根据住房城乡建设部办公厅《关于开展国家智慧城市试点工作的通知》(建办科〔2012〕42号),智慧物流是指物流智慧化管理和服务的建设水平,包含物流公共服务平台、智能仓储服务、物流呼叫中心、物流溯源体系等方面的建设。
该文件也是笔者在威科法律库中以智慧物流为关键词检索出的最早对智慧物流下定义的国家级文件。伴随着信息科学的进步,在政策的倡导和现代生活的需求的刺激下,我国物流第一梯队的企业已经在激烈的竞争中建立起了符合我国国情且具有企业自身特色的智慧物流系统。
疫情令每个人都关注着权威媒体对相关情况的报道。近日,笔者注意到了一条新闻:顺丰速运余杭中转站发现有多名员工确诊。不少杭州市民、外地居民收到了这样的短信,提醒其所收的快件经过了该中转站,存在被新冠病毒污染的风险,因此要求收件的市民进行核酸检测。
这几十个字的新闻包含了丰富的智慧物流以及个人信息保护的相关背景知识。在当前形势下,针对几个关键问题值得做一些简要探讨。
首先,在上述新闻中个人信息的使用是否遵循了个人信息保护的相关法律?
2021年12月,全国人大网有篇文章标题就是《今年立法数量是近年来最多》。这其中就包含了《个人信息保护法》及《数据安全法》,也让2021年被称为个人信息保护元年。作为上位法的《数据安全法》出台后,地方有关数据的法规也陆续出台,比如《上海市数据条例》、《浙江省公共数据条例》等。
《个人信息保护法》规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。《个人信息保护法》第十三条规范了个人信息处理者(组织或个人都可以作为个人信息处理者)处理个人信息的七种情形,以个人同意为原则,不需同意为例外。
其中有六种情形是不需要取得个人同意的。为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需以及法律、行政法规规定的其他情形下,不需要个人同意即可处理其个人信息。处理包括收集、存储、使用、加工、传输、提供、公开、删除等。
《数据安全法》第八条规定:开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。数据指任何以电子或者其他方式对信息的记录,可以看出数据的内涵范围包括个人信息。
有被感染风险的快递接收人之所以会收到疫情联防联控部门的短信提醒,显然意味着顺丰在得知员工确诊后,通过企业内部的智慧物流系统追溯到了收件人的相关信息,并通知了当地政府防疫工作人员。
顺丰作为个人信息处理者的这个行为非但没有违反《个人信息保护法》以及《数据安全法》,反而是遵守了法律的规定。
该种告知政府防疫人员的行为属于传输和提供,乃至固定范围的公开,其符合了应对突发公共卫生事件或紧急情况为保护自然人的生命健康的无需同意的特殊情形。政府承担着保护人民群众生命安全的重任。政府构建联防联控的防疫机制需要手握庞大公民个人信息的企业在满足一定条件下承担其社会责任,此时提供个人信息(数据)的行为是维护公共利益的必要之举。
试想,若政府得不到这些数据,无疑会造成防疫工作的漏洞,最终危及广大群众的生命健康,企业也难辞其咎。从这样一则疫情防控的新闻中我们也可以看到,只有在法治的框架和智慧物流高度发展两者同时具备的条件下,才能使得这样的精准追溯和疫情筛查变为可能。
其次,这些由顺丰提供给政府的有关个人信息属于公共数据吗?
