根據《網絡平臺道路貨物運輸經營管理暫行辦法》的定義:“網絡貨運經營,是指經營者依托互聯網平臺整合配置運輸資源,以承運人身份與托運人簽訂運輸合同,委托實際承運人完成道路貨物運輸��,承擔承運人責任的道路貨物運輸經營活動��。
網絡貨運經營不包括僅為托運人和實際承運人提供信息中介和交易撮合等服務的行為�。”故,業(yè)內通常意義上所稱的“網絡貨運平臺”(全稱為網絡平臺道路貨物運輸經營者),即網絡貨運經營者,是指以網絡平臺為工具�,在線為托運人和實際承運人整合配置貨源和運力資源��,并對上述信息進行管理的承運人。
交通運輸部辦公廳發(fā)布的《網絡平臺道路貨物運輸經營服務指南》中,對網絡貨運經營者的線上服務能力提出了:“信息發(fā)布�,線上交易����、全程監(jiān)控���,金融支付�����、咨詢投訴、在線評價�、查詢統計����、數據調取八大功能要求�����?�!币虼耍W絡貨運平臺內不僅沉淀了大量的數據���,如運單、資金流水單�����、車輛和駕駛員基本信息�����、駕駛員位置信息等����,還需對運輸����、交易全過程進行實時監(jiān)控,并按照監(jiān)管要求將數據共享給交通運輸���、稅務等相關部門。
對于收集和存儲的如此之多的數據�����,網絡貨運經營者承擔了哪些數據安全義務��?將于2021年9月1日起施行的《數據安全法》,從國家法律的層面要求數據處理者應建立健全全流程數據安全管理制度�,對網絡貨運經營者的數據合規(guī)明確了新的規(guī)則��。《數據安全法》作為一部行為約束法�,著眼于“數據處理活動與安全監(jiān)管”��,在解釋和適用規(guī)則時不必拘泥于適用主體范圍的劃定,而專注于數據處理活動本身的安全�����、可靠性�。
網絡貨運企業(yè)的安全保護義務
《數據安全法》要求開展數據處理活動,應當在網絡安全等級保護制度的基礎上��。這已由《網絡安全法》��、《信息安全技術—網絡安全等級保護基本要求》從系統層面要求數據的安全可靠��。具體到網絡貨運平臺,一般被要求取得三級以上信息系統安全等級保護備案證明����。
從數據層面來看����,不同的相關主體需履行不同的義務,在《數據安全法》中����,針對國家機關�����、重要數據處理者、市場參與者���、相關行業(yè)組織等各個主體�����,都提出了相應的具體要求��。
關于網絡貨運經營者,其可能涉及到的數據安全保護義務包括重要數據合規(guī)�����、個人信息保護���、風險監(jiān)測�、報送安全風險評估報告等多個方面。其中,最重要的應是建立全流程的數據風險管理制度�����,該全流程涵蓋了數據收集�����、存儲���、使用�、加工��、傳輸��、提供、公開等流程的管理制度�。
因此��,網絡貨運經營者要滿足本行業(yè)的監(jiān)管要求��,建立上全流程數據管理制度�����,首要任務應是建立數據分類分級管理制度。
數據分類分級
參考《數據安全法》����、《YD/T3813-2020 基礎電信企業(yè)數據分類分級方法》����、《汽車數據安全管理若干規(guī)定(征求意見稿)》等規(guī)定��,可將網絡貨運經營者處理的數據分為以下幾類:
1��、個人信息 :根據《民法典》第 1034 條對個人信息的定義4,即可直接或間接識別出特定自然人的信息�。由于網絡貨運經營者的法律責任主體是承運人身份��,其需要履行核驗托運人和實際承運人的身份信息的義務,處理數據的過程中必然涉及到大量的用戶數據�。
以駕駛員信息為例��,其上傳至平臺的姓名、身份證號����、聯系方式���、從業(yè)人員資格證號����、機動車駕駛證號等數據��,可聯系到該名自然人的身份��,屬于個人信息。
2����、企業(yè)自身數據:網絡貨運平臺涉及的企業(yè)基本信息數據�、系統數據���、業(yè)務數據���、日志數據���、埋點數據等各類數據�����。
3�����、統計分析數據:基于網絡貨運平臺數據庫,通過數據挖掘等技術分析����、研究有價值的信息����,例如對裝卸貨�、結算的有效管控,物流信息全流程跟蹤能力分析�����,平臺線上服務能力����。這類數據是網絡貨運平臺的重要資產�����,是數據的最大價值所在��。
4、數據分級:《數據安全法》提出了國家核心數據和重要數據的概念���,并要求各地區(qū)、各部門制定重要數據目錄。網絡貨運企業(yè)應持續(xù)關注交通�����、公安等部門的重要數據目錄的制定動態(tài)�,識別運單信息、貨運保險、資金流水等相關處理的數據�����,是否會落入重要數據的范疇���。
關于個人信息部分����,根據《信息安全技術-個人信息安全規(guī)范》(GB/T35273-2020),駕駛員身份證��、車輛行駛證等留存證件�、駕駛員位置信息等,不僅是公民個人信息�����,更是個人敏感信息��。
