顺丰牵头！首个快递物流行业数据安全国家标准发布

2022年10月12日，国家市场监督管理总局、国家标准化管理委员会发布中华人民共和国国家标准公告（2022年第13号），由顺丰速运有限公司牵头编制的《信息安全技术  快递物流服务数据安全要求》（GB/T 42013-2022）推荐性国家标准正式对外发布。据悉，这一新标准将于2023年5月1日正式实施。

▲国家标准化管理委员会官网公告

▲全国标准信息公告服务平台标准介绍

快递物流行业作为民生服务的重要组成部分，业务特殊性使得其在帮助“互联网+”新零售走完“最后一公里”的过程中掌握了海量的用户个人敏感信息和其他相关数据。因此，如何在保障业务正常开展的同时解决可能造成的个人信息过度采集、泄露及滥用等问题，是快递物流行业亟需解决的痛点，也是消费者和监管部门的关切所在。该标准在《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全技术 个人信息安全规范》（GB/T 35273-2020）等法律法规的基础上，围绕快递物流服务业务场景，针对快递物流行业在数据收集、存储、传输、使用、加工、提供、公开等环节突出的数据安全问题，明确开展数据处理活动的安全要求，规范快递物流服务提供者的数据处理活动。

标准的实施对象是什么？

标准实施对象为快递物流服务数据处理活动。

标准的适用范围是什么？

标准适用于快递物流服务提供者规范数据处理活动，也可为监管部门、第三方评估机构对快递物流服务数据处理活动进行监督、管理、评估提供参考。

快递物流服务涉及哪些相关方？

快递物流服务涉及的相关方包括快递物流服务提供者、寄递用户以及快递物流服务第三方参与者，其中快递物流服务提供者包括快递物流服务组织、快递物流服务受理组织以及快件代存组织。

标准出台的目的是什么？

标准主要是为了解决快递物流服务存在的6大数据安全风险，包括数据收集风险、智能终端风险、快递运单风险、数据使用风险、数据提供与公开风险、数据出境风险，风险与对应安全要求如下图所示：

标准主要包含了哪些内容？

标准共分为14个章节，其中第7章至第13章分别是关于数据收集、数据存储和传输、数据使用和加工、数据提供和公开、数据删除、数据出境、个人信息主体权利的安全要求。

在数据收集环节，标准给出了快递物流App收集必要个人信息及扩展业务功能收集个人信息的范围，要求收集个人信息前应告知用户收集使用目的并获得同意，以及App不得在未使用邮件快件寄递相关业务功能时提前申请位置权限。此外，标准还要求快递物流服务提供者进行实名认证时，不得通过收集用户身份证照片的方式进行寄件用户身份校验。

针对智能服务终端，设备本身应具备防撬起措施防止违规提取数据，设备采集的个人信息则应进行加密离线存储。

对于快递运单信息的展示，标准指出应对快递运单中的用户姓名和电话号码进行去标识化处理，在不影响寄递业务开展的情况下尽可能对地址进行去标识化处理。

在数据访问的过程中，标准约束了快递物流服务提供者内部人员对于寄递用户个人身份信息、电话号码、地址等信息的访问，提出应通过系统外呼等功能降低内部人员对敏感信息的访问范围及访问频率，例如，采用系统呼叫功能实现客服、仓管、收派员等内部人员与寄递用户的语音联系，代替内部人员通过查询寄递用户明文电话号码后，手动输入寄递用户电话号码联系寄递用户的方式。同时标准给出了寄递用户线下渠道查询快递运单的信息查询反馈规则：寄递用户仅可查询其作为寄件方或收件方的运单基础信息、寄递物品及费用信息、快件状态信息等信息。

据小编了解，在标准编制过程中，顺丰紧扣快递物流行业业务场景，梳理业务流各环节的数据安全重点问题，立足于行业数据安全合规发展趋势，将顺丰较为成熟的面单脱敏、呼叫保护、查询水印、数据存储加密等领先的数据安全实践经验转化为要求。

该标准的发布实施，给快递物流行业提出了新的更高的管理要求和技术要求，将有利于推进快递物流服务数据安全管理标准化、规划化进程，指导快递物流服务提供者结合行业业务场景提升自身数据安全保护水平，对于快递物流行业的数据安全生态完善具有重要意义。