掃碼停車、線上購物……你的個人信息泄露了嗎 這記重拳守護信息安全

　　“掃個碼，交個停車費，居然要填手機號、注冊會員?”“帶孩子進校門，為啥非得刷臉?”日常生活中，從出行停車到看病掛號，從線上購物到孩子入學，我們的個人信息在不知不覺中被大量收集、使用。

　　這些行為都合法合規嗎?企業的“邊界”在哪里?我們的權利又該如何保障?

　　近日，中央網信辦、工業和信息化部、公安部聯合發布公告，宣布在2026年開展個人信息保護系列專項行動，將對App、互聯網廣告、教育、交通、衛生健康、金融等重點領域違法違規收集使用個人信息行為進行集中整治。

　　這記重拳，無疑為個人信息保護領域劃下了更清晰的法治紅線。

　　昆明市網信辦、市場監管局、市公安局網安支隊聯合發布的2025年典型案例中，3家本地企業因侵犯公民個人信息被嚴厲查處，其中一起案件源頭竟是因為一款常見的“通訊錄”App管理失職。

　　這再次警示我們，個人信息泄露的風險或許就隱藏在身邊。

　　那么，此次國家層面的專項行動究竟劍指何方?公眾和企業又該如何理解和應對?

　　專項行動直擊痛點

　　此次專項行動絕非“眉毛胡子一把抓”，而是精準聚焦與人民群眾日常生活息息相關的七大領域，每個領域都列出了明確的“負面清單”。

　　交通出行領域。您是否曾在停車場被“強制”掃碼關注公眾號、注冊會員才能繳費?今后，這類行為將被重點治理。公告明確指出，公共停車場掃碼繳費等功能強制要求用戶注冊、登錄，強制收集手機號等個人信息，屬于違規。同時，線上出行購票平臺、快遞企業泄露用戶行程、地址、聯系方式等行為，也將被嚴查。

　　教育領域。校園安全管理很重要，但能否濫用技術?專項行動強調，學校、培訓機構等如果將人臉識別作為進出校園的唯一驗證方式，這就可能違規。同時，處理14歲以下未成年人信息，必須制定專門規則并取得家長同意，校外培訓機構與第三方共享學生信息也必須明確告知并獲得同意。

　　衛生健康領域。去醫院看病，隱私保護至關重要，專項行動關注醫療衛生機構超范圍收集位置信息、未經患者同意公開其包含個人信息的影像圖片(如檢查報告局部)、將人臉識別作為唯一身份驗證方式等問題。同時，醫院內部管理系統安全措施不足、對第三方運維人員管理不到位導致信息泄露，也是整治重點。

　　金融、互聯網廣告等領域。那些“不授權就無法使用”的App、打著“風控”名義過度收集通訊錄、短信記錄的金融平臺，以及無法關閉的“個性化推薦”廣告，都將面臨治理。專項行動要求，自動化推送廣告必須提供便捷的關閉選項，且關閉后應停止收集相關個人信息。

　　此次治理的核心邏輯是“知情同意”和“最小必要”，即收集信息必須明確告知用戶“收什么、用來干嘛、給誰用”，并取得用戶自愿、明確的同意;收集的信息范圍必須是提供產品服務所必需的最低限度，不能“過度索權”。

　　昆明3家企業“踩雷”

　　國家層面的部署是“綱”，地方的執法案例就是“目”。日前，昆明公布的典型案例，恰好為專項行動的必要性做了生動注腳，也清晰地展示了企業觸碰法律紅線的3種典型模式。

　　案例一：主動伸手竊取

　　昆明某信息技術有限公司通過線下推廣，以“掃碼送禮品”等方式獲取用戶手機號，并非法獲取用戶手機收到的驗證碼，用于為上游黑產注冊實名網絡賬號。這屬于典型的以“竊取”或其他非法方式獲取公民個人信息，鏈條中的公司負責人、業務員均被依法追究責任。

　　案例二：花錢購買使用

　　云南某信息咨詢有限公司負責人李某為拓展貸款業務，從他人處購買多達50余萬條公民個人信息，分發給業務員進行電話營銷。這種行為構成了“以購買方法非法獲取公民個人信息”，即便信息是買來的，用于“公司業務”，同樣構成犯罪，李某已被刑事拘留。

