返回列表
谈邮政快递领域个人信息安全治理专项
2022-05-17

摘要

4月21日国家邮政局会同公安部和网信办联合启动为期半年的邮政快递领域个人信息安全治理专项行动,以治理该领域侵犯公民个人信息违法犯罪等乱象问题和促进行业提升个人信息保护水平。

自从2015年邮政快递行业推行“收寄验视制和实名制”,邮政快递企业在服务过程涉及依法收集并使用地址、身份证、电话等多种类的个人信息。基于其服务性质和所涉数据敏感性,一旦保障措施“掉链子”,将带来数据泄露、篡改、丢失的直接伤害,还将可能引起数据被用于电信诈骗、空包“刷单”等非法目的导致个人财产或人身安全损害和扰乱社会秩序稳定等次生伤害。

邮政快递行业较早关注用户的信息安全,早在2009年邮政法就提出企业采取各类措施保障用户使用邮政服务的信息安全。鉴于监管部门联合开展安全治理专项活动,有关企业应积极配合专项活动的统筹调度,开展对个人信息处理情况合法合规情况的排查与风险评估,并根据评估结果所获悉的处理目的、方式及可能存在的安全风险针对性优化内部的安全技术和管理措施,构建集积极预防和主动响应于一体的信息安全体系,有效提升数据安全和个人信息权益保障能力。

一、专项行动背景

该专项活动由邮政快递行业主管部门国家邮政局、公安部和网信办三个监督管理部门联动开展,其以问题治理为导向更以目标达成为导向,重点打击并遏制该领域侵犯公民个人信息违法犯罪行为、健全并完善邮政快递领域个人信息保护相关制度措施,同时敦促各企业落实主体责任,以提升该领域个人信息保护水平。

(一)问题导向

近年来手握内容丰富且巨量个人信息的邮政快递企业已成为个人信息黑产的重要目标,侵犯个人信息的违法犯罪行为频发,其更是有着伴随“618”、双十一等电商平台促销活动导致快递寄送需求激增而呈现数据泄露等风险高发的规律。快递面单被非法整合并倒卖和邮政快递企业内部员工违规泄露数据为此类事件的源头。

黑产倒卖倒快递运单现象频发。许多网购消费者可能有类似体验,电商网购后不断收到的骚扰电话、广告推广信息或电话,很可能是因为网购货物的快递信息被泄露了。根据有关新闻报道,网络平台各类贴吧乃至电商平台均存在隐秘兜售实时的或汇总后的历史快递面单或快递信息,包含收件人和寄件人的姓名、电话、地址及网购商品类型等详细个人信息,价格以几毛到几块钱不等。这类底下交易称之为“料子”,其买卖涉及的主体面广,网购货物卖家、承运快递主体后台系统人员、快递中转站分拣员或收寄快递的快递员都可能成为快递面单数据故意泄露或倒卖的主体。以倒卖快递面单或快递信息为核心,泄露快递面单信息,再进行数据整合和打包销售给下游的营销推广、电商刷单及电信网络诈骗团伙已形成“泄露方-中间商-下游购买方”的黑色产业链。

邮政快递企业不乏内部员工违规泄露数据层出不穷。2020年圆通速递有限公司(下称“圆通”)河北省区因内部员工违规泄露40万条个人导致圆通被上海网信办、公安及邮政管理局等多个监管部门约谈并责令整改。事出原因为圆通内部员工与不法分子勾结,利用员工账号和第三方非法工具窃取运单信息并打包售卖给下游的电信网络诈骗团伙。圆通声称其总部实时运行的风控系统已及时监测到该事发快递的有关网点的账号异常登录并异常查询的异常操作,但该事件中仍造成了40多万条个人信息遭到泄露。根据揭阳市中级人民法院2022年4月27日的新闻稿,某新入职的快递员蔡某在9日内利用分拣快递包裹的职务之便,用手机拍了8千多条个人信息照片,同时以1.3元/条-1.5元/条信息不等的价格出售给同案人李某,牟利1万多元,最终被普宁市人民法院以侵犯公民个人信息判处有期徒刑10个月以及并处罚金。

邮政快递信息黑色产业链中,被泄露的数据被不法分子用于电商的空包“刷单”、精准营销、电信诈骗等非法用途,这不仅直接侵害了《个人信息保护法》规定的个人信息主体的合法权益,同时若不法分子利用该信息进行诈骗、刷单等非法用途,也将可能产生侵害个人财产安全和人身安全、以及扰乱社会经济秩序文的后果。因此通过开展专项活动打击侵犯个人信息的违法犯罪行为意义重大。

