物流应用个人信息保护

物流应用个人信息保护范围本文件描述了物流服务业务流程及服务结束后的数据流转过程，规范了在物流服务环节（物流收单、物流分拣、物流运输、物流投递、物流后期管理）、服务结束后的数据留存与使用、系统自身应用、同机构跨系统共享、跨机构跨系统共享等场景下的个人信息保护技术要求，包含对物流服务中个人信息的收集与留存、平台内受控使用、数据流通中的脱敏控制及删除控制等。本文件适用于规范提供物流服务的各类组织在个人信息流转下的个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对物流服务中的个人信息处理活动进行监督、管理和评估。规范性引用文件本文件引述下列文件中的部分内容。下列文件中，注日期的引用文件，仅该日期对应的版本适用于本指南；不注日期的引用文件，其最新版本适用于本指南。GB/T35273-2020信息安全技术个人信息安全规范GB/T42013—2022信息安全技术快递物流服务数据安全要求GB/T41391-2022App收集个人信息基本要求T/CSAC005-2024隐私计算总体框架T/CSAC009-2024隐私计算删除控制技术要求术语和定义

个人信息personalinformation以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包含个人信息本身及其衍生信息，不包括匿名化处理后的信息。[来源：GB/T35273—2020,3.1,有修改]

物流应用用户logisticserviceuser使用物流服务的个人或组织。包括寄件用户和收件用户,本文件中简称“用户”。[来源：GB/T42013—2022,3.2,有修改]

寄递物收派员从事上门揽收和投递工作的人员或机器。[来源：GB/T42013—2022,3.9,有修改]

物流应用用户个人信息personalinformationoflogisticservic物流应用用户在使用物流服务过程中涉及的个人信息。

个人信息主体personalinformationsubject个人信息所标识或者关联的自然人、组织、设备或程序等实体。[来源：GB/T35273—2020,3.3,有修改]

敏感个人信息sensitivepersonalinformation一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等，以及不满十四周岁未成年人的个人信息。

个人信息处理personalinformationprocessing个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

个人信息处理者personalinformationprocessor 在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

脱敏控制desensitizationcontrol一种面向隐私信息跨生态圈共享场景，针对隐私信息在不同信息主体之间流转的各环节（例如：采集、分享、交换等过程），充分考虑不同信息主体，不同处理阶段的差异化脱敏需求，在隐私信息传播全生命周期内，对隐私信息进行合理控制和迭代脱敏操作的技术。

删除delete采用访问控制、消磁、物理破坏等技术或措施，使得信息不能被访问或被检索，或者从物理上去除了信息并保障其难以恢复的操作。删除包括不能被访问或被检索、全部物理删除或部分物理删除。[来源：GB/T35273—2020,3.10,有修改]

去标识化de-identification通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程。去标识化建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信息的标识。[来源：GB/T35273—2020,3.14]

匿名化anonymization通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。个人信息经匿名化处理后所得的不属于个人信息。[来源：GB/T35273—2020,3.15]

共享sharing个人信息处理者向其他控制者提供个人信息，且双方分别对个人信息拥有独立控制权的过程。[来源：GB/T35273—2020,3.13]

明示同意explicitconsent个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。[来源：GB/T35273-2020,3.6]

物流服务logisticsservice是通过规划、实施和控制有效地将寄递物从供应地运输到接受地的过程，涵盖物流收单、物流分拣、物流运输、物流投递等环节。

物流服务提供者logisticsserviceprovider依法注册并从事物流活动的企业或机构，主要职责是为用户提供包括但不限于运输、仓储、装卸、包装、流通加工、配送、信息处理等一体化的物流服务。

