保险中介机构个人信息收集问题 - 部分保险中介机构在用户协议中隐藏条款，允许向第三方推送营销信息并共享用户数据，如"投保排排网"和"保通保险代理"明确提及与合作伙伴共享用户联系方式及画像信息 [5] - "童管家"将营销短信与投保通知绑定，用户无法单独拒收营销信息，且协议中将营销内容列为"重要信息"强制接收 [6][7] - 机构通过复杂冗长的用户协议设计，使投保人在未充分知情的情况下被迫同意条款，限制自主选择权 [8] 违规收集个人数据行为 - "投保排排网"以合规为名过度收集用户上网记录（搜索、浏览、点击等），超出银保监会规定的"操作轨迹"记录范围，涉嫌违反"最小必要"原则 [9][10] - 律师指出机构混淆法律要求与商业目的的信息收集，误导消费者认为非必要数据收集是监管强制要求 [10] 监管动态与法律分析 - 国家金融监管总局2024年通报指出保险机构存在强制同意、扩大授权等问题，例如强制消费者同意将信息用于无关业务 [11] - 《银行保险机构数据安全管理办法》明确要求个人信息收集限于业务最小范围，禁止过度收集 [11] - 《个人信息保护法》规定处理信息需与目的直接相关，且保险行业需额外遵守区分"必要/可选信息"、明确第三方义务等 stricter 要求 [12]

核心观点 - 文章揭露AdventureX组织存在非法售卖选手个人信息、性骚扰、财务不透明等严重问题 [10][12][47] - 该组织以"公益"名义运营但实际存在商业化操作，涉嫌违反《个人信息保护法》多项条款 [30][35][43] - 创始人R同学被指控存在系统性不尊重女性行为，且组织管理呈现独裁倾向 [11][22][50] 个人信息违规行为 - 将包含选手简历、联系方式、教育背景的"梦想家数据库"以数万元价格出售给赞助商 [30] - 报名表中用模糊授权条款获取"单独同意"，法律上无效 [37] - 与境外组织共享数据涉嫌非法跨境传输个人信息 [39][41] - 收集信息目的与使用严重不符，违反"目的明确合理"原则 [44] 组织管理问题 - 活动超支十多万元未公开明细，仅用"均摊"解释 [47] - 创始人R同学被指存在性骚扰倾向，公开谈论女性成员私生活 [14][15] - 管理模式独裁，对异议者威胁取消资格 [50] - 以"公益"名义运营但未注册非营利主体，商业性质存疑 [53] 法律风险 - 违反《个保法》第十条非法买卖个人信息条款 [31] - 未按第二十八条获取敏感信息处理的单独同意 [36] - 跨境数据传输未通过网信部门安全评估 [41] - 赞助商数据使用协议合法性存疑 [53] 行业影响 - 事件反映部分青年创业项目存在法律意识薄弱问题 [10][27] - 技术社区商业化过程中易出现隐私权与商业化的冲突 [10][43] - 组织者利用理想主义情怀掩盖违规操作的现象值得警惕 [53]

