根據《網(wǎng)絡(luò )平臺道路貨物運輸經(jīng)營(yíng)管理暫行辦法》的定義：“網(wǎng)絡(luò )貨運經(jīng)營(yíng)，是指經(jīng)營(yíng)者依托互聯(lián)網(wǎng)平臺整合配置運輸資源，以承運人身份與托運人簽訂運輸合同，委托實(shí)際承運人完成道路貨物運輸，承擔承運人責任的道路貨物運輸經(jīng)營(yíng)活動(dòng)。
網(wǎng)絡(luò )貨運經(jīng)營(yíng)不包括僅為托運人和實(shí)際承運人提供信息中介和交易撮合等服務(wù)的行為?！惫?，業(yè)內通常意義上所稱(chēng)的“網(wǎng)絡(luò )貨運平臺”(全稱(chēng)為網(wǎng)絡(luò )平臺道路貨物運輸經(jīng)營(yíng)者)，即網(wǎng)絡(luò )貨運經(jīng)營(yíng)者，是指以網(wǎng)絡(luò )平臺為工具，在線(xiàn)為托運人和實(shí)際承運人整合配置貨源和運力資源，并對上述信息進(jìn)行管理的承運人。
交通運輸部辦公廳發(fā)布的《網(wǎng)絡(luò )平臺道路貨物運輸經(jīng)營(yíng)服務(wù)指南》中，對網(wǎng)絡(luò )貨運經(jīng)營(yíng)者的線(xiàn)上服務(wù)能力提出了：“信息發(fā)布，線(xiàn)上交易、全程監控，金融支付、咨詢(xún)投訴、在線(xiàn)評價(jià)、查詢(xún)統計、數據調取八大功能要求?！币虼?，網(wǎng)絡(luò )貨運平臺內不僅沉淀了大量的數據，如運單、資金流水單、車(chē)輛和駕駛員基本信息、駕駛員位置信息等，還需對運輸、交易全過(guò)程進(jìn)行實(shí)時(shí)監控，并按照監管要求將數據共享給交通運輸、稅務(wù)等相關(guān)部門(mén)。
對于收集和存儲的如此之多的數據，網(wǎng)絡(luò )貨運經(jīng)營(yíng)者承擔了哪些數據安全義務(wù)?將于2021年9月1日起施行的《數據安全法》，從國家法律的層面要求數據處理者應建立健全全流程數據安全管理制度，對網(wǎng)絡(luò )貨運經(jīng)營(yíng)者的數據合規明確了新的規則?！稊祿踩ā纷鳛橐徊啃袨榧s束法，著(zhù)眼于“數據處理活動(dòng)與安全監管”，在解釋和適用規則時(shí)不必拘泥于適用主體范圍的劃定，而專(zhuān)注于數據處理活動(dòng)本身的安全、可靠性。
01
網(wǎng)絡(luò )貨運企業(yè)的安全保護義務(wù) 《數據安全法》要求開(kāi)展數據處理活動(dòng)，應當在網(wǎng)絡(luò )安全等級保護制度的基礎上。這已由《網(wǎng)絡(luò )安全法》、《信息安全技術(shù)—網(wǎng)絡(luò )安全等級保護基本要求》從系統層面要求數據的安全可靠。具體到網(wǎng)絡(luò )貨運平臺，一般被要求取得三級以上信息系統安全等級保護備案證明。
從數據層面來(lái)看，不同的相關(guān)主體需履行不同的義務(wù)，在《數據安全法》中，針對國家機關(guān)、重要數據處理者、市場(chǎng)參與者、相關(guān)行業(yè)組織等各個(gè)主體，都提出了相應的具體要求。
關(guān)于網(wǎng)絡(luò )貨運經(jīng)營(yíng)者，其可能涉及到的數據安全保護義務(wù)包括重要數據合規、個(gè)人信息保護、風(fēng)險監測、報送安全風(fēng)險評估報告等多個(gè)方面。其中，最重要的應是建立全流程的數據風(fēng)險管理制度，該全流程涵蓋了數據收集、存儲、使用、加工、傳輸、提供、公開(kāi)等流程的管理制度
