中消协：避免个人信息超范围收集，建议开发“一键关闭权限”

北京日报客户端

您的个人信息可能正在被超范围收集或是泄漏。3月15日，中国消费者协会联合中国网络空间安全协会等单位发布《个人信息超范围收集与泄漏问题分析研究报告》。报告公布了学术网站未经同意便收集用户搜索偏好、词典不“默认勾选”便自动闪退等一系列典型案例，并建议开发“一键关闭权限”“个人信息可携带权”等用户自主控制工具。

梳理情况：信息收集失衡过度索要权限

报告梳理了个人信息超范围收集与泄漏的一系列典型问题。

有的企业和机构凭借其技术能力，能够轻易收集用户的个人信息，而普通用户由于缺乏技术知识，难以有效阻止。技术能力的差距使得个人信息处理者在信息收集过程中占据主导地位，用户往往处于被动接受的状态。例如，某学术平台在用户进行文献检索、下载时，未经用户同意便收集其浏览记录、搜索偏好等信息，用户难以及时察觉并阻止其收集。

此外，个别互联网应用通过过度索要权限的方式，迫使用户在功能使用和个人隐私之间做出妥协，进一步加剧了信息收集的失衡。例如，去年某词典软件在不通知用户的前提下，其系统自动为客户默认勾选“已阅读并同意服务条款和隐私政策”的选项，若用户拒绝，系统将会自动闪退，无法正常使用。

探究原因：企业管理缺失个人选择权受阻

个人信息超范围收集和泄漏，到底是什么原因造成的？报告提出，从企业层面来说，个人信息超范围收集与泄漏存在合规制度缺位与安全管理缺失两大成因；而从个人层面来说，则受到个人判断能力欠缺与寻求救济困难等因素影响。

例如，相较于行政监管机关和用户个人，个别企业近乎处于技术、信息的绝对垄断地位。面对行政机关，这些企业利用信息不对称的优势，制定具有合法外观的个人信息保护合规制度以应对行政监管。面对用户个人，个别个人信息处理者制定的合规制度表面上似乎优先考虑个人信息保护问题，但实际上内部操作方式仍存在向用户隐瞒其超范围收集个人信息等不合规行为。另有个别企业与第三方合作缺少个人信息保护安全管理，实践中存在大量由合作方故意或者过失泄漏个人信息的情况。

从个人层面来说，在现有“同意”机制下，个人信息主体难以有效认知该软件或平台收集与使用的个人信息的类型、范围、方式，如街头自动售卖机诱导用户进行刷脸支付并收集无关信息。此外，在现实中，大量的平台与应用软件采用“全选同意”“一次性授权”的授权方式。“默认勾选”“捆绑授权”的设计不仅进一步削弱了用户对所收集数据与核心功能之关联性的判断能力，甚至在一定程度上阻碍了个人信息主体行使知情权与选择权。用户往往出于使用产品或服务之需要，在不知情的情况下被迫同意超必要范围之信息的收集与使用。由于个人信息权益难以进行精确的估值作价，司法实务中对因个人信息侵权所导致的精神损失也尚无精准的计算方法，被害者难以得到相应的赔偿。此外，个人信息违法行为造成的下游损害也因网络加害行为取证难度大、身份定位难，个人即使上报公安机关也难以追踪到“真凶”。

对策：建议开发“一键关闭权限”等功能

为了破解个人信息超范围收集和泄漏的难题，报告提出若干对策办法。其中，赋予用户对自己个人信息的更多控制权，是个人信息保护的重要原则之一。为此，报告建议，开发用户自主控制工具，如“一键关闭权限”“个人信息可携带权”等功能，用户可以通过简

单的操作，一键关闭应用程序对某些不必要权限的访问，或是通过“个人信息可携带权”功能，将自己的个人信息相应的途径从原平台转移到新的平台中，实现个人信息的无缝迁移，避免在不同平台上重复填写信息可能带来的隐私泄漏风险。（记者 张楠）