楊春麗 邵妍妍 金旭彤 黃月琴 邵雪焱 許保光,4
1(國家郵政局郵政業(yè)安全中心信息安全處 北京 100091) 2(中國科學院大學應急管理科學與工程學院 北京 100049) 3(中國科學院科技戰(zhàn)略咨詢研究院 北京 100190) 4(中國科學院大學公共政策與管理學院 北京 100049)
隨著數字經濟的發(fā)展和數字中國戰(zhàn)略的提出,數據已成為和土地、勞動力、資本、技術一樣的生產要素.在數據的使用和處理過程中對個人信息的應用需求不斷增加[1],個人信息的地位愈發(fā)重要.郵政業(yè)作為現代服務業(yè)的關鍵產業(yè)已經進入高速發(fā)展期.2021年11月1日,《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)正式施行,作為個人信息保護領域的基本法,《個人信息保護法》全面規(guī)定了個人信息處理者的義務及責任,并提出明確的合規(guī)要求[2].《個人信息保護法》主要關注公民個人信息保護,僅側重于保護個人信息,但相較于《中華人民共和國數據安全法》(以下簡稱《數據安全法》),《個人信息保護法》提出了更多具體的場景,例如對個人信息、敏感信息應當基于全生命周期進行保護,對個人信息主體的權利和個人信息處理者如何應對信息主體提出的權利請求,以及針對應對不當所負相應的責任等都作出了規(guī)范.
此前,《中華人民共和國網絡安全法》于2017年6月1日正式施行,是我國第一部全面規(guī)范網絡空間安全管理的基礎性法律[3],側重于網絡安全,主要從網絡安全監(jiān)管角度,關注的數據主要是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息[4];《數據安全法》于2021年11月1日正式施行,是數據安全領域的基礎法律.它對數據處理者提出相關的義務要求,并對監(jiān)管數據進行全面的界定,其范圍更廣,包括個人信息與非個人信息.針對個人信息合理處理使用的問題,有關部門也曾先后出臺《互聯(lián)網個人信息保護指南》《個人信息安全標準》等規(guī)范性文件,并在《中華人民共和國民法典》(以下簡稱《民法典》)中也提出了保護個人信息的責任要求[5].這些關于個人信息保護等方面的法律法規(guī)文件能進一步細化為具體詳細的、對企業(yè)有規(guī)范意義的標準.總體來說,我國基本已建立起個人信息安全保護的完整法律框架.
本文討論了《個人信息保護法》的出臺對郵政業(yè)數據安全的影響,介紹郵政業(yè)特點與數據安全問題.從《個人信息保護法》和郵政業(yè)信息保護法律文件要求出發(fā),結合郵政業(yè)務中個人信息泄露案例,分析郵政業(yè)面臨的信息安全問題.提出相關應對措施,對郵政業(yè)個人信息安全保護具有一定的參考作用.
郵政業(yè)主要業(yè)務流程是指寄遞承運方運用專用工具、設備和應用軟件系統(tǒng),將快件進行處理,在較短的時間內將特定的物品運達指定地點或目標客戶手中的活動[6].郵政快遞企業(yè)的生產運作流程具體可分為收件、驗視、信息核對、裝載、運輸到某地某集散中心、安檢、分揀、裝載、再次運輸、投遞、用戶收件等環(huán)節(jié),整體環(huán)節(jié)可分為攬收、運輸、派送等,如圖1所示.
在攬收環(huán)節(jié),首先由寄件人填寫寄遞詳情單,包括姓名、地址與寄件人身份證號等個人信息,攬收人將相關信息錄入系統(tǒng),在寄遞服務末端將物品集中發(fā)送下一級轉運中心;物品運輸至轉運中心后,分揀員會依據寄遞系統(tǒng)的指示,將物品按一定方式進行分類、集中,其中運輸距離遠且時間跨度大的物品進行干線運輸;物品到達轉運中心后繼續(xù)進行盤駁運輸,到達收件地網點后進入投遞環(huán)節(jié).寄遞系統(tǒng)會指派快遞員進行派件,同時通知收件人進行接收.具體交付方式按照用戶與快遞公司的約定進行交付,一般有直接送貨上門和送貨至云柜寄存2種方式.
根據郵政業(yè)的業(yè)務流程,其特點簡單概括如下:
1) 服務群體的廣泛性.郵政業(yè)的服務范圍面向整個社會,服務群體廣泛,服務對象不只是個人,還包括政府、企業(yè)等組織.
