快递实名制下用户隐私泄露风险防范
2017-11-11耿勇,孙军锋
耿 勇,孙 军 锋
(1.中央财经大学商学院,北京市100081;2.石家庄学院体育学院,河北石家庄 050035)
快递实名制下用户隐私泄露风险防范
耿 勇1,孙 军 锋2
(1.中央财经大学商学院,北京市100081;2.石家庄学院体育学院,河北石家庄 050035)
国内外快递业发展实践表明,快递实名制是规范快递业发展的必然选择。快递实名制有助于从源头上避免以快递为载体的违法事件的发生,解决快件丢失、冒领及追溯难题,从根本上维护公众人身财产安全,提高快递企业服务绩效。然而,快递实名制在保证快递物品安全的同时,也会在一定程度上给用户带来安全隐患,容易引发用户隐私泄露风险,给用户造成损失。快递实名制推行效果与快递用户隐私信息保护水平密切相关。目前我国快递实名制推行效果不佳,其中既有政府监管以及用户层面的原因,也有快递企业层面的原因。为保护用户权益不受侵犯,促进快递实名制顺利推行,必须基于快递供应链视角分析把握风险来源及表现,从政府监管层面、隐私信息保护技术层面、快递企业管理层面入手,防范快递业用户隐私泄露风险,并积极构建互联网背景下的快递企业商务信用体系。
快递实名制;隐私泄露风险;快递业供应链;商务信用体系
一、引言
随着电子商务的迅猛发展,我国快递行业也得到了快速发展,快递企业数量不断增加,业务规模不断扩大,业务范围不断增加,管理能力不断提升,在服务电商经济发展中的作用不断增强,部分快递企业已经成功进入资本市场。但是,在快递行业快速发展的同时,也存在着各种各样的问题,特别是快递寄送的非实名制,一方面使得以快递为载体的违法事件日益突出,如快递走私、快递运毒、快递炸弹等;另一方面导致快件丢失、冒领以及追溯难问题严重影响快递企业服务绩效。为加强快递业规范化建设,引导快递业健康良性发展,国务院、国家邮政局先后出台了《快递暂行条例》(征求意见稿)、《关于促进快递业发展的若干意见》《快递业务操作指导规范》等一系列文件。其中,《关于促进快递业发展的若干意见》提出了快递业发展的五项重点任务和六项政策措施,强调各有关部门要各负其责,根据相应的职责和权限,分别制定并出台与之相配套的措施。国家邮政局在全国部分城市推行快递实名制试点的基础上,于2015年11月1日在全国正式推行快递实名制。
国内外快递实名制发展和推行的实践表明,快递实名制是规范快递业发展的必然选择。我国快递实名制在全国的推行对规范快递企业管理、提升快递企业竞争力具有很好的实践意义,但也遇到了一些阻力,致使其价值并未完全得到体现。导致实名制推行不力的原因很多,其中用户对隐私信息泄露的担忧是关键。基于此,本文在对快递实名制与用户隐私泄露风险进行解析的基础上,对快递实名制下用户隐私泄露风险的成因进行分析,并从快递供应链角度阐述用户隐私泄露风险形成机理,然后分别从监管、技术、企业管理等方面提出快递实名制下用户隐私泄露风险的防范策略。
二、快递实名制与用户隐私泄露风险
(一)快递实名制解析
2015年11月1日,我国开始正式实行快递实名制登记。关于快递实名制登记,国家邮政局于2015年11月2日出台了《集中开展寄递渠道清理整顿专项行动实施方案》。其中,方案从两个方面入手对快递实名制提出了明确的要求。一方面,加强对酒店、车站、广场、路边等公共场所流动人员所投寄快递的实名管控;另一方面,要求发件人所填写的快递运单内容必须真实,具体运单内容要包括寄(收)件人姓名、地址、联系方式以及快递标的物名称、类别、数目等信息,快递工作人员要对寄件人联系方式及身份信息进行详细核实后才能受理快递寄送业务。快递实名制流程可参见图1。对于实名收寄,快递企业、快递员乃至用户均有各自不同的解读,在一定程度上影响和制约了快递实名制的发展。
图1 快递实名制流程
