電信和網際網路使用者個人資訊保護規定
電信和網際網路使用者個人資訊保護規定是為了保護電信和網際網路使用者的合法權益,維護網路資訊保安而制定的。
2013年6月28日工業和資訊化部第2次部務會議審議通過,2013年7月16日工而已和資訊化部令第24號公佈,自2013年9月1日起施行。
最新電信和網際網路使用者個人資訊保護規定全文包括總則、資訊收集和使用規範、安全保障措施、監督檢查、法律責任、附則共六章二十五條。
頒佈單位:暫無資訊
文 號:暫無資訊
頒佈時間:暫無資訊
實施時間:暫無資訊
時 效 性:暫無資訊
效力級別:暫無資訊
第一章 總則
第一條 為了保護電信和網際網路使用者的合法權益,維護網路資訊保安,根據《全國人民代表大會常務委員會關於加強網路資訊保護的決定》、《中華人民共和國電信條例》和《網際網路資訊服務管理辦法》等法律、行政法規,制定本規定。
第二條 在中華人民共和國境內提供電信服務和網際網路資訊服務過程中收集、使用使用者個人資訊的活動,適用本規定。
第三條 工業和資訊化部和各省、自治區、直轄市通訊管理局(以下統稱電信管理機構)依法對電信和網際網路使用者個人資訊保護工作實施監督管理。
第四條 本規定所稱使用者個人資訊,是指電信業務經營者和網際網路資訊服務提供者在提供服務的過程中收集的使用者姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他資訊結合識別使用者的資訊以及使用者使用服務的時間、地點等資訊。
第五條 電信業務經營者、網際網路資訊服務提供者在提供服務的過程中收集、使用使用者個人資訊,應當遵循合法、正當、必要的原則。
第六條 電信業務經營者、網際網路資訊服務提供者對其在提供服務過程中收集、使用的使用者個人資訊的安全負責。
第七條 國家鼓勵電信和網際網路行業開展使用者個人資訊保護自律工作。
第二章 資訊收集和使用規範
第八條 電信業務經營者、網際網路資訊服務提供者應當制定使用者個人資訊收集、使用規則,並在其經營或者服務場所、網站等予以公佈。
第九條 未經使用者同意,電信業務經營者、網際網路資訊服務提供者不得收集、使用使用者個人資訊。
電信業務經營者、網際網路資訊服務提供者收集、使用使用者個人資訊的,應當明確告知使用者收集、使用資訊的目的、方式和範圍,查詢、更正資訊的渠道以及拒絕提供資訊的後果等事項。
電信業務經營者、網際網路資訊服務提供者不得收集其提供服務所必需以外的使用者個人資訊或者將資訊用於提供服務之外的目的,不得以欺騙、誤導或者強迫等方式或者違反法律、行政法規以及雙方的約定收集、使用資訊。
電信業務經營者、網際網路資訊服務提供者在使用者終止使用電信服務或者網際網路資訊服務後,應當停止對使用者個人資訊的收集和使用,併為使用者提供登出號碼或者賬號的服務。
法律、行政法規對本條第一款至第四款規定的情形另有規定的,從其規定。
第十條 電信業務經營者、網際網路資訊服務提供者及其工作人員對在提供服務過程中收集、使用的使用者個人資訊應當嚴格保密,不得洩露、篡改或者毀損,不得出售或者非法向他人提供。
第十一條 電信業務經營者、網際網路資訊服務提供者委託他人代理市場銷售和技術服務等直接面向用戶的服務性工作,涉及收集、使用使用者個人資訊的,應當對代理人的使用者個人資訊保護工作進行監督和管理,不得委託不符合本規定有關使用者個人資訊保護要求的代理人代辦相關服務。
第十二條 電信業務經營者、網際網路資訊服務提供者應當建立使用者投訴處理機制,公佈有效的聯絡方式,接受與使用者個人資訊保護有關的投訴,並自接到投訴之日起十五日內答覆投訴人。