学生信息泄露现状 - 学生及家长信息泄露在全国范围内具有普遍性，涉及的环节复杂多样，严重影响正常生活并破坏教育行业生态[1] - 网络社交平台存在公开贩卖家长信息的现象，卖家通过留言即可联系买家并提供家长电话等资源[2] - 部分家长仅在官方中考系统填报信息，仍遭遇精准匹配的骚扰电话，最高一天接到20个[2] 法律与责任分析 - 教培机构未经同意获取并拨打家长电话属于违法行为，违反《民法典》第1032、1033条关于隐私权保护的规定[2] - 《个人信息保护法》要求处理个人信息需遵循合法、正当、必要原则，过度收集或恶意骚扰可适用《治安管理处罚法》[3] - 非法获取、出售或提供公民个人信息情节严重者构成侵犯公民个人信息罪，面临刑事处罚[3] 监管与排查进展 - 有关部门要求广州各学校排查新生注册环节的信息采集链接，确保符合个人信息保护法规要求[4] - 平台通过大模型和人工审核加强违规内容识别，降低黑灰产内容发布率，并识别站外导流行为进行治理[4][5] - 平台将聚类违规线索提供给有关部门，形成案件打击以斩断黑灰产源头[5] 行业治理建议 - 建议教育部门联合通信部门开通教育类骚扰信息快速举报通道，溯源泄密节点并严惩违规机构[6] - 教育类APP应接受专项检查，泄露个人信息的APP需下架，网信部门推行"网络安全指数"评价纳入信用评级[6] - 建立教培行业黑名单及信用惩戒机制，通过跨部门信息共享形成持续约束，公示失信机构以倒逼行为规范[8][9] 家长应对措施 - 家长接到骚扰电话需记录机构名称和宣传内容以便举报，注册学习类APP时避免提供非必要敏感信息[7] - 中考季家长应关注权限设置，减少成绩、报考意向等敏感信息的泄露风险[7]

个人信息治理专项行动 - 北京多部门联合开展违法违规收集使用个人信息治理工作[1] - 治理聚焦公共场所人脸识别信息收集和线下消费场景个人信息收集[1] - 交通运输行业涉及汽车站、停车场等场所[1] - 住宿旅游行业覆盖酒店、景区、住宅区、售楼处等场景[1] - 教育培训行业包括学校、线下教育机构、图书馆等[1] - 文化体育行业涉及公共体育场馆、博物馆、美术馆等[1] - 物流商贸行业包含商场、超市、快递柜等[1] - 休闲娱乐行业覆盖演出场所、公园、电影院等[1] - 自动售卖、出行乘车涉及公交、地铁、网约车、共享车等[1] - 商超支付、住宅区物业管理、快递寄送等场景也被纳入治理范围[1]

个人信息保护专项行动通报 - 33款移动应用存在违法违规收集使用个人信息情况 [1] - 检测时间为2025年6月23日至2025年7月9日 [14] 违规行为分类 - 未公开收集使用规则：涉及《比陌》（1.1.2，百度手机助手） [1] - 未逐一列出收集使用目的方式范围：涉及14款应用包括《映客直播》《悦享家生活》《小盒学习》等 [2] - 申请权限时未同步告知目的：涉及《即陌》（1.0.12.2，豌豆荚） [2] - 收集敏感信息未告知目的：涉及《Nico》（8.32.2，VIVO应用商店） [3] - 未经同意收集信息：涉及3款应用包括《零售云》《一起作业》《即陌》 [4] - 超出授权范围收集信息：涉及14款应用包括《宝宝树孕育》《花生日记》《情多多》等 [5] - 声明权限超出必要范围：涉及3款应用包括《宝宝树孕育》《陌生》《万能遥控》 [6] - 实际收集超出功能必要范围：涉及3款应用包括《花生日记》《附近陌生人欢聊》《萤石云视频》 [7] - 收集频率超出必要范围：涉及14款应用包括《得间免费小说》《糖豆》《映客直播》等 [8][9] - 提前要求非必要权限：涉及5款应用包括《万能遥控》《Nico》《陌趣》等 [10] - 强制要求非必要权限：涉及2款应用《爱文漂流瓶》《扫描全能王》 [11] - 强制要求非必要信息：涉及2款应用《Nico》《爱文漂流瓶》 [12] - 广告存在误导欺骗行为：涉及3款应用《随手电筒》《小伴龙》《Nico》 [13] 历史问题处理 - 上期通报的45款应用中仍有8款存在问题并已下架 [13]

