文化和旅游部近日起草《关于推动在线旅游市场高质量发展的意见（征求意见稿）》，征求意见稿提出，加强游客“行踪轨迹”等个人敏感信息保护，防止超出合理经营需要收集游客个人信息，采取切实措施避免大数据杀熟、虚假宣传、虚假预订等侵害游客权益行为。

个人敏感信息保护应该涉及两个方面，首先是收集，哪些信息可以被收集，哪些不能；其次是保护环节，信息收集之后不能被泄露，不能被用于其他目的或者过度使用。

工信部等4部门曾列举了什么是旅游服务类app可以收集的“必要个人信息”，包括注册用户移动电话号码；出行人旅游目的地、旅游时间；出行人姓名、证件类型和号码、联系方式。可见，在监管的态度上，是把平台对个人信息收集的范围仅仅限定在正常交易场景中，保持线上线下一个标准。

由于在线旅游平台横跨互联网信息服务和文旅两个领域，因此不同主管部门的规范各有侧重。从文旅部的征求意见稿来看，企业出于“合理经营需要收集的个人信息”和工信部要求的“必要个人信息”在范围上还是有所不同，至少“合理经营需要”留出了操作空间。而收集哪些信息是合理的，在个人和商家那里必然会有不同的理解。比如，平台提出收集个人信息是为了提供更好的服务和体验，算不算合理经营需要？再具体一些，收集用户的学历、性别、年龄、个人爱好，再以此推荐相似特征的旅行“团友”，算是一种合理经营需要的信息还是敏感的个人信息，不同的人或许有不同理解。

对于类似这样的现实问题，主管部门恐怕也很为难，因为可能确实有人愿意用这些个人信息换取一次更好的旅行体验。所以，文旅部要着手的也许是，强调平台在基于合理经营需要收集个人信息的基础上，必须为不同的用户提供选择权，不得将主推功能作为基础功能的前置流程，或者将基础功能的入口置于不容易发现的角落。

在敏感信息保护方面，在线旅行平台具有自身特殊性。从订火车票、机票，到酒店民宿，再到景区门票，旅游app为人们出游提供了全方位配套服务，但鉴于订车票、住酒店、进景区基本上都要求实名制，因此必要个人信息实际也是个人敏感信息。而就“行踪轨迹”来说，不仅仅是去了哪儿，还包括住了哪儿，玩了哪儿，只有全面理解了行踪轨迹所涉甚广，才能在个人敏感信息受到侵害时迅速反应。

现实中，个人敏感信息面临的挑战有泄露的风险与滥用的麻烦。人们讲究仪式感，于是app在年末整理了你一年坐了几次火车，去了哪些城市，在出行上花费多少金钱，等等。抛去仪式感，类似的个人信息经处理后，用户的消费能力、出行习惯一览无余，而这些经过授权的个人信息存储在哪儿，之后是否还会二次使用都将成为隐忧。最重要的是，根据个人信息保护法的规定，平台原本无权处理这些个人敏感信息，但在仪式感的加持下，经过个人授权，处理就有了依据。在这个层面上，敏感信息保护应该如何发力，还有待进一步实践。