2) 生產過程和消費過程的同一性.郵政業(yè)的生產過程也是用戶的使用過程,是為用戶服務的全過程[7].
3) 寄遞環(huán)節(jié)的信息技術主導性.在寄遞的全過程中,使用現代信息技術主導寄遞環(huán)節(jié).利用條碼技術、智能分揀系統(tǒng)、全球導航衛(wèi)星系統(tǒng)、智能交通技術、無線射頻技術等現代信息技術,為實現郵寄的全過程跟蹤、監(jiān)控、管理等提供技術支持.
郵政業(yè)涉及的數據主要包括用戶數據和企業(yè)運營數據.用戶數據是指業(yè)務開展過程中涉及到的個人用戶及企業(yè)用戶相關數據,其中,個人用戶數據指業(yè)務開展過程中涉及的個人寄遞用戶數據,企業(yè)用戶數據指業(yè)務開展過程中涉及的企業(yè)客戶數據、供應商數據等企業(yè)用戶相關數據.企業(yè)運營數據是指經營活動中產生的各類業(yè)務經營相關的數據,包括但不限于寄遞物品的費用信息、配送信息、簽收信息、售后信息[8].用戶數據具體包括地址信息、電話信息以及身份證信息等,涉及用戶個人隱私,是郵政快遞服務的核心數據,也是數據安全的關注焦點.
快遞業(yè)務流程中蘊含的信息量極其豐富,且高度敏感.近年來,郵政業(yè)處于個人信息泄露的重災區(qū),相關個人信息泄露事件頻發(fā).由于涉及數據處理環(huán)節(jié)復雜,相關企業(yè)缺乏較高的自律意識,難以主動為此付出時間和費用的成本.面對行業(yè)內如此嚴峻的形勢,出臺數據安全相關法規(guī)、制定行之有效的監(jiān)管辦法將成為郵政業(yè)未來發(fā)展的重點.
為了加強用戶個人信息安全保護,郵政業(yè)從個人信息合法處理原則、個人信息處理者相關責任義務、個人信息處理規(guī)則等方面制定了相關法律文件.
1) 《個人信息保護法》第9條規(guī)定:“個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全”.第10條規(guī)定:“任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動”[12].以上條款強調了個人信息處理者處理個人信息應遵循合法的處理原則,并采取正當的處理方式.郵政業(yè)針對“個人信息合法處理原則”制定了相關法律規(guī)定,如表1所示.
表1 針對“個人信息合法處理原則”的法律文件梳理
2) 《個人信息保護法》第5章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等要求,強化了個人信息處理者在掌握個人信息過程的安全保障義務[9].郵政業(yè)針對“個人信息處理者相關責任義務”制定了相關法律規(guī)定,如表2所示.
表2 針對“個人信息處理者相關責任義務”的法律文件梳理
3) 《個人信息保護法》中對個人信息處理規(guī)則明確規(guī)定,個人信息處理者負有個人信息處理告知義務,將處理規(guī)則公開;并應遵循最小范圍使用原則,對個人信息的保存期限應當為實現處理目的所必要的最短時間[9].在2021年2月發(fā)布的《快遞物流服務數據安全指南》(征求意見稿)[8]中,同樣要求服務運營者收集信息應遵守用戶告知同意原則,在提供寄遞服務時應提前獲得用戶明示同意;快遞物流服務收集用戶個人信息應遵守數據最小化原則,明確了個人信息收集范圍界限.
快遞用戶信息泄露事件層出不窮,郵政業(yè)面臨的信息安全形勢十分嚴峻.在寄遞服務流程中,主要面臨以下個人信息泄露問題:
1) 信息泄露風險節(jié)點較多.
近年來,電商企業(yè)讓社會發(fā)生了巨大的變化,與此同時,郵政快遞企業(yè)的發(fā)展也迎來新一波高潮.消費者的個人信息在業(yè)務全流程的中轉節(jié)點較多,從電商平臺下單到訂單完成,中間涉及平臺、賣家、快遞訂單系統(tǒng)和快遞包裝4個環(huán)節(jié),有人會接觸到消費者的訂單信息,導致信息泄露的風險變大.如杭州某電商公司盜取6.5萬余條快遞信息的王某,佯裝進入該電商公司進行應聘,只為在公司電腦上安裝木馬病毒,盜取大量用戶信息.然而數據存儲是數據安全的重中之重,《個人信息保護法》第5章也明確了個人信息處理者需要采取加密等安全措施,履行掌握個人信息過程的安全保障義務[9].在電商平臺掌握消費者的個人信息后,有義務采取相應的安全措施,提高數據庫和相關防護系統(tǒng)(如防火墻等)的安全能力,降低數據泄露風險.
