2025年12月3日上午，上海律协现代物流专业委员会在上海律协会议室和腾讯会议结合的形式举办“物流数据互联的合规与可信基础”的专题讲座，共同探讨物流行业在推进数据互联、打破“信息孤岛”、降低全社会物流成本、构建合规且可信数据治理体系中需要注意的数据合规监管问题。本次讲座邀请到德恒上海律师事务所黎鑫律师主讲，上海律协现代物流专业委员会副主任单文亮主持。讲座以线下和线上同步的方式开展，共计90余人参会，其中线下10余人、线上79人参与。

主持人单律师先向线上线下的与会同仁表示欢迎，随后指出，正如国家发改委等部门《关于推动物流数据开放互联 有效降低全社会物流成本的实施方案》中提到的“物流是实体经济的‘筋络’，联接生产和消费、内贸和外贸。 推动物流数据开放互联，是提升资源配置效率，畅通实体经济循环的重要举措”，建立物流数据资源开放互联机制，可有效促进降低全社会物流成本。但在建立开放互联机制过程中，还需要参与互联的机关，尤其企业等主体遵循数据合规的各项要求。而物流行业的数据合规究竟有哪些注意事项和实操要点，正是本次活动希望分享的内容。

主讲人黎鑫律师介绍了本次讲座的主要内容包括物流行业的数据生态、合规监管法律框架、物流数据合规要点、合规且可信的数据合规治理体系四个方面，并逐项展开如下：

在介绍“物流行业的数据生态”时，黎律师先介绍了：（1）湖南娄底市查处的一起篡改货运车辆动态监控数据案件，涉事企业被处以行政罚款；（2）《沈阳市零售业创新提升试点城市实施方案》（2025年11月19日），其中提到“实施供应链服务增效行动，引导传统商贸、物流企业拓展供应链一体化服务功能，提供供应链金融、供应链管理、科技服务、信息咨询等各类专业化供应链业务”；（3）广州港“物流+金融”一站式服务首单落地（2025年11月24日），介绍了广州港物流结合担保公司的供应链金融支持，实现“引货入港”。随后，黎律师说明，数据生态的建设往往伴随着合规监管，并以上海市通信管理局发布的、关于申通快递等27款APP因侵害用户权益被下架的通报为切入点，展开对数据驱动的新风险的介绍，可以归纳为：（1）移动应用程序合规监管——下架、隐私泄露；（2）网络安全与数据合规管理——“技术风险”和“内鬼风险”；和（3）数据（个人信息）处理全生命周期——与合作伙伴的权责划分三个方面。

在介绍“合规监管法律框架”时，黎律师将数据合规法律框架概括为5个层面，包括：（1）传统立法，包括《民法典》《国家安全法》《刑法》》《著作权法》《密码法》《反不正当竞争法》《未成年人保护法》等，（2）“三驾马车”，包括：（《网络安全法》《数据安全法》《个人信息保护法》）（3）各单行政行法规规章，包括：《网络数据安全管理条例》《网络安全审查办法》《关键信息基础设施安全保护条例》《数据出境安全评估办法》《未成年人网络保护条例》《快递暂行条例》等，（4）其他行政规范性文件，包括《App违法违规收集使用个人信息行为认定方法》《生成式人工智能服务管理暂行办法》《促进和规范数据跨境流动规定》《寄递服务用户个人信息安全管理规定》《网络平台道路货物运输经营管理暂行办法》，（5）国家标准和行业标准（《信息安全技术 个人信息安全规范》《快递电子运单》《网络安全技术 人工智能生成合成内容标识方法》等。黎律师又对“三驾马车”和《促进和规范数据跨境流动规定》中的重点条款进行了详解的解读，包括《网络安全法》（2026）第二十三条规定的“网络安全等级保护制度”、《数据安全法》（2021）第二十一条规定的“数据分类分级保护制度”和第二十七条规定的“建立健全全流程数据安全管理制度”、《个人信息保护法》（2021）第十四条等规定的“知情同意制度”、《促进和规范数据跨境流动规定》（2024）第八条规定的标准需要结合《个人信息处境标准合同备案指南（第二版）》第一条关于适用范围的规定进行理解。

