電信和互聯網用戶個人信息保護規定
第一章總則
第一條為了保護電信和互聯網用戶的合法權益,維護網絡信息安全,根據《全國人民代表大會常務委員會關於加強網絡信息保護的決定》,《中華人民共和國電信條例》和《互聯網信息服務管理辦法》等法律,行政法規,制定本規定。
第二條在中華人民共和國境內提供電信服務和互聯網信息服務過程中收集,使用用戶個人信息的活動,適用本規定。
第三條工業和信息化部和各省,自治區,直轄市通信管理局(以下統稱電信管理機構)依法對電信和互聯網用戶個人信息保護工作實施監督管理。
第四條本規定所稱的用戶個人信息,是指電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名,出生日期,身份證件號碼,住址,電話號碼,賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間,地點等信息。
第五條電信業務經營者,互聯網信息服務提供者在提供服務的過程中收集,使用用戶個人信息,應遵循合法,正當,必要的原則。
第六條電信業務經營者,互聯網信息服務提供者旨在在提供服務過程中收集,使用的用戶個人信息的安全負責。
第七條國家鼓勵電信和互聯網行業開展用戶個人信息保護自律工作。
第二章信息收集和使用規範
第八條電信業務經營者,互聯網信息服務提供者已準備好用戶個人信息收集,使用規則,並在其經營或服務場所,網站等公佈。
第九條未經用戶同意,電信業務經營者,互聯網信息服務提供者不得收集,使用用戶個人信息。
電信業務經營者,互聯網信息服務提供者收集,使用用戶個人信息的,明確告知用戶收集,使用信息的目的,方式和範圍,查詢,更正信息的渠道以及拒絕提供信息的後果等事項。
電信業務經營者,互聯網信息服務提供者不得收集其提供的服務所必需的其他用戶個人信息或者將信息提供提供服務之外的目的,不得以欺騙,誤導或強迫等方式或者違反法律,行政法規以及雙方的約定收集,使用信息。
電信業務經營者,互聯網信息服務提供者在用戶終止使用電信服務或者互聯網信息服務後,可以停止對用戶個人信息的收集和使用,並為用戶提供替換號碼或賬號的服務。
法律,行政法規對本條第一款至第四款規定的某些另有規定的,從其規定。
第十條電信業務經營者,互聯網信息服務提供者及其工作人員對在提供服務過程中收集,使用的用戶個人信息權限嚴格保密,不得篡改,篡改或毀壞,不得出售或非法向他人提供。
第十一條電信業務經營者,互聯網信息服務提供者委託他人代理市場銷售和技術服務等直接面向用戶的服務性工作,涉及收集,使用用戶個人信息的,對代理人的用戶個人信息保護工作進行監督和管理,不得委託不符合本規定有關用戶個人信息保護要求的代理人代辦相關服務。
第十二條電信業務經營者,互聯網信息服務提供者已建立用戶投訴處理機制,已發布有效的聯繫方式,接受與用戶個人信息保護有關的投訴,並自訴投訴之日起十五日內部答复投訴人。
第三章安全保障措施
第十三條電信業務經營者,互聯網信息服務提供者已採取以下措施防止用戶個人信息扭曲,毀損,糾正改或丟失:
(一)確定各部門,職位和分支機構的用戶個人信息安全管理責任;
(二)建立用戶個人信息收集,使用及其相關活動的工作流程和安全管理制度;
(三)對工作人員及代理人實施權限管理,對批量擴充,複製,銷毀信息實行審查,並採取防洩密措施;
(四)妥善保管記錄用戶個人信息的紙介質,光介質,電磁介質等載體,並採取相應的安全儲存措施;
(五)對儲存用戶個人信息的信息系統進行審查,並採取防入侵,防病毒等措施;
(六)記錄對用戶個人信息進行操作的人員,時間,地點,事項等信息;
(七)按照電信管理機構的規定開展通信網絡安全防護工作;
(八)電信管理機構規定的其他必要措施。
第十四條電信業務經營者,互聯網信息服務提供者保管的用戶個人信息發生或可能發生、、損毀,丟失的,應立即採取糾正措施;造成或可能造成嚴重後果的,立即立即向予予其許可或者備案的電信管理機構報告,配合相關部門進行的調查處理。
電信管理機構依據對報告或發現的可能違反本規定的行為的影響進行評估;影響特別重大的,相關省,自治區,直轄市通信管理局向工業和信息化部報告。做出處理決定前,可以要求電信業務經營者和互聯網信息服務提供者暫停有關行為,電信業務經營者和互聯網信息服務提供者證明執行。
第十五條電信業務經營者,互聯網信息服務提供者適當的工作人員進行用戶個人信息保護相關知識,技能和安全責任培訓。
第十六條電信業務經營者,互聯網信息服務提供者正確對用戶個人信息保護情況每年至少進行一次自查,記錄自查情況,及時消除自查中發現的安全隱患。
第四章監督檢查
第十七條電信管理機構對電信業務經營者,互聯網信息服務提供者保護用戶個人信息的情況實施監督檢查。
電信管理機構實施監督檢查時,可以要求電信業務經營者,互聯網信息服務提供者提供相關材料,進入其生產運營場所調查情況,電信業務經營者,互聯網信息服務提供者可以配合。
電信管理機構實施監督檢查,適當記錄監督檢查的情況,不得阻止電信業務經營者,互聯網信息服務提供者正常的經營或服務活動,不得支出任何費用。
第十八條電信管理機構及其工作人員對在組成職能中知悉的用戶個人信息適當的保密,不得介入,糾正改正或毀損,不得出售或非法向他人提供。
第十九條電信管理機構實施電信業務經營許可及經營許可證年檢時,對用戶個人信息保護情況進行審查。
第二十條電信管理機構適當將電信業務經營者,互聯網信息服務提供者違反了本規定的行為記入其社會信用檔案並予以公佈。
第二十一條鼓勵電信和互聯網行業協會依法制定有關用戶個人信息保護的自律性管理制度,引導會員加強自律管理,提高用戶個人信息保護水平。
第五章法律責任
第二十二條電信業務經營者,互聯網信息服務提供者違反了本規定第八條,第十二條規定的,由電信管理機構依據職權責令限期改正,警告,可以並處一百萬以下的票據。
第二十三條電信業務經營者,互聯網信息服務提供者違反了本規定第九條至第十一條,第十三條至第十六條,第十七條第二款規定的,由電信管理機構依據職權責任令限期改正,警告,可以並處一百萬以上三百萬以下的標註,向社會公告;構成犯罪的,依法追究刑事責任。
第二十四條電信管理機構工作人員在對用戶個人信息保護工作實施監督管理的過程中玩忽職守,濫用職權,徇私舞弊的,依法給予處理;構成犯罪的,依法追究刑事責任。
第六章附則
第二十五條本規定自2013年9月1日起施行。