— 1—网络货运平台如何处理监管数据报送
根据交通运输部、国家税务总局联合印发的《网络平台道路货物运输经营管理暂行办法》(简称“《暂行办法》”)对网络货运平台线上服务能力的测评要求,为满足监管对平台经营者进行线上服务能力审核,网络货运平台要接入省级网络货运信息监测系统进行对接测评。届时,网络货运经营者根据《暂行办法》第14条的规定,应按照技术规范的要求上传运单数据至省级网络货运信息监测系统,但《暂行办法》此处未进一步明确运单数据包括哪些具体信息项目。
「监管数据报送哪些信息项?」
就此,笔者建议参考交通运输部办公厅组织编制并于2019年9月24日通过交办运函〔2019〕1391号印发的三个指南,即《网络平台道路货物运输经营服务指南》《省级网络货运信息监测系统建设指南》和《部网络货运信息交互系统接入指南》,指南中明确了网络货运平台、省级货运信息监测系统数据交互的结构,并对各类请求的报文格式提出了要求。特别是从《部网络货运信息交互系统接入指南》中为报文格式设计的信息项来看,监管层面要求网络货运平台经营者报送的信息将包括电子运单、用户资料、合同信息、质量和信用数据、资金流水单、车辆基本信息、驾驶员基本信息这几大类。各省因网络货运信息监测系统的建设情况、技术对接能力客观上也许难以保持绝对一致,所以实操中建议平台需要提前了解所在地区是否有发布更具体的指引、接口技术规范等文件,充分与监管方面沟通信息项范围的准确要求。
「监管数据报送也需要“告知—同意”吗?」
上述信息显然将包含用户的个人信息,网络货运平台运营者在《隐私政策》中描述该监管数据报送场景时,对于前述信息项的收集、存储、传输即提供到网络货运信息监测系统的一系列信息处理行为,向个人信息主体告知并取得同意,做到“有来有去”。
有“来”,即有合法来源,应确保这些未来将要接入和报送的信息项在隐私政策中全部均有落实,通过各场景均已由平台合规收集到位;有“去”,即注意就提供监管数据库仍属于个人信息处理行为中的“提供”,需要取得用户同意。无论是具体场景收集到,还是对外提供,均需要对信息主体(或其授权的用户)履行“告知—同意”的必要流程。
部分观点认为,前述与监管的信息监测对接因属于履行法定义务而落入《个保法》认定的“告知-同意”豁免范围,故平台无需在隐私政策中予以处理。笔者不同意该观点,如我们此前在《个人金融信息处理的公私平衡 ——如何理解“为履行法定职责或者法定义务所必需”》文章中分析,即使符合《个保法》第十三条在特定情况下作为取得个人“同意”的豁免,却不能等同于“告知-同意”的全部豁免,即假设平台在履行法定义务时符合“无需取得个人同意”,也不会直接得出一并免予告知的结论。另一方面,平台收集该等信息报送监管的依据尚未达到“法律”的效力位阶,从严格解释的角度,难以认定是履行“法”定义务。如实务中金融机构向个人信用信息基础数据库报送信贷数据,对应报送依据《征信业管理条例》《征信业务管理办法》《个人信用信息基础数据库管理暂行办法》等,部分文件效力位阶高于《暂行办法》,但现阶段各报送机构仍需要在各自信贷合同中设置条款,明确客户同意个人信贷信息报送给数据库,实质履行“告知—同意”的流程,可以此场景作为比照参考。
— 2—信息存储期限的特殊要求——关注3年、10年
《暂行办法》第十八条第一款、第二款的规定的网络货运经营者应记录的信息中,对实际承运人、托运人的用户注册信息、身份认证信息、服务信息、交易信息(包括订单日志、网上交易日志、款项结算、含有时间和地理位置信息的实时行驶轨迹数据等)应当保存的时间是自交易完成之日起不少于三年,对于涉税资料(包括属于涉税资料的相关信息)应当保存十年。网络货运平台运营者需要注意,此处存储时间的三年为最低时间限制,起算点为“交易完成之日”,不建议网络货运平台运营者将其理解为“交易费用结清”后三年期满即删除。如果单笔交易费用结清,但有争议未处理完成,则实质难以认定“交易完成”。对于如何选择适当的存储时间起算点,建议参考金融机构对客户资料、交易记录等信息存储时限的起算点设计思路,以“投诉办结”、“业务关系结束”等综合作为判断“交易完成”因素。若延长至交易完成且争议解决后3年,具备合理性且仍然能够符合《暂行办法》“不少于三年”的最低时限要求。
对于具体在《隐私政策》中对于存储期限的表达示例,以及金融机构的各项信息存储义务的起算点,均可以参考我们在《个人信息处理者如何确认“存储期限”》一文中整理呈现的内容。
