中国消费者报报道（记者任震宇）3月15日，中国消费者协会、中国网络空间安全协会、新华网联合发布了《个人信息超范围收集与泄露问题分析研究报告》（以下简称《报告》），总结了个人信息超范围收集和泄露表现的三大突出问题，从企业、个人和技术三个层面分析个人信息超范围收集和泄露的原因，并提出相关建议。

个人信息泄露三大突出问题

《报告》聚焦个人信息超范围收集和泄露问题，在对现有个人信息保护治理工作梳理和对典型案例实证分析的基础上，总结出个人信息超范围收集和泄露表现为三大突出问题：

个人与企业能力和信息不对称加剧信息滥用，此类问题的根源在于个人与企业之间能力和信息的高度不对称性，即企业或机构与个人在技术能力、知识储备和资源获取上的差距。具体表现为两种情形：一是技术能力差异导致信息收集失衡；二是知识储备差距引发信息认知偏差。

企业技术防护不足导致泄露频发，具体表现为三类情形：技术防护短板凸显、管理漏洞引发危机、责任逃避加重风险。

海量数据汇集放大泄露后果，一方面，海量数据集聚放大安全管理挑战，大量数据交互暴露安全防护薄弱环节，漏洞响应机制滞后加剧风险聚集传导；另一方面，泄露数据造成的个人信息失控风险往往具有不可逆性，即便漏洞被修复，泄露的数据仍可能被不法分子长期利用。

个人信息超范围收集与泄露多因交织

《报告》对个人信息超范围收集与泄露的原因进行了分析，认为个人信息与社会经济的深度融合，使得个人信息超范围收集与泄露问题呈现多因交织的复杂态势，从企业、个人和技术三个层面分析得出个人信息超范围收集和泄露的原因。

在企业层面，存在企业合规缺位与安全管理缺失。企业合规缺位表现在三个方面：个别企业合规制度不够完善，难以全面满足合规要求；个别企业合规制度浮于表面，事后审查流于形式；有些企业应急响应机制不健全，落实执行存在困难。企业安全管理缺失体现在四个方面：个别企业过度追求数据资产化利益；个别企业员工行为管理存在漏洞；个别企业与第三方合作缺少个人信息保护安全管理；个别企业数据全生命周期管理缺位。

在个人层面，存在判断能力欠缺与寻求救济困难。一是信息主体认知不足导致“同意”形式化困境，使得用户在面对复杂的个人信息处理规则时处于信息不对等的劣势地位，无法真正理解个人信息将被如何使用并作出合理决策；二是个别企业捆绑授权模式削弱用户选择权，大量平台与应用软件采用“全选同意”“一次性授权”的授权方式；三是技术复杂性与后果滞后性加剧安全风险，在此种认知偏差的驱使下，个人极有可能为了一时便利而将隐私问题抛诸脑后，对超范围收集行为放松警惕，从而为后续的信息安全埋下隐患；四是个人信息主体救济困难助长违法行为。

在技术层面，个人信息保护与利用在技术上存在冲突。比如，在数据收集技术方面，个别企业缺乏明确的技术规范和标准，导致收集行为随意性较大；个别企业数据收集技术过度应用，一些企业和机构为了获取更多个人信息，过度依赖数据收集技术，导致个人信息被超范围收集；个别企业存在技术漏洞导致个人信息收集失控。在数据存储技术方面，个别企业的存储技术存在安全性隐患；个别企业的存储设备和系统老化与维护不善；个别企业采用云存储带来安全风险。在数据使用技术方面，个别企业数据处理目的模糊造成数据滥用；个别企业数据使用操作不规范；个别数据分析技术存在局限性。

个人信息保护需多方协同共治

《报告》从企业合规、个人救济、技术保障三个方面提出对策建议，旨在推动形成个人信息保护的多方协同共治格局，破解个人信息超范围收集和泄露难题，共同构筑安全、可信的个人信息保护新生态，让个人信息在数字空间中得到真正的尊重和保护。

从企业层面，要规范管理落实主体责任。首先，完善个人信息保护合规体系，制定完善的个人信息处理规则，构建严格的内部合规审查流程，引入外部中立的合规监督力量。其次，强化个人信息处理员工管理，包括规范员工操作行为准则，开展全面深入的安全培训，加强员工职业道德教育。最后，健全落实应急处理安全机制，包括建立高效的信息泄露监测体系，制定详细的应急处理预案，进行全面的事后恢复与改进。

从个体救济层面，要倾斜保护化解救济困局。加强个人信息保护宣传教育，包括增强宣传教育培养保护意识、创新宣传模式共建网络生态。建立健全平台用户投诉机制，包括完善平台规则、明确投诉机制，设计便利的用户投诉方式。引入外部监督，提升投诉实效。

从技术保障层面，要用技术手段严守保护红线。赋予用户对个人信息的更多控制权，是个人信息保护的重要原则之一。开发用户自主控制工具，如“一键关闭权限”“个人信息可携带权”等功能，能够让用户更加便捷地管理个人信息，增强用户对个人信息保护的参与感和主动权。