在工信部在2023年通报的关于侵害用户权益行为的App（SDK）第4批通报中，其中提到了北京公交App（版本：6.1.2）存在违规收集个人信息的行为（具体的通报截图如下）。由此可见，公共服务领域内的个人信息保护问题也引起了监管部门的重视。下文以轨道交通为例，从收集合法性、必要性、正当性的角度来分析个人信息收集的合规性，并对公共服务领域的个人信息保护提出合规建议。

1、收集合法性

《个人信息保护法》规定了处理个人信息需要具备合法处理基础，并明确了合法处理原则。《信息安全技术 个人信息安全规范》进一步将合法性界定为以合法的形式来收集个人信息，不以欺诈、诱骗、误导的方式或从非法渠道收集、不隐瞒产品或服务所具有的收集个人信息的功能。而无论基于何种合法基础来收集个人信息都需要向个人用户履行明确的告知义务，保障其知情权。《个人信息保护法》也细化要求个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人履行告知义务，处理规则应当公开，并且便于查阅和保存。以下以轨道交通的线上和线下两个场景为例做具体的分析：

线上场景下，运营主体需通过《隐私政策》、《服务协议》等在线文档履行明确的告知义务，线下场景下，则需要在现场显著位置（如问讯处、柜台等），向个人用户展示相关的个人信息处理规则。在一些线下购交通卡的场景，工作人员没有告知相关个人信息处理规则，亦无提供相关查询途径，而是直接要求提供身份证号码和姓名，否则无法购卡，由于未履行个人信息处理的告知义务，用户难以得知个人信息的处理目的、方式等重要，其知情权未得到保障。

针对线上场景，App会先通过《隐私政策》等文档履行明确的告知义务，在用户勾选同意之后才会处理相关个人信息，但是很多App针对敏感个人信息的告知完善度还有待加强。例如，某交通类App的《隐私政策》只告知是为了实现身份认证目的而收集身份证号码，但依据《信息安全技术 个人信息安全规范》的规定，个人身份证信息属于敏感个人信息，而收集这类信息还需按照《个人信息保护法》的要求告知处理敏感个人信息的必要性以及对个人权益的影响，但是该等内容却没有在《隐私政策》中体现（具体截图如下）。此外，《信息安全技术 个人信息处理中告知和同意的实施指南》还指出，要求个人主动提供敏感个人信息，宜进行增强告知，但是在某交通类App填写身份证号码的页面也难以找到相关增强告知内容。

此外，虽然某交通类App的《隐私政策》告知了个人信息处理规则，但是如果用户选择某交通类App的NFC模式，就需要再勾选同意《用户服务协议》，其规定公司权通过第三方认证评估用户身份真实性、行为可信性，并据此决定是否继续提供服务（具体截图如下）。但是未告知第三方认证的具体名称，以及认证方式是否涉及个人信息共享行为等，存在告知模糊的情形，用户无法明确获知处理规则，则无法出于自主意愿做出选择。

2、收集必要性

《个人信息保护法》提出了收集个人信息的必要原则。《信息安全技术 个人信息安全规范》将收集必要性界定为收集的个人信息需要与业务功能有直接关联；自动采集的频率应是实现业务功能所必需的最低频率；间接获取个人信息的数量应是实现业务功能所必需的最少数量。《常见类型移动互联网应用程序必要个人信息范围规定》第5条规定的交通票务类App，基本功能服务为“交通相关的票务服务及行程管理（如票务购买、改签、退票、行程管理等）”，必要个人信息包括：注册用户移动电话号码；旅客姓名、证件类型和号码、旅客类型；旅客出发地、目的地、出发时间、车次/船次/航班号、席别/舱位等级、座位号（如有）、车牌号及车牌颜色（ETC服务)；支付时间、支付金额、支付渠道等支付信息。

针对实名认证，如果用户想使用App进行乘车，往往需要先输入手机号和验证码来进行App注册。当点击“公交码”或“地铁码”时，需先设置支付方式，通过提供姓名和身份证号的实名认证方式来绑定一种免密支付方式。输入身份证号和姓名是在绑定支付方式时所必要的实名认证环节，因为目前App都是先乘车再付费，所以需要通过身份认证来确保账户和资金安全，收集具有必要性。某交通类App也专门就实名认证情况进行了说明，具体截图如下：

但是在线下场景中，用户如需购卡，即使用纸币购买也需要提供姓名和身份证号进行实名认证，且工作人员表示卡片不记名、不挂失，如此则线下场景的实名认证必要性存疑。以北京地铁为例，从2022年5月起实行实名制购票乘车以便于实现查验核酸证明实现疫情管控的目的，但是目前新型冠状病毒已实行“乙类乙管”管控模式。经拨打服务热线96066咨询，工作人员回复，与疫情管控无关，实名制是为了提升轨道交通的安全防护能力，但是没有给出具体法律依据或更具体的解释，很难理解收集身份证号与实现保障安全防护的目的有何必要的关联。尽管《交通运输部关于促进交通一卡通健康发展加快实现互联互通的指导意见》中指出，国家为了逐步实现跨区（市）域、跨交通方式互联互通，鼓励采用实名制。但无论是相关App公开的个人信息处理规则，还是工作人员电话告知的处理目的均不涉及互联互通的目的，且互联互通仅为鼓励，可能无法构成必要性的判断条件。

3、收集正当性

《个人信息保护法》要求处理个人信息应满足正当原则，这需要个人信息处理的目的明确且合理。《信息安全技术 个人信息安全规范》进一步规定了目的明确原则，即具有明确、清晰、具体的个人信息处理目的。

