“我在教育機構平臺領了份考前復習資料,只註冊了帳號,推銷電話就跟著來了。”江蘇蘇州的小李至今沒想通,自己的個人資訊怎麼就被“廣而告之”了。
每一次“授權”背後,都可能藏著一次資訊的“越界”。從填表到刷臉,到底誰拿走了人們的個人資訊?新華網記者就此展開調查。
誰在收集個人資訊
根據《中華人民共和國個人資訊保護法》,個人資訊是指以電子或其他方式記錄的與已識別或可識別的自然人有關的各種資訊(匿名化處理後的除外)。簡單地說,凡是能“辨認出你”的資訊,如姓名、身份證件號碼、聯繫方式、住址、帳號密碼、財產狀況、行蹤軌跡等都屬於典型的個人資訊。然而,這些資訊的收集邊界正在被不斷突破。

國家電腦病毒應急處理中心官網截圖
近日,國家網路安全通報中心通報,經國家電腦病毒應急處理中心檢測,71款移動應用存在違法違規收集使用個人資訊的行為。
“因為好奇,點擊了某網貸App‘查看額度’,結果就接到了各種借貸的電話。”正在北京讀研究生的小李告訴記者,僅一次不經意的操作給他引來了無數推銷電話。
對外經濟貿易大學數字經濟與法律創新研究中心主任許可對此表示,App所謂的強制授權表現為三種形態:不提供資訊就不能使用App;一次性要求開啟多個無關許可權;超範圍索取與業務場景無關的個人資訊。“這本質上是一種誘導,或是利用技術架構和資訊不對稱進行的一種設定,是一種‘技術上的強制’。”他認為,即便不構成法律意義上的強制,這類做法至少違背了當事人的自願原則,“存在一定的違法性”。

常用手機App個人資訊第三方共用等授權介面截圖
線上如此,個人資訊線上下同樣難以“藏身”。
“該到續保的時候,不同保險公司的電話沒完沒了。”陝西西安的鄭先生面對保險公司的推銷電話頗為無奈,“有時一天接到幾十個電話,開什麼車、現在的險種,他們比我還清楚。”
許可說,不少線下場景的資訊收集更是重災區,保險、仲介、培訓班、各類會員登記,都是個人資訊洩露的高發地帶。
記者走訪發現,不少社區為了“便於管理”,在大門和各單元入口安裝了面部識別系統,省去了刷卡環節。然而,這卻讓不少業主憂心忡忡。
“不光要上傳照片,連家庭關係都得填。”北京市朝陽區的江先生說,出於安全考慮可以理解,但一想到個人資訊可能洩露,“心裏就發慌”。石景山區的羅女士擔憂更深,“孩子在社區裏玩,都讓人不踏實了”。
杭州互聯網法院副院長王楊沁如明確表示,個人資訊保護法第六條確立了“最小必要”原則,收集個人資訊,應當限於實現處理目的的最小範圍,不得過度收集。超出“必需”範圍的,有可能會涉及過度收集。
“如果社區門禁只有面部識別一種方式,就構成了技術上的強制,這是不被法律允許的。”許可強調,2021年最高人民法院《關於審理使用人臉識別技術處理個人資訊相關民事案件適用法律若干問題的規定》已經明確:社區門禁不能將面部識別作為唯一驗證方式,必須提供刷卡等其他替代途徑。
當然,生活中有些需要提供個人資訊的情形是法律所允許的。
許可指出,個人資訊採集以同意為原則,但法律同樣明確了例外:為履行合同所必需、為履行法定義務、應對公共安全事件,以及新聞報導和輿論監督等。他舉例說明,打車提供位置和聯繫方式,就屬於“為履行合同所必需”,法律允許,無需單獨同意。
然而,“為履行合同所必需”提供個人資訊的情況,並不等於個人資訊可以脫離場景隨意使用。
“不需要同意,絕不意味著個人對這些資訊不享有任何權利。”許可指出,知情權、查閱權、複製權、更正權、刪除權、轉移權——這些權利在任何情形下都應當完整享有。
誰在洩露個人資訊
山東青島的何女士為了接聽孩子升學的重要電話,特意辦了一個新的手機號,從未告訴任何人,也未向外撥打。然而,就在完成志願填報後的關鍵期,從這個號碼撥打進來的房產仲介、培訓機構電話接踵而至。類似的情況還有,湖南郴州的小劉僅一次看牙後,便頻繁接到多家私立口腔醫院的推銷電話。
“學校、醫院這類單位掌握著海量個人資訊,但限於人員、技術等因素,資訊採集和管理常常委託給第三方。”許可教授分析,這種外包模式可能給資訊保護帶來隱患。
山西省公安廳網安總隊負責人介紹,太原公安機關偵破一起涉及學校、教培機構、眼科醫院等領域“內鬼”侵犯公民個人資訊案件,涉案金額超22萬元。
個人資訊究竟通過何種路徑洩露,歷經多少環節,最終流向何方?