(二)目标导向

监管部门在邮政快递行业启动专项行动另一目标为以源头治理的方式,敦促企业落实主体责任,规范企业个人信息处理和安全保障行为,以保障关键信息基础设施安全、维护网络安全和提升个人信息保护水平。邮政快递行业涉及公共通信和信息服务,属于关键信息基础设施。该行业的企业掌握种类丰富且数量巨大的个人信息(含敏感个人信息),一旦数据泄露,将可能产生危害国计民生、国家安全和公共利益等不利后果。

根据《网络安全法》和《关键信息基础设施安全保护条例》有关规定,邮政及快递行业属于关键信息基础设施保护的重要行业领域。

法律法规

有关内容或规定

网络安全法

2017年6月1日施行

第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

关键信息基础设施安全保护条例

2021年9月1日施行

第二条 本条例所称关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等

快递行业涉及收集用户使用邮政服务过程有关的各类个人信息,在国家推行实名制后,依法收集包括身份信息、地址等敏感个人信息。国家在2015年就推动“收寄验视制度”和“收寄实名制”专项活动,同时于2018年相继颁布并施行了《快递暂行条例》《邮件快件实名收寄管理办法》,要求邮件快递行业在提供寄递服务过程依法核验并登记寄件人的身份信息,同时明确要求寄件人依法提供寄件人姓名、地址、联系电话、收件人姓名、地址、联系电话、寄件物品名称、性质和数量等。

政策或法规

有关内容或规定

《国家邮政局部署专项行动 加快推动寄递渠道安全管理制度全面落实》

推行落实实名收寄制度

2015年11月1日施行

二是要加快推进实名收寄。自2015年11月1日起,除信件和已有安全保障机制的协议客户的快件、通过自助邮局(智能快件箱)等交寄的邮件、快件外,一律要求通过对寄件人电话号码及相关身份信息比对核实后方可收寄。要重点强化对街边、车站、酒店、广场等人员流动公共场所收寄邮件快件的实名管控。同时,通知要求各企业对电商协议客户也要填写完整准确的寄件人信息并定期抽查核实,确保向邮政管理部门报送完整真实的用户信息,实现寄件人身份可追溯、可查询。

快递暂行条例

(2018年5月1日施行,2019修订并于2019年3月2日施行

第二十一条 经营快递业务的企业在寄件人填写快递运单前,应当提醒其阅读快递服务合同条款、遵守禁止寄递和限制寄递物品的有关规定,告知相关保价规则和保险服务项目。
寄件人交寄贵重物品的,应当事先声明;经营快递业务的企业可以要求寄件人对贵重物品予以保价。

第二十二条 寄件人交寄快件,应当如实提供以下事项:
(一)寄件人姓名、地址、联系电话;
(二)收件人姓名(名称)、地址、联系电话;
(三)寄递物品的名称、性质、数量。
除信件和已签订安全协议用户交寄的快件外,经营快递业务的企业收寄快件,应当对寄件人身份进行查验,并登记身份信息,但不得在快递运单上记录除姓名(名称)、地址、联系电话以外的用户身份信息。寄件人拒绝提供身份信息或者提供身份信息不实的,经营快递业务的企业不得收寄。

第三十四条 经营快递业务的企业应当建立快递运单及电子数据管理制度,妥善保管用户信息等电子数据,定期销毁快递运单,采取有效技术手段保证用户信息安全。具体办法由国务院邮政管理部门会同国务院有关部门制定。

经营快递业务的企业及其从业人员不得出售、泄露或者非法提供快递服务过程中知悉的用户信息。发生或者可能发生用户信息泄露的,经营快递业务的企业应当立即采取补救措施,并向所在地邮政管理部门报告。

邮件快件实名收寄管理办法

2018年10月22日施行

第三条 邮政企业、快递企业、经营邮政通信业务的企业(以下统称寄递企业)应当执行实名收寄,在收寄邮件、快件时,要求寄件人出示有效身份证件,对寄件人身份进行查验,并登记身份信息。
寄件人出示的有效身份证件包括:
(一)居民身份证、临时居民身份证;
(二)中国人民解放军军人身份证件、中国人民武装警察身份证件;
(三)港澳台居民居住证、港澳居民来往内地通行证、台湾居民来往大陆通行证;
(四)外国公民护照;
(五)国家规定的其他有效身份证件。

第十条 寄件人交寄邮件、快件时,应当出示本人有效身份证件,如实填写邮件详情单、快递运单等寄递详情单。

以EMS中国邮政速递物流服务为例,用户通过小程序、APP下单寄送快递时,用户需点击阅读并同意服务协议及隐私保护声明对服务过程收集的个人信息类型和个人信息处理规则进行了说明。