国家邮政局提出的实名收寄包括以下几个方面:其一,实行快递实名制的动因是维护公共安全和保障交寄物品安全;其二,快递实名制登记的关键是核实相关信息的真实性,即实名制登记的目的在于信息核实;其三,在用户身份信息核实方面,除第二代身份证外,国家法律法规明确规定的护照、军官证、驾驶证等有效证件均能用于身份信息的核实;其四,用户身份信息仅仅用于核实,不需要作为快递运单内容将之填写在运单上;其五,现阶段快递实名制仅仅针对收寄环节的发件人或发货方进行实名登记,对收件人或收货方暂时还没有进行实名登记。
(二)用户隐私信息泄露的后果
从快递业、电子商务等行业发展的视角看,实名制有助于降低快件丢失率、投诉率、损毁率、延误率,引导快递企业从价格竞争向服务竞争转变,从粗放式管理向精益化管理转变。不过,对快递实名制的不恰当理解与执行可能会导致用户隐私信息泄露,进而对用户产生影响并造成损失,制约行业持续健康发展。
隐私信息泄露扰乱了用户的正常生活,乃至造成经济损失和威胁人身安全。比如,用户隐私信息泄露后,经常会收到广告和推销类的垃圾短信或骚扰电话,影响用户正常生活秩序。调查显示,超过25%的被调查者表示,每天会收到2~3条垃圾短信;超过20%的被调查者表示,每天会收到2~3个骚扰电话。
隐私信息泄露造成了用户的经济损失。隐私信息泄露后,不法分子会利用相关信息以冒充公安人员要求转账、挂失银行账户、挂失信用卡账户等方式进行诈骗,造成用户的经济损失。《中国网民权益保护调查报告2016》显示,网民一年因个人信息泄露等遭受的经济损失高达915亿元。
隐私信息泄露为产业链下游的犯罪活动提供了便利。一方面,不法分子借用用户身份冒名办卡,恶意透支欠款,给个人的信用、财产和名誉造成损失;另一方面,不法分子利用个人隐私信息从事绑架、敲诈、勒索、抢劫等恶性事件,威胁个人人身安全。
快递用户隐私信息泄露在给用户造成损失的同时,反过来也会影响和制约快递产业链的发展,甚至威胁国家安全。
三、用户隐私泄露风险形成机理
(一)用户隐私泄露风险形成分析思路
快递用户隐私信息泄露涉及多个环节,从全流程、闭环角度进行分析和研究更容易控制信息泄露风险。快递过程中造成用户隐私泄露的环节有两个:一是快递公司工作人员在内网获得用户信息造成泄露;二是快递员在送货过程中获得用户信息造成泄露。[1]从快递企业自身信息系统角度看,导致快递用户信息泄露的原因,一是快递用户信息收集过程中隐私信息保护意识缺乏;二是没有广泛使用电子面单;三是快递信息管理系统在失真、加密等信息保护方法与技术应用方面有待加强。从快递用户信息泄露路径来看,主要涉及快递企业数据库泄露、快递过程中面单泄露、快递信息跟踪码泄露、用户自身原因泄露等。[2]
快递供应链由快递发货方、快递企业、快递收货方组成。其中,快递发货方包括快递个人发货方和企业发货方;快递企业包括直营模式的快递企业网络、加盟模式的快递企业网络、混合模式的快递企业网络;快递的收货方包括快递个人收货方和快递企业收货方。整个快递供应链的发展离不开外部环境,比如来自于政府各部门的政策、法规、监管环境以及软件服务提供商、金融机构等其他第三方服务商。因此,进行快递企业用户隐私泄露风险分析,需要将快递企业放到一个系统结构中进行研究。本文界定的快递供应链体系结构如图2所示。
(二)用户隐私泄露风险形成因素
通过快递实名制,快递企业积累了大量的用户身份信息及隐私类信息。在大数据挖掘分析与商业应用背景下,这些信息的有效使用将为快递企业创造巨大财富,而对信息的不规范管理将给行业发展带来巨大风险。从快递供应链体系结构来看,对于用户隐私泄露风险形成的因素,可从以下五个方面入手分析:
图2 快递供应链体系结构
1.发货方与用户隐私信息泄露
从主体角度看,主要是快递发货方对用户隐私信息的泄露,源于快递发货方隐私信息保护意识和行动不够。