行业监管动态 - 全国网络安全标准化技术委员会发布《网络安全标准实践指南——摇一摇广告触发行为安全要求》，明确要求App和SDK运营者设置广告关闭渠道及合理触发阈值 [1][5] - 四部门联合开展2025年个人信息保护专项行动，重点整治App开屏场景频繁"意外"跳转广告问题 [1][10] - 工信部此前将"欺骗误导强迫点击跳转"纳入《电信和互联网服务用户权益测评规范》征求意见稿，拟明确摇一摇广告灵敏度参数标准 [6][8] 技术规范要求 - 摇一摇广告触发需调用加速度/重力/陀螺仪传感器，阈值设定需避免误触（如加速度≥15m/s²、转动角度≥35°、操作时长≥3s） [5][6] - 要求第三方广告SDK提供显著关闭标志及摇动操作引导，并向App运营者开放功能开关参数配置 [6][7] - App运营者需在设置页面提供一键关闭摇一摇广告功能，用户关闭后不得再展示此类广告 [7][13] 企业合规进展 - 腾讯视频、滴滴、网易云音乐、百度网盘、哔哩哔哩、虎扑等App已上线"展示摇一摇类开屏广告"开关功能 [1][10][13] - 部分厂商曾通过调高传感器灵敏度提升广告点击率，导致用户日常动作（行走/乘车）误触发跳转 [8][13] - 监管通报显示，开屏弹窗"乱跳转"问题多次被列入侵害用户权益App名单 [8] 用户影响与案例 - 摇一摇广告覆盖移动应用、电商营销等领域，但因阈值过低导致非自愿跳转引发大量投诉 [2][8] - 大学生因摇一摇广告问题起诉平台并胜诉，推动行业整改 [8] - 实测发现仍有部分App未提供摇一摇广告关闭选项 [13]

景区强制"刷脸"现象 - 北京欢乐谷等景区强制年卡用户必须通过"刷脸"方式入园 拒绝提供身份证、指纹等其他验证方式 [1][2][3] - 景区给出的理由是防止会员卡被盗刷 确保入园者与购卡者系同一人 [1] - 北京环球度假区提供"刷脸"和刷身份证两种入园方式 用户可自主选择 [9][14] 人脸信息处理合规问题 - 线下办理年卡时园区未充分履行告知义务 未说明人脸信息处理者、保存使用情况等 [3][15] - 仅在隐私政策中"一揽子"告知的做法涉嫌违法 未取得用户单独同意 [15][16] - 园区将游客人脸信息与关联公司共享 但未告知接收方详细信息 也未取得单独同意 [16] 技术应用现状 - 人脸识别技术已成为景区主流身份验证方式 尤其针对VIP会员 [1][22] - 景区普遍采用集二维码、身份证、人脸识别等功能于一体的智能三辊闸设备 [22][23] - 带人脸库的人脸识别机售价12800元/台 使用支付宝人脸库作比对 每年需支付1000元授权费 [23] 监管与法律风险 - 《人脸识别技术应用安全管理办法》规定不得以胁迫方式采集人脸信息 必须提供非生物特征验证选项 [1][25] - 景区强制"刷脸"涉嫌违反《个人信息保护法》和《人脸识别技术应用安全管理办法》 [25][26] - 多地已开展公共场所违法违规收集使用人脸识别信息专项治理 [31] 行业影响 - 欢乐谷集团旗下13个城市25个主题公园年接待游客约4000万人次 [22] - "一脸游"成为景区智能化管理的标志性服务 被作为重要卖点宣传 [22] - 人脸识别技术可缩短检票时间 避免伪造门票和黄牛倒卖等问题 [22]