邮政快递行业较早关注用户快递信息安全,同时该领域明确要求企业采取各类措施有效防控用户的快递信息安全。

1987年1月1日首部施行的《中华人民共和国邮政法》(下称“《邮政法》”)提出邮政企业应提供安全的邮政服务同时不得向任何组织或个人提供用户使用邮政业务的情况。《邮政法》2009年第一次修订版中,更是首次提出确保“邮政通信与信息安全”、明令禁止泄露用户使用邮政服务的信息,同时首次明确规定违法提供用户使用邮政服务或快递服务的信息的企业和有关从业人员的违法行为的罚则;《邮政法》2012年修订稿和2015年修订稿(即现行有效版)关于信息安全的内容则基本沿袭了2009年修订稿的内容。

《快递暂行条例》(2019修订)的第四和第五章细化了快递企业提供服务过程应遵循的保障用户信息安全各类义务。其第28条规定企业具有实行全程信息化管理和接受并响应用户对服务质量的投诉义务;第34条规定企业具有建立快递运单及电子数据管理制度、定期销毁运单、采取有效技术手段保障信息安全的义务,以及不得非法提供用户信息和如发生问题后采取补救措施和向管理部门报告的义务;第35条则明确了企业应依法建立安全生产责任制,制定突发事件应急预案并定期开展演练等有关义务。

二、快递行业个人信息安全保护的痛点及应对措施

(一)快递行业的个人信息安全保护痛点

根据北源数据合规团队在数据合规建设项目经验和邮政快递企业的个人信息处理实际情况,该领域出现数据安全风险的主要原因在于以下几点:

1. 快递运单数据的安全管控不足,明文存储、明文展示使用运单数据为数据泄露埋下隐患

快递运单或快递面单,为快递行业在运送货物的过程中用以记录发件人、收件人以及产品重量、价格等相关信息单据,包括快递企业信息系统的电子单据和贴在快递包裹外面的纸质单据。

快递运单的安全管理不善是快递行业数据安全事件的源头之一。许多快递企业未对快递运单数据采取加密、去标识化等技术措施,导致这类集合了用户的姓名、手机号和收寄地址等详细个人信息以明文方式存储于数据库、信息系统,更是以明文方式展示于快递包裹的面单、各个网点或涉及数据管理人员的操作终端界面,例如快递员的快递巴枪屏幕、内部员工、各网点、驿站的员工的电脑屏幕和数据库管理人员的后台信息管理系统或平台中。一旦数据库遭到“脱库”或者运单数据被非法下载或非法收集汇总,不法分子无需做任何解密或分析,即可直接获取有关数据。

(示例:某快递企业明文的快递运单)

2. 快递数据的操作权限管理不当,为数据违规操作和数据泄露等安全事件留下可利用的漏洞

快递企业内部的数据操作权限和账户管理机制粗放,未有效确保数据操作权限的最小必要化,同时怠于开展账号操作审计,未能及时检查和纠正不当的权限操作,这些都是数据泄露等安全事件可利用的漏洞。

基于服务的便利性快递企业一般都为快递员、网点工作人员、合作驿站人员、服务门店人员及总部信息数据库管理员甚至服务过程的外包第三方人员开通涉及快递运单数据的查询、读取等权限的账户,从用户通过APP、小程序进行实名验证并下单,到快递人员上门收件使用巴枪扫描运单二维码录入信息,设置在快递人员上面派送快递核验身份等过程,都涉及到数据查询或读取的场景。开通的账户权限范围过大、一个人多个账户、未及时回收或关闭、“僵尸”账号等账户管理不符合最小必要的例子。前述的圆通内鬼泄密的事件之一也在于权限的管控问题,涉案网点的账户可查询、下载的数据范围过大,让不法分子有机可乘。

3. 安全风险的监测体系和应急措施的有效性不足,未能有效预防和及时响应潜在或已发生的数据安全风险或威胁

安全风险监测体系和应急响应能力和有效性不足也邮政快递企业需重点关注的数据安全合规痛点。鉴于邮政法颁布实施多年,且其明令要求邮政快递企业应制定各类安全制度、采取安全保障措施并定期开展安全事件应急演练等义务,有关邮政快递企业或许都已建立相应的风险体系。但在频发的内鬼事件和越来越严峻的安全风险威胁下,已有措施的效用性和企业实际的合规能力仍需值得重新审视的。许多企业已有的检查体系形同虚设,其安全能力指标无法与潜在的安全风险相匹配,在进行快速检查面临的安全威胁的速度、高效响应并处置安全事件、准确且有效识别正常和异常网络设备资产并进行及时且有效的访问控制和策略的及时调整能力等安全能力指标上,仍有较大的提升空间。因此,关注各类风控措施和体系的有效性,是本次专项活动的关键,确保企业面临内部和外部数据安全威胁时,能及时有效识别风险,有效阻断风险并作出补救响应措施,是重点。