物流服务ApplogisticsserviceApp在移动终端上为寄件用户和收件用户提供物流服务的应用程序。

后台信息服务系统backendinformationservicesystem对物流服务系统各业务环节收集的个人信息进行数据操作的信息系统。

物流收单logisticsreceipt是接收并处理寄递物的初始阶段。

物流分拣logisticssorting对订单进行处理，根据寄递物品种、出入库先后顺序等对寄递物进行分类堆放。

物流运输logisticstransportation将寄递物从一个地点运送到另一个地点的过程。

物流投递logisticsdelivery将寄递物安全准确地配送到指定的目的地并确认接收。缩略语下列缩略语适用于本文件。App：应用程序(Application)API：应用程序接口(ApplicationProgrammingInterface)TLS：传输层安全性协议(TransportLayerSecurity)VPN：虚拟专用网(VirtualPrivateNetwork)RFID：射频识别(RadioFrequencyIdentification)概述物流应用业务流程及涉及的个人信息物流服务的流程如图1所示。整体流程包括物流收单、物流分拣、物流运输、物流投递、物流后期管理五部分，具体流程见附录A。物流服务业务流程涉及的用户个人信息具体如下：物流收单，物流服务的起始环节，从寄件用户手中接收寄递物并记录相关信息的过程。具体包括三个阶段：标签生成、打标签和入库接单。涉及的物流应用用户个人信息包括但不限于用户姓名、地址、联系电话、个人位置信息；涉及的业务信息包括但不限于物流单号、寄递物内容、尺寸、重量、入库时间和仓库信息；物流分拣，根据电子运单对寄递物进行分类处理，以便准确快速地将寄递物配送到目的地。涉及的物流应用用户个人信息包括但不限于用户地址、联系电话等；涉及的业务信息包括但不限于寄递物内容、尺寸、重量、物流单号等；物流运输，将分拣后的寄递物从仓库或分拣中心运输到下一个指定地点或最终目的地。具体包括两个阶段：车辆调配和出库。涉及的物流应用用户个人信息包括但不限于用户联系电话、地址；涉及的业务信息包括但不限于寄递物内容、尺寸、重量、路由信息、物流单号、车辆信息、出库时间及寄递物卫星定位信息等；物流投递，将寄递物从运输车辆交付给收件用户或寄递物代收组织（例如，驿站、快递柜等）的过程。具体包括三个阶段：配货发送、在线跟踪、送货验收。涉及的物流应用用户个人信息包括但不限于用户姓名、地址、联系电话、签名信息、支付信息等；涉及的业务信息包括但不限于寄递物内容、尺寸、重量、物流单号、配送信息等；物流后期管理，是确保整个物流流程闭环管理的重要环节。具体包括三个阶段：回单统计与审核、对账开票和退货处理。涉及的物流应用用户个人信息包括但不限于用户姓名、地址、联系电话、账户信息、支付信息、发票信息等；涉及的业务信息包括但不限于寄递物内容、尺寸、重量、物流单号、退货单号、退货原因等。物流服务流程框架图物流应用参与者及其职责物流应用参与者的交互流程物流服务涉及的参与者包括物流应用用户、寄递物收派员、寄递物运输者、寄递物代收组织、物流服务提供者以及物流应用个人信息接收者。各个参与者之间交互关系如图2所示。物流服务角色交互示意图物流应用用户在向物理服务提供者提供个人信息前，物流应用用户要主动了解物流服务提供者收集个人信息的目的、用途等信息，并按照个人意愿提供个人信息以完成物流服务；发现个人信息出现泄露、丢失、篡改后，向物流服务提供者投诉或提出质询，或向个人信息保护管理部门发起申诉；物流应用用户可以在寄递物代收组织处取件，也可以选择由寄递物收派员直接派件。寄递物运输者寄递物运输者根据物流服务提供者提供的收件用户信息将寄递物从仓库运输到下一个指定地点或与寄递物收派员交接，并及时向物流服务提供者反馈运输情况。寄递物运输者要防止寄递物损坏、丢失或被盗，并按预定计划准时送达；运输过程中实时更新寄递物状态，确保用户信息不被泄露或滥用；遵守操作规程，包括装卸货、路线选择和车速限制，确保运输安全；遇到异常情况，及时采取应急措施并报告；同时定期维护车辆，避免因故障导致运输延误。寄递物收派员寄递物收派员根据物流服务提供者提供的收件用户信息将寄递物从寄递物运输者交付到收件用户或寄递物代收组织（例如驿站、快递柜等）。寄递物收派员要根据配送计划分配寄递物并安排最佳路线；送货时要核对收件用户信息并签收，实时更新配送状态确保信息准确；如有必要，寄递物收派员要与收件用户联系，确认送货细节并解决问题；配送完成后要收集回单信息，确保寄递物正确送达并记录签收信息；处理退货时按规定流程操作，确保退货寄递物安全返回并及时更新状态信息。物流服务提供者物流服务提供者向寄递物代收组织、寄递物收派员和寄递物运输者提供收件用户必要的个人信息，以确保物流应用用户的物流服务顺利完成。