电信 和 互联网 用户 个人 信息 保护 规定
Birinci Bölüm Genel Hükümler
第一 条 为了 保护 电信 和 互联网 用户 的 合法 权益 , 维护 网络 信息 安全 , 根据 《保护 的 决定》 、 《中华人民共和国 电信 条例》 和 《互联网 信息 服务 管理 办法》等 法律 、 行政 法规 , 制定 本 规定。
第二 条 在 中华人民共和国 境内 提供 电信 服务 和 互联网 信息 服务 过程 中 收集 、 使用 用户 个人 信息 的 活动 , 适用 本 规定。
第三 条 工业 和 信息 化 部 和 各省 、 自治区 、 直辖市 通信 管理局 (以下 统称 电信 管理 机构) 依法 对 电信 和 互联网 用户 个人 信息 保护 工作 实施 监督 管理。
第四 条 本 规定 所称 用户 个人 信息 , 是 指 电信 业务 经营 者 和 互联网 信息 服务 的 用户 姓名 、 出生 日期 、 身份证 件 号码 、 住址 、 电话 号码 、 账号 和 密码 等能够 单独 或者 与 其他 信息 结合 识别 用户 的 信息 以及 用户 使用 服务 的 时间 、 地点 等 信息。
第五 条 电信 业务 经营 者 、 互联网 信息 服务 提供 者 在 提供 服务 的 过程 中 收集 、 使用 用户 个人 信息 , 应当 遵循 合法 、 正当 、 必要 的 原则。
第六 条 电信 业务 经营 者 、 互联网 信息 服务 提供 者 对其 在 提供 服务 过程 中 收集 、 使用 的 用户 个人 信息 的 安全 负责。
第七 条 国家 鼓励 电信 和 互联网 行业 开展 用户 个人 信息 保护 自律 工作。
第二 章 信息 收集 和 使用 规范
第八 条 电信 业务 经营 者 、 互联网 信息 服务 提供 者 应当 制定 用户 个人 信息 收集 、 使用 规则 , 并 在 其 经营 或者 服务 场所 、 网站 等 予以 公布。
第九条 未经 用户 同意 , 电信 业务 经营 者 、 互联网 信息 服务 提供 者 不得 收集 、 使用 用户 个人 信息。
电信 业务 经营 者 、 互联网 信息 服务 提供 者 收集 、 使用 用户 个人 信息 的 , 应当 、 方式 和 范围 , 查询 、 更正 信息 的 渠道 以及 拒绝 提供 信息 的 后果 等 事项。
电信 业务 经营 者 、 互联网 信息 服务 提供 者 不得 收集 其 提供 服务 所 必需 以外 的 之外 的 目的 , 不得 以 欺骗 、 误导 或者 强迫 等 方式 或者 违反 法律 、 行政 法规 以及双方 的 约定 收集 、 使用 信息。
电信 业务 经营 者 、 互联网 信息 服务 提供 者 在 用户 终止 使用 电信 服务 或者 互联网 信息 服务 收集 和 使用 , 并 为 用户 提供 注销 号码 或者 账号 的 服务。
法律 、 行政 法规 对 本条 第一 款 至 第四款 规定 的 情形 另有 规定 的 , 从其 规定。
第十 条 电信 业务 经营 者 、 互联网 信息 服务 提供 者 及其 工作 人员 对 在 提供 服务 过程 严格 保密 , 不得 泄露 、 篡改 或者 毁损 , 不得 出售 或者 非法 向 他人 提供。
第十一条 电信 业务 经营 者 、 互联网 信息 服务 提供 者 委托 他人 代理 市场 销售 和 技术 服务 涉及 收集 、 使用 用户 个人 信息 的 , 应当 对 代理人 的 用户 个人 信息 保护 工作进行 监督 和 管理 , 不得 委托 不 符合 本 规定 有关 用户 个人 信息 保护 要求 的 代理人 代办 相关 服务。
第十二 条 电信 业务 经营 者 、 互联网 信息 服务 提供 者 应当 建立 用户 投诉 处理 机制 , 个人 信息 保护 有关 的 投诉 , 并 自 接到 投诉 之 日 起 十五 日内 答复 投诉人。
第三 章 安全 保障 措施
第十三 条 电信 业务 经营 者 、 互联网 信息 服务 提供 者 应当 采取 以下 措施 防止 用户 个人 信息 泄露 、 毁损 、 篡改 或者 丢失 :
(一) 确定 各 部门 、 岗位 和 分支机构 的 用户 个人 信息 安全 管理 责任 ;
(二) 建立 用户 个人 信息 收集 、 使用 及其 相关 活动 的 工作 流程 和 安全 管理 制度 ;
(三) 对 工作 人员 及 代理人 实行 权限 管理 , 对 批量 导出 、 复制 、 销毁 信息 实行 审查 , 并 采取 防 泄密 措施 ;
