網上投稿
2025年12月3日上午,上海律協現代物流專業委員會在上海律協會議室和騰訊會議結合的形式舉辦“物流數據互聯的合規與可信基礎”的專題講座,共同探討物流行業在推進數據互聯、打破“信息孤島”、降低全社會物流成本、構建合規且可信數據治理體系中需要注意的數據合規監管問題。本次講座邀請到德恒上海律師事務所黎鑫律師主講,上海律協現代物流專業委員會副主任單文亮主持。講座以線下和線上同步的方式開展,共計90余人參會,其中線下10余人、線上79人參與。
主持人單律師先向線上線下的與會同仁表示歡迎,隨后指出,正如國家發改委等部門《關于推動物流數據開放互聯 有效降低全社會物流成本的實施方案》中提到的“物流是實體經濟的‘筋絡’,聯接生產和消費、內貿和外貿。 推動物流數據開放互聯,是提升資源配置效率,暢通實體經濟循環的重要舉措”,建立物流數據資源開放互聯機制,可有效促進降低全社會物流成本。但在建立開放互聯機制過程中,還需要參與互聯的機關,尤其企業等主體遵循數據合規的各項要求。而物流行業的數據合規究竟有哪些注意事項和實操要點,正是本次活動希望分享的內容。
主講人黎鑫律師介紹了本次講座的主要內容包括物流行業的數據生態、合規監管法律框架、物流數據合規要點、合規且可信的數據合規治理體系四個方面,并逐項展開如下:
在介紹“物流行業的數據生態”時,黎律師先介紹了:(1)湖南婁底市查處的一起篡改貨運車輛動態監控數據案件,涉事企業被處以行政罰款;(2)《沈陽市零售業創新提升試點城市實施方案》(2025年11月19日),其中提到“實施供應鏈服務增效行動,引導傳統商貿、物流企業拓展供應鏈一體化服務功能,提供供應鏈金融、供應鏈管理、科技服務、信息咨詢等各類專業化供應鏈業務”;(3)廣州港“物流+金融”一站式服務首單落地(2025年11月24日),介紹了廣州港物流結合擔保公司的供應鏈金融支持,實現“引貨入港”。隨后,黎律師說明,數據生態的建設往往伴隨著合規監管,并以上海市通信管理局發布的、關于申通快遞等27款APP因侵害用戶權益被下架的通報為切入點,展開對數據驅動的新風險的介紹,可以歸納為:(1)移動應用程序合規監管——下架、隱私泄露;(2)網絡安全與數據合規管理——“技術風險”和“內鬼風險”;和(3)數據(個人信息)處理全生命周期——與合作伙伴的權責劃分三個方面。
在介紹“合規監管法律框架”時,黎律師將數據合規法律框架概括為5個層面,包括:(1)傳統立法,包括《民法典》《國家安全法》《刑法》》《著作權法》《密碼法》《反不正當競爭法》《未成年人保護法》等,(2)“三駕馬車”,包括:(《網絡安全法》《數據安全法》《個人信息保護法》)(3)各單行政行法規規章,包括:《網絡數據安全管理條例》《網絡安全審查辦法》《關鍵信息基礎設施安全保護條例》《數據出境安全評估辦法》《未成年人網絡保護條例》《快遞暫行條例》等,(4)其他行政規范性文件,包括《App違法違規收集使用個人信息行為認定方法》《生成式人工智能服務管理暫行辦法》《促進和規范數據跨境流動規定》《寄遞服務用戶個人信息安全管理規定》《網絡平臺道路貨物運輸經營管理暫行辦法》,(5)國家標準和行業標準(《信息安全技術 個人信息安全規范》《快遞電子運單》《網絡安全技術 人工智能生成合成內容標識方法》等。黎律師又對“三駕馬車”和《促進和規范數據跨境流動規定》中的重點條款進行了詳解的解讀,包括《網絡安全法》(2026)第二十三條規定的“網絡安全等級保護制度”、《數據安全法》(2021)第二十一條規定的“數據分類分級保護制度”和第二十七條規定的“建立健全全流程數據安全管理制度”、《個人信息保護法》(2021)第十四條等規定的“知情同意制度”、《促進和規范數據跨境流動規定》(2024)第八條規定的標準需要結合《個人信息處境標準合同備案指南(第二版)》第一條關于適用范圍的規定進行理解。