2.快递企业与用户隐私信息泄露
快递企业造成的用户隐私信息泄露主要包括:企业信息系统不完善造成信息泄露,如黑客攻击;接触用户信息的快递企业管理人员造成泄露;快递企业快递人员造成用户隐私信息泄露;快递企业网点用户隐私信息管理能力不足造成用户隐私信息泄露。具体来讲,其原因主要表现在以下几个方面:
(1)设备配置不够完备。快递实名制推行的信息保护需要快递企业按照规定配置各项安全生产设备,而目前设备方面尚未完全落实。比如,我国快递企业在收寄快递时,快递员和用户仍然在完成纸质面单的信息填写,缺少基于移动终端设备的用户信息的电子录入,无法实现用户隐私信息的加密隐藏处理,容易造成用户隐私信息泄露。
(2)快递从业人员职业素养有待提高。快递行业的从业人员是快递实名制的直接落实人,应严格遵守快递业法律法规,遵守快递行业业务规定,恪守职业道德,严守用户信息。而现实中,行业从业人员对用户隐私信息保护意识不足,尚未真正意识到用户隐私信息泄露的严重性,很容易造成用户隐私信息泄露。
(3)快递企业基于成本方面的考虑,没有做好用户隐私信息保护工作。快递实名制下,快递企业要保护用户隐私信息,势必需要更新软件系统和硬件设备,再造企业业务流程,培训企业工作人员等,而这些活动必然会增加快递企业的运营成本。
(4)快递企业网点管理能力不足。快递企业运营需要众多的网点,这些网点包括自营网点和加盟网点。由于快递企业对不同类型网点用户隐私信息安全管理的不足,造成了用户隐私信息的泄露。
3.收货方与用户隐私信息泄露
收货方自身造成的隐私信息泄露主要源于其用户隐私信息安全保护意识的不足。具体而言,即收货方对隐私信息缺乏清晰的理解,对隐私信息泄露后果的严重性认知不足,导致纸质面单随意丢弃,进而造成用户隐私信息泄露。
4.监管方与用户隐私信息泄露
监管方造成的用户隐私信息泄露表现为,监管方对快递企业用户隐私信息监管不足。一是监管力度与物流快递行业发展不匹配。随着电子商务的快速发展,快递行业业务量呈现出迅猛增长的态势,然而国家邮政局作为物流快递行业监管的主体,尚未在各个区县设立监管机构,仅仅设立了派出机构,无法对迅猛发展的物流快递行业实施有效监管。二是快递业监管法律法规不健全。目前,我国对物流寄递行业进行管理所依据的法律法规包括《邮政法》《快递市场管理办法》《快递安全生产操作规范》《反恐法》等。尽管这些法律法规针对物流快递行业给出了比较全面的规定,但针对快递实名制,特别是在技术层面尚未形成相应具有针对性的法律法规。此外,对物流快递行业不实行寄送实名制和不规范操作所导致的用户信息泄露的惩罚措施等约束机制也尚未形成。
5.第三方服务提供商与用户隐私信息泄露
第三方服务提供商造成的用户隐私信息泄露主要表现为,部分服务于快递企业的行业企业在用户隐私信息安全保护技术方面存在一定程度的局限性,导致了单据查询等过程中的隐私信息泄露。数据显示,2015年我国快递年业务量首次突破200亿件,这些流转在行业企业信息系统中的用户信息需要保护。而2014年12月到2015年12月,快递行业信息泄露案件达到43起,其原因主要就在于行业企业数据安全防护技术水平不够,信息系统和企业网站安全防护存在漏洞,一旦服务商的服务器遭到侵袭,就会造成用户隐私信息泄露。
(三)用户隐私泄露风险的形成机理
通过对快递实名制用户隐私信息泄露五个节点的分析,可以归纳出用户隐私泄露风险的形成机理,即发货方或收货方因隐私信息安全保护意识不足而形成用户层面的隐私泄露风险节点;快递企业因信息技术局限、人员素养较低、管理能力不足而形成较多企业层面的隐私泄露风险节点;监管部门因监管不足而形成监管层面的隐私泄露风险节点;第三方服务提供商受信息安全保护技术局限而形成第三方服务层面的隐私泄露风险节点。一般情况下,无论是哪个层面的隐私泄露风险节点,都是共同发生、相互影响并最终导致用户隐私信息泄露的,可将用户隐私泄露风险形成机理描述为图3所示的钻石模型。