物流服务提供者负责依照国家法律、法规和本指导性技术文件，规划、设计和建立后台信息服务系统中物流应用用户个人信息的处理流程；制定物流应用用户个人信息管理制度、落实物流应用用户个人信息管理责任；指定专门机构或人员负责机构内部的物流应用用户个人信息保护工作接受物流应用用户的投诉与质询；制定物流应用用户个人信息保护的教育培训计划并组织落实；建立物流应用用户个人信息保护的内控机制，并定期对后台信息服务系统物流应用用户个人信息的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。管控后台信息服务系统用户个人信息处理过程中的风险，对用户个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案；发现物流应用用户个人信息遭到泄露,丢失、篡改后，及时采取应对措施，防止事件影响进一步扩大，并及时告知受影响的物流应用用户；发生重大事件的，及时向个人信息保护管理部门通报。接受个人信息保护管理部门对物流应用用户个人信息保护状况的检查、监督和指导,积极参与和配合第三方测评机构对后台信息服务系统个人信息保护状况的测评。寄递物代收组织寄递物代收组织是指临时存储和保管寄递物的组织，用于在收件用户无法立即接收寄递物时进行代揽收，此类组织包括但不限于驿站、快递柜。寄递物代收组织与物流服务提供者和寄递物收派员保持联系，及时更新寄递物状态并通知收件用户取件。寄递物代收组接收和存储寄递物时，确保寄递物收派员交付的寄递物状态完好，记录存储信息；接收寄递物后，代收组织及时通知收件用户，提供取货地点、取货码或其他必要信息以方便用户取货。用户取货时，寄递物代收组织核对用户身份或取货码，核对无误后将寄递物交付给收件用户。取货完成后，代收组织及时更新系统中的寄递物状态信息，并通知物流服务提供者确认寄递物已被正确领取。寄递物代收组织确保寄递物在存储期间的安全，防止损坏、丢失或被盗，并采取必要措施保护寄递物，避免因外部因素导致损坏。物流应用个人信息接收者物流应用个人信息接收者是指在物流服务过程中，接收并处理从物流服务提供者流转的用户个人信息的实体或组织，并受物流服务提供者的约束。物流应用个人信息接收者依据物流应用用户的意愿处理物流应用用户个人信息。当物流应用用户个人信息的接收是出于对方委托加工等目的，物流应用个人信息接收者要依照本指导性技术文件和委托合同，对物流应用用户个人信息进行加工，并在完成加工任务后，立即删除相关物流应用用户个人信息。物流应用个人信息保护的基本原则物流服务提供者在使用后台信息服务系统对物流应用用户个人信息进行处理时，宜遵循以下基本原则：目的明确原则——处理物流应用用户个人信息具有特定、明确、合理的目的，不扩大使用范围，不在物流应用用户不知情的情况下改变处理物流应用用户个人信息的目的；最少够用原则——只处理与处理目的有关的最少信息，达到处理目的后，在最短时间内删除物流应用用户个人信息；公开告知原则——对物流应用用户要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向物流应用用户告知处理物流应用用户个人信息的目的、物流应用用户个人信息的收集和使用范围、个人信息保护措施等信息；个人同意原则——处理物流应用用户个人信息前要征得物流应用用户的同意；质量保证原则——保证处理过程中的物流应用用户个人信息完整、准确、可用，并处于最新状态；安全保障原则——采取适当的、与物流应用用户个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段，保护物流应用用户个人信息安全，防止未经物流服务提供者授权的检索、披露及丢失、泄露、损毁和篡改物流应用用户个人信息；诚信履行原则——按照收集时的承诺，或基于法定事由处理物流应用用户个人信息，在达到既定目的后不再继续处理物流应用用户个人信息；责任明确原则——明确物流应用用户个人信息处理过程中的责任，采取相应的措施落实相关责任，并对物流应用用户个人信息处理过程进行记录以便于追溯。物流应用个人信息收集使用及流转的场景服务中个人信息的收集与使用物流服务过程中收集的用户个人信息被上传至后台信息服务系统，涉及的业务环节包括物流收单、物流分拣、物流运输、物流投递等。在这些环节中，对物流应用用户个人信息的操作主要包括收集、处理、使用以及存储。收集和使用个人信息应满足完成物流服务的最小业务范围的要求。服务后本系统内个人信息的留存与使用物流服务提供者在符合个人信息保护要求的条件下，结合具体的业务需求，可以在本系统内合规地脱敏、存储、使用和删除收集的个人信息。在物流服务完成后，收集的物流应用用户个人信息应按照脱敏控制的要求进行处理。脱敏数据可用于本系统内的其他业务功能，例如：改进寄递物分配和配送效率、优化仓库管理、分析货运模式效率等。数据的存储、使用和删除应满足脱敏控制、使用控制和删除控制的要求。服务后同机构不同系统间的数据流转物流服务提供者收集到的用户个人信息可以在同一机构的不同系统之间进行合规的数据流转。与同机构的其他系统进行数据流转与共享时，需要根据脱敏需求、物流应用个人信息接收者的用途和安全防护能力等因素，对流转的用户个人信息进行按需脱敏，确保数据流转与共享过程中的任一物流应用个人信息接收者在使用个人信息时符合隐私保护要求，避免隐私泄露。