從填表到刷臉,誰在過度收集個人信息?
“我在教育機構平臺領了份考前復習資料,只注冊了賬號,推銷電話就跟著來了。”江蘇蘇州的小李至今沒想通,自己的個人信息怎么就被“廣而告之”了。
每一次“授權”背后,都可能藏著一次信息的“越界”。從填表到刷臉,到底誰拿走了人們的個人信息?新華網記者就此展開調查。
1
誰在收集個人信息
根據《中華人民共和國個人信息保護法》,個人信息是指以電子或其他方式記錄的與已識別或可識別的自然人有關的各種信息(匿名化處理后的除外)。簡單地說,凡是能“辨認出你”的信息,如姓名、身份證件號碼、聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等都屬于典型的個人信息。然而,這些信息的收集邊界正在被不斷突破。
國家計算機病毒應急處理中心官網截圖
近日,國家網絡安全通報中心通報,經國家計算機病毒應急處理中心檢測,71款移動應用存在違法違規收集使用個人信息的行為。
“因為好奇,點擊了某網貸App‘查看額度’,結果就接到了各種借貸的電話。”正在北京讀研究生的小李告訴記者,僅一次不經意的操作給他引來了無數推銷電話。
對外經濟貿易大學數字經濟與法律創新研究中心主任許可對此表示,App所謂的強制授權表現為三種形態:不提供信息就不能使用App;一次性要求開啟多個無關權限;超范圍索取與業務場景無關的個人信息。“這本質上是一種誘導,或是利用技術架構和信息不對稱進行的一種設定,是一種‘技術上的強制’。”他認為,即便不構成法律意義上的強制,這類做法至少違背了當事人的自愿原則,“存在一定的違法性”。
常用手機App個人信息第三方共享等授權界面截圖
線上如此,個人信息在線下同樣難以“藏身”。
“該到續保的時候,不同保險公司的電話沒完沒了。”陜西西安的鄭先生面對保險公司的推銷電話頗為無奈,“有時一天接到幾十個電話,開什么車、現在的險種,他們比我還清楚。”
許可說,不少線下場景的信息收集更是重災區,保險、中介、培訓班、各類會員登記,都是個人信息泄露的高發地帶。
記者走訪發現,不少小區為了“便于管理”,在大門和各單元入口安裝了面部識別系統,省去了刷卡環節。然而,這卻讓不少業主憂心忡忡。
“不光要上傳照片,連家庭關系都得填。”北京市朝陽區的江先生說,出于安全考慮可以理解,但一想到個人信息可能泄露,“心里就發慌”。石景山區的羅女士擔憂更深,“孩子在小區里玩,都讓人不踏實了”。
杭州互聯網法院副院長王楊沁如明確表示,個人信息保護法第六條確立了“最小必要”原則,收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集。超出“必需”范圍的,有可能會涉及過度收集。
“如果小區門禁只有面部識別一種方式,就構成了技術上的強制,這是不被法律允許的。”許可強調,2021年最高人民法院《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》已經明確:小區門禁不能將面部識別作為唯一驗證方式,必須提供刷卡等其他替代途徑。
當然,生活中有些需要提供個人信息的情形是法律所允許的。
許可指出,個人信息采集以同意為原則,但法律同樣明確了例外:為履行合同所必需、為履行法定義務、應對公共安全事件,以及新聞報道和輿論監督等。他舉例說明,打車提供位置和聯系方式,就屬于“為履行合同所必需”,法律允許,無需單獨同意。
然而,“為履行合同所必需”提供個人信息的情況,并不等于個人信息可以脫離場景隨意使用。
“不需要同意,絕不意味著個人對這些信息不享有任何權利。”許可指出,知情權、查閱權、復制權、更正權、刪除權、轉移權——這些權利在任何情形下都應當完整享有。
2
誰在泄露個人信息
山東青島的何女士為了接聽孩子升學的重要電話,特意辦了一個新的手機號,從未告訴任何人,也未向外撥打。然而,就在完成志愿填報后的關鍵期,從這個號碼撥打進來的房產中介、培訓機構電話接踵而至。類似的情況還有,湖南郴州的小劉僅一次看牙后,便頻繁接到多家私立口腔醫院的推銷電話。
“學校、醫院這類單位掌握著海量個人信息,但限于人員、技術等因素,信息采集和管理常常委托給第三方。”許可教授分析,這種外包模式可能給信息保護帶來隱患。
山西省公安廳網安總隊負責人介紹,太原公安機關偵破一起涉及學校、教培機構、眼科醫院等領域“內鬼”侵犯公民個人信息案件,涉案金額超22萬元。
個人信息究竟通過何種路徑泄露,歷經多少環節,最終流向何方?
