最近一段时间，由腾讯发布的《2018微信年度数据报告》被朋友圈热转。从交通出行习惯、生活作息规律到常用表情符号，各个人群的“微信画像”跃然纸上。这份报告“火了”，但也招来很多质疑：微信不会是在窥探用户的隐私吧？虽然腾讯马上回应“所有数据均已匿名及脱敏化处理”，但许多人还是心里犯嘀咕。

　　目前，个人信息被泄露的情况有哪些种类？会对个人和社会造成哪些损害？增强个人信息安全、避免人人成为“透明人”，我们该如何行动起来？

　　超八成消费者个人信息被泄露过

　　“您好！我是教初二数学的马老师，您家小孩儿需要期末考前辅导吗？”“这里是某医院某科室，您最近身体是否不适？”……从理财、培训到装修、出游，对方似乎有“未卜先知”的超能力，准确知晓你的某些关键信息与近期需求。这说明，你的个人信息被泄露了。

　　这种情况有多严重呢？中消协发布的《APP个人信息泄露情况调查报告》（以下简称《调查报告》）显示，当前我国遭遇过个人信息泄露情况的人数占比为85.2%。当消费者个人信息泄露后，约86.5%的受访者曾收到推销电话或短信的骚扰，约75%的受访者接到诈骗电话，约63.4%的受访者收到垃圾邮件。

　　中消协发布的另一份调研报告《100款APP个人信息收集与隐私政策测评报告》（以下简称《测评报告》）显示，91款APP存在过度收集用户个人信息的问题，近半数APP的隐私条款内容不达标，位置信息、通讯录信息、身份信息、手机号码这几项高居涉嫌过度收集或使用信息清单中的前四名，部分APP还涉嫌过度收集个人财产信息、生物识别信息等敏感信息。

　　47款“劣迹”突出的APP中，侵犯用户隐私的典型问题包括：

　　隐私条款笼统不清，对收集、使用个人信息的目的、方式、范围、类型、保存期限、地点等没有明确说明，收集敏感信息时未明确告知用户信息的用途。

　　没有或未明确用户更正、撤回同意、删除个人信息的途径。比如爱抢购APP不支持账号退出功能，手机解绑需向客服申请，方法过于繁琐。

　　对外提供个人信息时不单独告知并征得用户同意。有些应用以提升产品或服务质量的需要为名，在传播用户信息时越界。比如，ofo小黄车向关联公司及第三方分享相关信息时，未单独征得用户同意，且对外提供行为未体现其必要性，其存在的风险不得而知。

　　大量收集与所提供服务无直接关联的个人信息。一些应用未遵守行业标准中关于最小化收集个人信息的规定，像天气预报、手电筒这类功能单一的APP，在安装协议中竟然都提出要读取通讯录。

　　“总体来看，由于网络空间具有即时性与虚拟性，公民个人信息一旦遭泄露普遍存在举证难、损失认定难等问题，需进行更加有效的治理，目前侵犯公民个人信息等违法犯罪问题仍呈高发态势。”中国法学会消费者权益保护法研究会副秘书长陈音江说。

　　信息泄露其实有迹可循

　　不少受访者都有这样的困惑：个人信息曾被多个单位、机构或企业采集过，信息到底是怎么被泄露、买卖的？究竟谁是“元凶”？其实，信息泄露有迹可循。《调查报告》发现了两条最主要的途径：

　　一是经营者未经本人同意擅自收集客户信息，也就是《测评报告》指出的隐私政策不合理导致的诸多乱象，最典型的是部分记账理财APP会通过留存消费者的个人网银登录账号、密码等信息，并模仿消费者网银登录的方式，获取账户交易明细及余额等信息，某些小额贷款APP的开发商甚至能通过技术手段获得用户手机系统最高管理权限。

　　二是经营者或不法分子故意泄露、出售或者非法向他人提供个人信息，这两者均超过调查总样本的60%。业内人士指出，这已形成一条规模庞大、利益巨大的产业链，上游环节负责“源头供货”，中游负责“包装易货”，下游负责“应用变现”。公开数据显示，我国网络安全产业规模仅为450多亿元，但据推测，国内网络非法从业人员已超150万人，互联网黑色产业链早已达千亿元规模。

　　其他被泄露方式还包括：网络服务系统存有漏洞造成个人信息泄露，不法分子通过木马病毒、钓鱼网站等手段盗取、骗取个人信息；经营者收集不必要的个人信息，这些经营者包括手机应用程序APP、网络服务提供商、“云”服务等。

　　筑牢个人信息保护“防火墙”

　　一直以来，国家重拳出击整治网络个人信息泄露乱象，为广大网民营造安全放心的网络环境。公安部2018年开展“净网”专项行动，严厉打击侵犯公民个人信息、黑客攻击破坏等犯罪行为，仅半年内，就抓获犯罪嫌疑人8000余名，其中涉及电信服务商、互联网企业、银行等行业内部人员300余名，黑客1200余名，缴获“黑卡”270余万张。

　　不过，总体上当前我国网络个人信息泄露情况仍不容乐观。陈音江指出，目前个人信息保护主要依赖事后监管，缺少事前保护和监管，公民个人信息保护职责分散且呈现边缘化，受害人维权渠道不通畅，经济补偿难落地。

　　保护公民信息不受侵害，当务之急是完善法律法规——

　　目前我国有近40部法律、30余部法规涉及个人信息保护，比如《民法总则》《刑法修正案》《消费者权益保护法》《网络安全法》《电子商务法》等。据悉，2018年9月，十三届全国人大常委会立法规划公布，旨在强化企业主体责任的《个人信息保护法》与《数据安全法》已被列入第一类项目，有望使个人信息保护早日进入法制化轨道。

　　监管力量还需“拧成一股绳”——

　　目前，有关个人信息保护的主管机关还未确定，相关职责分散于公安、工信、网信、司法等多家部门，如何在实际工作中形成监管合力，还需进一步探索。

　　中国人民大学法学院教授刘俊海指出，个人信息获取、存储和利用的环节众多，流通传播又兼具隐蔽性和复杂性，强化公民个人信息安全，须得多方联动、协同共治。

　　中国政法大学传播法中心研究员朱巍建议设立黑名单制度，将违规企业、个人纳入黑名单，越界侵权APP在应用市场下架，同时追根溯源找到发布者，从重处罚。“民事上，要对消费者进行赔偿，消协要发挥积极作用；行政上，可对涉事机构处以吊销执照等处罚；刑事上，主要负责人应被诉以侵害公民个人信息犯罪等。”

　　行业企业标准强起来——

　　专家建议，行业要建立网络个人信息分类标准，企业要建立健全内部管理制度，推动数据防窃密、防篡改、防泄露等安全技术的研发和部署，对数据库、服务器、服务器网络、客户端网络、客户端等关键节点做好防护工作，有效降低“内鬼”和不法分子窃密风险。

　　事实上，面对“信息保护缺失”的风险隐患，一些大型互联网企业正在通过筑牢制度“防火墙”、打好技术“补丁”，加宽个人信息保护的“护城河”。

　　一位业内人士认为，互联网公司在数据隐私保护工作中应始终遵守“三C”原则：取得用户同意（Consent）、让用户充分、全面了解隐私政策（Clarity）、给予用户对其个人信息利用的控制权（Control）。比如在产品中增加隐私偏好设置选项，让用户可以动态开启或关闭个人信息的应用场景，也可轻松访问被采集的数据以便审核，同时给用户请求和申诉渠道，以便用户更新、修改或删除数据。再如，对收集的个人信息按照敏感程度进行分类分级，采取不同的管理策略和安全防护策略，确保用户信息安全。