服务后跨机构跨系统间的数据流转物流服务提供者收集到的用户个人信息也可以跨越不同机构的系统之间进行合规的数据流转。进行跨机构跨系统的数据流转与共享时，物流服务提供者应按照本系列团体标准《隐私计算总体框架》（T/CSACCCCC-XXXX）的要求对数据进行按需脱敏，采用加密等手段进行数据传输，并具备向监管部门上报存证信息的功能，确保物流应用个人信息接收者的使用符合设定的使用控制范围，并严格按照删除控制要求执行删除操作。物流应用个人信息保护的通用技术要求物流收单个人信息保护技术要求收集要求在物流收单环节收集物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：物流应用App收集用户必要个人信息时，应遵循GB/T41391-2022中A.8要求；物流服务在物流收单环节收集的个人信息类型需要与物流服务业务功能直接相关，无此类个人信息则无法完成订单创建、区分账户、找回账户、正常使用系统等。必要收集的物流应用用户个人信息包括但不限于用户姓名、地址、联系电话、个人位置信息。未经用户明示同意，不应收集此类必要信息之外的个人信息；收集频率仅限定在物流应用用户使用物流服务创建订单时对必要的信息进行收集，其他情况下不应收集物流应用用户个人信息；在收集物流应用用户的身份证号、银行卡信息、电子邮箱地址等非必要信息时，应征得物流应用用户同意。可以通过物流应用用户在创建订单时的选项来进行，例如：提供一个可选填的字段让用户决定是否提供这些额外信息。如果收集这些信息，应明确说明其用途，例如：身份证号可能用于高价值寄递物的身份验证，银行卡信息用于支付，电子邮箱地址用于发送订单更新和促销信息等。处理要求在物流收单环节处理物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：对于收单环节收集的物流应用用户个人信息，物流服务提供者应当在信息存入系统时立即进行去标识化处理，并采取必要的技术和管理措施保护这些信息；物流服务提供者应将能够用于恢复个人识别的信息与去标识化后的信息分开存储，并对存取和使用这些信息的权限进行严格管理，确保只有授权人员才能访问；处理物流应用用户个人信息时应采取加密措施保证数据不外泄。涉及的个人信息包括但不限于：收件用户和发件人姓名、地址、联系方式；处理任何物流应用用户个人信息时，应遵守在收集个人信息阶段获得的用户授权同意范围。存储要求在物流收单环节存储物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：收集到的物流应用用户个人信息，如姓名、地址、联系方式、卫星定位信息、支付信息等的存储期限应限于完成物流运输业务所必需的最短时间；超出上述存储期限后，必须对物流应用用户个人信息进行删除或匿名化处理，确保处理后不留存任何物流应用用户个人信息的副本。使用要求在物流收单环节使用物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：电子运单应避免显示完整的收件用户和寄件用户姓名、联系电话、地址等个人信息；物流应用用户姓名应隐藏1个汉字以上；联系电话应隐藏6位以上；地址应隐藏单元户、室号等；可采用RFID、虚拟安全号码等先进技术，对电子运单上的物流应用用户个人信息进行保护；对于收集到的物流应用用户姓名、地址、联系方式、物流单号，仅可用于处理和追踪订单，不应用于此业务之外的其他目的；收集到的身份证号（如果提供）应仅用于验证物流应用用户身份，如高价值或敏感物品的寄送，不应用于此业务之外的功能；收集到的银行卡信息应仅用于完成与物流服务相关的支付处理，不应用于其他任何商业活动或功能；收集到的电子邮箱地址应仅用于发送物流订单的更新、收据、交易确认或应用户要求的其他通信，不应用于发送未经物流应用用户同意的营销材料；对收集到的所有物流应用用户个人信息，应确保其使用严格符合用户授权的范围和目的，不得滥用或未授权使用。物流分拣个人信息保护技术要求收集要求在物流分拣环节收集物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：分拣环节收集的个人信息类型应与物流服务业务功能直接相关，无此类信息无法完成物流服务业务。包括：物流应用用户地址、寄递物相关信息及物流单号等。未经用户明示同意，不应收集此类必要信息之外的个人信息；收集频率应限于在物流服务接单并进行分拣处理时。在其他情况下，不应无故收集物流应用用户个人信息；在收集非必要信息，如身份证号、电子邮箱地址等时，应征得物流应用用户同意或在用户主动提供这些信息的情况下进行收集。