处理目的应该是明确、清晰的，《信息安全技术 个人信息安全规范》也明确指出，不得仅以改善服务质量、提升用户体验为目的强制收集个人信息，但是如果用户选择某交通类App的NFC模式来使用交通服务，就需要先勾选同意《用户服务协议》，其就规定为了更好地提供服务或推广其他产品或服务，公司有权保留并使用用户在使用本服务过程中产生的相关数据信息，包括但不限于向其他第三方提供该信息（具体截图如下）。

处理目的应该是具体、准确的，某交通类App《隐私政策》指出，为了提供市民公共交通乘车防疫安全需要收集身份证信息，以便在疫情防控需要时予以配合（具体截图如下）。这个目的确实属于维护社会公共利益的目的，但是依据目前的疫情防控管理政策，对新型冠状病毒感染实施“乙类乙管”，不再判定密切接触者，不再划定高低风险区，因此该目的已经不适用当下的个人信息收集行为，且严格意义上来说，此前的处理目的已经达成，没有理由继续保存已处理的个人信息。

4、几点合规建议

公共服务领域往往与公共利益密切相关，而在利益考量的价值位阶中，公共利益往往会处于相对优先的位置。例如，《个人信息保护法》特别指出，为应对突发公共卫生事件而处理个人信息是无需获取同意的合法处理基础，但即便如此处理个人信息时也需要满足合法、正当、必要的原则。下面将针对轨道交通领域常出现的三类个人信息处理场景提出合规建议。

1.实名认证

轨道交通等公共服务领域往往会涉及公共利益和国家安全的问题，所以很多场景需要进行实名认证。例如，交通运输部发布《铁路旅客车票实名制管理办法（2022）》明确要求车票实名购买，需要实名管理。实名认证往往需要用户提供身份证号等敏感个人信息，鉴于此类信息的敏感性，其必要性则是其中关键，所以《个人信息保护法》也特别要求收集敏感个人信息时，应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

“App个人信息举报”公众号中曾发文指出，目前App的实名认证场景中，存在App阐述实名认证所依据的要求不明确的问题，仅以“依据法律法规及监管要求”、“相关规定”等模糊说法概括，建议在基于实名认证目的收集个人信息时，应将其所依据的国家法律法规的条款及要求进行明确说明或援引，不要泛化使用实名制要求。其次，目前常用的实名认证方式有二要素（姓名与身份证号）、三要素（姓名、身份证号码、手机号码）、四要素（姓名、身份证号、银行卡号、银行预留手机号），也需要基于具体的业务场景谨慎选择适用的实名认证方式，将敏感个人信息的收集控制在最小必要范围内。最后，要严格遵循目的限制原则，将基于实名认证目的收集的个人信息严格控制在这个目的范围内，如果要将相关个人信息用于其他目的，则需要再次征得用户的同意。

2.疫情防控

国务院应对新型冠状病毒感染疫情联防联控机制综合组在2022年12月26日发布了《关于对新型冠状病毒感染实施“乙类乙管”的总体方案》，其要求从2023年1月8日起，对新型冠状病毒感染实施“乙类乙管”，不再判定密切接触者，不再划定高低风险区，但也提出会强化疫情监测与应对，动态追踪国内外病毒变异情况，监测社区人群感染水平，依法动态采取适当的限制聚集性活动和人员流动等措施压制疫情高峰。目前仍有一些交通类App会在《隐私政策》中指出，为了提高轨道交通防疫安全的目的而收集身份证号信息，但是基于“乙类乙管”的防控政策，目前的隐私政策并未解释为实现疫情防控目的而收集身份证号的必要性，建议《隐私政策》进一步按照《个人信息保护法》的要求解释收集必要性。

如果是为了防止未来出现疫情大爆发这种难以控制的局面而需要提前采取措施进行防控，则也需要进一步细化在不同的公共服务场景下收集个人信息的类型、处理方式、存储时间、安全保护措施等。依据目前公开的《新型冠状病毒感染“乙类乙管”疫情监测方案》，主要是进行病例报告监测、核酸和抗原检测监测、哨点医院监测、重点机构监测、学生症状监测、病毒变异监测、新冠病毒污水监测，这也就是说目前医院、中学、小学、养老机构、社会福利机构等公共服务领域内的重点机构是有加强监测的必要性，可以基于此向用户明确告知收集相关信息用于落实疫情监测方案，但目前公开的政策文件中未提及的公共服务机构是否有必要为了疫情监测目的而收集个人信息、以及收集哪些类型的个人信息建议进一步评估考量。

3.先用后付

轨道交通领域开创了先用后付的刷码乘车服务模式，目前地铁和公交如果使用App刷码乘坐都是先用后付的，这种方式可以在很大程度上改善机器故障、网络信号迟缓等问题，但是这种方式也需要一些必要的基础支持，其中就包括采取措施减轻第三方公司的垫资损失，所以App服务提供者是需要和信用服务提供商进行信用评估合作，对于先用后付功能来说具备必要性，此观点已在（2021）浙0192民初8058号案件中被法官确认，其认为开通信用服务对于具有先用后付功能的电子公交卡场景下个人信息处理是必要的，这种方式（对用户事先信誉评估）属于以最小的代价来弥补先享后付功能的风险短板。

但是如果涉及到App收集个人信息且与第三方公司共享个人信息用于信用评估的场景，需要按照《个人信息保护法》的要求履行明确的告知义务，告知用户收集个人信息的类型、目的、处理方式、接受方的名称及其联系方式等相关信息，且需要获取用户的单独同意。因为涉及到信用评估，是对用户权益可能产生重大影响的行为，需要进行个人信息保护影响评估，同时如果是通过自动化决策方式作出的，要确保用户有权要求个人信息处理者予以说明，并有权拒绝仅通过自动化决策的方式作出决定。

（本文作者：北京腾云天下科技有限公司 葛梦莹 南钰彤）

声明：本文来自CCIA数据安全工作委员会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。