个人信息超范围收集与泄露问题分析研究报告

个人信息超范围收集与泄露问题分析研究报告中国网络空间安全协会中国消费者协会新华网2025 年 3 月编者按中国网络空间安全协会是由中央网信办主管的网络空间安全领域的全国性社会组织，中国消费者协会是依法成立的对商品和服务进行社会监督的保护消费者合法权益的社会组织，新华网是国家通讯社新华社主办的综合新闻信息服务门户网站。面对个人信息超范围收集、泄露等违法违规处理个人信息问题的挑战，中国网络空间安全协会、中国消费者协会、新华网在“国际消费者权益日”之际，编制了《个人信息超范围收集与泄露问题分析研究报告》，旨在唤起社会各界对这一问题的进一步关注和重视，为企业、法律从业者和广大网民提供参考，共同构建更加安全、可靠、透明的个人信息处理环境，让个人信息在数字空间中得到进一步的尊重和保护。本报告聚焦个人信息超范围收集和泄露问题，结合已经处置的 11 个典型案例，一是梳理了个人信息超范围收集与泄露的整体情况，提出目前个人信息超范围收集和泄露的典型问题，包括个人和企业能力与信息不对称加剧信息滥用、技术防护不足导致泄露频发、海量数据汇集放大泄露后果等；二是从企业、个人和技术三个层面指出个人信息超范围收集和泄露的原因，分别是企业合规缺位与安全管理缺失、个人判断能力欠缺与寻求救济困难、保护与利用在技术上存在冲突等；三是建议通过加强个人信息保护宣传教育、建立健全平台用户投诉机制以及开发“一键关闭权限”功能等技术手段，破解个人信息超范围收集和泄露的难题。引言个人信息超范围收集是指信息收集者在未经用户明确同意，或超出为实现特定服务目的所必需的范围，收集与业务无关或超出最小必要限度的个人信息。而个人信息泄露是指因安全措施不足、人为过失或恶意行为导致个人信息被未经授权访问、公开或非法传播，造成隐私或安全风险。个人信息超范围收集与泄露主要发生在互联网应用、金融、医疗、教育等重要领域，其中互联网应用领域问题尤为突出。个人信息超范围收集与泄露的危害体现于社会、企业和个人三个层面：在社会层面，由于个人信息安全风险具有溢出性、扩散性，超范围收集和泄露个人信息易导致公共安全遭受威胁。不法分子可能利用相关个人信息实施电信诈骗、网络攻击等犯罪活动，破坏社会秩序，一些个人信息可能被境外势力用于间谍活动，危及国家安全。在企业层面，个人信息泄露不仅会严重损害企业商誉，导致客户信任下降、市场份额流失，还会增加企业在信息安全治理、合规整改等方面的成本，威胁企业可持续发展。在个人层面，超范围收集和泄露个人信息易导致敏感个人信息被滥用，加剧个体在网络环境中的风险暴露，威胁个人的人格尊严和人身、财产安全。- 1 -目录第一章 个人信息超范围收集与泄露的典型问题.............................- 1 -一、个人与企业能力和信息不对称加剧信息滥用........................... - 1 -二、企业技术防护不足导致泄露频发................................................- 2 -三、海量数据汇集放大泄露后果........................................................- 4 -第二章 个人信息超范围收集与泄露的成因..................................... - 7 -一、企业层面：企业合规缺位与安全管理缺失............................... - 7 -（一）企业合规制度缺位....................................................................- 7 -（二）安全管理缺失............................................................................- 9 -二、个人层面：判断能力欠缺与寻求救济困难............................. - 10 -（一）信息主体认知不足导致“同意”形式化困境..................... - 10 -（二）个别企业捆绑授权模式削弱用户选择权............................. - 11 -（三）技术复杂性与后果滞后性加剧安全风险............................. - 12 -（四）个人信息主体救济困难助长违法行为..................................- 12 -三、技术层面：保护与利用在技术上存在冲突............................. - 13 -（一）数据收集技术层面的原因......................................................- 13 -（二）数据存储技术层面的原因......................................................- 14 -（三）数据使用技术层面的原因......................................................- 15 -第三章 个人信息超范围收集与泄露的对策................................... - 17 -一、企业合规：规范管理落实主体责任..........................................- 18 -（一）完善个人信息保护合规体系..................................................- 18 -- 2 -（二）强化个人信息处理员工管理..................................................- 19 -（三）健全落实应急处理安全机制..................................................- 20 -二、个体救济：倾斜保护化解救济困局..........................................- 22 -（一）加强个人信息保护宣传教育..................................................- 22 -（二）建立健全平台用户投诉机制..................................................- 23 -三、技术保障：技术手段严守保护红线..........................................- 24 -- 1 -第一章 个人信息超范围收集与泄露的典型问题一、个人与企业能力和信息不对称加剧信息滥用在各种个人信息超范围收集与泄露问题中，个人信息滥用现象愈发严重。此类问题的根源在于个人与企业之间能力和信息的高度不对称性，即企业或机构与个人在技术能力、知识储备和资源获取上的差距，具体表现为以下两种情形。一是技术能力差异导致信息收集失衡。企业和机构凭借其技术能力，能够轻易收集用户的