我国保护个人敏感信息保护任重道远 函待实践-天天观焦点
(资料图)
文化和旅游部近日起草《关于推动在线旅游市场高质量发展的意见(征求意见稿)》,征求意见稿提出,加强游客“行踪轨迹”等个人敏感信息保护,防止超出合理经营需要收集游客个人信息,采取切实措施避免大数据杀熟、虚假宣传、虚假预订等侵害游客权益行为。
个人敏感信息保护应该涉及两个方面,首先是收集,哪些信息可以被收集,哪些不能;其次是保护环节,信息收集之后不能被泄露,不能被用于其他目的或者过度使用。
工信部等4部门曾列举了什么是旅游服务类app可以收集的“必要个人信息”,包括注册用户移动电话号码;出行人旅游目的地、旅游时间;出行人姓名、证件类型和号码、联系方式。可见,在监管的态度上,是把平台对个人信息收集的范围仅仅限定在正常交易场景中,保持线上线下一个标准。
由于在线旅游平台横跨互联网信息服务和文旅两个领域,因此不同主管部门的规范各有侧重。从文旅部的征求意见稿来看,企业出于“合理经营需要收集的个人信息”和工信部要求的“必要个人信息”在范围上还是有所不同,至少“合理经营需要”留出了操作空间。而收集哪些信息是合理的,在个人和商家那里必然会有不同的理解。比如,平台提出收集个人信息是为了提供更好的服务和体验,算不算合理经营需要?再具体一些,收集用户的学历、性别、年龄、个人爱好,再以此推荐相似特征的旅行“团友”,算是一种合理经营需要的信息还是敏感的个人信息,不同的人或许有不同理解。
对于类似这样的现实问题,主管部门恐怕也很为难,因为可能确实有人愿意用这些个人信息换取一次更好的旅行体验。所以,文旅部要着手的也许是,强调平台在基于合理经营需要收集个人信息的基础上,必须为不同的用户提供选择权,不得将主推功能作为基础功能的前置流程,或者将基础功能的入口置于不容易发现的角落。
在敏感信息保护方面,在线旅行平台具有自身特殊性。从订火车票、机票,到酒店民宿,再到景区门票,旅游app为人们出游提供了全方位配套服务,但鉴于订车票、住酒店、进景区基本上都要求实名制,因此必要个人信息实际也是个人敏感信息。而就“行踪轨迹”来说,不仅仅是去了哪儿,还包括住了哪儿,玩了哪儿,只有全面理解了行踪轨迹所涉甚广,才能在个人敏感信息受到侵害时迅速反应。
现实中,个人敏感信息面临的挑战有泄露的风险与滥用的麻烦。人们讲究仪式感,于是app在年末整理了你一年坐了几次火车,去了哪些城市,在出行上花费多少金钱,等等。抛去仪式感,类似的个人信息经处理后,用户的消费能力、出行习惯一览无余,而这些经过授权的个人信息存储在哪儿,之后是否还会二次使用都将成为隐忧。最重要的是,根据个人信息保护法的规定,平台原本无权处理这些个人敏感信息,但在仪式感的加持下,经过个人授权,处理就有了依据。在这个层面上,敏感信息保护应该如何发力,还有待进一步实践。(南方都市报)