因此，網(wǎng)絡(luò )貨運經(jīng)營(yíng)者要滿(mǎn)足本行業(yè)的監管要求，建立上全流程數據管理制度，首要任務(wù)應是建立數據分類(lèi)分級管理制度。
02
數據分類(lèi)分級
參考《數據安全法》、《yd/t3813-2020 基礎電信企業(yè)數據分類(lèi)分級方法》、《汽車(chē)數據安全管理若干規定(征求意見(jiàn)稿)》等規定，可將網(wǎng)絡(luò )貨運經(jīng)營(yíng)者處理的數據分為以下幾類(lèi)：
1.數據分類(lèi)
個(gè)人信息
根據《民法典》第 1034 條對個(gè)人信息的定義4，即可直接或間接識別出特定自然人的信息。由于網(wǎng)絡(luò )貨運經(jīng)營(yíng)者的法律責任主體是承運人身份，其需要履行核驗托運人和實(shí)際承運人的身份信息的義務(wù)，處理數據的過(guò)程中必然涉及到大量的用戶(hù)數據。
以駕駛員信息為例，其上傳至平臺的姓名、身份證號、聯(lián)系方式、從業(yè)人員資格證號、機動(dòng)車(chē)駕駛證號等數據，可聯(lián)系到該名自然人的身份，屬于個(gè)人信息。
企業(yè)自身數據
網(wǎng)絡(luò )貨運平臺涉及的企業(yè)基本信息數據、系統數據、業(yè)務(wù)數據、日志數據、埋點(diǎn)數據等各類(lèi)數據。
統計分析數據
基于網(wǎng)絡(luò )貨運平臺數據庫，通過(guò)數據挖掘等技術(shù)分析、研究有價(jià)值的信息，例如對裝卸貨、結算的有效管控，物流信息全流程跟蹤能力分析，平臺線(xiàn)上服務(wù)能力。這類(lèi)數據是網(wǎng)絡(luò )貨運平臺的重要資產(chǎn)，是數據的最大價(jià)值所在。
2.數據分級
《數據安全法》提出了國家核心數據和重要數據的概念，并要求各地區、各部門(mén)制定重要數據目錄。網(wǎng)絡(luò )貨運企業(yè)應持續關(guān)注交通、公安等部門(mén)的重要數據目錄的制定動(dòng)態(tài)，識別運單信息、貨運保險、資金流水等相關(guān)處理的數據，是否會(huì )落入重要數據的范疇。
關(guān)于個(gè)人信息部分，根據《信息安全技術(shù)-個(gè)人信息安全規范》(gb/t35273-2020)，駕駛員身份證、車(chē)輛行駛證等留存證件、駕駛員位置信息等，不僅是公民個(gè)人信息，更是個(gè)人敏感信息。
對于個(gè)人敏感信息，除了“正當、合法、必要”的原則性要求外，應依據《個(gè)人信息保護法(草案)》等規定，進(jìn)行更加嚴格的保護。如網(wǎng)絡(luò )貨運經(jīng)營(yíng)者須實(shí)時(shí)采集的承運車(chē)輛運輸軌跡，而該運輸軌跡又同時(shí)屬于駕駛員的行蹤軌跡。
《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》、《檢察機關(guān)辦理侵犯公民個(gè)人信息案件指引》都將“非法獲取、出售或者提供行蹤軌跡信息，被他人用于犯罪”規定為“情節嚴重”，可見(jiàn)其敏感性。
所以，網(wǎng)絡(luò )貨運經(jīng)營(yíng)者應注意收集的地理位置數據的訪(fǎng)問(wèn)時(shí)間、頻率，判斷是否超出必要限度。訪(fǎng)問(wèn)實(shí)時(shí)行駛軌跡數據應在運單起運和貨物確認送達的過(guò)程中;并且事先經(jīng)駕駛員授權同意后，實(shí)時(shí)采集和上傳駕駛員地理位置信息數據。