安徽省合肥市公安局網安支隊網路案件偵查大隊教導員陸宇介紹,經持續深挖侵犯公民個人資訊黑灰產業鏈,發現洩露資訊存在多種途徑,爬蟲盜爬後臺、木馬植入、釣魚鏈接誘導,以及從電商、招聘、公示等公開管道抓取零散資訊、清洗整合建庫倒賣的“技術流”手段也層出不窮。
這些涵蓋教育、醫療、快遞等各類資訊的數據,其非法交易已形成閉環的灰色產業鏈。
陸宇介紹,在從源頭獲取資訊後,一些偽裝成運維人員的小型技術工作室便介入分揀標注,抬升數據價值;流通端存在多級中間商,他們往往註冊空殼公司,打著市場調研、數據諮詢的幌子進行分銷;最終,這些資訊流向終端的違規小微企業甚至是詐騙團夥。
瘋狂的倒賣行為背後,必然有龐大的需求。究竟誰是買家?
根據近些年破獲的多起案件,安徽省合肥市公安局網安支隊網路案件偵查大隊勾勒出一幅清晰的買家“畫像”。陸宇介紹,占比最高的是電信網絡詐騙團夥,他們依託精准資訊實施定向詐騙,大幅提升作案成功率。其次,部分仲介、培訓機構批量採購資訊,用於電話、短信騷擾式推銷。還有假借私家偵探名義,獲取住址、資產、婚姻資訊,實施跟蹤、勒索等非法活動,更隱蔽的是通過網路進行黑灰產運營,收購實名帳號、手機號刷控評、薅平臺福利、搭建非法工具。
不僅如此,個人資訊在交易過程中還被明碼標價。從單一的通訊錄資訊,到包含戶籍、征信、醫療等高敏感內容的“精准客戶群”,價格從每條几分錢到數十元不等。山西省公安廳網安總隊負責人告訴記者,長治公安機關偵破的一起為境外電詐集團提供免驗證微信號的侵犯公民個人資訊案件,涉案資產達2000餘萬元。
暴利驅使下,原本屬於隱私的個人資訊成了可以議價的商品,個人資訊該如何保護?
如何守護個人資訊安全
記者在國家電腦病毒應急處理中心官網查閱發現,自2018年3月官網中首次公佈檢測發現違法移動應用以來,共發佈監測涉及超過千餘款違法App。
北京大成律師事務所資深律師魯寧表示,對於超範圍採集、非法洩露個人資訊行為,過往監管以事後被動處置為主,多在群眾投訴、資訊洩露事件爆發後開展調查、督促整改。2026年網信部門、工信部、公安部聯合專項行動顯著強化常態化事前風險排查,構建“源頭預防、過程管控、事後嚴懲”全鏈條監管體系,從業務設計前端降低資訊洩露隱患。
“公眾對個人資訊的擔憂實際涉及收集、濫用和洩露等三個層面。”許可分析,採集是風險的開端,真正的危害發生在濫用和洩露環節,而且極難預防。因此個人資訊保護法採取了“全鏈路保護”策略,在採集環節就予以嚴格規制。
“所有收集、處理個人資訊的企業與機構均負有法定合規義務。”魯寧提醒,必須完整梳理數據收集、存儲、使用、傳輸、銷毀全流程,常態化開展安全漏洞自查,完善加密、訪問管控等安全防護體系,嚴格規範內部數據操作許可權,將個人資訊合規內嵌為日常運營的硬性要求。
個人在日常該如何保護隱私資訊不被洩露呢?
許可建議,公眾可以把握三個原則:首先,對來路不明的App、網站和鏈接保持警惕,不要輕易點擊同意或提交資訊;其次,充分利用選擇權,對於“單獨同意”的內容不要輕易同意,所有單獨同意原則上都不會限制用戶對App基本功能的使用;第三,一旦發現問題,積極投訴舉報,“現在投訴舉報回饋很快,要用行動來保護權益,不能只停留在意識上”。
陸宇提醒,在使用App時,僅開放基礎功能必需許可權,關閉位置、通訊錄等非必要授權;線下活動不填寫身份證、住址等敏感資訊;定期清理閒置帳號、解綁授權、更換平臺密碼。此外,謹慎使用各類AI生成工具,嚴禁上傳身份證、人臉視頻、私密檔,防止個人資訊被用於AI訓練留存或擴散洩露。
“日常上網時,許多無意識的行為可能造成資訊洩露。”杭州互聯網法院法官沈堃特別提醒,在社交平臺不要曬身份證、戶口本、車票機票、病歷、房產資料等敏感證件。同時也要注意,不隨意公開居住社區、學校單位、作息軌跡、出行計畫等生活隱私資訊。在公共場所不連接無密碼陌生公共Wi-Fi。
一旦遭遇個人資訊洩露,可以通過12377、12315、平臺官方管道舉報侵權行為,遭遇批量洩露、敲詐或精准詐騙立即報警。 (劉璐 李東標 馬江 王浩慶 郭妍廷 鄧姝泰)