近日,极兔速递环球有限公司向港交所递交了招股书,作为一家在三年左右时间内快速崛起的快递企业,东南亚市场占有率第一,中国市场占有率第五的成绩不可谓不惊艳,也为2021年京东物流、满帮集团、顺丰同城等多家快递物流企业扎堆上市潮后沉寂许久的快递业带来了新的资本市场变数。

随着近年来全球各国对个人信息保护合规监管力度的提升,作为需要接触大量C端用户地址、联系方式等个人信息的快递行业,极兔速递在招股书中亦就个人信息保护、数据安全等风险因素与合规管理措施情况进行了介绍——相关信息的披露在近年来近乎所有涉及个人信息的企业上市招股书中已成定例。


(相关资料图)

值得注意的是,虽然极兔在招股书中表示“并无遭遇任何重大资料泄露或敏感数据遗失的情况”,在黑猫投诉等平台,依然存在着针对极兔的个人信息争议;此外,作为经营范围遍及中国、印度尼西亚、泰国、菲律宾等多个国家的快递企业,如何保证满足不同国家的合规要求,应对国际业务开展过程中动态变化的合规环境,亦是极兔进一步扩张中值得关注的焦点问题。

“卷王”狂奔三年冲刺上市

6月16日,在摩根士丹利、美银和中金公司的联席保荐下,极兔速递环球有限公司(下称“极兔速递”)正式向港交所递交上市申请书。其计划募集5-10亿美元,用于拓宽物流网络、升级物流基础设施、开拓新市场及扩大服务范围和研发与技术创新。

据招股书显示,极兔速递是一家全球物流服务提供商,其快递业务在东南亚处于领先地位,在中国也具有竞争力,且不断扩展至拉丁美洲及中东,服务跨越13个国家。

图片来源:极兔速递招股书

据弗若斯特沙利文(Frost & Sullivan)报告,极兔速递为2022年东南亚排名第一的快递运营商,市场份额为22.5%。其在2020年进入国内快递市场,去年共处理境内包裹超一千两百万件,按包裹量计算的市场份额达到10.9%。此外,极兔速递还是亚洲首家进驻沙特阿拉伯、阿联酋、墨西哥、巴西和埃及的成规模快递运营商,能够为合作的电商平台拓展新市场时提供支持。

值得注意的是,极兔速递在招股书中提及了一系列可能对业务、财务状况及经营业绩产生影响的重大风险因素,其中特别指出“我们收集、处理及使用数据,其中部分包含个人资料。任何隐私或数据安全漏洞均可能损害我们的声誉及品牌,并严重损害我们的业务及经营业绩”这一与数据安全及隐私相关的风险。

清律律师事务所首席合伙人熊定中在接受南方财经全媒体记者采访时表示,快递行业比较特殊的情况是在日常经营中会处理较多的敏感信息如家庭地址信息等,能否处理好敏感信息与个人的隐私安全息息相关。

然而,处理好敏感信息对于快递企业来说并非易事。其一,其在日常运营中可以获得大量机密资料。每份运单均包含一个包裹的寄件人及收件人的姓名、地址、电话号码及其他联系资料,而包裹的内容也可能泄露机密资料。其二,在单个包裹通过网络揽件到送货这一过程中,有大量人员处理包裹并接触相关机密资料。尽管已经采取安全政策及措施,但仍无法防止其中部分人员可能盗用机密资料。

西南政法大学民商法学院(知识产权学院)教授曹伟也认为,快递行业应当高度重视个人信息保护,避免将个人信息直接以文字等能够轻易被识别的方式记载在快递上。

对此,极兔速递亦在招股书中进行了说明。据其介绍,公司已实施数据安全管理规程,载列了包括收集、传输、储存、分享、销毁、备份及恢复数据等有关数据相关操作的政策。其还设有一支专门的数据安全团队以制定及实施有关数据安全管理的程序,涉及客户隐私保护、数据分类、监控、应急响应及第三方管理机制。

个人隐私保护与跨境信息传输双生难题

值得注意的是,在黑猫投诉平台上,亦有存在数个关于极兔快递与个人信息相关的投诉内容。有用户投诉称,怀疑极兔快递员盗用个人信息用于寄送刷单快递,亦有用户称在购买商品使用极兔快递后,收到标记为极兔快递的电话询问是否贷款、买房。