數據完成上述分類(lèi)分級后，網(wǎng)絡(luò )貨運企業(yè)目前可以開(kāi)始為達到重要數據的合規要求做好準備。落實(shí)數據安全負責人和管理機構;對不同級別的數據分類(lèi)分級標識，根據數據重要程度確定標記是否細化到數據庫表的字段級;同時(shí)對數據訪(fǎng)問(wèn)權限設置嚴格的審批流程。
《民法典》1034 條：個(gè)人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話(huà)號碼、電子郵箱、健康信息、行蹤信息等。
03
共享與轉讓
網(wǎng)絡(luò )貨運平臺用戶(hù)在注冊、使用網(wǎng)絡(luò )貨運系統服務(wù)期間提供、形成的信息，在平臺大量沉淀后，可能因平臺進(jìn)行油品、金融等各類(lèi)增值服務(wù)而對外提供數據;或平臺為開(kāi)展運力互聯(lián)等原因，從如貨拉拉等其他擁有較多數據的外部合作方處導入的數據。
此類(lèi)與合作方互相共享、轉讓數據的行為，若涉及個(gè)人信息的，應符合《數據安全法》等對個(gè)人信息保護的要求，不得竊取或者以其他非法方式獲取數據。為合法、正當獲取數據，除維護國家安全等特殊情形外6， 網(wǎng)絡(luò )貨運企業(yè)合法對外提供個(gè)人信息的方式一般有兩種：一是信息主體的授權。二是去標識化。
《數據安全管理辦法(征求意見(jiàn)稿)》第二十七條：網(wǎng)絡(luò )運營(yíng)者向他人提供個(gè)人信息前，應當評估可能帶來(lái)的安全風(fēng)險，并征得個(gè)人信息主體同意。下列情況除外：
(一)從合法公開(kāi)渠道收集且不明顯違背個(gè)人信息主體意愿;(二)個(gè)人信息主體主動(dòng)公開(kāi);(三)經(jīng)過(guò)匿名化處理;(四)執法機關(guān)依法履行職責所必需;(五)維護國家安全、社會(huì )公共利益、個(gè)人信息主體生命安全所必需。
1.個(gè)人信息主體授權
首先，根據 gb/t35273 的要求，網(wǎng)絡(luò )貨運企業(yè)應事先進(jìn)行個(gè)人信息安全影響評估。
其次，無(wú)論是網(wǎng)絡(luò )貨運企業(yè)集團內部關(guān)聯(lián)企業(yè)還是外部企業(yè)之間的個(gè)人信息共享、轉讓?zhuān)?都需遵循三重授權原則，以確保獲得數據主體的知情同意。網(wǎng)絡(luò )貨運企業(yè)可以通過(guò)平臺向托運人、駕駛員展示隱私權政策，告知其收集信息的目的、方式、范圍、使用規則，以及個(gè)人有同意或拒絕的權利。尤其是對于個(gè)人敏感信息，需要征得該主體的明示同意。
例如，駕駛員在登錄平臺了解隱私權政策時(shí)，應主動(dòng)作出聲明或者自主作出肯定性動(dòng)作8。但實(shí)踐中，當實(shí)際承運人為單位時(shí)，如何取得該單位駕駛員的明示同意，是企業(yè)面臨的一大難點(diǎn)。由于平臺賬號以及信息的登記都掌握在實(shí)際承運人手中，駕駛員本人通常不愿進(jìn)行登錄操作，此時(shí)網(wǎng)絡(luò )貨運經(jīng)營(yíng)者可能會(huì )采用單獨發(fā)送短信提示或提供點(diǎn)擊鏈接的方式來(lái)解決知情同意問(wèn)題。但該種方式不僅會(huì )增加企業(yè)成本且未必完全有效。
第三，網(wǎng)絡(luò )貨運企業(yè)要確保個(gè)人信息接收方的處理數據能力可以達到相關(guān)規定對其的要求， 并與其簽訂協(xié)議確定各自責任。同時(shí)，網(wǎng)絡(luò )貨運企業(yè)要妥善記錄和保存共享、轉讓情況。
2.去標識化