第三章 安全保障措施
第十三條 電信業務經營者、網際網路資訊服務提供者應當採取以下措施防止使用者個人資訊洩露、毀損、篡改或者丟失:
(一)確定各部門、崗位和分支機構的使用者個人資訊保安管理責任;
(二)建立使用者個人資訊收集、使用及其相關活動的工作流程和安全管理制度;
(三)對工作人員及代理人實行許可權管理,對批量匯出、複製、銷燬資訊實行審查,並採取防洩密措施;
(四)妥善保管記錄使用者個人資訊的紙介質、光介質、電磁介質等載體,並採取相應的安全儲存措施;
(五)對儲存使用者個人資訊的資訊系統實行接入審查,並採取防入侵、防病毒等措施;
(六)記錄對使用者個人資訊進行操作的人員、時間、地點、事項等資訊;
(七)按照電信管理機構的規定開展通訊網路安全防護工作;
(八)電信管理機構規定的其他必要措施。
第十四條 電信業務經營者、網際網路資訊服務提供者保管的使用者個人資訊發生或者可能發生洩露、毀損、丟失的,應當立即採取補救措施;造成或者可能造成嚴重後果的,應當立即向准予其許可或者備案的電信管理機構報告,配合相關部門進行的調查處理。
電信管理機構應當對報告或者發現的可能違反本規定的行為的影響進行評估;影響特別重大的,相關省、自治區、直轄市通訊管理局應當向工業和資訊化部報告。電信管理機構在依據本規定作出處理決定前,可以要求電信業務經營者和網際網路資訊服務提供者暫停有關行為,電信業務經營者和網際網路資訊服務提供者應當執行。
第十五條 電信業務經營者、網際網路資訊服務提供者應當對其工作人員進行使用者個人資訊保護相關知識、技能和安全責任培訓。
第十六條 電信業務經營者、網際網路資訊服務提供者應當對使用者個人資訊保護情況每年至少進行一次自查,記錄自查情況,及時消除自查中發現的安全隱患。
第四章 監督檢查
第十七條 電信管理機構應當對電信業務經營者、網際網路資訊服務提供者保護使用者個人資訊的情況實施監督檢查。
電信管理機構實施監督檢查時,可以要求電信業務經營者、網際網路資訊服務提供者提供相關材料,進入其生產經營場所調查情況,電信業務經營者、網際網路資訊服務提供者應當予以配合。
電信管理機構實施監督檢查,應當記錄監督檢查的情況,不得妨礙電信業務經營者、網際網路資訊服務提供者正常的經營或者服務活動,不得收取任何費用。
第十八條 電信管理機構及其工作人員對在履行職責中知悉的使用者個人資訊應當予以保密,不得洩露、篡改或者毀損,不得出售或者非法向他人提供。
第十九條 電信管理機構實施電信業務經營許可及經營許可證年檢時,應當對使用者個人資訊保護情況進行審查。
第二十條 電信管理機構應當將電信業務經營者、網際網路資訊服務提供者違反本規定的行為記入其社會信用檔案並予以公佈。
第二十一條 鼓勵電信和網際網路行業協會依法制定有關使用者個人資訊保護的自律性管理制度,引導會員加強自律管理,提高使用者個人資訊保護水平。
第五章 法律責任
第二十二條 電信業務經營者、網際網路資訊服務提供者違反第八條、第十二條規定的,由電信管理機構依據職權責令限期改正,予以警告,可以並處一萬元以下的罰款。
第二十三條 電信業務經營者、網際網路資訊服務提供者違反本規定第九條至第十一條、第十三條至第十六條、第十七條第二款規定的,由電信管理機構依據職權責令限期改正,予以警告,可以並處一萬元以上三萬元以下的罰款,向社會公告;構成犯罪的,依法追究刑事責任。
第二十四條 電信管理機構工作人員在對使用者個人資訊保護工作實施監督管理的過程中玩忽職守、濫用職權、徇私舞弊的,依法給予處理;構成犯罪的,依法追究刑事責任。
第六章 附則
第二十五條 本規定自2013年9月1日起施行。