国家法律层面并没有对公共数据下定义。《上海市数据条例》将公共数据定义为:指本市国家机关、事业单位,经依法授权具有管理公共事务职能的组织,以及供水、供电、供气、公共交通等提供公共服务的组织(以下统称公共管理和服务机构),在履行公共管理和服务职责过程中收集和产生的数据。
《浙江省公共数据条例》(3月1日已经生效)第三条规定:“本条例所称公共数据,是指本省国家机关、法律法规规章授权的具有管理公共事务职能的组织以及供水、供电、供气、公共交通等公共服务运营单位(以下统称公共管理和服务机构),在依法履行职责或者提供公共服务过程中收集、产生的数据。根据本省应用需求,税务、海关、金融监督管理等国家有关部门派驻浙江管理机构提供的数据,属于本条例所称公共数据。”疫情中,地方政府卫健委为疫情防控所收集或要求企业、个人提供的信息应当属于以上定义的公共数据。
更进一步地说,这些由顺丰提供给政府的收件人个人信息,起初并不属于公共数据,因为它们的信息处理者是顺丰公司。但是当快递人员确诊感染新冠后,由于病毒的传染性较强,可能被污染的快递,将会影响到与其发生关联的任何一个自然人。
在这种情况下,顺丰公司有义务按照法规政策,上报疫情,并向当地政府提供相关确诊人员信息、由顺丰公司作为信息处理者获得的快递信息以及收件人信息。这些收件人的身份以及联系电话等信息,也在这个过程中由非公共数据变成了公共数据。
但需要注意的是,公共数据不意味着是公开的数据。公共数据按照共享属性可进一步分为无条件共享、受限共享和不共享数据。
《浙江省公共数据条例》第二十一条规定:“……收集的数据不得用于与应对突发事件无关的事项;对在履行职责中知悉的个人信息、商业秘密、保密商务信息等应当依法予以保密。突发事件应急处置工作结束后,公共管理和服务机构应当对获得的突发事件相关公共数据进行分类评估,将涉及个人信息、商业秘密、保密商务信息的公共数据采取封存等安全处理措施,并关停相关数据应用”。
也正因此,处于舆论高度关注之下的,与疫情产生各种关联的公民的个人信息及个人隐私才有法律的保障。违法泄露个人信息、个人隐私的行为人将承担其违法行为的后果。
这方面已有前车之鉴。2020年发生的赵某诉某企业营销策划有限公司隐私权纠纷案【(2020)渝0112民初24368号】就是一个典型案例。此案发生时,我国《个人信息保护法》以及《数据安全法》都未出台,但是国家对于公民个人信息的保护已经充分彰显在判决结果和文书中。篇幅所限,此处不赘述案件前因后果,读者可检索案件了解案情。个人信息和个人隐私的关系此处也不展开论述,二者不等同但具有高度关联。
那么,在此次事件中电商物流企业的哪些数据可能与疫情精准定位有关呢,哪些又是没有必要用于信息追溯的呢?
首先在电商平台端,除了用户订单数据之外,系统也记录着诸如广告点击、用户评论、浏览记录、购物车等数据,但这些数据都没有流入订单管理系统(OMS),而更多是记录在类似客户管理系统(CRM)中。没有真实的订单生成,自然也就无需用来追踪订单实物。
但是,这并不意味着订单的追溯一定要从OMS开始,因为当某个物流中转点的出现疫情之后,可能会导致它下游站点的物流效率的降低,也意味着物流路由和时效的变化。因此当用户准备下订单或者清空他的购物车时,电商平台能够及时说明情况,对于用户也是一种安心的购物体验。
当然,OMS只是把订单汇总在一起并下发到对应的仓库,仓库根据订单信息开始出库发货或者调拨的任务。若无疫情则一切正常;但当一个中心仓或者区域仓发生疫情时,需要仓库在第一时间将已下发但未生成拣货波次的订单回收,找到若干个安全的仓替代发货,若货品种类特殊,其他仓库都没有备货的话,就只能等待了。
除上述情景外还有两种情况。一种是具有感染风险的货物已经分配拣货波次,并且已经拣货完成等待出库了,但还在仓库的范围内。那最合理的措施就是将货物就地封存,等待防疫处理。另一种情况,如果货物已通过仓库站台装车,也不必担心,车辆管理系统(TMS)能够实时了解车辆所在的位置,及时通知对应车辆到最近的防疫站点接受处理。如果第三方承运商的车辆没有接入到实时系统呢?那在TMS中也至少可以获取车辆牌号,并联系司机进行处理。如果货物已经在进行最后一公里配送,那快递小哥也要及时停止配送,返回站点。
当物流系统中出现受污染的货物时,应尽量避免将货物送往物流网络的下一级站点,但随着我国物流企业的效率不断提升,这样的情况通常难以避免。因此,一个中心、区域或其他周转仓库发现病例后,可以向前追溯一段时间内所发的货品和物流路由,就能锁定这一期间货物所到的下一级节点。
当然,最重要的还是避免终端消费者与货品发生接触。通过仓储和运输系统、以及最终端的设备很容易可以知道哪些用户已经签收了相关的订单,这些用户就必须进行核酸检测;除此之外,对于还未收到快递的用户,这个时候就需要及时向他们发送信息,通知其不要再去驿站取件,避免形成群聚效应。
疫情依然没有褪去。然而,相信众志成城,春暖花开、畅快踏青的时刻不会太遥远。龙头企业层面智慧物流的发展会促进智慧城市的建设,期待法治框架下的智慧物流给社会、企业、人民带来更多的福祉。
李志灵:上海申浩律师事务所执业律师
赵思翔:上海交大行业研究院智能物流团队成员
安泰主页