立法背景与核心目的 - 为落实《中华人民共和国个人信息保护法》要求，完善数据跨境流动管理制度，促进个人信息合规利用和数字经济高质量发展 [15][20] - 该办法与《数据出境安全评估办法》、《个人信息出境标准合同办法》等共同构成中国数据跨境流动制度体系，标志着相关出境制度设计的全面落地 [20] 适用范围与适用条件 - 适用于通过个人信息保护认证方式向境外提供个人信息的个人信息处理者 [2] - 适用主体必须同时满足：非关键信息基础设施运营者，且自当年1月1日起累计向境外提供10万人以上、不满100万人非敏感个人信息，或不满1万人敏感个人信息 [5] - 明确禁止通过数量拆分等手段规避出境安全评估，向境外提供的个人信息不包括重要数据 [5] 认证申请流程与要求 - 个人信息处理者需向依法取得认证资质的专业认证机构申请认证，境外处理者需通过境内专门机构或指定代表申请 [7] - 申请前必须履行告知、取得个人单独同意、进行个人信息保护影响评估等法定义务 [6] - 个人信息保护影响评估需重点评估处理目的合法性、出境规模风险、境外接收方安全保障能力等六项内容 [6] 认证机构职责与管理 - 专业认证机构需自取得认证资质之日起10个工作内向国家网信部门备案，并对备案材料真实性负责 [12] - 认证机构应按照规范开展认证，对符合要求者及时出具有效期为3年的认证证书，证书到期前6个月需重新申请 [8] - 认证机构发现获证者不符合要求时，应暂停直至撤销其证书，发现违法活动需及时向监管部门报告 [10][11] 监督管理机制 - 国家市场监督管理部门和国家网信部门对认证活动进行监督，开展定期或不定期检查及抽查 [13] - 省级以上网信部门发现较大风险或安全事件时可依法约谈获证处理者，要求其整改 [16] - 建立社会监督机制，任何组织和个人均可对违规行为向认证机构或监管部门投诉举报 [15]

微信账号管理政策调整 - 自今年9月起，微信对长时间不使用的账号已不再进行回收处理，不活跃账号的朋友圈内容同样不会被清理 [1] - 此次政策调整是出于对逝者纪念需求的考虑，迈出了重大一步 [3] 微信产品功能设计理念 - 微信朋友圈明确不会有访客功能，产品逻辑旨在避免给用户增加更大的社交压力 [1] - 朋友圈不太可能推出二次编辑功能，因其定位是记录个人历史，人生无法修改故不应轻易篡改编年史 [1] 数字遗产继承的法律与伦理探讨 - 逝者互联网平台账号的继承和处置存在法律挑战，例如聊天记录和通讯录可能涉及逝者不愿公开的信息或第三人隐私 [2] - 法律专家认为，逝者账号内的数据因人格性过强、不产生直接经济价值，可能不具备独立的财产属性 [2] - 逝者生前对朋友圈内容设置的可见时间和范围（如"三天可见"）受到《中华人民共和国个人信息保护法》保护，被视为生前另有安排 [2] - 关于逝者账号的移交、继承及近亲属对个人信息的查阅、删除等问题，需要法律、伦理专家、平台及有关部门共同参与制定合规可行的方案 [2][3]

案件基本情况 - 许某来团伙非法查询公民个人信息530条，非法牟利42466.34元 [1] - 三名被告人被判侵犯公民个人信息罪，主犯许某来被判处有期徒刑一年三个月并处罚金2.5万元 [1] - 从犯张某甲和张某乙分别被判处有期徒刑八个月和七个月，并处罚金9000元和1万元 [1] 行业信息泄露源头 - 个人信息泄露源头包括“社工库”等境外平台群组，可查询个人户籍、婚史、房产、银行卡流水等全方位信息 [2] - 特殊行业掌握的公民信息因“内鬼”在诱惑驱使下泄露，形成黑灰产业链条 [3] - 大量公民个人信息被不法获取，是“人肉开盒”乱象丛生的根源 [1] 治理与监管趋势 - 司法是打击违法犯罪的利器，需通过正义审判让不法分子付出昂贵成本以传递强烈信号 [2] - 治理需打出惩罚重拳并盯住源头，彻底斩断黑灰产业全部链条 [3] - 需加强国际司法协作以打击利用境外网站存储个人信息并逍遥法外的行为 [3] - 从长远看需建章立制，构筑坚固制度堤防以彻底关闭“人肉开盒”之门 [3]