处理要求在物流分拣环节处理物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：对于分拣服务阶段收集的个人信息，物流服务提供者必须进行去标识化处理，并采取有效的技术和管理措施以保障信息安全；收集的个人信息，特别是可用于识别个体的信息，应与去标识化后的信息分开存储，并严格管理访问和使用权限；因分拣服务无法正常开展，确需查看未去标识化处理的数据时，应在展示界面中采用数字水印技术；在处理任何物流应用用户个人信息时，必须采用加密等安全措施，防止数据泄露，包括但不限于姓名、地址、联系方式等；处理物流应用用户个人信息时，应严格遵守在收集信息时获得的用户授权范围，不得超越授权同意的界限。使用要求在物流分拣环节使用物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：在分拣过程的业务系统中，应仅展示由其寄件用户和揽收人的地址对应的省、市、区、街道、营业部、路区等地址级别编号信息；收集到的物流应用用户地址、寄递物内容、尺寸、重量、物流单号等信息，仅可用于确保寄递物正确分拣和运输，不应用于此业务之外的其他目的；对于收集到的身份证号、电子邮箱地址等非必要信息，仅在必要时用于辅助确认收件用户或发件人身份，不应用于其他非业务相关目的；所有收集到的物流应用用户个人信息应当严格按照用户授权的目的和范围使用，禁止任何形式的滥用或未经授权的使用。物流运输个人信息保护技术要求收集要求在物流运输环节收集物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：物流运输环节收集的个人信息类型需要与物流服务业务功能直接相关，无此类个人信息无法完成物流服务业务。包括但不限于：物流应用用户联系电话、地址、寄递物相关信息、物流单号、车辆信息、出库时间、支付信息及卫星定位信息等；收集频率应限定为完成业务服务所需的最小频率，避免过度收集或无关的个人信息收集；在中转过程中，只需收集寄递物的下一投送点相关信息，而无需收集寄递物的最终目的地信息。处理要求在物流运输环节处理物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：对于运输环节收集的物流应用用户个人信息，应采取有效的技术和管理措施以保障物流应用用户个人信息安全，必要时进行去标识化处理；因运输服务无法正常开展，寄递物运输者确需查看未去标识化处理的数据时，应在展示界面中采用数字水印技术；应将可识别个人的信息与去标识化后的信息分开存储，并加强访问和使用权限的管理；在处理物流应用用户个人信息时，应采用加密等安全措施，防止数据泄露，包括地址、联系方式等信息；处理物流应用用户个人信息时，应严格遵守在收集信息时获得的用户授权范围，不得超越授权同意的界限。存储要求在物流运输环节存储物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：收集到的物流应用用户个人信息，如物流应用用户地址、联系方式、物流单号等的存储期限应限于完成物流运输所必需的最短时间；超出上述存储期限后，必须对物流应用用户个人信息进行删除或匿名化处理，确保处理后不留存任何个人信息的副本。使用要求在物流运输环节使用物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：在运输过程的业务系统中，应仅展示给寄递物运输者物流应用用户的地址对应的省、市、区、街道、营业部、路区等地址级别编号信息；收集到的物流应用用户信息仅可用于寄递物运输者完成物流运输服务，不应用于其他非业务相关功能；对于收集到的行程轨迹卫星定位信息，应仅用于寄递物追踪和运输路线规划，不应用于其他目的；收集到的物流信息等，不可用于分析物流应用用户个人习惯或提供个性化推荐；对使用物流服务App查询服务的用户需进行身份校验。在用户提供身份校验前，仅向其提供物流信息的路由信息服务，展示的物流信息中不应包含用户姓名、个人身份信息、电话号码、地址等数据；当用户提供身份校验后，向其提供的查询服务应限于该用户的运单、路由、费用等信息。共享要求在物流运输环节共享物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：未获得物流应用用户的授权同意，不得对收集到的物流应用用户个人信息进行共享或披露；对于必要的信息共享，应准确记录和存储共享的日期、规模、目的，以及物流应用个人信息接收者的基本情况。物流投递个人信息保护技术要求收集要求在物流投递环节收集物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：投递环节所需收集的物流应用用户个人信息应仅限于确保寄递物成功投递所必需的信息，包括收件用户的基本联系信息及寄递物详情；任何非必要信息的收集，如物流应用用户身份证信息、电子邮箱地址或备用联系方式，应基于物流应用用户的明示同意；物流应用用户个人信息的收集应当在物流应用用户下单时或更新送货信息时进行，以及在寄递物交付过程中，如有必要，更新或确认信息；系统应对收集到的签名信息进行加密存储，并对存取权限进行严格管理；收件用户取货时，寄递物代存组织只应使用必要的个人信息进行身份核对，如取货码或手机号后四位等，不应要求收集额外的个人信息。