四、用户隐私泄露风险防范策略
快递业务规模的不断扩大以及快递数据的加速集中,使得对快递数据的处理和保护变得越来越重要。面对快递业用户隐私信息泄露问题,我国政府和企业也相应出台了一些措施和办法,如纸质面单的有效存储和定期销毁制度、[3]快递企业信息泄露惩罚机制、快递智能柜开发设计与网点布局、电子面单的开发和使用、技术开发与应用、快递企业规范管理等,但实际效果不佳。为此,需要构建更加系统和全面的防范策略。根据用户隐私泄露风险形成机理钻石模型,可分别从监管层面、技术层面、快递企业管理层面入手,探讨用户隐私泄露风险防范策略。
(一)基于政府监管层面的策略
图3 用户隐私泄露风险形成机理钻石模型
首先,健全快递业用户隐私信息泄露相关法律法规体系。在现有隐私信息安全管理法律法规基础上,进一步出台针对快递企业、快递工作人员的隐私信息安全管理法律法规,明确快递供应链体系中用户信息安全保护责任主体以及相应的保护义务,提升快递业法治化、标准化水平,提高快递企业用户隐私信息泄露监管程度。构建面向用户隐私信息泄露的信息获取、信息存储、信息核实、信息跟踪等大数据系统,加大对用户隐私信息泄露企业以及个人的监管水平,形成有效的奖惩机制。
其次,加大政策支持力度。中央及地方各级政府相关部门通过税收、土地、补助、贴息等方式,鼓励并支持从事快递企业用户隐私信息管理的科技创新型企业发展,使之在各地的分支机构依法享受企业所得税优惠政策。各地在土地利用总体规划与年度用地计划中统筹安排快递专业区域设施用地,将智能快件收发服务设施纳入公共服务设施规划。鼓励金融机构开展针对快递科技创新型企业的融资模式。
其三,加强快递行业安全监管。实施快递寄递渠道隐私信息安全监管工程,明确收寄环节用户隐私信息安全标准。建立快递从业人员用户隐私信息保护制度,严格收寄验视制度,强化快件信息监管。积极利用信息技术提升快递业用户隐私信息安全监管能力,完善快递业用户隐私信息安全监管信息平台,制定信息采集标准,构建信息共享机制,实现快递信息的溯源与跟踪,切实保护用户信息安全。
(二)基于隐私信息技术层面的策略
针对行业企业数据安全防护技术水平不足、信息系统和企业网站安全防护存在漏洞等问题,利用信息技术提升快递业用户隐私信息安全保护能力。信息技术的利用主要涉及两个方面的内容:一是设计快递实名制信息安全系统性解决方案;二是构建快递业用户信息分布式存储系统。
1.设计快递实名制信息安全的系统性解决方案
从目前我国发生的快递业用户隐私信息泄露事件看,用户隐私信息的明单显示是导致信息泄露最为直接的原因,隐私信息保护技术的开发和应用是其背后的深层次原因,因此基于快递业的多角度隐私信息保护技术研发与应用是解决问题的关键。快递信息管理系统是快递业信息管理的基础,基于技术加密的移动接单、关键信息隐藏的面单、扫码解密的移动派送进行快递信息系统设计,对快递用户隐私信息泄露的控制而言至关重要。[2]在快递面单方面,需要结合实际进行隐私信息保护模型研究与算法优化实现。[4]随着快递业用户信息的不断膨胀以及数据信息显示的动态化、渠道来源的多样化,隐私信息保护技术研发与测试变得越来越重要。
隐私信息保护技术主要有三种:一是基于数据失真的隐私信息保护技术,即在确保原始数据属性或性质不被改变的前提下,利用增加噪声、阻塞与凝聚、差分或替换等技术对原始数据的敏感信息进行失真处理,使攻击者无法还原或重构原始数据并发现真实信息;[5]二是基于数据加密的隐私信息保护技术,即通过对原始数据加密钥或加密函数对敏感数据进行隐藏的隐私信息保护方法,该方法通常应用于分布式存储环境中;三是基于限制发布的隐私信息保护技术,即根据具体情境,通过数据泛化或对发布数据的阈值进行限定等手段,有条件地发布数据。[6]