將個(gè)人數據通過(guò)去標識化技術(shù)處理為“非個(gè)人信息”，因該類(lèi)數據不屬于個(gè)人信息，自然也無(wú)須承擔個(gè)人信息保護的義務(wù)。但需要注意的是，去標識化的數據與匿名化不同，并非不可還原，其仍可能結合其他信息識別出特定的數據主體，則仍然屬于個(gè)人信息，收到相關(guān)規定的約束。所以，網(wǎng)絡(luò )貨運企業(yè)需要選擇合適的處理方式以及對數據的“不可識別性”進(jìn)行驗證評估，確保數據接收方無(wú)法重新識別個(gè)人信息。
另外，與其他各合作方之間的共享和轉讓?zhuān)€應事先通過(guò)協(xié)議的方式界定數據的收集和使用規則，避免因擅自抓取或者不當利用他人數據而導致的不正當競爭糾紛。
《信息安全技術(shù)公共及商用服務(wù)信息系統個(gè)人信息保護指南》第5.2.3條：處理個(gè)人信息前要征得個(gè)人信息主體的同意，包括默許同意或明示同意。收集個(gè)人一般信息時(shí)，可認為個(gè)人信息主體默許同意，如果個(gè)人信息主體明確反對，要停止收集或刪除個(gè)人信息;收集個(gè)人敏感信息時(shí)，要得到個(gè)人信息主體的明示同意。
04
監管
網(wǎng)絡(luò )貨運平臺目前已被要求已接入省市級的網(wǎng)絡(luò )貨運監測系統，按照《部網(wǎng)絡(luò )貨運信息交互系統接入指南》的要求，網(wǎng)絡(luò )貨運經(jīng)營(yíng)者實(shí)時(shí)上傳將運單、資金流水單等數據至省級網(wǎng)絡(luò )貨運信息監測系統。監管部門(mén)對數據的監管已經(jīng)從線(xiàn)下的事后稽查轉為數字化的實(shí)時(shí)監管模式。
根據《數據安全法》的規定，企業(yè)的數據處理活動(dòng)將受到各行業(yè)的主管部門(mén)、公安、國安、網(wǎng)信等多部門(mén)的數據安全監管工作;對違法行為的處罰力度也明顯加強，如：“對于拒不配合數據調取的，可以并處最高50萬(wàn)元罰款，對直接負責的主管人員和其他直接責任人員最高10萬(wàn)元罰款?！?br>因此，網(wǎng)絡(luò )貨運企業(yè)應在技術(shù)上符合交通運輸、稅務(wù)等相關(guān)部門(mén)從其依法調取 數據的條件;此后主動(dòng)與各個(gè)監管部門(mén)保持溝通，積極了解將來(lái)具體的數據監管要求。
《數據安全法》第六條中“工業(yè)、電信交通、金融、自然資源、衛生健康、教育、科技等主管部門(mén)承擔本行業(yè)、本領(lǐng)域數據安全監管職責。公安機關(guān)、國家安全機關(guān)等依照本法和有關(guān)法律、行政法規的規定，在各自職責范圍內承擔數據安全監管職責。國家網(wǎng)信部門(mén)依照本法和有關(guān)法律、行政法規的規定，負責統籌協(xié)調網(wǎng)絡(luò )數據安全和相關(guān)監管工作”。
05
數安法要點(diǎn)解讀和提煉
數安法的發(fā)布標志著(zhù)我國將數據安全保護的政策要求，通過(guò)法律文本的形式進(jìn)行了明確和強化。
本法一共七章五十五條，其中 “總則”、“法律責任”及“附則”三章屬于常規章節，另外四個(gè)章節圍繞著(zhù)“數據安全與發(fā)展、數據安全制度、數據安全保護義務(wù)、政務(wù)數據安全與開(kāi)放”來(lái)提出要求。
1.總則的要點(diǎn)
1)適用范圍：在中國境內開(kāi)展數據活動(dòng)的組織和個(gè)人。
2)定義：定義數據是指任何以電子或者其它方式對信息的記錄。
3) 保護要求：釆取必要措施，對數據進(jìn)行有效保護和合法利用，并持續保持其安全能力。