处理要求在物流投递环节处理物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：对于投递环节收集的物流应用用户个人信息，必须进行及时地去标识化处理，同时实施有效的技术和管理措施以确保信息安全；应对收集的物流应用用户个人信息进行安全存储，采用强化的访问权限管理，确保仅授权人员可访问相关信息；在处理物流应用用户个人信息时，采用加密和其他安全措施，防止数据泄露或未授权访问。使用要求在物流投递环节使用物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：供寄递物收派员使用的物流服务App，应仅展示其派件的用户个人信息，且展示的物流应用用户姓名和电话号码等宜进行去标识化处理；寄递物收派员查看用户地址时，应采用水印技术确保数据泄露可追踪；寄递物收派员或寄递物代存组织联系用户时，应通过虚拟安全号码或其他隐藏用户真实电话号码的方式进行联系；因派送服务无法正常开展,确需查看未经去标识化处理的数据时,应在物流应用App展示界面中采用数字水印技术；应对使用物流应用App查询物流信息的用户进行身份校验，在用户通过身份校验前仅向其提供通过物流单号查询寄递物路由信息的服务，且展示的路由信息中不应包含物流应用用户姓名、个人身份信息电话号码、地址等；在用户通过身份校验后，向其提供的查询服务应限于其作为寄件用户或收件用户的运单、路由信息、费用信息等。物流后期管理个人信息保护技术要求收集要求在物流后期管理环节收集物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：收集前应明确告知用户信息的用途、范围、方式及保存期限，并获得用户的授权；对于非必要信息，如身份证信息、邮箱信息等，应避免收集，除非确有必要且获得用户明示同意；应对收集到的签名信息进行加密存储，并对存取权限进行严格管理。处理要求在物流后期管理环节处理物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：对于后期管理环节收集的物流应用用户个人信息，必须进行及时地去标识化处理，同时实施有效的技术和管理措施以确保信息安全；应对收集的物流应用用户个人信息进行安全存储，采用强化的访问权限管理，确保仅授权人员可访问相关信息；定期审查和清理不再需要的回单信息，及时删除或匿名化处理个人信息。使用要求在物流后期管理环节使用物流应用用户个人信息时，对物流服务提供者的要求包含但不限于以下内容：回单信息仅限于统计和审核使用，使用不得超出用户同意的范围；不得将回单信息、开票信息、退货信息用于与物流后期管理无关的目的；实施严格的权限管理措施，确保只有经过授权的人员才能访问和处理对账和开票信息。本系统数据留存与使用的个人信息保护要求留存的脱敏要求物流服务结束后本系统数据留存和使用的脱敏要求包含但不限于以下内容：对于收集到的敏感个人信息，物流服务提供者应按照本系列团体标准《敏感个人信息分类分级框架》（T/CSACXXXX-XXXX）对其进行分类分级，执行相应的脱敏操作，例如：对地址信息进行局部屏蔽，仅留下区域代码；对联系电话进行格式保留脱敏，隐藏中间数字；应确保脱敏的数据已经去标识化、涉及定位个人信息应降低精度、确保脱敏数据无法通过反脱敏处理获取隐私信息。脱敏处理过程应遵循本系列团体标准《隐私计算总体框架》（T/CSACAAAAA-XXXX）；物流服务提供者应定期进行脱敏效果的审计，确保脱敏操作达到预定的安全标准，并对脱敏策略进行必要的调整。留存数据的存储要求物流服务结束后数据存储的要求包含但不限于以下内容：对收集到的物流应用用户姓名、地址、联系方式、寄递物名称、类别、数量、物流单号、支付信息等信息的存储期限应为完成业务服务所必需的最短时间，法律法规另有规定或者个人信息主体另行授权同意的除外；物流服务提供者应提供多种数据存储方案，应至少包括明文存储、拆分存储、加密存储等方式；物流服务提供者应实行严格的数据访问控制机制，确保只有经过授权的人员才能访问留存的物流应用用户个人信息，并且访问都是出于合法和必要的目的。留存数据的使用控制要求物流服务结束后，本系统内使用收集的物流应用用户个人信息的要求包含但不限于以下内容：对非物流业务场景中使用的个人信息，应按照7.1节要求对收集的数据进行脱敏控制处理，确保使用的信息无法识别或关联个人信息主体；明确记录每次物流应用用户个人信息使用的具体目的，确保其合法性并与用户初衷相符，并建立一套记录和监控系统，以跟踪物流应用用户个人信息的每一次使用，并确保这些记录能够在需要时提供审计证据；物流应用个人信息接收者应严格按照物流服务提供者设定的使用控制要求对数据进行操作。在物流服务中收集的数据可用于优化配送路线、实时追踪寄递物位置、分析运输效率等方面。这些数据不应用于物流服务之外的目的，如分析收件用户或发件人的私人住址、工作地点、物流选择偏好等敏感信息。