對于個人敏感信息,除了“正當���、合法����、必要”的原則性要求外�,應依據《個人信息保護法(草案)》等規(guī)定,進行更加嚴格的保護。如網絡貨運經營者須實時采集的承運車輛運輸軌跡����,而該運輸軌跡又同時屬于駕駛員的行蹤軌跡�。
《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》����、《檢察機關辦理侵犯公民個人信息案件指引》都將“非法獲取、出售或者提供行蹤軌跡信息�����,被他人用于犯罪”規(guī)定為“情節(jié)嚴重”���,可見其敏感性��。
所以�����,網絡貨運經營者應注意收集的地理位置數據的訪問時間、頻率,判斷是否超出必要限度�。訪問實時行駛軌跡數據應在運單起運和貨物確認送達的過程中��;并且事先經駕駛員授權同意后,實時采集和上傳駕駛員地理位置信息數據。
數據完成上述分類分級后,網絡貨運企業(yè)目前可以開始為達到重要數據的合規(guī)要求做好準備���。落實數據安全負責人和管理機構�;對不同級別的數據分類分級標識,根據數據重要程度確定標記是否細化到數據庫表的字段級����;同時對數據訪問權限設置嚴格的審批流程���。
《民法典》1034 條:個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息����,包括自然人的姓名����、出生日期、身份證件號碼、生物識別信息��、住址�、電話號碼、電子郵箱�、健康信息����、行蹤信息等�����。
合作方互相共享與轉讓
網絡貨運平臺用戶在注冊��、使用網絡貨運系統服務期間提供、形成的信息����,在平臺大量沉淀后���,可能因平臺進行油品、金融等各類增值服務而對外提供數據�;或平臺為開展運力互聯等原因�,從如貨拉拉等其他擁有較多數據的外部合作方處導入的數據�。
此類與合作方互相共享、轉讓數據的行為���,若涉及個人信息的,應符合《數據安全法》等對個人信息保護的要求����,不得竊取或者以其他非法方式獲取數據�����。為合法����、正當獲取數據�����,除維護國家安全等特殊情形外6��, 網絡貨運企業(yè)合法對外提供個人信息的方式一般有兩種:一是信息主體的授權。二是去標識化�����。
《數據安全管理辦法(征求意見稿)》第二十七條:網絡運營者向他人提供個人信息前��,應當評估可能帶來的安全風險�����,并征得個人信息主體同意。下列情況除外:
(一)從合法公開渠道收集且不明顯違背個人信息主體意愿���;(二)個人信息主體主動公開���;(三)經過匿名化處理��;(四)執(zhí)法機關依法履行職責所必需�����;(五)維護國家安全、社會公共利益��、個人信息主體生命安全所必需��。
1�、個人信息主題授權:首先���,根據 GB/T35273 的要求��,網絡貨運企業(yè)應事先進行個人信息安全影響評估����。
其次��,無論是網絡貨運企業(yè)集團內部關聯企業(yè)還是外部企業(yè)之間的個人信息共享���、轉讓�����, 都需遵循三重授權原則,以確保獲得數據主體的知情同意。網絡貨運企業(yè)可以通過平臺向托運人、駕駛員展示隱私權政策,告知其收集信息的目的、方式、范圍���、使用規(guī)則����,以及個人有同意或拒絕的權利。尤其是對于個人敏感信息,需要征得該主體的明示同意。
例如,駕駛員在登錄平臺了解隱私權政策時,應主動作出聲明或者自主作出肯定性動作8����。但實踐中�,當實際承運人為單位時��,如何取得該單位駕駛員的明示同意�,是企業(yè)面臨的一大難點�����。由于平臺賬號以及信息的登記都掌握在實際承運人手中��,駕駛員本人通常不愿進行登錄操作�,此時網絡貨運經營者可能會采用單獨發(fā)送短信提示或提供點擊鏈接的方式來解決知情同意問題����。但該種方式不僅會增加企業(yè)成本且未必完全有效。
第三,網絡貨運企業(yè)要確保個人信息接收方的處理數據能力可以達到相關規(guī)定對其的要求���, 并與其簽訂協議確定各自責任。同時,網絡貨運企業(yè)要妥善記錄和保存共享����、轉讓情況��。
2、個人信息主題授權:將個人數據通過去標識化技術處理為“非個人信息”,因該類數據不屬于個人信息�,自然也無須承擔個人信息保護的義務�。但需要注意的是���,去標識化的數據與匿名化不同�,并非不可還原,其仍可能結合其他信息識別出特定的數據主體,則仍然屬于個人信息����,收到相關規(guī)定的約束。所以,網絡貨運企業(yè)需要選擇合適的處理方式以及對數據的“不可識別性”進行驗證評估,確保數據接收方無法重新識別個人信息���。
另外,與其他各合作方之間的共享和轉讓����,還應事先通過協議的方式界定數據的收集和使用規(guī)則��,避免因擅自抓取或者不當利用他人數據而導致的不正當競爭糾紛。