4) 責任任務(wù)：工業(yè)、電信、交通、金融、自然資源、衛生健康、教育、科技等主要行業(yè)會(huì )落地數據保護行業(yè)規范，并且落地本部門(mén)的數據安全規范。公安機關(guān)、國家安全機關(guān)等在各自職責范圍內承擔數據安全監管職責。網(wǎng)信部門(mén)負責統籌協(xié)調和監管。
5) 特別的對行業(yè)組織提出了制定安全行為規范，加強行業(yè)自律，指導會(huì )員加強數據安全保護的要求。這項法規有效的消滅了灰色地帶，對各行業(yè)都形成了法律約束，杜絕了數據的隨意共享和流轉。
2.數據安全與發(fā)展要點(diǎn)
6) 發(fā)展原則：國家統籌發(fā)展和安全，堅持保障數據安全與促進(jìn)數據開(kāi)發(fā)利用并重。
7) 戰略要求：省級以上人民政府應制定數字經(jīng)濟發(fā)展規劃。進(jìn)一步細化了國家數據戰略的執行主體。
8) 標準體系：國家主管部門(mén)負責相關(guān)標準和體系的制定。
9) 評估認證：國家促進(jìn)數據安全檢測評估、認證等服務(wù)的發(fā)展，支持專(zhuān)業(yè)機構依法開(kāi)展服務(wù)。
10) 人才培養：要釆取多種方式培養數據開(kāi)發(fā)利用技術(shù)和數據安全專(zhuān)業(yè)人才。
11)特別地，加強了公共服務(wù)的要求，應當充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。
3.數據安全制度要點(diǎn)
12) 分類(lèi)分級：國家建立數據分類(lèi)分級保護制度，對數據實(shí)行分類(lèi)分級保護，并確定重要數據目錄，加強對重要數據的保護。
13) 風(fēng)險評估：要建立集中統一、高效權威的數據安全風(fēng)險評估、報告、信息共享、監測預警機制。
14) 應急處置：要建立數據安全應急處置機制。
15) 安全審查：要建立數據安全審查制度。
16) 出口管制：對屬于管制物項的數據依法實(shí)施出口管制，可以根據實(shí)際情況對該國家或者地區對等采取措施。這項法規進(jìn)一步明確了國家對中國數據的主權，即我國數據是否在境內，依然受到中國法律的保護。
4.數據安全保護義務(wù)要點(diǎn)
17) 管理制度:在網(wǎng)絡(luò )安全等級保護制度的基礎上，建立健全全流程數據安全管理制度，組織開(kāi)展教育培訓。重要數據的處理者應當明確數據安全負責人和管理機構，進(jìn)一步落實(shí)數據安全保護責任主體。
18) 風(fēng)險監測：對出現缺陷、漏洞等風(fēng)險，要釆取補救措施;發(fā)生數據安全事件，應當立即采取處置措施，并按規定上報。
19) 風(fēng)險評估：定期開(kāi)展風(fēng)險評估并上報風(fēng)評報告。
20) 數據收集：任何組織、個(gè)人收集數據必須釆取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。
21) 數據交易：數據服務(wù)商或交易機構，要提供并說(shuō)明數據來(lái)源證據，要審核相關(guān)人員身份并留存記錄。
22) 經(jīng)營(yíng)備案：數據服務(wù)經(jīng)營(yíng)者應當取得行政許可的，服務(wù)提供者應當依法取得許可。
23) 配合調查：要求依法配合公安、安全等部門(mén)進(jìn)行犯罪調查。境外執法機構要調取存儲在中國的數據，未經(jīng)批準，不得提供。
24) 特別的，對關(guān)基信息基礎設施的運營(yíng)在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據的出境安全管理，適用《中華人民共和國網(wǎng)絡(luò )安全法》的規定;其他數據處理者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據的出境安全管理辦法，由國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定。