4. 针对人员的安全教育和培训等有效管理不足,内部员工安全意识不足

针对快递从业人员的教育与培训宣贯不到位则是邮政快递企业“内鬼”作案的一个不可忽视的原因。缺少上岗前的信息安全培训、培训过于形式化和培训内容缺乏针对性,是有关个人信息安全培训通病。快递网点等一线快递从业人员未能对泄露并出售公民个人信息的行为给自身带来造成违法犯罪后果,以及该行为将可能对企业、社会和被泄露个人信息的个人所带来的危害性形成正确认知,在利益的驱使下进行非法收集、获取数据并转售给黑产下游人员。

(二)提升邮政快递行业个人信息安全保障水平

1. 开展邮政快递个人信息处理活动遵守法律法规的情况开展排查评估是源头管控和针对性提升保障水平的首要环节。只有明晰个人信息处理目的、方式情况和可能存在的风险或漏洞源头,企业所采取提升个人信息安全提升策略及举措才更针对性。

2.重点提升技术措施和管理措施有效性,通过人防技防和物防多种举措有机组合,建立长效机制:

(1)针对快递运单管理,强调覆盖全生命周期的加密、去标识化技术的应用,即在数据从快递巴枪从APP、小程序、网站等端口收集并录入个人信息的节点到数据的传输和存储等环节,采取局部抑制(俗称“部分掩盖”或“部分抑制”)等去标识或加密方法、在快递收寄环节推广虚拟安全号码、网络身份认证等安全技术,确保快递运单数据的安全。

(2)强化数据操作权限的合理分配和管控,覆盖邮政企业、有关部门、网点、从业人员及第三方合作方的数据权限全流程的管理,从权限开通到关闭,确保其操作账户权限符合处理数据目的所必需最小范围的数据、最小期限和最小的操作权限。该过程可通过流程与技术检测手段进行“事先审批”、“事中监控”和“事后审计”闭环管控。

(3)升级安全风险的监测体系和应急预案,重点提升其针对性和有效性。该过程或许需企业研发或外购具备安全能力指标更强的检测体系,同时升级内部的安全监测策略,以确保对对潜在数据安全风险或威胁进行有效识别、处置和管控。

(4)定期对员工进行个人信息安全培训教育,提升个人信息的安全保护意识。可开展对普通员工的法律、法规和企业有关规定的教育和宣贯,助其提升个人信息保护意义和侵犯个人信息的违法违规行为后果的认识;以及对数据运维人员或具有数据较大操作权限员工开展岗前教育培训,采取考核后上岗等管理方式,促进其提升个人信息保护的有关法律知识、保护意识和保护技能。

附表

参考资料:

 

1.《国家邮政局 公安部 国家互联网信息办公室联合启动邮政快递领域个人信息安全治理专项行动》

http://www.spb.gov.cn/gjyzj/c100015/c100016/202204/b0969cffe9914195be09eb58d34328b6.shtml

 

2.《国家邮政局部署专项行动 加快推动寄递渠道安全管理制度全面落实》

http://www.spb.gov.cn/gjyzj/c100001/c100002/c100088/c100090/201510/5ad24b57deff4ba29de1ef2d7cb4cef4.shtml

 

3.《筑牢个人信息防护线,“寄递行业网络安全峰会”在上海举办》https://baijiahao.baidu.com/s?id=1713692656100268276&wfr=spider&for=pc

 

4.快递业信息泄露再调查:下单当天,你的信息可能已被卖给电诈分子

https://www.baidu.com/link?url=TI1wn7dbrDf430U__72VP65dtl-_YhQTkehrhJjnOchfUOLW5C7H_Y0c8EaeHUERRhYxglmuitgOK37yWQh8ac5yv17N8W2Bbxv_0jQo4JC&wd=&eqid=d7ca631700078b96000000066281bcd8 

 

5.【法庭内外】贩卖客户信息牟利 快递员获刑10个月揭阳市中级人民法院

https://mp.weixin.qq.com/s/-3OVi_gUKA7WilXTiabWuw

 

作者:许瑞凤

 (文中观点不代表北源律师事务所的观点或法律意见)

