2025年个人信息超范围收集与泄露问题分析研究报告.pdf

个人信息超范围收集与泄露问题

分析研究报告

中国网络空间安全协会

中国消费者协会

新华网

2025年3月

编者按

中国网络空间安全协会是由中央网信办主管的网络空

间安全领域的全国性社会组织，中国消费者协会是依法成立

的对商品和服务进行社会监督的保护消费者合法权益的社

会组织，新华网是国家通讯社新华社主办的综合新闻信息服

务门户网站。

面对个人信息超范围收集、泄露等违法违规处理个人信

息问题的挑战，中国网络空间安全协会、中国消费者协会、

新华网在“国际消费者权益日”之际，编制了《个人信息超

范围收集与泄露问题分析研究报告》，旨在唤起社会各界对

这一问题的进一步关注和重视，为企业、法律从业者和广大

网民提供参考，共同构建更加安全、可靠、透明的个人信息

处理环境，让个人信息在数字空间中得到进一步的尊重和保

护。

本报告聚焦个人信息超范围收集和泄露问题，结合已经

处置的11个典型案例，一是梳理了个人信息超范围收集与

泄露的整体情况，提出目前个人信息超范围收集和泄露的典

型问题，包括个人和企业能力与信息不对称加剧信息滥用、

技术防护不足导致泄露频发、海量数据汇集放大泄露后果等；

二是从企业、个人和技术三个层面指出个人信息超范围收集

和泄露的原因，分别是企业合规缺位与安全管理缺失、个人

判断能力欠缺与寻求救济困难、保护与利用在技术上存在冲

突等；三是建议通过加强个人信息保护宣传教育、建立健全

平台用户投诉机制以及开发“一键关闭权限”功能等技术手

段，破解个人信息超范围收集和泄露的难题。

引言

个人信息超范围收集是指信息收集者在未经用户明确

同意，或超出为实现特定服务目的所必需的范围，收集与业

务无关或超出最小必要限度的个人信息。而个人信息泄露是

指因安全措施不足、人为过失或恶意行为导致个人信息被未

经授权访问、公开或非法传播，造成隐私或安全风险。个人

信息超范围收集与泄露主要发生在互联网应用、金融、医疗、

教育等重要领域，其中互联网应用领域问题尤为突出。

个人信息超范围收集与泄露的危害体现于社会、企业和

个人三个层面：

在社会层面，由于个人信息安全风险具有溢出性、扩散

性，超范围收集和泄露个人信息易导致公共安全遭受威胁。

不法分子可能利用相关个人信息实施电信诈骗、网络攻击等

犯罪活动，破坏社会秩序，一些个人信息可能被境外势力用

于间谍活动，危及国家安全。

在企业层面，个人信息泄露不仅会严重损害企业商誉，

导致客户信任下降、市场份额流失，还会增加企业在信息安

全治理、合规整改等方面的成本，威胁企业可持续发展。

在个人层面，超范围收集和泄露个人信息易导致敏感个

人信息被滥用，加剧个体在网络环境中的风险暴露，威胁个

人的人格尊严和人身、财产安全。

目录

第一章个人信息超范围收集与泄露的典型问题-1-

一、个人与企业能力和信息不对称加剧信息滥用-1-

二、企业技术防护不足导致泄露频发-2-

三、海量数据汇集放大泄露后果-4-

第二章个人信息超范围收集与泄露的成因-7-

一、企业层面：企业合规缺位与安全管理缺失-7-

（一）企业合规制度缺位-7-

（二）安全管理缺失-9-

二、个人层面：判断能力欠缺与寻求救济困难-10-

（一）信息主体认知不足导致“同意”形式化困境-10-

（二）个别企业捆绑授权模式削弱用户选择权-11-

（三）技术复杂性与后果滞后性加剧安全风险-12-

（四）个人信息主体救济困难助长违法行为-12-

三、技术层面：保护与利用在技术上存在冲突-13-

（一）数据收集技术层面的原因-13-

（二）数据存储技术层面的原因-14-

（三）数据使用技术层面的原因-15-

第三章个人信息超范围收集与泄露的对策-17-

一、企业合规：规范管理落实主体责任-18-

（一）完善个人信息保护合规体系-18-

-