安徽省合肥市公安局網安支隊網絡案件偵查大隊教導員陸宇介紹,經持續深挖侵犯公民個人信息黑灰產業鏈,發現泄露信息存在多種途徑,爬蟲盜爬后臺、木馬植入、釣魚鏈接誘導,以及從電商、招聘、公示等公開渠道抓取零散信息、清洗整合建庫倒賣的“技術流”手段也層出不窮。
這些涵蓋教育、醫療、快遞等各類信息的數據,其非法交易已形成閉環的灰色產業鏈。
陸宇介紹,在從源頭獲取信息后,一些偽裝成運維人員的小型技術工作室便介入分揀標注,抬升數據價值;流通端存在多級中間商,他們往往注冊空殼公司,打著市場調研、數據咨詢的幌子進行分銷;最終,這些信息流向終端的違規小微企業甚至是詐騙團伙。
瘋狂的倒賣行為背后,必然有龐大的需求。究竟誰是買家?
根據近些年破獲的多起案件,安徽省合肥市公安局網安支隊網絡案件偵查大隊勾勒出一幅清晰的買家“畫像”。陸宇介紹,占比最高的是電信網絡詐騙團伙,他們依托精準信息實施定向詐騙,大幅提升作案成功率。其次,部分中介、培訓機構批量采購信息,用于電話、短信騷擾式推銷。還有假借私家偵探名義,獲取住址、資產、婚姻信息,實施跟蹤、勒索等非法活動,更隱蔽的是通過網絡進行黑灰產運營,收購實名賬號、手機號刷控評、薅平臺福利、搭建非法工具。
不僅如此,個人信息在交易過程中還被明碼標價。從單一的通訊錄信息,到包含戶籍、征信、醫療等高敏感內容的“精準客戶群”,價格從每條幾分錢到數十元不等。山西省公安廳網安總隊負責人告訴記者,長治公安機關偵破的一起為境外電詐集團提供免驗證微信號的侵犯公民個人信息案件,涉案資產達2000余萬元。
暴利驅使下,原本屬于隱私的個人信息成了可以議價的商品,個人信息該如何保護?
3
如何守護個人信息安全
記者在國家計算機病毒應急處理中心官網查閱發現,自2018年3月官網中首次公布檢測發現違法移動應用以來,共發布監測涉及超過千余款違法App。
北京大成律師事務所資深律師魯寧表示,對于超范圍采集、非法泄露個人信息行為,過往監管以事后被動處置為主,多在群眾投訴、信息泄露事件爆發后開展調查、督促整改。2026年網信部門、工信部、公安部聯合專項行動顯著強化常態化事前風險排查,構建“源頭預防、過程管控、事后嚴懲”全鏈條監管體系,從業務設計前端降低信息泄露隱患。
“公眾對個人信息的擔憂實際涉及收集、濫用和泄露等三個層面。”許可分析,采集是風險的開端,真正的危害發生在濫用和泄露環節,而且極難預防。因此個人信息保護法采取了“全鏈路保護”策略,在采集環節就予以嚴格規制。
“所有收集、處理個人信息的企業與機構均負有法定合規義務。”魯寧提醒,必須完整梳理數據收集、存儲、使用、傳輸、銷毀全流程,常態化開展安全漏洞自查,完善加密、訪問管控等安全防護體系,嚴格規范內部數據操作權限,將個人信息合規內嵌為日常運營的硬性要求。
個人在日常該如何保護隱私信息不被泄露呢?
許可建議,公眾可以把握三個原則:首先,對來路不明的App、網站和鏈接保持警惕,不要輕易點擊同意或提交信息;其次,充分利用選擇權,對于“單獨同意”的內容不要輕易同意,所有單獨同意原則上都不會限制用戶對App基本功能的使用;第三,一旦發現問題,積極投訴舉報,“現在投訴舉報反饋很快,要用行動來保護權益,不能只停留在意識上”。
陸宇提醒,在使用App時,僅開放基礎功能必需權限,關閉位置、通訊錄等非必要授權;線下活動不填寫身份證、住址等敏感信息;定期清理閑置賬號、解綁授權、更換平臺密碼。此外,謹慎使用各類AI生成工具,嚴禁上傳身份證、人臉視頻、私密文件,防止個人信息被用于AI訓練留存或擴散泄露。
“日常上網時,許多無意識的行為可能造成信息泄露。”杭州互聯網法院法官沈堃特別提醒,在社交平臺不要曬身份證、戶口本、車票機票、病歷、房產資料等敏感證件。同時也要注意,不隨意公開居住小區、學校單位、作息軌跡、出行計劃等生活隱私信息。在公共場所不連接無密碼陌生公共Wi-Fi。
一旦遭遇個人信息泄露,可以通過12377、12315、平臺官方渠道舉報侵權行為,遭遇批量泄露、敲詐或精準詐騙立即報警。
來源:新華網
編輯:鄧毛毛
監審:張效婧
終審:吳 濤
![]()
![]()
關注我們 了解更多
發布網信政務信息
解讀網信政策法規
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.