2) 郵政快遞企業(yè)信息系統(tǒng)管理中的問題.
隨著快遞業(yè)務規(guī)模的不斷擴大,郵政快遞企業(yè)積累了大量的寄遞用戶信息,個人信息泄露事件頻發(fā),如2020年國內某快遞公司5名員工非法售賣和使用寄遞用戶信息事件更是引起社會對于信息泄露和個人信息保護的進一步重視.外部人員租用該快遞公司內部員工系統(tǒng)賬號,登錄后進入內部寄遞系統(tǒng),導出寄遞用戶信息,將信息通過社交平臺非法售賣到全國及東南亞等電信詐騙高發(fā)地區(qū).《個人信息保護法》第51條要求個人信息處理者制定內部管理制度和操作規(guī)程,并組織實施制定個人信息安全應急預案[9];《寄遞服務用戶個人信息安全管理規(guī)定》也提出郵政企業(yè)應當制定內部安全管理制度和操作流程,建立寄遞用戶信息安全應急處置機制[13],履行企業(yè)信息安全保障的義務.對于郵政快遞企業(yè),需進一步落實相關法律法規(guī)要求,開展自查,從內部制度、人員分工、系統(tǒng)安全、風險管控等方面進行數據安全管理.
3) 個人信息脫敏加密中的問題.
每個快遞包裝上都印有一張快遞面單,快遞面單中包含著寄件人、收件人的聯(lián)系方式、家庭住址等關鍵信息.在某社交平臺的關于“快遞”“快遞面單”等社群中,大量出售和收購寄遞用戶快遞面單的帖子不在少數.其中不乏實時快遞面單,在用戶下單僅數小時內,快遞面單就被標價出售.《個人信息保護法》第51條要求個人信息處理者采取相應的加密、去標識化等安全技術措施[9];《快遞暫行條例》《郵政業(yè)寄遞安全監(jiān)督管理辦法》《郵政快件包裝管理辦法》也提出,郵政企業(yè)應當建立寄遞詳情單及電子數據管理制度[12,14-15],保護用戶信息安全.京東、順豐和菜鳥分別推出了“隱私面單”,采取數據脫敏加密的措施,在不同程度上隱去用戶真實信息,實現信息保護.
4) 從業(yè)人員隊伍建設中的問題.
近年來郵政業(yè)高速發(fā)展,其從業(yè)人員數量暴增且流動性大.快遞公司內部人員以便利條件獲取用戶個人信息,導致公民個人信息泄露的事件層出不窮.如2016年以來,馮某利用其為河北某快遞公司員工的便利條件,用自己和同事的工號登錄公司系統(tǒng)查詢公民個人信息,整理后,再通過電子郵件賣給外部人員,以獲取非法利益.《個人信息保護法》第51條要求合理確定個人信息處理的操作權限,并定期對從業(yè)人員進行安全教育和培訓[9].為避免內部員工未按規(guī)定使用設備產生信息泄露的問題,郵政快遞企業(yè)應落實對相應職位員工個人的職業(yè)規(guī)范和道德培訓的責任.
綜上,郵政業(yè)積累了數量龐大的寄遞用戶個人信息,在《個人信息保護法》正式出臺以前,針對存在的信息安全問題,郵政管理部門已出臺多份法律文件,明確規(guī)定企業(yè)處理個人信息的原則和義務,并對業(yè)務全流程進行監(jiān)管和公開;要求相關企業(yè)對使用的數據信息進行分類分級,對數據進行加密化處理;要求相關企業(yè)對個人信息使用權限及用戶告知同意,保護寄遞用戶個人隱私權利.依據相關法律文件,郵政業(yè)需要針對行業(yè)內信息泄露的突出問題作出相關應對措施.
