一张票不再只是票

渡轮票看起来很简单:姓名、目的地、出发时间、舱位或甲板。但在数字时代,每张票也是一个小型数据集合。它显示我们去哪里、何时出行、以何种方式、使用哪辆车,可能还显示携带哪只宠物;在某些情况下,还与折扣、补贴或社会福利权利相连。

个人数据保护机关关于新渡轮票发行系统的第5/2026号意见,正是把这个问题摆上桌面。海上运输现代化是正当的,但数据收集必须具有明确目的、比例性、安全性和边界。

新系统是什么

草案涉及建立并运行一个综合信息系统,用于座位预订、乘客票发行、车辆运输凭证和其他海上运输凭证。系统预计包括乘客、婴儿、车辆、大型宠物和物品数据。

简单说,国家和相关机构希望为渡轮运输建立更有组织的数字环境。这可能有助于安全、座位管理、资料确认、统计处理,以及“岛屿成本补偿”等政策。问题不是数字化本身,问题是它走得多远。

为什么 ΑΠΔΠΧ 作出反应

该机关并未说系统的想法无用或违法。它承认存在公共利益上的合法目的。但它要求更清楚地界定处理目的、限制收集数据、对与预防和打击犯罪相关的用途进行专门论证,并重新审视五年保存期限。

在 GDPR 中,基本原则很简单:不能因为数据也许某天有用就收集。只能为具体、合法、清楚的目的收集必要数据。当目的众多且不同,例如航行安全、统计、补贴、资料核查、预防犯罪时,必须说明每一目的需要哪些数据。

旅行作为敏感生活模式

出行数据能够透露比表面更多的信息。频繁前往特定岛屿,可能显示工作地点、家庭关系、医疗需要、所有权或个人选择。特定日期旅行可能与政治、宗教或工会活动相关。车辆运输也会揭示更多关于乘客身份和习惯的信息。

这并不意味着所有这些信息自动属于特殊类别数据。但它意味着,集中并长期保存出行数据会形成画像。而一旦形成画像,保护就不能停留在笼统保证上。

少见但有用:甚至宠物也可能成为数据

几乎未被注意到的一项细节是,系统还涵盖涉及大型宠物的凭证。对多数人而言,这看似好笑或无关。但在数据保护中,即使这类信息也可能与其他资料结合,强化乘客画像。

问题并不是动物运输应被隐藏。船舶必须组织合法和安全的运输。问题在于,这一信息是否应被集中保存、保存多久、谁能访问,以及除运输本身外还用于哪些目的。

五年保存期限受到审视

保存期限是最关键因素之一。如果某项数据只为完成旅程所需,其必要性也许很快结束。如果出于税务或会计目的,较长保存可能有正当性。如果用于统计,也许可以采用匿名化或假名化。

ΑΠΔΠΧ 要求保存期限与每个目的相连接。这是正确的。不存在适用于一切的一种期限。五年对某些资料可能合法,对另一些资料则过度。正确系统必须作出区分。

出问题时由谁回答

最关键的问题不是票上是否写着姓名,而是谁决定收集什么、为什么收集、保存多久以及谁可以查看。在渡轮预订系统中,涉及国家、港务机关、公司、平台、技术提供商以及与其他数据库的可能连接。如果公民不知道应向谁联系,访问、更正或删除权就会变成理论权利。

从实践看,一名乘客经常前往某岛,因为要照顾年迈父母。票上显示日期、港口、航线、同行人,也许还有车辆或宠物。每项资料单独看似无害,但长期结合起来,可以绘制生活地图:何时不在家、探访哪个家庭、是否因健康、工作或个人需要旅行。

这里正是该意见和 GDPR 的核心:有安全理由并不足够。理由必须具体、必要且符合比例。保存资料用于出票和登船核查是一回事;在没有明确目的、清楚访问、充分论证需要和公民实际控制能力的情况下保存多年,则是另一回事。

严肃法律应规定什么

严肃的法律首先应削减不必要内容。只要求特定出行阶段所需的数据,并区分目的:出票、安全、统计、检查、紧急情况。不能因为行政便利,就把所有内容放进同一个盒子。

第二,应按数据类别确定清楚保存期限。五年对简单旅行痕迹可能过长,对另一目的也许不足或无关。正确解决方案不是一个数字适用于全部,而是说明:为什么这项资料、为这个目的、保存这么久。

第三,需要基于角色的访问和审计轨迹。出票员工、事件中的港务机关、技术提供商并不相同。每次访问都必须留下痕迹,否则安全很容易变成没有问责的普遍监控。

当读者把自己想象成站在港口、手持手机、提供明天也许已经忘记提供过的数据时,数据保护才变得可理解。技术让交通更快捷,法律必须确保它不会变得更不透明。

资料来源和核查点