返回列表
谈邮政快递领域个人信息安全治理专项
2022-05-17

摘要

4月21日国家邮政局会同公安部和网信办联合启动为期半年的邮政快递领域个人信息安全治理专项行动,以治理该领域侵犯公民个人信息违法犯罪等乱象问题和促进行业提升个人信息保护水平。

自从2015年邮政快递行业推行“收寄验视制和实名制”,邮政快递企业在服务过程涉及依法收集并使用地址、身份证、电话等多种类的个人信息。基于其服务性质和所涉数据敏感性,一旦保障措施“掉链子”,将带来数据泄露、篡改、丢失的直接伤害,还将可能引起数据被用于电信诈骗、空包“刷单”等非法目的导致个人财产或人身安全损害和扰乱社会秩序稳定等次生伤害。

邮政快递行业较早关注用户的信息安全,早在2009年邮政法就提出企业采取各类措施保障用户使用邮政服务的信息安全。鉴于监管部门联合开展安全治理专项活动,有关企业应积极配合专项活动的统筹调度,开展对个人信息处理情况合法合规情况的排查与风险评估,并根据评估结果所获悉的处理目的、方式及可能存在的安全风险针对性优化内部的安全技术和管理措施,构建集积极预防和主动响应于一体的信息安全体系,有效提升数据安全和个人信息权益保障能力。

一、专项行动背景

该专项活动由邮政快递行业主管部门国家邮政局、公安部和网信办三个监督管理部门联动开展,其以问题治理为导向更以目标达成为导向,重点打击并遏制该领域侵犯公民个人信息违法犯罪行为、健全并完善邮政快递领域个人信息保护相关制度措施,同时敦促各企业落实主体责任,以提升该领域个人信息保护水平。

(一)问题导向

近年来手握内容丰富且巨量个人信息的邮政快递企业已成为个人信息黑产的重要目标,侵犯个人信息的违法犯罪行为频发,其更是有着伴随“618”、双十一等电商平台促销活动导致快递寄送需求激增而呈现数据泄露等风险高发的规律。快递面单被非法整合并倒卖和邮政快递企业内部员工违规泄露数据为此类事件的源头。

黑产倒卖倒快递运单现象频发。许多网购消费者可能有类似体验,电商网购后不断收到的骚扰电话、广告推广信息或电话,很可能是因为网购货物的快递信息被泄露了。根据有关新闻报道,网络平台各类贴吧乃至电商平台均存在隐秘兜售实时的或汇总后的历史快递面单或快递信息,包含收件人和寄件人的姓名、电话、地址及网购商品类型等详细个人信息,价格以几毛到几块钱不等。这类底下交易称之为“料子”,其买卖涉及的主体面广,网购货物卖家、承运快递主体后台系统人员、快递中转站分拣员或收寄快递的快递员都可能成为快递面单数据故意泄露或倒卖的主体。以倒卖快递面单或快递信息为核心,泄露快递面单信息,再进行数据整合和打包销售给下游的营销推广、电商刷单及电信网络诈骗团伙已形成“泄露方-中间商-下游购买方”的黑色产业链。

邮政快递企业不乏内部员工违规泄露数据层出不穷。2020年圆通速递有限公司(下称“圆通”)河北省区因内部员工违规泄露40万条个人导致圆通被上海网信办、公安及邮政管理局等多个监管部门约谈并责令整改。事出原因为圆通内部员工与不法分子勾结,利用员工账号和第三方非法工具窃取运单信息并打包售卖给下游的电信网络诈骗团伙。圆通声称其总部实时运行的风控系统已及时监测到该事发快递的有关网点的账号异常登录并异常查询的异常操作,但该事件中仍造成了40多万条个人信息遭到泄露。根据揭阳市中级人民法院2022年4月27日的新闻稿,某新入职的快递员蔡某在9日内利用分拣快递包裹的职务之便,用手机拍了8千多条个人信息照片,同时以1.3元/条-1.5元/条信息不等的价格出售给同案人李某,牟利1万多元,最终被普宁市人民法院以侵犯公民个人信息判处有期徒刑10个月以及并处罚金。

邮政快递信息黑色产业链中,被泄露的数据被不法分子用于电商的空包“刷单”、精准营销、电信诈骗等非法用途,这不仅直接侵害了《个人信息保护法》规定的个人信息主体的合法权益,同时若不法分子利用该信息进行诈骗、刷单等非法用途,也将可能产生侵害个人财产安全和人身安全、以及扰乱社会经济秩序文的后果。因此通过开展专项活动打击侵犯个人信息的违法犯罪行为意义重大。