5.政務(wù)數據安全與開(kāi)放要點(diǎn)
25) 管理制度:建立健全全流程數據安全管理制度，落實(shí)數據安全保護責任。
26) 存儲加工：委托他人存儲、加工或提供政務(wù)數據，應當經(jīng)過(guò)嚴格審批，并做好監督。受托方不得擅自留存、使用、泄露或向他人提供政務(wù)數據。
27) 數據開(kāi)放：構建統一政務(wù)數據開(kāi)放平臺，發(fā)布數據開(kāi)放目錄，推動(dòng)政務(wù)數據開(kāi)放利用。
28) 適用主體：法律、法規授權的具有管理公共事務(wù)職能的組織。
6.法律責任要點(diǎn)
29) 不履行規定保護義務(wù)：責令改正和警告，給予單位5萬(wàn)至50萬(wàn)元罰款，給予負責人1萬(wàn)至10萬(wàn)元罰款;拒不改正或造成大量數據泄漏等嚴重后果的，給予單位50萬(wàn)至200萬(wàn)元罰款，最高責令吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照，給予負責人5萬(wàn)至20萬(wàn)元罰款。
30)危害國家安全和損害合法權益的：給予200萬(wàn)至1000萬(wàn)元罰款，責令停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照，構成犯罪的，追究刑事責任。
31)向境外提供重要數據的：由有關(guān)主管部門(mén)責令改正，給予警告，可以并處10萬(wàn)至100萬(wàn)元罰款，對直接負責的主管人員和其他直接責任人員可以處1萬(wàn)至10萬(wàn)元罰款。情節嚴重的，給予100萬(wàn)至1000萬(wàn)元罰款，責令停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照，對負責人給予10萬(wàn)至100萬(wàn)元罰款。
32) 交易來(lái)源不明的數據：沒(méi)收違法所得，對違法所得一至十倍罰款。沒(méi)有違法所得或違法所得不足10萬(wàn)元的給予10萬(wàn)至100萬(wàn)元罰款，最高責令吊銷(xiāo)營(yíng)業(yè)執照;對主管和直接責任人1萬(wàn)至10萬(wàn)元罰款。
33) 拒不配合數據調取的：由有關(guān)主管部門(mén)責令改正，給予警告，可以并處5萬(wàn)元至50萬(wàn)元罰款，對直接負責的主管人員和其他直接責任人員可以處1萬(wàn)至10萬(wàn)元罰款。
34) 國家機關(guān)不履行安全保護義務(wù)：對負責人和直接責任人員依法處分。
35)未經(jīng)審批向境外提供組織數據的：由有關(guān)主管部門(mén)給予警告，可以并處10萬(wàn)至100萬(wàn)元罰款，對直接負責的主管人員和其他直接責任人員可以處1萬(wàn)至10萬(wàn)元罰款。造成嚴重后果的，給予100萬(wàn)至500萬(wàn)元罰款，責令停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照，對負責人給予5萬(wàn)至500萬(wàn)元罰款。
36) 國家工作人員違法：因玩忽職守、濫用職權、徇私舞弊，依法給予處分。
37)竊取或非法獲取數據的：依照有關(guān)法律、行政法規的規定處罰。
38) 給他人造成損害：依法承擔民事責任，構成犯罪的，依法追究刑事責任。
本文來(lái)源于物流指聞，不代表本站觀(guān)點(diǎn)，文章如有侵權可聯(lián)系刪除