案件核心事实 - 两家房地产企业A和B在售楼处安装人脸抓拍识别系统 违法收集消费者人脸敏感信息超过28000条 [1][2] - 企业安装系统的目的是为了甄别客户类型 在未取得消费者同意的情况下持续违法收集和使用人脸信息 [1] - 案件线索最初由“益心为公”志愿者提报 检察机关通过大数据筛查发现同类线索并合并立案调查 [1] 调查与技术取证过程 - 检察机关采用逆向勘验方法 先通过销售人员手机中的人脸分析软件定位到云存储服务器 再反查回本地服务器 [2] - 技术分析发现本地服务器设有周期性程序脚本 可自动分析监控视频中的人脸照片 每日打包上传云端后删除数据 [2] - 办案组利用人工智能图像分析技术对28000余条人脸信息进行快速精准去重 查明违法事实 [2] 监管处置与整改结果 - 检察机关依法向市场监督管理部门制发检察建议 督促履行监管职责 [3] - 市场监督管理部门对涉案公司立案调查 并依法对A B两家公司分别处以5万元罚款 [3] - 涉案企业被督促永久删除违规获取的人脸图像信息及系统后台数据 关闭摄像头的人脸抓拍功能 其所属地产集团对旗下公司售楼处进行全面整改 [3]

产品发布与市场表现 - 高德地图于9月10日上线“高德扫街榜”，截至10月3日，用户数突破4亿 [2] - 该榜单定位为“全球首个基于真实行为的榜单产品”，依托十亿级用户行为数据，运用AI算法生成 [2] - 在国庆中秋长假期间，该产品为线下餐饮门店带去超过1亿的客流 [3] 产品机制与特点 - 榜单基于近一年492万人的7404万次导航、总里程22亿公里的数据，筛选出用户多次反复前往的15万家店铺，并结合芝麻信用计算生成真实评价 [2] - 设有多个子榜单，维度包括“烟火小店”、“本地人爱吃”、“多次前往（回头客）”、“轮胎磨损（专程前往）”等 [2] - 核心卖点为“行为真实”，旨在通过挖掘海量用户真实消费场景数据，确保榜单反映消费者自主选择 [2][3] 用户反馈与产品局限性 - 部分用户认为该榜单颠覆了传统“打分+评论”体系，有利于消费者做出更客观选择 [1] - 有观点指出其局限性在于可能忽略无需导航的本地“宝藏小馆”，且通过“导航行为”分析“到店消费”存在片面性，例如上海浦东国际机场第二餐厅因“免费停车”等非美食因素上榜 [1][3] - 有疑问认为该榜单本质是“导航投票”而非完全的“用脚投票” [3] 数据来源与隐私关切 - 高德地图作为10亿级App，每天有1.2亿次生活服务相关搜索，导航前往1300万个生活服务目的地，为榜单提供数据支撑 [4] - 公众主要担忧在于高德地图在后台运行时是否会记录用户个人行程信息、用户个人信息是否被过度使用以及数据商业化的边界 [4][6] - 尽管公司声称在用户数据使用及授权方面确保合规合法，符合《个人信息保护法》要求，但用户在打开App或进入“扫街榜”时并未收到清晰无误的个人行踪轨迹被用于榜单评价的提示 [5][6]

