新华网民生调查丨个人信息收集乱象:谁在窥探你的隐私?
新华网北京7月7日电 题:个人信息收集乱象:谁在窥探你的隐私?
“我在一个教育平台领取了考前资料,仅仅注册了账户,推销来电就紧随而至。”江苏苏州的小李至今不明白,自己的私人数据怎么就被大肆传播了。
每次“许可”背后,都可能隐藏着一次信息的“越界”。从手动填写到面部扫描,到底是谁窃取了人们的个人资料?新华网记者对此进行了深入探访。
依据《中华人民共和国个人信息保护法》,个人信息是指以电子或其他形式记录的与已辨识或可辨识的自然人相关的各类信息(匿名化处理后除外)。简而言之,凡是能“识别你”的数据,如姓名、证件号码、联系方式、居住地址、账户密码、财务情况、活动轨迹等均属典型个人信息。然而,这些数据的采集边界正不断被逾越。
国家计算机病毒应急处理中心官网截图
近日,国家网络安全通报中心通报,经国家计算机病毒应急处理中心检测,71款移动应用存在违规收集使用个人信息的现象。
“出于好奇,我点击了某网贷App的‘查询额度’,随后便不断接到各种借贷来电。”正在北京读研的小李向记者倾诉,仅一次无意中的操作就招来了无数推销骚扰。
对外经济贸易大学数字经济与法律创新研究中心主任许可对此指出,App所谓的强制授权呈现为三种形式:不提交信息就无法使用App;一次性要求开启多个无关权限;过度索取与业务场景无关的个人数据。“这实质上是一种诱导,或是利用技术架构和信息不对称进行的预设,是一种‘技术性强迫’。”他主张,即使不构成法律定义的强制,此类做法至少违反了当事人的自愿准则,“存在一定的违法嫌疑”。
常用手机App个人信息第三方共享等授权界面截图
线上如此,个人信息在线下同样难以“隐匿”。
“续保时间一到,不同保险公司的电话就响个不停。”陕西西安的郑先生面对保险推销来电深感无奈,“有时一天接到数十个电话,我的车型、现有险种,他们比我还清楚。”
许可表示,许多线下场景的信息采集更是问题频发区,保险、中介、培训班、各类会员注册,都是个人信息泄露的高风险点。
记者走访观察到,不少小区为了“提升管理”,在正门和各单元入口安装了人脸识别系统,免去了刷卡步骤。然而,这却让许多业主深感不安。
“不仅要上传照片,连家庭成员关系都得填写。”北京市朝阳区的江先生称,出于安全考量可以接受,但一想到个人信息可能外泄,“心里就发怵”。石景山区的罗女士忧虑更重,“孩子在小区玩耍,都让人不放心了”。
杭州互联网法院副院长王杨沁如明确表示,个人信息保护法第六条确立了“最小必要”准则,采集个人信息,应当限于达成处理目标的最小范围,不得过度收集。超出“必需”范围的,可能构成过度采集。
“如果小区门禁仅有人脸识别一种途径,就构成了技术性强制,这是法律所不容许的。”许可强调,2021年最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》已明确:小区门禁不得将面部识别作为唯一验证方式,必须提供刷卡等替代选择。
当然,生活中某些需提供个人信息的情形是法律所准许的。
许可指出,个人信息采集以同意为原则,但法律同样规定了例外:为履行合同所必需、为履行法定义务、应对公共安全事件,以及新闻报道和舆论监督等。他举例说明,打车提供位置和联系方式,就属于“为履行合同所必需”,法律许可,无需单独同意。
然而,“为履行合同所必需”提供个人信息的情况,并不代表个人信息可以脱离场景任意使用。
“不需要同意,绝不意味着个人对这些信息不拥有任何权利。”许可指出,知情权、查阅权、复制权、更正权、删除权、转移权——这些权利在任何情况下都应完整保有。
山东青岛的何女士为了接听孩子升学的重要来电,专门办理了一个新手机号,从未告知任何人,也未向外拨打。然而,就在完成志愿填报后的关键时期,从这个号码打入的房产中介、培训机构电话接连不断。类似情形还有,湖南郴州的小刘仅一次看牙后,便频繁接到多家私立口腔医院的推销来电。
“学校、医院这类机构掌握着海量个人信息,但受限于人员、技术等因素,信息采集和管理常外包给第三方。”许可教授解析,这种外包模式可能给信息保护带来风险。
山西省公安厅网安总队负责人介绍,太原公安机关破获一起涉及学校、教培机构、眼科医院等领域“内鬼”侵犯公民个人信息案件,涉案金额超22万元。
个人信息究竟通过何种路径泄露,历经多少环节,最终流向何方?