(二)目标导向

监管部门在邮政快递行业启动专项行动另一目标为以源头治理的方式,敦促企业落实主体责任,规范企业个人信息处理和安全保障行为,以保障关键信息基础设施安全、维护网络安全和提升个人信息保护水平。邮政快递行业涉及公共通信和信息服务,属于关键信息基础设施。该行业的企业掌握种类丰富且数量巨大的个人信息(含敏感个人信息),一旦数据泄露,将可能产生危害国计民生、国家安全和公共利益等不利后果。

根据《网络安全法》和《关键信息基础设施安全保护条例》有关规定,邮政及快递行业属于关键信息基础设施保护的重要行业领域。

法律法规

有关内容或规定

网络安全法

2017年6月1日施行

第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

关键信息基础设施安全保护条例

2021年9月1日施行

第二条 本条例所称关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等

快递行业涉及收集用户使用邮政服务过程有关的各类个人信息,在国家推行实名制后,依法收集包括身份信息、地址等敏感个人信息。国家在2015年就推动“收寄验视制度”和“收寄实名制”专项活动,同时于2018年相继颁布并施行了《快递暂行条例》《邮件快件实名收寄管理办法》,要求邮件快递行业在提供寄递服务过程依法核验并登记寄件人的身份信息,同时明确要求寄件人依法提供寄件人姓名、地址、联系电话、收件人姓名、地址、联系电话、寄件物品名称、性质和数量等。

政策或法规

有关内容或规定

《国家邮政局部署专项行动 加快推动寄递渠道安全管理制度全面落实》

推行落实实名收寄制度

2015年11月1日施行

二是要加快推进实名收寄。自2015年11月1日起,除信件和已有安全保障机制的协议客户的快件、通过自助邮局(智能快件箱)等交寄的邮件、快件外,一律要求通过对寄件人电话号码及相关身份信息比对核实后方可收寄。要重点强化对街边、车站、酒店、广场等人员流动公共场所收寄邮件快件的实名管控。同时,通知要求各企业对电商协议客户也要填写完整准确的寄件人信息并定期抽查核实,确保向邮政管理部门报送完整真实的用户信息,实现寄件人身份可追溯、可查询。

快递暂行条例

(2018年5月1日施行,2019修订并于2019年3月2日施行

第二十一条 经营快递业务的企业在寄件人填写快递运单前,应当提醒其阅读快递服务合同条款、遵守禁止寄递和限制寄递物品的有关规定,告知相关保价规则和保险服务项目。
寄件人交寄贵重物品的,应当事先声明;经营快递业务的企业可以要求寄件人对贵重物品予以保价。

第二十二条 寄件人交寄快件,应当如实提供以下事项:
(一)寄件人姓名、地址、联系电话;
(二)收件人姓名(名称)、地址、联系电话;
(三)寄递物品的名称、性质、数量。
除信件和已签订安全协议用户交寄的快件外,经营快递业务的企业收寄快件,应当对寄件人身份进行查验,并登记身份信息,但不得在快递运单上记录除姓名(名称)、地址、联系电话以外的用户身份信息。寄件人拒绝提供身份信息或者提供身份信息不实的,经营快递业务的企业不得收寄。

第三十四条 经营快递业务的企业应当建立快递运单及电子数据管理制度,妥善保管用户信息等电子数据,定期销毁快递运单,采取有效技术手段保证用户信息安全。具体办法由国务院邮政管理部门会同国务院有关部门制定。

经营快递业务的企业及其从业人员不得出售、泄露或者非法提供快递服务过程中知悉的用户信息。发生或者可能发生用户信息泄露的,经营快递业务的企业应当立即采取补救措施,并向所在地邮政管理部门报告。

邮件快件实名收寄管理办法

2018年10月22日施行

第三条 邮政企业、快递企业、经营邮政通信业务的企业(以下统称寄递企业)应当执行实名收寄,在收寄邮件、快件时,要求寄件人出示有效身份证件,对寄件人身份进行查验,并登记身份信息。
寄件人出示的有效身份证件包括:
(一)居民身份证、临时居民身份证;
(二)中国人民解放军军人身份证件、中国人民武装警察身份证件;
(三)港澳台居民居住证、港澳居民来往内地通行证、台湾居民来往大陆通行证;
(四)外国公民护照;
(五)国家规定的其他有效身份证件。

第十条 寄件人交寄邮件、快件时,应当出示本人有效身份证件,如实填写邮件详情单、快递运单等寄递详情单。

以EMS中国邮政速递物流服务为例,用户通过小程序、APP下单寄送快递时,用户需点击阅读并同意服务协议及隐私保护声明对服务过程收集的个人信息类型和个人信息处理规则进行了说明。