留存数据的删除要求物流服务提供者对物流服务结束后留存的数据的删除操作要求包含但不限于以下内容：在物流服务App中明示同意的条款项说明，App为物流应用用户提供自动删除和按需删除两种功能，自动删除和按需删除实施要求应参考《隐私计算删除控制技术要求》（T/CSACCCCC-XXXX）第6章要求；物流服务提供者收集到的手机号码、地址信息、订单信息、支付信息等信息的存储期限，应为完成业务服务所必需的最短时间，超出此存储期限后，应对收集的物流应用用户个人信息进行自动删除，删除的内容包括此类信息的所有副本需要确保在删除用户数据时，包括备份和副本中的数据也一并删除；只保留执行业务操作所必需的最少量数据，并定期评估数据留存的必要性，对不必要的数据应在确定的保存期限后自动删除；删除数据时，应采取措施确保数据无法被恢复或重构，特别是敏感信息，如个人身份信息、支付信息等；应为物流应用用户提供按需删除功能，包括不限于：个人信息在线删除服务或通过客服提供删除服务，用户手机号码、常用地址和订单删除服务等；物流服务提供者应具备删除通知下发、删除通知下发验证、删除结果反馈接收等能力，物流应用个人信息接收者应具备删除存证上报、删除通知的接收、删除触发、自动删除、按需删除、多副本查找等功能，确保符合个人信息删除控制的要求。存证要求本系统在留存使用物流应用用户个人信息过程中，应对各阶段进行存证操作。此过程的要求包含但不限于以下内容：应详细描述数据的处理方式，包括订单处理、地址验证、配送安排、用户服务及可能的营销活动等。如果存在对收集的个人信息进行二次加工的情况，如分析消费者行为、改进服务质量等，也必须明确说明，并获取用户的显式同意；对数据执行脱敏操作时，应准备记录操作数据内容的摘要、数据的模态、物流应用用户个人信息的类别、使用目的、操作类别、操作时间、操作地点、操作人员；物流服务提供者和物流应用个人信息接收者应具备向所属主管监管部门上报证据的能力，证据的内容包括不限于数据内容的摘要、数据的类别、数据的模态、使用目的、时间、操作人员、物流应用个人信息接收者的基本信息等内容；对物流应用用户个人信息数据执行删除操作时，事前应向所属主管监管部门进行上报存证，证据内容包括不限于：删除个人信息摘要、删除原因、删除方法、删除时间、操作人员等内容；向所属主管监管部门上报存证数据时，应采用防篡改、抗抵赖、低开销的安全通信协议，确保存证信息的完整性、真实性与可靠性。同机构跨系统共享的个人信息保护技术要求跨系统流转数据的脱敏要求物流应用用户个人信息在同机构跨系统进行数据流转时，脱敏要求包含但不限于以下内容：在后台信息服务系统已按照7.1节执行脱敏控制要求的基础上，确保无法通过关联分析、还原等技术手段将共享的个人信息准确定位到个人，降低数据流转过程导致的个人隐私信息泄露；在物流数据流转过程中，个人信息处理者应根据自身的脱敏需求、物流应用个人信息接收者的安全防护能力、使用目的等方面制定脱敏规则。例如，对于包含收件用户完整地址的高度敏感信息，采取更严格的脱敏措施；而对于仅涉及区域代码的较不敏感信息，则可以采取较轻的脱敏措施，以保障物流操作的同时，最大程度减少个人隐私泄露的风险；个人信息处理者确保所有脱敏后的数据仅被用于流转的特定目的，如物流分拣、路线优化、用户服务提升等，严禁将这些数据用于其他未经授权的用途；个人信息处理者应定期评估脱敏数据的有效性，确保脱敏措施既能达到预期的保护效果，又能满足物流业务的实际需求。包括不限于评估脱敏数据是否仍能支持有效的物流分拣、运输安排和投递等核心业务活动，同时确保物流应用用户个人信息的保护不受影响。跨系统数据的流转控制要求物流应用用户个人信息在同机构跨系统进行数据流转时，脱敏要求包含但不限于以下内容：物流服务提供者应保障个人信息主体的知情权，在未征得物流应用用户的授权同意条件下，不得对收集到的物流应用用户个人信息进行同机构跨系统间的数据流转使用；个人信息处理者征得物流应用用户个人信息主体授权同意后，在同机构不同系统间数据流转的过程中，应准确记录流转的物流应用用户个人信息内容、共享的方式、物流应用个人信息接收者基本信息、使用目的；个人信息处理者在同机构跨系统流转个人信息时不强制要求进行加密传输，但应提供加密传输的方式，应具备密钥分发和密钥协商两种生成加密传输密钥功能，包括但不限于TLS或VPN等加密技术。跨系统数据的使用控制要求当物流服务的物流应用用户个人信息需要在同机构内跨系统间进行数据传输时的要求包含但不限于以下内容：在物流服务中，物流应用用户的个人信息经常用于订单处理、寄递物追踪、用户服务和配送安排等目的。因此，物流服务提供者应确保在进行任何形式的数据流转前，用户完全了解并同意他们的信息如何被使用。在进行订单处理、寄递物配送或服务优化等活动时，必须获得物流应用用户的授权同意；在进行数据流转时，个人信息处理者应详细记录个人信息的内容、共享方式、物流应用个人信息接收者信息及其数据使用目的，保证物流服务中的信息流透明，尤其是在涉及物流应用用户敏感信息如配送地址、联系方式等方面。