当前关注:让个人信息“非必要不收集”更具可操作性


(资料图片)

李英锋

据9月12日《武汉晚报》报道,武汉市民邵先生想在麦德龙超市购物,由于非会员无法消费,所以注册了一个临时会员,其间他按工作人员要求输入了个人身份证号码,事后却疑惑超市如此要求是否不妥。对此,专家表示如仅针对个体消费,要求提供身份证信息没有必要。

在涉事超市注册会员需提供身份证号码,而在其他一些超市则不必提供,那么,消费者注册超市会员提供身份证号码有无必要?这么做是否违背了个人信息处理的“最小、必要”原则?

近年来,公众个人信息保护意识增强,对索要个人信息的行为越来越敏感,而保护个人信息的法律也日臻完善。民法典规定:自然人的个人信息受法律保护。个人信息是以电子或其他方式记录的能单独或与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件等。个人信息保护法则规定:处理个人信息应遵循合法、正当、必要和诚信原则,且应具有明确、合理的目的,与处理目的直接相关,采取对个人权益影响最小的方式;收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。

类似消费者被要求提供身份证号码的场景不少。尽管消费者知情,但“同意”却是被动无奈的。身份证号码是很重要的个人信息,与很多账号、证件等捆绑,攸关公民个人权益。事实上,商家通过索要消费者姓名、手机号,也可以开展实名制注册、实现发送优惠券等营销管理功能,如想通过索要身份证号码获取消费者的归属省份、出生日期、性别等信息,进而展开大数据分析画像、实现精准营销等,则属于拓展性营销需求。基于这种需求的信息收集显然缺乏必要性,已超出收集处理个人信息的最小范围,违背了处理个人信息应对个人权益影响最小的要求。

眼下,邵先生对信息保护的疑虑有一定共性,在法律已明确处理个人信息的“最小、必要”等原则的基础上,具体场景中该如何把握?这方面,或可借鉴有关部门对APP索取用户信息的监管,针对相关行业处理个人信息的特定环节,划出收集个人信息最小范围的边界和正负清单,既为商家提供行动指南,也为消费者维权、监管部门加强治理提供清晰依据,从而让“最小、必要”原则更具操作性。