邮政快递行业较早关注用户快递信息安全,同时该领域明确要求企业采取各类措施有效防控用户的快递信息安全。

1987年1月1日首部施行的《中华人民共和国邮政法》(下称“《邮政法》”)提出邮政企业应提供安全的邮政服务同时不得向任何组织或个人提供用户使用邮政业务的情况。《邮政法》2009年第一次修订版中,更是首次提出确保“邮政通信与信息安全”、明令禁止泄露用户使用邮政服务的信息,同时首次明确规定违法提供用户使用邮政服务或快递服务的信息的企业和有关从业人员的违法行为的罚则;《邮政法》2012年修订稿和2015年修订稿(即现行有效版)关于信息安全的内容则基本沿袭了2009年修订稿的内容。

《快递暂行条例》(2019修订)的第四和第五章细化了快递企业提供服务过程应遵循的保障用户信息安全各类义务。其第28条规定企业具有实行全程信息化管理和接受并响应用户对服务质量的投诉义务;第34条规定企业具有建立快递运单及电子数据管理制度、定期销毁运单、采取有效技术手段保障信息安全的义务,以及不得非法提供用户信息和如发生问题后采取补救措施和向管理部门报告的义务;第35条则明确了企业应依法建立安全生产责任制,制定突发事件应急预案并定期开展演练等有关义务。

二、快递行业个人信息安全保护的痛点及应对措施

(一)快递行业的个人信息安全保护痛点

根据北源数据合规团队在数据合规建设项目经验和邮政快递企业的个人信息处理实际情况,该领域出现数据安全风险的主要原因在于以下几点:

1. 快递运单数据的安全管控不足,明文存储、明文展示使用运单数据为数据泄露埋下隐患

快递运单或快递面单,为快递行业在运送货物的过程中用以记录发件人、收件人以及产品重量、价格等相关信息单据,包括快递企业信息系统的电子单据和贴在快递包裹外面的纸质单据。

快递运单的安全管理不善是快递行业数据安全事件的源头之一。许多快递企业未对快递运单数据采取加密、去标识化等技术措施,导致这类集合了用户的姓名、手机号和收寄地址等详细个人信息以明文方式存储于数据库、信息系统,更是以明文方式展示于快递包裹的面单、各个网点或涉及数据管理人员的操作终端界面,例如快递员的快递巴枪屏幕、内部员工、各网点、驿站的员工的电脑屏幕和数据库管理人员的后台信息管理系统或平台中。一旦数据库遭到“脱库”或者运单数据被非法下载或非法收集汇总,不法分子无需做任何解密或分析,即可直接获取有关数据。

(示例:某快递企业明文的快递运单)

2. 快递数据的操作权限管理不当,为数据违规操作和数据泄露等安全事件留下可利用的漏洞

快递企业内部的数据操作权限和账户管理机制粗放,未有效确保数据操作权限的最小必要化,同时怠于开展账号操作审计,未能及时检查和纠正不当的权限操作,这些都是数据泄露等安全事件可利用的漏洞。

基于服务的便利性快递企业一般都为快递员、网点工作人员、合作驿站人员、服务门店人员及总部信息数据库管理员甚至服务过程的外包第三方人员开通涉及快递运单数据的查询、读取等权限的账户,从用户通过APP、小程序进行实名验证并下单,到快递人员上门收件使用巴枪扫描运单二维码录入信息,设置在快递人员上面派送快递核验身份等过程,都涉及到数据查询或读取的场景。开通的账户权限范围过大、一个人多个账户、未及时回收或关闭、“僵尸”账号等账户管理不符合最小必要的例子。前述的圆通内鬼泄密的事件之一也在于权限的管控问题,涉案网点的账户可查询、下载的数据范围过大,让不法分子有机可乘。

3. 安全风险的监测体系和应急措施的有效性不足,未能有效预防和及时响应潜在或已发生的数据安全风险或威胁

安全风险监测体系和应急响应能力和有效性不足也邮政快递企业需重点关注的数据安全合规痛点。鉴于邮政法颁布实施多年,且其明令要求邮政快递企业应制定各类安全制度、采取安全保障措施并定期开展安全事件应急演练等义务,有关邮政快递企业或许都已建立相应的风险体系。但在频发的内鬼事件和越来越严峻的安全风险威胁下,已有措施的效用性和企业实际的合规能力仍需值得重新审视的。许多企业已有的检查体系形同虚设,其安全能力指标无法与潜在的安全风险相匹配,在进行快速检查面临的安全威胁的速度、高效响应并处置安全事件、准确且有效识别正常和异常网络设备资产并进行及时且有效的访问控制和策略的及时调整能力等安全能力指标上,仍有较大的提升空间。因此,关注各类风控措施和体系的有效性,是本次专项活动的关键,确保企业面临内部和外部数据安全威胁时,能及时有效识别风险,有效阻断风险并作出补救响应措施,是重点。