跨系统数据的删除要求同机构跨系统间共享物流应用用户个人信息在删除要求方面，在遵守7.4节要求的基础上，遵守的要求包含但不限于以下内容：当个人信息处理者进行数据流转时，必须将与该物流应用用户个人信息相关的删除控制要求一并传输给物流应用个人信息接收者，确保物流应用个人信息接收者了解并遵守相应的删除要求；应提供接口或其他适宜的方法来接收关于删除物流应用用户个人信息的通知。例如设置一个专门的API端点或采用其他电子通信方式，快速有效地接收并执行删除个人信息的请求；个人信息处理者在下发删除通知时，应确保沿用数据流转相同的路径，并且在整个流转路径上保持删除控制规则的一致性。在物流服务中的每个环节，无论是物流收单、物流分拣、物流运输、物流投递等，都应按照同样的规则处理数据的删除，确保数据的一致和安全处理。存证要求个人信息处理者应具备向所属主管监管部门上报存证的能力，在脱敏操作、使用控制、删除等阶段应向主管监管部门上报证据，具体要求应符合7.5节相关条款内容。跨机构跨系统共享的个人信息保护技术要求跨机构流转数据的脱敏要求物流应用用户个人信息跨机构跨系统流转时，在遵守8.1节要求的基础上，遵守的要求包含但不限于以下内容：在物流服务中，物流应用用户下单时通过界面明确提示并要求用户勾选同意条款，以明确获得用户对其个人信息跨机构或跨系统流转的授权同意。例如，物流应用用户在选择快递服务时，系统应明确显示信息共享的合作伙伴列表，并要求用户确认；物流服务提供者应建立健全的数据管理系统，准确记录每一次个人信息的流转情况，包括但不限于流转的具体内容、时间、参与方、目的等。这些记录应安全存储，定期进行审计，确保数据流转的透明度和可追溯性；在物流服务中，当需要将物流应用用户个人信息共享给其他物流应用个人信息接收者（如配送合作伙伴、供应链合作伙伴等）时，必须在共享前明确告知用户物流应用个人信息接收者的详细信息，包括但不限于物流应用个人信息接收者的名称、联系方式、处理个人信息的目的和方式。只有在获取了用户的明示同意后，才能进行信息共享。特别是对于敏感信息，如没有直接的业务需求，应避免共享；个人信息处理者应严格按照系列标准中的《隐私计算总体框架》（T/CSACAAAAA-XXXX）的脱敏控制技术，结合自身的脱敏需求和物流应用个人信息接收者的安全防护能力、使用目的等因素制定脱敏规则。完成脱敏处理后，必须对脱敏数据进行效果评估，并确保只在符合脱敏效果评估要求的条件下进行数据流转共享；对于需要使用个人生物识别信息的物流服务（如面部识别技术用于快递柜自助取件），应在服务开始前明确告知用户关于生物识别信息的使用目的、处理方式、物流应用个人信息接收者及其数据保护措施等信息，并获得用户的明示同意。跨机构数据的流转控制要求物流应用用户个人信息跨机构跨系统流转时，在遵守8.2节要求的基础上，遵守的要求包含但不限于以下内容：物流服务提供者未征得物流应用用户的授权同意，不得将收集到的物流应用用户个人信息在跨机构或跨系统间进行流转；在共享物流应用用户个人信息的过程中，物流服务提供者应采用加密和完整性保护等安全措施进行传输。加密传输数据的密钥应采用密钥协商的方式生成。应对物流应用用户个人信息进行分类，并设定数据安全级别，根据不同级别的数据采用不同的密码技术进行保护；第三方平台数据的共享具体要求如下：第三方平台作为支付渠道的一方可以向另一方共享物流应用用户的支付信息，以确保支付流程的顺利进行；当物流应用用户申请发票时，第三方平台可以向物流服务提供者共享用户的电子发票所需的电子邮箱地址或纸质发票所需的收件用户信息；在物流应用服务接入第三方地图服务，为物流服务规划路径和提供导航服务时，需在征得用户明确同意后共享寄递物相关信息、寄递物实时位置信息和路线规划信息，不应共享物流应用用户和寄递物运输者的其他个人信息。个人信息处理者应准确记录并存储流转物流应用用户个人信息的内容，包括共享信息的摘要、日期、规模、目的、操作人员和物流应用个人信息接收者基本情况；物流应用个人信息接收者对收集的个人信息进行第三方共享时，应向物流应用用户告知第三方物流应用个人信息接收者的基本信息、联系方式、处理目的、处理方式以及物流应用用户个人信息的种类，并取得物流应用用户的明示同意，不应向无业务需求的物流应用个人信息接收者提供物流应用用户个人信息；个人信息处理者公开纰漏违法违规信息时，应对物流应用用户的身份信息进行去标识化处理。跨机构数据的使用控制要求物流应用用户个人信息跨机构跨系统流转时，个人信息使用应遵守8.2节要求的基础上，遵守的要求包含但不限于以下内容：在共享物流应用用户个人信息的过程中，个人信息处理者应采用加密和完整性保护等安全措施进行传输。加密传输所用的密钥应通过密钥协商方式生成。例如，当用户下单信息需要共享给配送合作伙伴时，数据包括但不限于用户的姓名、地址、联系方式等，都应加密处理后再进行传输；个人信息处理者需要对持有的物流应用用户个人信息进行敏感程度分级，识别数据的敏感性并据此制定相应的数据访问控制政策。例如，将用户的联系信息、交易记录等视为高敏感度数据，对这些数据实施更严格的访问控制和使用策略。确保只有业务相关且具备相应数