在介紹“物流數據合規要點”時,黎律師先介紹了“2024年1月1日至2025年6月30日期間港股IPO披露數據合規相關內容的匯總”情況,說明在IPO工作中監管重點包括:(1)企業在業務經營與內部管理過程中的整體數據安全能力和合規狀態;(2)企業對于新規有充分的合規承載能力和應對方案;(3)企業滿足特定行業/領域的合規監管要求,例如AIGC/算法規范的適用及合規性、汽車數據若干規定的適用及合規性。黎律師接下來分別介紹了:1.移動應用程序合規要點包括:隱私政策文本與設置(以“告知-同意”原則為核心),第三方插件(SDK)管理(第三方清單、監測安全漏洞),權限獲取合規(不得強制、頻繁、過度索取權限),用戶權益保障合規(保障投訴反饋渠道暢通),用戶數據使用合規(自動化決策機制的說明與拒絕路徑)。2.網絡安全與數據合規管理層面的要點包括:(1)網絡安全,主要是等級保護義務,對信息系統的安全等級進行評定、測評與備案。(2)網絡安全與數據合規制度管理,包括建立網絡安全、數據安全與個人信息保護的內部組織架構和管理機制,采取保障網絡安全、數據安全與個人信息的必要技術措施,籌備網絡安全、數據安全與個人信息安全事件的應急預案三個方面。(3)數據合規,包括分類分級、全流程合規處理、教育培訓、審計評估幾個方面。(4)網絡安全審查是針對a.關鍵信息基礎設施運營者采購網絡產品和服務,網絡平臺運營者開展數據處理活動,影響或者可能影響國家安全的;b.掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市的主體進行的。3.數據(個人信息)處理全生命周期合規要點包括:(1)收集時注意:數據來源合法性審查、對收集的數據進行分類分級、收集個人信息以告知-同意為核心、注重用戶授權同意收集的過程、專門的兒童個人信息處理規則;(2)使用時注意:明確數據使用的操作規范,明確公司內部的數據訪問、使用管理,自動化決策機制的說明與路徑退出設計;(3)提供時注意:包括向境外提供數據、向委托方提供數據、關聯公司之間共享數據、合作機構之間共享數據幾種情形;(4)傳輸中注意:數據傳輸過程加密,保證傳輸完整;跨境傳輸;公司與合作伙伴或集團內部之間的數據傳輸;公司各部門間的數據傳輸;(5)存儲時注意:滿足安全需要的防侵入、防泄漏、防越權,日志可回溯,數據分類分級存儲,容災備份;(6)刪除包括:委托關系終止的數據刪除、存儲期限屆滿的數據刪除、基于數據主體撤回同意的數據刪除。
在介紹“合規且可信的數據治理體系”時,黎律師對“物流數據‘大互聯’時代”進行了解讀,重點依據的是2025年11月10日國家發改委等十部門發布的《關于推動物流數據開放互聯 有效降低全社會物流成本的實施方案》,黎律師提到《實施方案》的最終目的是“打破數據壁壘 降低物流成本”,而可信空間和企業的合規管理工作則是實現目標的保障。此外,黎律師也對國家發改委等部門在2025年2月發布的《關于開展物流數據開放互聯試點工作的通知》中的試點任務、促進可信交互等舉措進行了解讀,最后肯定了《國家物流公共數據共享開放清單(2025)》規定的具體內容,表達了對公私數據融合的信心。
黎律師的主題分享結束后,線上線下與會嘉賓圍繞日常業務中遇到的數據合規的具體問題,與黎律師進行了深入的交談,也解決了與會嘉賓的疑問。
(注:以上嘉賓觀點,根據錄音整理,未經本人審閱)
供稿:上海律協現代物流專業委員會
執筆:單文亮 上海正策律師事務所
修訂:黎鑫 德恒上海律師事務所