在隐私信息保护技术开发基础上,还需要对隐私信息保护技术性能进行评估。隐私信息保护技术性能评估的维度主要涉及三个方面:一是隐私信息的保护度,是对所发布数据泄露风险程度的反映;二是数据缺损,是对所发布数据质量的衡量,如信息缺损、重构数据与原始数据的相似程度;[7]三是算法性能,一般通过应用时间复杂度进行度量,如采用时间复杂度为O(k)的近似K—匿名算法。[8]
综上所述,结合快递实名制流程,可以设计快递实名制信息安全的系统性解决方案。具体可参见图4。
2.构建信息分布存储系统
分布式存储是保存大量数据常用的方法。分布式存储系统将数据分类存储于多个不同且相互独立的设备上,以达到分散隐私泄露风险的目的。与传统的集中存储系统相比,分布式存储系统采用可延伸的系统布局,应用多个存储设备或服务器分摊或共同承担存储任务与负荷,利用基于位置的服务通过外部定位方式确定存储信息位置,将数据分散到若干相互独立的存储节点中保存,在提高存储系统安全性、可靠性与存取效率的同时,还可以进行扩展。目前,分布式存储已经成为存储系统设计的主流。[9]
快递实名制用户信息可以分为三个部分,即用户收派信息、手机号码保护信息和实名制系统认证信息。为确保用户信息安全,可借鉴分布式存储系统设计理念,构建快递实名制信息分布存储系统,将上述三部分信息分别存储于不同的节点。具体而言,就是将用户收派信息存储于快递企业,将手机号码保护信息存储于运营商,将实名制系统认证信息存储于公安系统,实现快递实名制信息的分散存储,以分散用户隐私泄露风险。具体可参见图5。
(三)基于快递企业管理层面的策略
分析导致快递业用户隐私信息泄露的原因可以发现,有很多是快递企业管理方面的问题,如快递从业人员素质问题、快递企业经营模式问题、快递企业信息系统问题、快递企业供应链管理中断问题等。针对这些方面存在的问题,需要分别采取相应的策略和措施。在互联网平台化经营背景下,快递业信用体系建设或许是解决上述问题的一项创新举措。构建快递行业信用体系,能够有效实现快递企业内部管理的升级,实现从业人员素质的整体提升,规范快递企业经营行为,推动整个行业健康发展。
图4 快递实名制信息安全系统性解决方案
图5 信息分布式存储
进行快递业信用体系建设,需要抓住几个关键点:利用大数据和云计算处理信用数据,开发基于互联网的信用管理平台,构建基于快递企业诚信的商务信用体系。信联网作为继互联网、物联网之后的第三大网络,是在互联网技术基础上,通过对平台交易信息、政府监管数据、公共网络平台大数据的挖掘分析,通过特定计算模型的构建,运用云计算技术形成动态商务信用评估体系,基于信用资产运营而形成的商务信用网。[10]在国家推动企业诚信体系建设、企业多证合一、企业大数据开发应用的大背景下,应用信联网构建快递企业商务信用体系,是快递业用户隐私信息管理的重要手段。
五、结论与启发思考
从国内外快递业发展实践看,快递实名制是必然趋势。快递实名制推行的效果与快递用户隐私信息保护水平密切相关。目前,我国快递实名制推行效果不佳,其中既有政府监管层面以及用户层面的原因,也有快递企业层面的原因。有关快递业隐私信息泄露问题的分析需要从供应链全系统角度着手进行,这样可以更加全面地把握风险的来源和表现。基于供应链全系统视角,用户隐私泄露风险防范可从政府政策监管层面、隐私信息保护技术层面、快递企业自身管理层面着眼进行考虑,其中最为重要的一项工作就是构建互联网背景下的快递企业商务信用体系。本文只是框架性研究,后续还应在电子快递面单隐私信息保护技术开发与测试以及快递企业商务信用系统建设方面进行更为深入的理论与实践应用研究。
[1]韦茜,李星毅.基于K—匿名的快递信息隐私保护应用[J].计算机应用研究,2014,2(31):555-557.
