

　　為了破解個(gè)人信息超范圍收集和泄露的難題，《報(bào)告》從企業(yè)合規(guī)、個(gè)人救濟(jì)、技術(shù)保障3個(gè)方面提出對(duì)策建議，旨在推動(dòng)形成個(gè)人信息保護(hù)的多方協(xié)同共治格局，破解個(gè)人信息超范圍收集和泄露難題。

　　從企業(yè)層面，要規(guī)范管理落實(shí)主體責(zé)任。首先，完善個(gè)人信息保護(hù)合規(guī)體系，制定完善的個(gè)人信息處理規(guī)則，構(gòu)建嚴(yán)格的內(nèi)部合規(guī)審查流程，引入外部中立的合規(guī)監(jiān)督力量。其次，強(qiáng)化個(gè)人信息處理員工管理，包括規(guī)范員工操作行為準(zhǔn)則，開(kāi)展全面深入的安全培訓(xùn)，加強(qiáng)員工職業(yè)道德教育。最后，健全落實(shí)應(yīng)急處理安全機(jī)制，包括建立高效的信息泄露監(jiān)測(cè)體系，制定詳細(xì)的應(yīng)急處理預(yù)案，進(jìn)行全面的事后恢復(fù)與改進(jìn)。

　　從個(gè)體救濟(jì)層面，要傾斜保護(hù)化解救濟(jì)困局。加強(qiáng)個(gè)人信息保護(hù)宣傳教育，包括增強(qiáng)宣傳教育培養(yǎng)保護(hù)意識(shí)、創(chuàng)新宣傳模式共建網(wǎng)絡(luò)生態(tài)。建立健全平臺(tái)用戶投訴機(jī)制，包括完善平臺(tái)規(guī)則、明確投訴機(jī)制，設(shè)計(jì)便利的用戶投訴方式。引入外部監(jiān)督，提升投訴實(shí)效。

　　從技術(shù)保障層面，要用技術(shù)手段嚴(yán)守保護(hù)紅線。賦予用戶對(duì)個(gè)人信息的更多控制權(quán)，是個(gè)人信息保護(hù)的重要原則之一。開(kāi)發(fā)用戶自主控制工具，如“一鍵關(guān)閉權(quán)限”“個(gè)人信息可攜帶權(quán)”等功能，能夠讓用戶更加便捷地管理個(gè)人信息，增強(qiáng)用戶對(duì)個(gè)人信息保護(hù)的參與感和主動(dòng)權(quán)。