《信息安全技術公共及商用服務信息系統個人信息保護指南》第5.2.3條:處理個人信息前要征得個人信息主體的同意�����,包括默許同意或明示同意���。收集個人一般信息時���,可認為個人信息主體默許同意����,如果個人信息主體明確反對,要停止收集或刪除個人信息��;收集個人敏感信息時�����,要得到個人信息主體的明示同意�����。
監(jiān)管部門對數據的監(jiān)管
網絡貨運平臺目前已被要求已接入省市級的網絡貨運監(jiān)測系統���,按照《部網絡貨運信息交互系統接入指南》的要求����,網絡貨運經營者實時上傳將運單���、資金流水單等數據至省級網絡貨運信息監(jiān)測系統����。監(jiān)管部門對數據的監(jiān)管已經從線下的事后稽查轉為數字化的實時監(jiān)管模式����。
根據《數據安全法》的規(guī)定,企業(yè)的數據處理活動將受到各行業(yè)的主管部門���、公安、國安、網信等多部門的數據安全監(jiān)管工作;對違法行為的處罰力度也明顯加強��,如:“對于拒不配合數據調取的���,可以并處最高50萬元罰款,對直接負責的主管人員和其他直接責任人員最高10萬元罰款���。”
因此�����,網絡貨運企業(yè)應在技術上符合交通運輸�����、稅務等相關部門從其依法調取 數據的條件;此后主動與各個監(jiān)管部門保持溝通�����,積極了解將來具體的數據監(jiān)管要求�。
《數據安全法》第六條中“工業(yè)、電信交通�����、金融、自然資源、衛(wèi)生健康��、教育、科技等主管部門承擔本行業(yè)、本領域數據安全監(jiān)管職責��。公安機關、國家安全機關等依照本法和有關法律、行政法規(guī)的規(guī)定,在各自職責范圍內承擔數據安全監(jiān)管職責。國家網信部門依照本法和有關法律���、行政法規(guī)的規(guī)定���,負責統籌協調網絡數據安全和相關監(jiān)管工作”�。
數據安全法的要點解讀和提煉
數安法的發(fā)布標志著我國將數據安全保護的政策要求��,通過法律文本的形式進行了明確和強化。
本法一共七章五十五條�����,其中 “總則”�����、“法律責任”及“附則”三章屬于常規(guī)章節(jié),另外四個章節(jié)圍繞著“數據安全與發(fā)展�、數據安全制度����、數據安全保護義務���、政務數據安全與開放”來提出要求�。
1、總則要點
1)適用范圍:在中國境內開展數據活動的組織和個人��。
2)定義:定義數據是指任何以電子或者其它方式對信息的記錄����。
3) 保護要求:釆取必要措施,對數據進行有效保護和合法利用�,并持續(xù)保持其安全能力�。
4) 責任任務:工業(yè)、電信�、交通�、金融�、自然資源、衛(wèi)生健康�、教育����、科技等主要行業(yè)會落地數據保護行業(yè)規(guī)范����,并且落地本部門的數據安全規(guī)范����。公安機關���、國家安全機關等在各自職責范圍內承擔數據安全監(jiān)管職責�����。網信部門負責統籌協調和監(jiān)管。
5) 特別的對行業(yè)組織提出了制定安全行為規(guī)范����,加強行業(yè)自律�����,指導會員加強數據安全保護的要求。這項法規(guī)有效的消滅了灰色地帶�����,對各行業(yè)都形成了法律約束����,杜絕了數據的隨意共享和流轉。
2��、數據安全與發(fā)展要點
6) 發(fā)展原則:國家統籌發(fā)展和安全�����,堅持保障數據安全與促進數據開發(fā)利用并重���。
7) 戰(zhàn)略要求:省級以上人民政府應制定數字經濟發(fā)展規(guī)劃�。進一步細化了國家數據戰(zhàn)略的執(zhí)行主體�。
8) 標準體系:國家主管部門負責相關標準和體系的制定。
9) 評估認證:國家促進數據安全檢測評估�、認證等服務的發(fā)展�����,支持專業(yè)機構依法開展服務�����。
10) 人才培養(yǎng):要釆取多種方式培養(yǎng)數據開發(fā)利用技術和數據安全專業(yè)人才����。
11)特別地�����,加強了公共服務的要求�����,應當充分考慮老年人、殘疾人的需求���,避免對老年人、殘疾人的日常生活造成障礙��。
3���、數據安全制度要點
12) 分類分級:國家建立數據分類分級保護制度��,對數據實行分類分級保護��,并確定重要數據目錄,加強對重要數據的保護�。
13) 風險評估:要建立集中統一�����、高效權威的數據安全風險評估、報告、信息共享、監(jiān)測預警機制�。
14) 應急處置:要建立數據安全應急處置機制�����。
15) 安全審查:要建立數據安全審查制度。