郵政業(yè)為了發(fā)展需要與其他電商平臺進行合作,其中用戶個人信息安全保護程序必然變得復雜.在這種情況下快遞企業(yè)需要和電商平臺進行合作,把工作業(yè)務和工作程序公開,讓用戶了解其個人信息在收集、利用、處理全流程中的去向,這是對知情同意原則的遵守與維護[1].2018年國務院辦公廳印發(fā)了《關于推進電子商務與快遞物流協(xié)同發(fā)展的意見〔2018〕1號》(以下簡稱《意見》)[16],其中也明確規(guī)定了相關部門應引導電子商務企業(yè)與快遞物流業(yè)加強系統(tǒng)互聯(lián)和業(yè)務聯(lián)動,共同提高信息系統(tǒng)安全防護水平.目前來看落實不夠,建議下一步相關部門按照《意見》相關內容要求進一步落地,促進郵政快遞企業(yè)與電商平臺關于數據安全的戰(zhàn)略合作交流,推動上下游企業(yè)聯(lián)合確立完整的個人信息控制流程,加強數據安全監(jiān)管,保證在合作過程中的數據流動安全.
《個人信息保護法》的正式出臺加大了郵政業(yè)對保護寄遞用戶個人信息安全的重視.郵政業(yè)應基于時代發(fā)展與快遞服務需要,出臺關于郵政業(yè)數據安全的法律法規(guī),加強對郵政數據安全的相關指導.在郵政業(yè)數據安全管理方面,運用安全審計、安全檢查的監(jiān)督手段,對數據安全的管理工作進行審計審查,查看企業(yè)數據安全管理工作的合法性與合規(guī)性.郵政管理部門應當盡快發(fā)布行業(yè)內關于敏感數據監(jiān)管的文件規(guī)定,要求郵政企業(yè)對敏感數據進行分類分級,切實建立內部數據安全監(jiān)督運行機制,運用系統(tǒng)管理的方法對數據安全實施管理,注重數據安全風險評估及事件安全應急預案.
為加強對電商及郵政業(yè)的監(jiān)督和管理,規(guī)范郵政快遞企業(yè)寄遞快遞包裹的行為,2015年11月快遞實名收寄制度正式實行.在快遞實名制實行之后,雖然社會不良安全事件顯著減少,但是由于快遞面單詳細記錄了寄遞用戶的姓名、電話號碼和家庭住址等,將用戶個人信息暴露在公共視野中,危險系數大大增加.為減少用戶個人信息的直接泄露,郵政快遞企業(yè)應對面單上敏感字段進行脫敏、去標識化處理,加大對隱私面單、電子身份二維碼、虛擬號碼等新技術的推廣應用,保障寄遞用戶個人信息不被泄露和非法使用.
郵政業(yè)的蓬勃發(fā)展需要大量擁有專業(yè)知識和職業(yè)操守的工作人員參與.在用戶個人信息處理方面更是需要有良好的安全技術和道德素質的信息人員配合工作.郵政業(yè)應當注重對信息安全人才的培養(yǎng),提高信息安全專職技術人員比例,不斷提升從業(yè)人員信息保護的規(guī)范化水平.郵政快遞企業(yè)可對相應職位的信息操作人員進行法律和技術培訓,如《個人信息保護法》和信息安全技術的培訓,并進行定期考核[1].此前行業(yè)相關文件已經作出規(guī)定,然而培訓和考核必須是持久的.針對業(yè)務流程的不同場景進行培訓與考核,具備個人信息處理資格的工作人員才可從事快遞服務中的個人信息處理的工作.
除此之外,寄遞用戶作為寄遞服務的主體對象,也應該不斷提升信息安全保護意識,提高個人信息安全保護能力.在網絡平臺進行購物時,由于快遞面單上包含了個人相關信息,對此,寄遞用戶在寄送和簽收快遞時可主動勾選、開啟“隱私面單”服務.寄遞用戶在收取快件時應養(yǎng)成及時處理面單上的個人信息的習慣,確保敏感信息被遮擋以后再扔掉包裹或者將快遞單進行銷毀處理,主動規(guī)避信息泄露的風險.
新技術的發(fā)展是一把雙刃劍,相伴而來的是信息安全風險日益嚴峻[17].《個人信息保護法》的出臺對個人信息泄露頻發(fā)的亂象提出了明確的法律責任要求.對此,郵政監(jiān)管部門、郵政快遞企業(yè)、寄遞用戶等多方主體須嚴格遵循法律要求,規(guī)范個人信息處理活動,切實保障寄遞用戶個人信息安全,郵政業(yè)將會擁有更廣闊的發(fā)展空間、更高質量的快遞服務.