案件概述 - 南京市玄武区人民法院审理一起利用AI换脸技术实施的诈骗案 被告人符某非法获取195万条公民个人信息并通过AI换脸软件侵入23名被害人金融账户 [1][2] - 符某成功突破某金融支付平台人脸识别系统 修改5人支付密码和绑定手机号 冒用1人银行卡购买两部手机共计消费15996元 [2] - 符某因侵犯公民个人信息罪和信用卡诈骗罪被判有期徒刑4年6个月 需承担15996元公益损害赔偿金并公开赔礼道歉 [6] 技术漏洞分析 - 某金融支付平台因风控系统存在漏洞被符某通过AI换脸技术攻破 仅通过单一刷脸认证即可修改密码和绑定信息 [4][6] - 其他金融支付平台因风控严格未能被攻破 案发后涉事平台已完成整改 [4][6] - AI换脸技术可生成动态视频模拟用户摇头、张嘴等动作 突破传统人脸识别系统的指令验证 [4] 行业技术发展 - AI换脸技术升级对人脸识别安全性构成挑战 网络安全领域认为漏洞难以完全避免 [7] - 顶尖AI安全技术检测率超过95% 可通过分析眼球运动方向等特征识别伪造人脸 [10] - 部分智能手机已集成实时伪造人脸检测功能 应用于视频通话等场景 [10] 行业建议 - 使用人脸识别的单位需采用多层身份认证机制 避免单一生物特征验证被攻破 [6][11] - 需持续提升防伪鉴别技术 通过AI治理AI的方式应对新型攻击手段 [8][10] - 应加强个人信息保护措施 防止公民信息泄露被用于技术犯罪 [11]

个人信息保护负责人信息报送新规 - 国家网信办要求处理100万人以上个人信息的个人信息处理者必须向市级网信部门报送个人信息保护负责人信息 [1] - 新规自2023年7月18日起实施 处理量达到100万人的企业需在30个工作日内完成报送 [1] - 在2023年7月18日前已处理100万人以上个人信息的企业需在2025年8月29日前完成报送 [1] 报送流程与变更要求 - 信息报送采用线上方式 通过"个人信息保护业务系统"或中国网信网"全国网信政务办事大厅"栏目进行 [2] - 报送信息发生实质性变更时 需在变更之日起30个工作日内办理变更手续 [2] 监管合规要求 - 未按规定履行信息报送手续的企业将依照相关法律法规处理 [2]

人脸识别技术在快递行业的应用现状 - 丰巢和EMS在首次线上寄件实名认证中强制要求用户进行人脸识别 [2][3][4] - 广州部分快递驿站网点自助取件出库默认要求用户"拍脸存档" [2] - 快递企业声称"刷脸"实名认证是为了落实实名收寄规定 [3][4] 法律法规与行业标准 - 《快递暂行条例》《邮件快件实名收寄管理办法》等文件仅要求寄件人出示有效身份证件，未要求人脸识别 [5] - 2023年《寄递服务用户个人信息安全管理规定》强调收集用户个人信息应限于最小必要范围，未提及人脸信息 [5] - 《快递服务》国家标准（GB/T 27917—2023）明确必要个人信息不包括人脸信息 [5][6] - 国家网信办等四部门发布的《常见类型移动互联网应用程序必要个人信息范围规定》也未将人脸信息列为必要 [6] 行业实践与专家观点 - 驿站负责人称"拍脸存档"用于解决快递冒领、错领等纠纷 [7] - 律师指出"拍脸存档"并非解决取件纠纷的唯一方式，在有视频监控和扫码验证的情况下可能属过当 [7] - 专家强调人脸识别应以用户自愿为前提，快递企业无必要将其作为唯一身份认证方式 [12][13] - 建议仅在"高安全风险场景"（如贵重物品配送）中使用人脸识别，普通场景优先采用非生物识别技术 [14] 公众反馈与行业问题 - 部分市民认为人脸识别提高了效率，但更多人质疑其必要性并担忧信息泄露风险 [10] - 公众反映快递行业"刷脸"标准混乱，呼吁建立统一规范 [11] - 专家建议快递行业制定技术标准，明确人脸识别适用场景，并加强用户教育 [14] 技术应用的合规性 - 律师指出驿站若未明确告知或取得用户单独同意采集人脸信息，则违反《个人信息保护法》 [8][9] - 专家建议快递企业履行告知义务，开展个人信息保护影响评估，确保技术应用合法透明 [13][14]