4. 针对人员的安全教育和培训等有效管理不足,内部员工安全意识不足

针对快递从业人员的教育与培训宣贯不到位则是邮政快递企业“内鬼”作案的一个不可忽视的原因。缺少上岗前的信息安全培训、培训过于形式化和培训内容缺乏针对性,是有关个人信息安全培训通病。快递网点等一线快递从业人员未能对泄露并出售公民个人信息的行为给自身带来造成违法犯罪后果,以及该行为将可能对企业、社会和被泄露个人信息的个人所带来的危害性形成正确认知,在利益的驱使下进行非法收集、获取数据并转售给黑产下游人员。

(二)提升邮政快递行业个人信息安全保障水平

1. 开展邮政快递个人信息处理活动遵守法律法规的情况开展排查评估是源头管控和针对性提升保障水平的首要环节。只有明晰个人信息处理目的、方式情况和可能存在的风险或漏洞源头,企业所采取提升个人信息安全提升策略及举措才更针对性。

2.重点提升技术措施和管理措施有效性,通过人防技防和物防多种举措有机组合,建立长效机制:

(1)针对快递运单管理,强调覆盖全生命周期的加密、去标识化技术的应用,即在数据从快递巴枪从APP、小程序、网站等端口收集并录入个人信息的节点到数据的传输和存储等环节,采取局部抑制(俗称“部分掩盖”或“部分抑制”)等去标识或加密方法、在快递收寄环节推广虚拟安全号码、网络身份认证等安全技术,确保快递运单数据的安全。

(2)强化数据操作权限的合理分配和管控,覆盖邮政企业、有关部门、网点、从业人员及第三方合作方的数据权限全流程的管理,从权限开通到关闭,确保其操作账户权限符合处理数据目的所必需最小范围的数据、最小期限和最小的操作权限。该过程可通过流程与技术检测手段进行“事先审批”、“事中监控”和“事后审计”闭环管控。

(3)升级安全风险的监测体系和应急预案,重点提升其针对性和有效性。该过程或许需企业研发或外购具备安全能力指标更强的检测体系,同时升级内部的安全监测策略,以确保对对潜在数据安全风险或威胁进行有效识别、处置和管控。

(4)定期对员工进行个人信息安全培训教育,提升个人信息的安全保护意识。可开展对普通员工的法律、法规和企业有关规定的教育和宣贯,助其提升个人信息保护意义和侵犯个人信息的违法违规行为后果的认识;以及对数据运维人员或具有数据较大操作权限员工开展岗前教育培训,采取考核后上岗等管理方式,促进其提升个人信息保护的有关法律知识、保护意识和保护技能。

附表

参考资料:

 

1.《国家邮政局 公安部 国家互联网信息办公室联合启动邮政快递领域个人信息安全治理专项行动》

http://www.spb.gov.cn/gjyzj/c100015/c100016/202204/b0969cffe9914195be09eb58d34328b6.shtml

 

2.《国家邮政局部署专项行动 加快推动寄递渠道安全管理制度全面落实》

http://www.spb.gov.cn/gjyzj/c100001/c100002/c100088/c100090/201510/5ad24b57deff4ba29de1ef2d7cb4cef4.shtml

 

3.《筑牢个人信息防护线,“寄递行业网络安全峰会”在上海举办》https://baijiahao.baidu.com/s?id=1713692656100268276&wfr=spider&for=pc

 

4.快递业信息泄露再调查:下单当天,你的信息可能已被卖给电诈分子

https://www.baidu.com/link?url=TI1wn7dbrDf430U__72VP65dtl-_YhQTkehrhJjnOchfUOLW5C7H_Y0c8EaeHUERRhYxglmuitgOK37yWQh8ac5yv17N8W2Bbxv_0jQo4JC&wd=&eqid=d7ca631700078b96000000066281bcd8 

 

5.【法庭内外】贩卖客户信息牟利 快递员获刑10个月揭阳市中级人民法院

https://mp.weixin.qq.com/s/-3OVi_gUKA7WilXTiabWuw

 

作者:许瑞凤

 (文中观点不代表北源律师事务所的观点或法律意见)