中華人民共和國工業(yè)和信息化部令
第24號
《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》已經(jīng)2013年6月28日中華人民共和國工業(yè)和信息化部第2次部務(wù)會議審議通過���,現(xiàn)予公布���,自2013年9月1日起施行。
部長 苗圩
2013年7月16日
電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定
第一章 總則
第一條 為了保護(hù)電信和互聯(lián)網(wǎng)用戶的合法權(quán)益����,維護(hù)網(wǎng)絡(luò)信息安全,根據(jù)《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》��、《中華人民共和國電信條例》和《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法律�、行政法規(guī)�����,制定本規(guī)定�����。
第二條 在中華人民共和國境內(nèi)提供電信服務(wù)和互聯(lián)網(wǎng)信息服務(wù)過程中收集�、使用用戶個(gè)人信息的活動,適用本規(guī)定���。
第三條 工業(yè)和信息化部和各省���、自治區(qū)��、直轄市通信管理局(以下統(tǒng)稱電信管理機(jī)構(gòu))依法對電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)工作實(shí)施監(jiān)督管理�����。
第四條 本規(guī)定所稱用戶個(gè)人信息����,是指電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集的用戶姓名����、出生日期、身份證件號碼�����、住址�����、電話號碼�、賬號和密碼等能夠單獨(dú)或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務(wù)的時(shí)間、地點(diǎn)等信息。
第五條 電信業(yè)務(wù)經(jīng)營者���、互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集�、使用用戶個(gè)人信息����,應(yīng)當(dāng)遵循合法、正當(dāng)��、必要的原則�����。
第六條 電信業(yè)務(wù)經(jīng)營者���、互聯(lián)網(wǎng)信息服務(wù)提供者對其在提供服務(wù)過程中收集、使用的用戶個(gè)人信息的安全負(fù)責(zé)���。
第七條 國家鼓勵(lì)電信和互聯(lián)網(wǎng)行業(yè)開展用戶個(gè)人信息保護(hù)自律工作����。
第二章 信息收集和使用規(guī)范
第八條 電信業(yè)務(wù)經(jīng)營者�����、互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)制定用戶個(gè)人信息收集、使用規(guī)則�����,并在其經(jīng)營或者服務(wù)場所��、網(wǎng)站等予以公布����。
第九條 未經(jīng)用戶同意,電信業(yè)務(wù)經(jīng)營者���、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集����、使用用戶個(gè)人信息���。
電信業(yè)務(wù)經(jīng)營者�、互聯(lián)網(wǎng)信息服務(wù)提供者收集��、使用用戶個(gè)人信息的��,應(yīng)當(dāng)明確告知用戶收集、使用信息的目的��、方式和范圍��,查詢���、更正信息的渠道以及拒絕提供信息的后果等事項(xiàng)����。
電信業(yè)務(wù)經(jīng)營者�����、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集其提供服務(wù)所必需以外的用戶個(gè)人信息或者將信息用于提供服務(wù)之外的目的�����,不得以欺騙��、誤導(dǎo)或者強(qiáng)迫等方式或者違反法律�、行政法規(guī)以及雙方的約定收集����、使用信息。
電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者在用戶終止使用電信服務(wù)或者互聯(lián)網(wǎng)信息服務(wù)后����,應(yīng)當(dāng)停止對用戶個(gè)人信息的收集和使用,并為用戶提供注銷號碼或者賬號的服務(wù)��。
法律���、行政法規(guī)對本條第一款至第四款規(guī)定的情形另有規(guī)定的��,從其規(guī)定��。
第十條 電信業(yè)務(wù)經(jīng)營者�����、互聯(lián)網(wǎng)信息服務(wù)提供者及其工作人員對在提供服務(wù)過程中收集�����、使用的用戶個(gè)人信息應(yīng)當(dāng)嚴(yán)格保密�,不得泄露����、篡改或者毀損����,不得出售或者非法向他人提供��。
第十一條 電信業(yè)務(wù)經(jīng)營者�、互聯(lián)網(wǎng)信息服務(wù)提供者委托他人代理市場銷售和技術(shù)服務(wù)等直接面向用戶的服務(wù)性工作,涉及收集�����、使用用戶個(gè)人信息的���,應(yīng)當(dāng)對代理人的用戶個(gè)人信息保護(hù)工作進(jìn)行監(jiān)督和管理��,不得委托不符合本規(guī)定有關(guān)用戶個(gè)人信息保護(hù)要求的代理人代辦相關(guān)服務(wù)���。
第十二條 電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)建立用戶投訴處理機(jī)制�,公布有效的聯(lián)系方式,接受與用戶個(gè)人信息保護(hù)有關(guān)的投訴�,并自接到投訴之日起十五日內(nèi)答復(fù)投訴人。
第三章 安全保障措施
第十三條 電信業(yè)務(wù)經(jīng)營者�����、互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)采取以下措施防止用戶個(gè)人信息泄露�����、毀損���、篡改或者丟失:
?��。ㄒ唬┐_定各部門、崗位和分支機(jī)構(gòu)的用戶個(gè)人信息安全管理責(zé)任�;