监管通报与公司回应 - 上海市通信管理局通报平安消费金融App存在超范围收集个人信息问题，为27款违规App中唯一被点名的消费金融机构[2][3] - 公司回应称正与监管机构积极沟通，确保在时效内尽快完成整改[2][4] - 监管要求被点名App在5个工作日内提交整改报告和自评估报告，否则将依法处理[4] 违规行为具体表现 - 用户注册时必须一键授权三份协议，包括将信息同步至18家“平安系”关联公司的《平安一账通会员服务协议》[5][6] - 注册后使用信贷产品需完成多项实名认证，包括上传身份证照片、签署个人征信授权书等多份协议[6] - 分析人士指出强制一键授权多协议并同步信息涉嫌侵犯用户知情权与选择权[1][6] 公司背景与经营表现 - 平安消费金融成立于2020年4月，注册资本50亿元，由中国平安保险集团及三家“平安系”公司持股[8] - 截至2024年末公司总资产542.93亿元，全年营业收入45.19亿元，净利润10.2亿元[9] - 2024年营收同比增长24.59%，净利润同比大幅增长108.16%[9] - 公司披露共有77家合作机构，包括17家营销获客机构、18家增信服务机构、42家贷后合作机构[9] 行业合规与建议 - 行业监管强调遵循“最小必要”原则收集信息，多部门开展专项整治并推进金融App备案机制[9][10] - 分析建议消费金融机构应从源头建立个人信息保护“防火墙”，定期进行合规检测并强化消费者沟通[10] - 建议将合规融入各部门实际业务考核，从源头杜绝违规现象发生[10]

监管通报事件 - 上海市通信管理局通报27款App存在侵害用户权益行为，其中涉及14家金融机构，平安消费金融App因超范围收集个人信息被点名 [3][4] - 监管要求被点名App在通报后5个工作日内完成整改并提交报告，否则将依法处理 [4] - 此次并非平安消费金融首次出现个人信息收集问题，其在2021年曾因未经用户同意收集使用个人信息被通报 [4] 平安消费金融App具体问题 - App在用户注册时需强制一键授权三份协议，包括将信息同步至18家“平安系”关联公司，涉嫌侵犯用户知情权和选择权 [1][7][9] - 为使用信贷产品“平安小橙花”，用户需完成实名认证并签署多份协议，授权收集身份证、银行卡号、工作单位等敏感信息 [7][8] - 截至10月13日记者查看时，App的《隐私政策》已完成更新，但一键授权形式未变 [9] 公司经营与背景 - 平安消费金融成立于2020年4月，注册资本50亿元，由中国平安保险集团及其关联公司全资控股 [11] - 截至2024年末，公司总资产542.93亿元，全年营业收入45.19亿元，净利润10.2亿元，营收和净利润同比分别增长24.59%和108.16% [11] - 公司披露共有77家合作机构，包括17家营销获客机构、18家增信服务机构和42家贷后合作机构 [11] 行业合规与建议 - 行业分析指出，金融机构遵循“最小必要”原则收集信息是对消费者权益的保护，金融的严肃性和合规性不容忽视 [12] - 建议消费金融机构从源头建立个人信息保护“防火墙”，定期进行合规检测，并将合规融入业务考核 [13] - 建议监管加大打击力度，通过提升违法成本督促机构重视合规建设 [13]

个人信息保护现状与风险 - 敏感个人信息一旦泄露或非法使用，容易导致自然人的人格尊严受侵害或人身、财产安全受危害，具体包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息 [4] - 个人信息泄露的渠道包括：未经当事人同意，擅自对外提供或披露个人信息给有需求的商家、非法组织或个人 [5]；因技术不成熟、设备不完善、管理不规范（如电脑手机不设密码、证件复印件丢失、银行收据丢弃等）导致信息从缺乏保护意识的商家、政府机构或企业流出 [6]；以及钓鱼网站、网络漏洞和信息地下交易 [6] - 个人信息泄露导致的后果包括：垃圾短信、骚扰电话、诈骗电话接二连三 [6]；垃圾邮件铺天盖地 [7]；以及发生大数据“杀熟”、人肉搜索等恶意披露特定对象个人信息的事件 [7] 个人信息防护建议 - 用户应优先选择尊重个人信息保护的产品和服务 [10] - 用户应审核App要求的权限，并谨慎授权 [10] - 用户应在身份证复印件上标注“仅限办理某业务时使用” [10] - 用户应对重要信息进行加密保护 [10] - 用户应设置他人对自己所分享信息的访问权限 [10]

