辦麥德龍超市會員需身份證號 個人資訊“非必要不收集”亟待可操作性

　　據9月12日《武漢晚報》報道，武漢市民邵先生想在麥德龍超市購物，由於非會員無法消費，所以註冊了一個臨時會員，其間他按工作人員要求輸入了個人身份證號碼，事後卻疑惑超市如此要求是否不妥。對此，專家表示如僅針對個體消費，要求提供身份證資訊沒有必要。

　　在涉事超市註冊會員需提供身份證號碼，而在其他一些超市則不必提供，那麼，消費者註冊超市會員提供身份證號碼有無必要？這麼做是否違背了個人資訊處理的“最小、必要”原則？

　　近年來，公眾個人資訊保護意識增強，對索要個人資訊的行為越來越敏感，而保護個人資訊的法律也日臻完善。民法典規定：自然人的個人資訊受法律保護。個人資訊是以電子或其他方式記錄的能單獨或與其他資訊結合識別特定自然人的各種資訊，包括自然人的姓名、出生日期、身份證件等。個人資訊保護法則規定：處理個人資訊應遵循合法、正當、必要和誠信原則，且應具有明確、合理的目的，與處理目的直接相關，採取對個人權益影響最小的方式；收集個人資訊，應當限于實現處理目的的最小範圍，不得過度收集個人資訊。

　　類似消費者被要求提供身份證號碼的場景不少。儘管消費者知情，但“同意”卻是被動無奈的。身份證號碼是很重要的個人資訊，與很多賬號、證件等捆綁，攸關公民個人權益。事實上，商家通過索要消費者姓名、手機號，也可以開展實名制註冊、實現發送優惠券等行銷管理功能，如想通過索要身份證號碼獲取消費者的歸屬省份、出生日期、性別等資訊，進而展開大數據分析畫像、實現精準行銷等，則屬於拓展性行銷需求。基於這種需求的資訊收集顯然缺乏必要性，已超出收集處理個人資訊的最小範圍，違背了處理個人資訊應對個人權益影響最小的要求。

　　眼下，邵先生對資訊保護的疑慮有一定共性，在法律已明確處理個人資訊的“最小、必要”等原則的基礎上，具體場景中該如何把握？這方面，或可借鑒有關部門對APP索取用戶資訊的監管，針對相關行業處理個人資訊的特定環節，劃出收集個人資訊最小範圍的邊界和正負清單，既為商家提供行動指南，也為消費者維權、監管部門加強治理提供清晰依據，從而讓“最小、必要”原則更具操作性。