(四) 妥善 保管 记录 用户 个人 信息 的 纸介质 、 光 介质 、 电磁 介质 等 载体 , 并 采取 相应 的 安全 储存 措施 ;
(五) 对 储存 用户 个人 信息 的 信息 系统 实行 接入 审查 , 并 采取 防 入侵 、 防 病毒 等 措施 ;
(六) 记录 对 用户 个人 信息 进行 操作 的 人员 、 时间 、 地点 、 事项 等 信息 ;
(七) 按照 电信 管理 机构 的 规定 开展 通信 网络 安全 防护 工作 ;
(八) 电信 管理 机构 规定 的 其他 必要 措施。
第十四 条 电信 业务 经营 者 、 互联网 信息 服务 提供 者 保管 的 用户 个人 信息 发生 或者 应当 立即 采取 补救 措施 ; 造成 或者 可能 造成 严重 后果 的 , 应当 立即 向 准予 其 许可或者 备案 的 电信 管理 机构 报告 , 配合 相关 部门 进行 的 调查 处理。
电信 管理 机构 应当 对 报告 或者 发现 的 可能 违反 本 规定 的 行为 的 影响 进行 评估 自治区 、 直辖市 通信 管理局 应当 向 工业 和 信息 化 部 报告。 电信 管理 机构 在 依据 本作出 处理 决定 前 , 可以 要求 电信 业务 经营 者 和 互联网 信息 服务 提供 者 暂停 有关 行为 , 电信 业务 经营 者 和 互联网 信息 服务 提供 者 应当 执行。
第十五 条 电信 业务 经营 者 、 互联网 信息 服务 提供 者 应当 对其 工作 人员 进行 用户 个人 信息 保护 相关 知识 、 技能 和 安全 责任 培训。
第十六 条 电信 业务 经营 者 、 互联网 信息 服务 提供 者 应当 对 用户 个人 信息 保护 情况 每年 至少 进行 一次 自查 , 记录 自查 情况 , 及时 消除 自查 中 发现 的 安全 隐患。
第四 章 监督 检查
第十七 条 电信 管理 机构 应当 对 电信 业务 经营 者 、 互联网 信息 服务 提供 者 保护 用户 个人 信息 的 情况 实施 监督 检查。
电信 管理 机构 实施 监督 检查 时 , 可以 要求 电信 业务 经营 者 、 互联网 信息 服务 提供 场所 调查 情况 , 电信 业务 经营 者 、 互联网 信息 服务 提供 者 应当 予以 配合。
电信 管理 机构 实施 监督 检查 , 应当 记录 监督 检查 的 情况 , 不得 妨碍 电信 业务 经营 者 、 互联网 信息 服务 提供 者 正常 的 经营 或者 服务 活动 , 不得 收取 任何 费用。
第十八 条 电信 管理 机构 及其 工作 人员 对 在 履行 职责 中 知悉 的 用户 个人 信息 应当 予以 保密 , 不得 泄露 、 篡改 或者 毁损 , 不得 出售 或者 非法 向 他人 提供。
第十九 条 电信 管理 机构 实施 电信 业务 经营 许可 及 经营 许可证 年检 时 , 应当 对 用户 个人 信息 保护 情况 进行 审查。
第二十条 电信 管理 机构 应当 将 电信 业务 经营 者 、 互联网 信息 服务 提供 者 违反 本 规定 的 行为 记 入 其 社会 信用 档案 并 予以 公布。
第二十 一条 鼓励 电信 和 互联网 行业 协会 依法 制定 有关 用户 个人 信息 保护 的 自律 性 管理 制度 , 引导 会员 加强 自律 管理 , 提高 用户 个人 信息 保护 水平。
第五 章 法律 责任
第二十 二条 电信 业务 经营 者 、 互联网 信息 服务 提供 者 违反 本 规定 第八 条 、 第十二 条 责令 限期 改正 , 予以 警告 , 可以 并处 一 万元 以下 的罚款。
第二十 三条 电信 业务 经营 者 、 互联网 信息 服务 提供 者 违反 本 规定 第九条 至 第十一条 、 第十三 条 至 第十六 条 、 第十七 条 第二款 规定 的 , 由 电信 管理机构 依据 职权 责令 限期 改正 , 予以 警告 , 可以 并处 一 万元 以上 三 万元 以下 的 罚款 , 向 社会 公告 ; 构成 犯罪 的 , 依法 追究 刑事责任。
第二十 四条 电信 管理 机构 工作 人员 在 对 用户 个人 信息 保护 工作 实施 监督 管理 的 过程 中 玩忽职守 、 滥用职权 、 徇私舞弊 的 , 依法 给予 处理 ; 构成 犯罪 的 , 依法 追究 刑事责任。
第六 章 附则
第二十 五条 本 规定 自 2013 年 9 月 1 日 起 施行。