(二)建立用戶個(gè)人信息收集���、使用及其相關(guān)活動的工作流程和安全管理制度��;
?����。ㄈぷ魅藛T及代理人實(shí)行權(quán)限管理��,對批量導(dǎo)出�����、復(fù)制�����、銷毀信息實(shí)行審查����,并采取防泄密措施;
?����。ㄋ模┩咨票9苡涗浻脩魝€(gè)人信息的紙介質(zhì)��、光介質(zhì)�����、電磁介質(zhì)等載體�,并采取相應(yīng)的安全儲存措施;
?����。ㄎ澹Υ嬗脩魝€(gè)人信息的信息系統(tǒng)實(shí)行接入審查����,并采取防入侵�����、防病毒等措施;
?����。┯涗泴τ脩魝€(gè)人信息進(jìn)行操作的人員�、時(shí)間、地點(diǎn)���、事項(xiàng)等信息���;
(七)按照電信管理機(jī)構(gòu)的規(guī)定開展通信網(wǎng)絡(luò)安全防護(hù)工作�;
(八)電信管理機(jī)構(gòu)規(guī)定的其他必要措施�。
第十四條 電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者保管的用戶個(gè)人信息發(fā)生或者可能發(fā)生泄露�����、毀損、丟失的����,應(yīng)當(dāng)立即采取補(bǔ)救措施;造成或者可能造成嚴(yán)重后果的�,應(yīng)當(dāng)立即向準(zhǔn)予其許可或者備案的電信管理機(jī)構(gòu)報(bào)告,配合相關(guān)部門進(jìn)行的調(diào)查處理��。
電信管理機(jī)構(gòu)應(yīng)當(dāng)對報(bào)告或者發(fā)現(xiàn)的可能違反本規(guī)定的行為的影響進(jìn)行評估���;影響特別重大的�,相關(guān)省�����、自治區(qū)���、直轄市通信管理局應(yīng)當(dāng)向工業(yè)和信息化部報(bào)告�。電信管理機(jī)構(gòu)在依據(jù)本規(guī)定作出處理決定前���,可以要求電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者暫停有關(guān)行為��,電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)執(zhí)行�����。
第十五條 電信業(yè)務(wù)經(jīng)營者���、互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)對其工作人員進(jìn)行用戶個(gè)人信息保護(hù)相關(guān)知識����、技能和安全責(zé)任培訓(xùn)����。
第十六條 電信業(yè)務(wù)經(jīng)營者�����、互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)對用戶個(gè)人信息保護(hù)情況每年至少進(jìn)行一次自查�,記錄自查情況,及時(shí)消除自查中發(fā)現(xiàn)的安全隱患��。
第四章 監(jiān)督檢查
第十七條 電信管理機(jī)構(gòu)應(yīng)當(dāng)對電信業(yè)務(wù)經(jīng)營者����、互聯(lián)網(wǎng)信息服務(wù)提供者保護(hù)用戶個(gè)人信息的情況實(shí)施監(jiān)督檢查。
電信管理機(jī)構(gòu)實(shí)施監(jiān)督檢查時(shí),可以要求電信業(yè)務(wù)經(jīng)營者����、互聯(lián)網(wǎng)信息服務(wù)提供者提供相關(guān)材料,進(jìn)入其生產(chǎn)經(jīng)營場所調(diào)查情況��,電信業(yè)務(wù)經(jīng)營者���、互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)予以配合���。
電信管理機(jī)構(gòu)實(shí)施監(jiān)督檢查,應(yīng)當(dāng)記錄監(jiān)督檢查的情況����,不得妨礙電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者正常的經(jīng)營或者服務(wù)活動���,不得收取任何費(fèi)用���。
第十八條 電信管理機(jī)構(gòu)及其工作人員對在履行職責(zé)中知悉的用戶個(gè)人信息應(yīng)當(dāng)予以保密,不得泄露���、篡改或者毀損�,不得出售或者非法向他人提供。
第十九條 電信管理機(jī)構(gòu)實(shí)施電信業(yè)務(wù)經(jīng)營許可及經(jīng)營許可證年檢時(shí)�,應(yīng)當(dāng)對用戶個(gè)人信息保護(hù)情況進(jìn)行審查。
第二十條 電信管理機(jī)構(gòu)應(yīng)當(dāng)將電信業(yè)務(wù)經(jīng)營者��、互聯(lián)網(wǎng)信息服務(wù)提供者違反本規(guī)定的行為記入其社會信用檔案并予以公布���。
第二十一條 鼓勵(lì)電信和互聯(lián)網(wǎng)行業(yè)協(xié)會依法制定有關(guān)用戶個(gè)人信息保護(hù)的自律性管理制度���,引導(dǎo)會員加強(qiáng)自律管理,提高用戶個(gè)人信息保護(hù)水平�����。
第五章 法律責(zé)任
第二十二條 電信業(yè)務(wù)經(jīng)營者�、互聯(lián)網(wǎng)信息服務(wù)提供者違反本規(guī)定第八條�、第十二條規(guī)定的,由電信管理機(jī)構(gòu)依據(jù)職權(quán)責(zé)令限期改正�,予以警告,可以并處一萬元以下的罰款����。
第二十三條 電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者違反本規(guī)定第九條至第十一條�、第十三條至第十六條、第十七條第二款規(guī)定的,由電信管理機(jī)構(gòu)依據(jù)職權(quán)責(zé)令限期改正���,予以警告�,可以并處一萬元以上三萬元以下的罰款���,向社會公告����;構(gòu)成犯罪的��,依法追究刑事責(zé)任�����。
第二十四條 電信管理機(jī)構(gòu)工作人員在對用戶個(gè)人信息保護(hù)工作實(shí)施監(jiān)督管理的過程中玩忽職守�����、濫用職權(quán)�、徇私舞弊的,依法給予處理����;構(gòu)成犯罪的�,依法追究刑事責(zé)任���。
第六章 附則
第二十五條 本規(guī)定自2013年9月1日起施行��。