— 3—网络货运保险场景设计需注意双向行业监管要求
《暂行办法》第十五条规定“鼓励网络货运经营者采取承运人责任保险等措施,充分保障托运人合法权益”,注意此处《暂行办法》仅“鼓励”而并未将投保保险作为网络货运平台运营者的强制性义务,但承运人在货物在运输过程中可能面临各种风险,例如意外损失、灾害、盗窃等等,购买货物运输保险可以帮助承运人对这些风险进行控制并分担损失,故而实务中网络货运平台(纯信息居间除外)为了控制自身承担承运人义务的运输业务风险,一般都主动接入保险公司的货运保险服务。
各平台对于接入第三方服务在业务端的对接处理和在《隐私政策》中的文本内容配合,都已经有比较成熟的、可借鉴的处理模式。而此处笔者希望提醒平台注意,监管是双条线的,平台往往更容易关注自己行业端的监管要求,忽略合作方的要求,特别是金融、保险、支付等领域,在合作前期,平台在与合作方讨论业务模式设计时就应早做安排。
举例而言,根据中国银行保险监督管理委员会北京监管局2019年10月12日发布的《北京银保监局关于规范银行与金融科技公司合作类业务及互联网保险业务的通知》(京银保监发〔2019〕310号)提出要加强第三方网络平台管理,要求保险机构与第三方网络平台合作开展互联网保险业务应确保平台也符合《互联网保险业务监管暂行办法》(保监发〔2015〕69号)的规定。同时,还提出三项重要要求:一是平台不得参与保险业务的销售、承保、理赔、退保、投诉处理、客户服务等保险经营或保险中介经营行为,如:保费试算、报价比价、代理查勘理赔、为投保人拟定投保方案、代办投保手续、协助索赔等;二是平台不得将保险产品与其他非保险金融产品同时展示,或作引人误解的对比宣传;三是平台不得代收保费,保费与其他经营项目费用合并收取的,应做到实时分账至保险机构所属专用账户。
为响应前述要求,网络货运平台在网络货运保险场景下与保险公司合作时应注意,平台的功能设计不能替代保险公司销售所需的基础业务功能,尽量采用外链跳转等方式确保由保险公司自行进行销售、承保、理赔、退保、投诉处理、客户服务这些保险经营或保险中介经营行为,在展示保险时应与其他平台上的增值服务进行非保险的金融产品(如有)分别展示,进行显著的区分。另外 ,平台应注意用户支付的保费金额应实时分账至保险机构专户,这比较容易理解和操作,容易忽略的是投保主体确认的问题,平台需要根据经营模式确认投保主体,取得保险公司认可。纯信息服务平台进行居间撮合,则必然以托运人或承运人为投保人主体由其自行投保保险,平台不能以自己名义通过增值服务的方式代投保,否则将突破保险利益原则。如为一般网络货运平台运营模式,平台自身承担承运人责任,此时需要区分,如果投保义务在托运方,则在托运人付款场景即应满足前述实时分账要求,如投保义务在平台方,则平台自行处理与保险公司的投保即可,不涉及前述分账问题。
— 4—平台服务评价体系的设置
根据《暂行办法》第17条第一款的规定,网络货运经营者应当建立对实际承运人的服务评价体系,公示服务评价结果,根据交通部办公厅编制的《网络平台道路货物运输经营服务指南》也对网络货运平台运营者经营服务能力提出要进行“信用评价”。结合该指南的内容,笔者认为此处的信用评价,主要针对实际承运人,要求网络货运经营者建立对实际承运人的信用评价体系,根据信用评价结果建立实际承运人退出机制。综合考核评价将围绕运输效率、运输安全、服务质量、客户满意度等方面,网络货运经营者对评价结果还需要在平台上公示。
据此,网络货运平台应当设计并具有评价功能,评价项目需要体现运输效率、运输安全、服务质量、客户满意度等方面,这与一般平台对评价功能的选择设置是有区别的。而为了匹配该功能,考虑到《暂行办法》和相关指南为依据,亦未满足法律层级的效力位阶,网络货运平台应当就该评价场景在《隐私政策》中设置对应的内容,对实际承运人及其他必要评价功能参与者进行充分告知,并取得同意。
上海达牛信息技术有限公司(Niuinfo Technology)是供应链数字化服务商,总部注册于上海,于苏州及大连两地设置研发分支机构。作为中国运输及供应链行业的数字化服务高端市场领导者,达牛拥有全线的物流供应链管理信息化产品、丰富的系统实施经验和管理咨询能力。我们致力于以信息技术和服务促进流通体系的革新,为企业供应链管理的数字化进程赋能——践行”链接企业数字化,架构产业新经济”的使命。