[2]周春樵,朱思征,王山山,等.快递信息管理系统中隐私保护研究[J].物流工程与管理,2015(12):30-32.
[3]徐睿.百万张快递单眨眼变纸屑[N].烟台日报,2014-06-13(5).
[4]韦茜,王晨,李星毅.基于RSA算法的快递信息隐私保护应用[J].电子技术应用,2014,7(40):58-60.
[5]SWEENEY L.K-anonymity:a model for protecting privacy[J].International journal on uncertainty,fuzziness and knowl⁃edge-based systems,2002,10(5):557-570.
[6]SWEENEY L.Achieving kanonymity privacy protection us⁃ing generalization and suppression[J].Internationaljour⁃nal on uncertainty,fuzziness and knowledge-based systems,2008,10(5):571-588.
[7]KIFER D.Injecting utility into anonymized datasets[C].At⁃lanta,Georgia,USA:The acm sigmod conference on manage⁃ment of data,2006.
[8]AGGARWAL G,FEDER T,KENTHAPADI K,et al.Anony⁃mizing tables[C].Edinburgh,Scotland :The 10th internation⁃al conference on database theory,2005.
[9]张薇,马建峰,杨晓云.分布式存储系统的可靠性研究[J].西安电子科技大学学报(自然科学版),2009,36(3):480-485.
[10]张云起,孙军锋,王毅,等.信联网商务信用体系建设[J].中央财经大学学报,2015(4):90-99.
责任编辑:陈诗静
Risk Prevention of User's Privacy Disclosure under the Express Real-name System
GENG Yong1and SUN Jun-feng2
(1.Center University of Finance and Economics;Beijing100081,China;2.Shijiazhuang University,Shijiazhuang,Hebei050035,China)
The practice of international and domestic express industry development shows that express real-name is the inevitable choice for us to regulate the development of express industry.The express real-name system is helpful to avoid the occurrence of‘express parcel explosion’and‘deadly express delivery’from the source,and fundamentally safeguard the personal and property safety of the public.Although the express real-name system can ensure the safety of the express object,to some extent,it can bring hidden dangers to users and easily lead to users’information and privacy risk simultaneously.The implementation effect of express real-name system will be closely related to privacy and information protection of users.At present,causes for why the effect is not good enough are not only from government supervision and users,but also from express enterprises.Therefore,in order to protect the users'rights and interests against infringement and promote the smooth implementation of express real-name system,it is necessary for us to analyze the cause and formation mechanism of user privacy risks,and prevent the related risk from the perspective of government supervision,related technology,and the management of express enterprise.The most important for us is to establish the business credit system for express enterprise in the background of Internet.
express real-name system;privacy disclosure risk;express industry supply chain;business credit system
F259.2
A
1007-8266(2017)11-0122-07
10.14089/j.cnki.cn11-3664/f.2017.11.015
耿勇,孙军锋.快递实名制下用户隐私泄露风险防范[J].中国流通经济,2017(11):122-128.
2016-12-06
耿勇(1976—),男,安徽省定远县人,中央财经大学商学院副教授,博士,主要研究方向为物流与供应链管理;孙军锋(1979—),男,河北省隆尧县人,石家庄学院体育学院教师,博士,主要研究方向为营销风险管理。