安徽省合肥市公安局网安支队网络案件侦查大队教导员陆宇介绍,经持续深挖侵犯公民个人信息黑灰产业链,发现泄露信息存在多种途径,爬虫盗爬后台、木马植入、钓鱼链接诱导,以及从电商、招聘、公示等公开渠道抓取零散信息、清洗整合建库倒卖的“技术流”手段也层出不穷。
这些涵盖教育、医疗、快递等各类信息的数据,其非法交易已形成闭环的灰色产业链。
陆宇介绍,在从源头获取信息后,一些伪装成运维人员的小型技术工作室便介入分拣标注,抬升数据价值;流通端存在多级中间商,他们往往注册空壳公司,打着市场调研、数据咨询的幌子进行分销;最终,这些信息流向终端的违规小微企业甚至是诈骗团伙。
疯狂的倒卖行为背后,必然有庞大的需求。究竟谁是买家?
根据近些年破获的多起案件,安徽省合肥市公安局网安支队网络案件侦查大队勾勒出一幅清晰的买家“画像”。陆宇介绍,占比最高的是电信网络诈骗团伙,他们依托精准信息实施定向诈骗,大幅提升作案成功率。其次,部分中介、培训机构批量采购信息,用于电话、短信骚扰式推销。还有假借私家侦探名义,获取住址、资产、婚姻信息,实施跟踪、勒索等非法活动,更隐蔽的是通过网络进行黑灰产运营,收购实名账号、手机号刷控评、薅平台福利、搭建非法工具。
不仅如此,个人信息在交易过程中还被明码标价。从单一的通讯录信息,到包含户籍、征信、医疗等高敏感内容的“精准客户群”,价格从每条几分钱到数十元不等。山西省公安厅网安总队负责人告诉记者,长治公安机关破获的一起为境外电诈集团提供免验证微信号的侵犯公民个人信息案件,涉案资产达2000余万元。
暴利驱使下,原本属于隐私的个人信息成了可以议价的商品,个人信息该如何保护?
记者在国家计算机病毒应急处理中心官网查阅发现,自2018年3月官网中首次公布检测发现违法移动应用以来,共发布监测涉及超过千余款违法App。
北京大成律师事务所资深律师鲁宁表示,对于超范围采集、非法泄露个人信息行为,过往监管以事后被动处置为主,多在群众投诉、信息泄露事件爆发后开展调查、督促整改。2026年网信部门、工信部、公安部联合专项行动显著强化常态化事前风险排查,构建“源头预防、过程管控、事后严惩”全链条监管体系,从业务设计前端降低信息泄露隐患。
“公众对个人信息的担忧实际涉及收集、滥用和泄露等三个层面。”许可分析,采集是风险的开端,真正的危害发生在滥用和泄露环节,而且极难预防。因此个人信息保护法采取了“全链路保护”策略,在采集环节就予以严格规制。
“所有收集、处理个人信息的企业与机构均负有法定合规义务。”鲁宁提醒,必须完整梳理数据收集、存储、使用、传输、销毁全流程,常态化开展安全漏洞自查,完善加密、访问管控等安全防护体系,严格规范内部数据操作权限,将个人信息合规内嵌为日常运营的硬性要求。
个人在日常该如何保护隐私信息不被泄露呢?
许可建议,公众可以把握三个原则:首先,对来路不明的App、网站和链接保持警惕,不要轻易点击同意或提交信息;其次,充分利用选择权,对于“单独同意”的内容不要轻易同意,所有单独同意原则上都不会限制用户对App基本功能的使用;第三,一旦发现问题,积极投诉举报,“现在投诉举报反馈很快,要用行动来保护权益,不能只停留在意识上”。
陆宇提醒,在使用App时,仅开放基础功能必需权限,关闭位置、通讯录等非必要授权;线下活动不填写身份证、住址等敏感信息;定期清理闲置账号、解绑授权、更换平台密码。此外,谨慎使用各类AI生成工具,严禁上传身份证、人脸视频、私密文件,防止个人信息被用于AI训练留存或扩散泄露。
“日常上网时,许多无意识的行为可能造成信息泄露。”杭州互联网法院法官沈堃特别提醒,在社交平台不要晒身份证、户口本、车票机票、病历、房产资料等敏感证件。同时也要注意,不随意公开居住小区、学校单位、作息轨迹、出行计划等生活隐私信息。在公共场所不连接无密码陌生公共Wi-Fi。
一旦遭遇个人信息泄露,可以通过12377、12315、平台官方渠道举报侵权行为,遭遇批量泄露、敲诈或精准诈骗立即报警。
参与报道:李东标 马江 王浩庆 郭妍廷 邓姝泰