　　案例三：管理失職泄露

　　云南某科技有限公司開發的“通訊錄”App，因內部管理混亂、安全保護措施嚴重缺失，導致大量用戶個人信息泄露，并被犯罪團伙獲取、販賣。該公司雖然未主動售賣信息，但因未盡到法律規定的安全保護義務，導致信息泄露，同樣被依法予以行政處罰并責令整改。

　　法律視角剖析

　　這3起案例，幾乎涵蓋了侵犯公民個人信息犯罪的主要行為模式。我國刑法第二百五十三條之一明確規定，違反國家規定，向他人提供或者竊取、購買等方式非法獲取公民個人信息，情節嚴重的，即構成犯罪。這里的“情節嚴重”包括信息數量、違法所得、信息敏感度(如行蹤軌跡、通信內容等)。

　　3件案例表明，企業的法律責任不僅源于“作為”(主動竊取、購買)，也源于“不作為”(未履行安全保護義務)。根據網絡安全法、數據安全法和個人信息保護法，網絡運營者、數據處理者必須建立健全全流程數據安全管理制度，采取技術措施保障數據安全。疏于管理，就是為違法犯罪打開方便之門，必須承擔相應的法律后果。

　　合規指南和維權手冊

　　面對日益嚴格的監管和清晰的法律紅線，企業和我們普通公眾應該如何應對?

　　給經營者：筑牢防火墻，合規方能致遠。

　　1.立即自查，對標整改：企業，特別是涉及此次專項行動七大重點領域的企業，應立即對照公告指出的問題，對自身產品、服務、業務流程進行全面排查。查看用戶協議、隱私政策是否合規，信息收集是否遵循“最小必要”原則，第三方合作是否規范，安全措施是否到位。

　　2.制度為先，全員有責：必須建立從信息收集、存儲、使用、加工、傳輸、提供到刪除的全生命周期管理制度。明確負責人，將數據安全責任落實到具體崗位和人員。定期對員工進行法律法規培訓，強化合規意識，案例一中業務員被罰就是深刻教訓。

　　3.技術加持，嚴防泄露：投入必要資源，采取加密、去標識化、訪問權限控制、安全審計等技術措施，嚴防數據泄露。對于委托處理、向第三方提供個人信息的情形，必須進行嚴格的合規審查和監督。

　　4.尊重權利，暢通渠道：切實保障個人信息主體對其信息的知情權、決定權，以及查閱、復制、更正、刪除等權利。建立便捷的投訴舉報渠道，及時響應用戶訴求。

　　給廣大公眾：提高警惕，勇敢說“不”。

　　1.細讀條款，謹慎授權：下載使用App、掃碼繳費時，養成先閱讀隱私政策或用戶協議的習慣。對于要求獲取通訊錄、位置、相機、麥克風等權限，特別是與核心功能無關的權限，要敢于拒絕。對于“不授權就不讓用”的強制行為，可以保存證據并向網信、工信、市場監管等部門舉報。

　　2.定期清理，管理權限：定期檢查手機App的權限設置，關閉長期不用的App的敏感權限。對于不再使用的App，及時注銷賬號并清除數據。

　　3.勇于維權，保留證據：如果發現個人信息被泄露或濫用，或遭遇騷擾電話、詐騙短信，應及時截屏、保存相關證據，通過12377(中央網信辦舉報中心)、12321(網絡不良與垃圾信息舉報受理中心)等平臺投訴舉報，或向當地網信、公安部門報案。

　　從國家層面的專項行動部署，到昆明本地企業的典型案例查處，傳遞出一個清晰而強烈的信號：依法保護個人信息，已成為不可逾越的法律底線和社會共識。對于企業而言，漠視用戶數據安全與隱私保護，必將付出法律、聲譽乃至生存的沉重代價。對于個人而言，了解法律賦予的權利，提高自我保護意識，是在數字時代安然行走的“必修課”。

　　保護個人信息，就是守護我們每個人的安全感與尊嚴。這場由國家主導、社會協同、公眾參與的個人信息保衛戰已經打響，而法治，是最堅實的鎧甲。

　　記者 郭婷婷