16) 出口管制:對屬于管制物項的數據依法實施出口管制,可以根據實際情況對該國家或者地區(qū)對等采取措施。這項法規(guī)進一步明確了國家對中國數據的主權,即我國數據是否在境內���,依然受到中國法律的保護。
4、數據安全保護義務要點
17) 管理制度:在網絡安全等級保護制度的基礎上��,建立健全全流程數據安全管理制度����,組織開展教育培訓。重要數據的處理者應當明確數據安全負責人和管理機構����,進一步落實數據安全保護責任主體�。
18) 風險監(jiān)測:對出現缺陷���、漏洞等風險�����,要釆取補救措施�����;發(fā)生數據安全事件,應當立即采取處置措施,并按規(guī)定上報。
19) 風險評估:定期開展風險評估并上報風評報告����。
20) 數據收集:任何組織�����、個人收集數據必須釆取合法���、正當的方式����,不得竊取或者以其他非法方式獲取數據。
21) 數據交易:數據服務商或交易機構�,要提供并說明數據來源證據�����,要審核相關人員身份并留存記錄。
22) 經營備案:數據服務經營者應當取得行政許可的��,服務提供者應當依法取得許可��。
23) 配合調查:要求依法配合公安��、安全等部門進行犯罪調查。境外執(zhí)法機構要調取存儲在中國的數據�����,未經批準�����,不得提供���。
24) 特別的���,對關基信息基礎設施的運營在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理����,適用《中華人民共和國網絡安全法》的規(guī)定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法�����,由國家網信部門會同國務院有關部門制定���。
5����、政務數據安全與開放要點
25) 管理制度:建立健全全流程數據安全管理制度����,落實數據安全保護責任。
26) 存儲加工:委托他人存儲�����、加工或提供政務數據����,應當經過嚴格審批,并做好監(jiān)督����。受托方不得擅自留存�、使用����、泄露或向他人提供政務數據。
27) 數據開放:構建統一政務數據開放平臺�����,發(fā)布數據開放目錄�����,推動政務數據開放利用。
28) 適用主體:法律��、法規(guī)授權的具有管理公共事務職能的組織��。
6�����、法律責任要點
29) 不履行規(guī)定保護義務:責令改正和警告,給予單位5萬至50萬元罰款��,給予負責人1萬至10萬元罰款���;拒不改正或造成大量數據泄漏等嚴重后果的�����,給予單位50萬至200萬元罰款�,最高責令吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照��,給予負責人5萬至20萬元罰款���。
30)危害國家安全和損害合法權益的:給予200萬至1000萬元罰款�����,責令停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,構成犯罪的,追究刑事責任。
31)向境外提供重要數據的:由有關主管部門責令改正�,給予警告�����,可以并處10萬至100萬元罰款����,對直接負責的主管人員和其他直接責任人員可以處1萬至10萬元罰款。情節(jié)嚴重的,給予100萬至1000萬元罰款�����,責令停業(yè)整頓���、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,對負責人給予10萬至100萬元罰款。
32) 交易來源不明的數據:沒收違法所得�,對違法所得一至十倍罰款���。沒有違法所得或違法所得不足10萬元的給予10萬至100萬元罰款����,最高責令吊銷營業(yè)執(zhí)照��;對主管和直接責任人1萬至10萬元罰款����。
33) 拒不配合數據調取的:由有關主管部門責令改正�����,給予警告���,可以并處5萬元至50萬元罰款����,對直接負責的主管人員和其他直接責任人員可以處1萬至10萬元罰款���。
34) 國家機關不履行安全保護義務:對負責人和直接責任人員依法處分�����。
35)未經審批向境外提供組織數據的:由有關主管部門給予警告,可以并處10萬至100萬元罰款�,對直接負責的主管人員和其他直接責任人員可以處1萬至10萬元罰款��。造成嚴重后果的,給予100萬至500萬元罰款���,責令停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照���,對負責人給予5萬至500萬元罰款。
36) 國家工作人員違法:因玩忽職守����、濫用職權����、徇私舞弊�,依法給予處分。
37)竊取或非法獲取數據的:依照有關法律��、行政法規(guī)的規(guī)定處罰�����。
38) 給他人造成損害:依法承擔民事責任����,構成犯罪的����,依法追究刑事責任��。