对于极兔速递乃至整体快递行业而言,如何进一步保护好消费者的个人隐私始终是一个难以绕开的考题。

曹伟指出,快递行业可以利用脱离敏感等新技术,将个人信息以虚拟号等方式进行隐藏,以保障个人信息在快递流通过程中仅能够被用于机器识别并进行派送,避免其他个人较为简单直观的获取到客户的个人信息。

2月份开始实施的新国标《快递电子运单》(GB/T 41833-2022)设立了专门章节,强化个人信息保护内容。具体包括:一是禁止显示完整的个人信息。快递企业、电子商务经营主体等应采取措施,避免在电子运单上显示完整的收寄件人个人信息。二是推荐对个人信息进行全加密处理。快递企业、电子商务经营主体等宜采用射频识别、手机虚拟安全号、电子纸等技术手段,对快递电子运单上的个人信息进行全加密处理。三是规范个人信息相关内容的读取权限。快递电子运单上隐藏的、加密的信息内容,仅限于快递企业及其授权的第三方、相关管理部门,使用相关设备合法读取。

熊定中认为,在未来,快递企业需要进一步明确收集的数据的用途以及保存方式,以及后续变更使用目的时的告知方式,这是数据持有企业需要重点关注的容易发生数据泄露的环节。

旨在符合行业标准及最佳实践,极兔速递称已制定内部政策及程序。其采取的若干措施包括:一是建立管治框架,确保高级管理层有权解决任何隐私问题。二是制定数据合法传输及保护个人信息安全的程序,规限集团内部的数据传输。三是实施国际信息安全及数据隐私标准,根据定期安全影响评估更新政策及业务流程。四是确保在发生数据泄露事件时保护客户的个人数据并通知客户。

“于往绩记录期间,我们并无遭遇任何重大资料泄露或敏感数据遗失的情况。”极兔速递在招股书中如是说。

不仅如此,极兔速递在厚植全球市场时,还面临着国际标准不一与跨境数据传输合规的难题。

熊定中指出,当快递企业开展多国业务时,跨境运输物流需要谨慎应对的最大合规要点是数据出境以及各个国家对个人信息与数据保护的标准和水平不一致的问题,需要与所在国家的监管机构探寻一个稳定长期有效的数据出入境途径。

极兔速递在风险因素中也提到“遵守有关网络安全、信息安全、隐私及数据保护的不断发展的法律及法规以及其他相关法律及规定可能成本高昂,并可能迫使我们对业务作出不利改变。其中许多法律及法规可能会发生变化及不确定的诠释,而任何未能或被认为未能遵守该等法律及法规均可能导致负面宣传、法律诉讼、运营暂停或中断、运营成本增加或以其他方式损害我们的业务。”

针对这一问题,曹伟建议,一方面要通过立法手段,提高快递行业对个人信息保护的标准,形成引领和示范,进一步在这个领域中申请具有自主知识产权的标准必要专利;另一方面要加强我国海关就跨国快递对个人信息保护情况的审查力度,通过强执法的方式优化提高快递行业的个人信息保护水平。

2022年9月1日生效《数据出境安全评估办法》指出,数据处理人员应按照此办法处理或输出超过若干容量门槛的个人信息,在向境外转移任何个人信息之前应申请网信办发布的安全评估,其同样适用于转移重要数据到中国境外。

对此,极兔速递表示已完成自我评估并确认无须申请安全评估办法下的安全评估,公司的其他相关实体也均不从事任何会触发网信办安全评估申请的个人信息或重要数据的跨境传输。然而,极兔速递也在招股书中指出,“发布的安全评估办法在释义及应用方面存在不确定性,假设监管机构将我们的若干活动视为跨境数据传输,我们将遵守相关规定”,可见相关政策文件的变动将对其产生不确定性影响。

随着个人信息保护、数据安全愈加受到监管与社会关注,上市企业在招股书中对相关合规内容的披露愈加完善,还需要从更多的角度结合自身业务披露合规情况,以满足市场知晓相关合规信息的需求。

曹伟认为,未来企业要加强内部团队构建,注重员工合规培训以及业务宣传,同时及时跟进客户的反馈。尤其重视客户的体验和投诉,从中吸取经验以加强合规建设,将持续的跟踪、优化、整改情况结合到企业自身业务的合规事务中一并予以披露。

推荐内容