个人信息保护法的核心要义 - 文章核心观点：在数字化浪潮中，个人信息是个人独特的“数字名片”和不容忽视的“隐形财产”，《中华人民共和国个人信息保护法》的出台为这份数字财产提供了“防护盾”，旨在保护消费者在享受便捷服务时的切身利益 [1][2] 个人信息的定义与范围 - 个人信息是指以电子或其他方式记录的、能够单独或结合其他信息识别特定自然人身份或反映其活动情况的各种信息，匿名化处理后的信息除外 [4] - 常见的个人信息包括姓名、身份证件号码、联系方式、住址、账号密码、财产状况、行踪轨迹等 [6] - 处理个人信息时，“知情”和“同意”是法律赋予个人的基本权利底线 [6] 个人信息处理的原则与环节 - 个人信息处理涵盖收集、存储、使用、加工、传输、提供、公开、删除等多个环节，每个环节都有严格要求 [6] - 个人信息处理者必须遵循合法、正当、必要和诚信原则，禁止通过误导、欺诈、胁迫等方式处理个人信息 [6] 敏感个人信息的特殊保护 - 敏感个人信息是个人信息中的“核心隐私”，一旦泄露或非法使用容易导致人格尊严或人身、财产安全受到危害 [7] - 典型的敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息 [7] - 处理敏感个人信息必须满足“特定目的”、“充分必要”和“严格保护”三重条件，并需向个人明确告知处理的必要性和潜在影响 [7] 违法处理个人信息的法律责任 - 违法处理个人信息，轻则面临警告、没收违法所得、暂停或终止服务；拒不改正的，最高可处100万元罚款，相关责任人面临1万至10万元个人罚款 [10] - 情节严重的，没收违法所得，罚款最高可达5000万元，或按上一年度营业额的5%处罚；企业可能被责令暂停业务、停业整顿，甚至被吊销相关许可或营业执照 [10] - 相关负责人在情节严重时面临10万至100万元罚款，并可能被“行业禁入”；构成违反治安管理或犯罪的，将依法给予治安管理处罚或追究刑事责任 [10]

监管行动概述 - 公安部计算机信息系统安全产品质量监督检验中心于2025年9月1日至9月19日检测发现34款移动应用存在违法违规收集使用个人信息情况 [1][17] - 此次通报依据《网络安全法》《个人信息保护法》等法律法规，并按照中央网信办等四部门关于开展2025年个人信息保护系列专项行动的公告要求执行 [1] - 上期通报的38款应用中，经复测仍有8款存在问题，已被相关应用分发平台下架 [16] 信息披露违规 - 17款应用未逐一列出收集、使用个人信息的目的、方式、范围，涉及《王者代练》、《首汽租车》、《UU跑腿》、《51信用卡管家》等 [1] - 1款应用《云集》在申请打开可收集个人信息的权限时未同步告知用户目的 [2] - 1款应用《房车生活家》在申请收集用户等个人敏感信息时未同步告知用户目的 [3] 用户授权与同意违规 - 4款应用在征得用户同意前就开始收集个人信息，包括《凹凸租车》、《圆梦志愿》、《亲宝宝》、《云集》 [4] - 17款应用实际收集的个人信息超出用户授权范围，名单与未列明目的范围的17款应用高度重合 [5] - 2款应用《蚂蚁短租》和《租租车》实际收集的个人信息超出相关功能的必要范围 [8] 权限与范围过度索取 - 1款应用《志愿》的个人信息保护政策中描述需要收集的个人信息超出相关功能的必要范围 [6] - 4款应用配置文件中声明的可收集个人信息的权限超出相关功能的必要范围，包括《陌单》、《志愿》、《艺愿星》、《阳光志愿填报》 [7] - 3款应用实际收集个人信息的频率超出相关功能的必要范围，包括《凹凸租车》、《云集》、《添猫司机》 [9][10] 功能与权限滥用 - 3款应用提前要求用户打开非当前功能所需的可收集个人信息权限，包括《365日历》、《去上网（去哒）》、《凹凸租车》 [11] - 4款应用强制要求用户提供非必要的个人信息，包括《脉脉》、《玩吧》、《哈哈喵开黑》、《凹凸租车》 [12] - 2款应用《手电王》和《闪电扫码大师》的广告存在误导、欺骗用户行为 [16] 用户权利保障缺失 - 3款应用未向用户提供个人信息相关投诉渠道或功能，包括《房车生活家》、《高考志愿手册》、《爱宠游》 [13] - 1款应用《途乐民宿》未向用户提供更正或补充其个人信息的具体途径 [14] - 2款应用《UU跑腿》和《二三里》在注销账户的流程中设置不合理的条件或提出额外要求 [15]