信息系统安全等级保护基本要求中对不同级别的信息系统信息系统安全等级保护( 三 ) _云知道

（一）从合法公开渠道收集且不明显违背个人信息主体意愿；（二）个人信息主体主动公开；（三）经过匿名化处理；（四）执法机关依法履行职责所必需；（五）维护国家安全、社会公共利益、个人信息主体生命安全所必需。

1、个人信息主题授权：首先，根据 GB/T35273 的要求，网络货运企业应事先进行个人信息安全影响评估。
其次，无论是网络货运企业集团内部关联企业还是外部企业之间的个人信息共享、转让，都需遵循三重授权原则，以确保获得数据主体的知情同意。网络货运企业可以通过平台向托运人、驾驶员展示隐私权政策，告知其收集信息的目的、方式、范围、使用规则，以及个人有同意或拒绝的权利。尤其是对于个人敏感信息，需要征得该主体的明示同意。
例如，驾驶员在登录平台了解隐私权政策时，应主动作出声明或者自主作出肯定性动作8 。但实践中，当实际承运人为单位时，如何取得该单位驾驶员的明示同意，是企业面临的一大难点。由于平台账号以及信息的登记都掌握在实际承运人手中，驾驶员本人通常不愿进行登录操作，此时网络货运经营者可能会采用单独发送短信提示或提供点击链接的方式来解决知情同意问题。但该种方式不仅会增加企业成本且未必完全有效。
第三，网络货运企业要确保个人信息接收方的处理数据能力可以达到相关规定对其的要求，并与其签订协议确定各自责任。同时，网络货运企业要妥善记录和保存共享、转让情况。
2、个人信息主题授权：将个人数据通过去标识化技术处理为“非个人信息”，因该类数据不属于个人信息，自然也无须承担个人信息保护的义务。但需要注意的是，去标识化的数据与匿名化不同，并非不可还原，其仍可能结合其他信息识别出特定的数据主体，则仍然属于个人信息，收到相关规定的约束。所以，网络货运企业需要选择合适的处理方式以及对数据的“不可识别性”进行验证评估，确保数据接收方无法重新识别个人信息。
另外，与其他各合作方之间的共享和转让，还应事先通过协议的方式界定数据的收集和使用规则，避免因擅自抓取或者不当利用他人数据而导致的不正当竞争纠纷。
《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.2.3条：处理个人信息前要征得个人信息主体的同意，包括默许同意或明示同意。收集个人一般信息时，可认为个人信息主体默许同意，如果个人信息主体明确反对，要停止收集或删除个人信息；收集个人敏感信息时，要得到个人信息主体的明示同意。

四、监管部门对数据的监管
网络货运平台目前已被要求已接入省市级的网络货运监测系统，按照《部网络货运信息交互系统接入指南》的要求，网络货运经营者实时上传将运单、资金流水单等数据至省级网络货运信息监测系统。监管部门对数据的监管已经从线下的事后稽查转为数字化的实时监管模式。
根据《数据安全法》的规定，企业的数据处理活动将受到各行业的主管部门、公安、国安、网信等多部门的数据安全监管工作；对违法行为的处罚力度也明显加强，如：“对于拒不配合数据调取的，可以并处最高50万元罚款，对直接负责的主管人员和其他直接责任人员最高10万元罚款。”
因此，网络货运企业应在技术上符合交通运输、税务等相关部门从其依法调取数据的条件；此后主动与各个监管部门保持沟通，积极了解将来具体的数据监管要求。