在介绍“物流数据合规要点”时，黎律师先介绍了“2024年1月1日至2025年6月30日期间港股IPO披露数据合规相关内容的汇总”情况，说明在IPO工作中监管重点包括：（1）企业在业务经营与内部管理过程中的整体数据安全能力和合规状态；（2）企业对于新规有充分的合规承载能力和应对方案；（3）企业满足特定行业/领域的合规监管要求，例如AIGC/算法规范的适用及合规性、汽车数据若干规定的适用及合规性。黎律师接下来分别介绍了：1.移动应用程序合规要点包括：隐私政策文本与设置（以“告知-同意”原则为核心），第三方插件（SDK）管理（第三方清单、监测安全漏洞），权限获取合规（不得强制、频繁、过度索取权限），用户权益保障合规（保障投诉反馈渠道畅通），用户数据使用合规（自动化决策机制的说明与拒绝路径）。2.网络安全与数据合规管理层面的要点包括：（1）网络安全，主要是等级保护义务，对信息系统的安全等级进行评定、测评与备案。（2）网络安全与数据合规制度管理，包括建立网络安全、数据安全与个人信息保护的内部组织架构和管理机制，采取保障网络安全、数据安全与个人信息的必要技术措施，筹备网络安全、数据安全与个人信息安全事件的应急预案三个方面。（3）数据合规，包括分类分级、全流程合规处理、教育培训、审计评估几个方面。（4）网络安全审查是针对a.关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的；b.掌握超过100万用户个人信息的网络平台运营者赴国外上市的主体进行的。3.数据（个人信息）处理全生命周期合规要点包括：（1）收集时注意：数据来源合法性审查、对收集的数据进行分类分级、收集个人信息以告知-同意为核心、注重用户授权同意收集的过程、专门的儿童个人信息处理规则；（2）使用时注意：明确数据使用的操作规范，明确公司内部的数据访问、使用管理，自动化决策机制的说明与路径退出设计；（3）提供时注意：包括向境外提供数据、向委托方提供数据、关联公司之间共享数据、合作机构之间共享数据几种情形；（4）传输中注意：数据传输过程加密，保证传输完整；跨境传输；公司与合作伙伴或集团内部之间的数据传输；公司各部门间的数据传输；（5）存储时注意：满足安全需要的防侵入、防泄漏、防越权，日志可回溯，数据分类分级存储，容灾备份；（6）删除包括：委托关系终止的数据删除、存储期限届满的数据删除、基于数据主体撤回同意的数据删除。

在介绍“合规且可信的数据治理体系”时，黎律师对“物流数据‘大互联’时代”进行了解读，重点依据的是2025年11月10日国家发改委等十部门发布的《关于推动物流数据开放互联 有效降低全社会物流成本的实施方案》，黎律师提到《实施方案》的最终目的是“打破数据壁垒 降低物流成本”，而可信空间和企业的合规管理工作则是实现目标的保障。此外，黎律师也对国家发改委等部门在2025年2月发布的《关于开展物流数据开放互联试点工作的通知》中的试点任务、促进可信交互等举措进行了解读，最后肯定了《国家物流公共数据共享开放清单（2025）》规定的具体内容，表达了对公私数据融合的信心。

黎律师的主题分享结束后，线上线下与会嘉宾围绕日常业务中遇到的数据合规的具体问题，与黎律师进行了深入的交谈，也解决了与会嘉宾的疑问。

（注：以上嘉宾观点，根据录音整理，未经本人审阅）

供稿：上海律协现代物流专业委员会

执笔：单文亮 上海正策律师事务所

修订：黎鑫 德恒上海律师事务所