电信规定和互联网用户个人信息保护
第一章总则
第一条为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》,《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律,行政法规,制定本规定。
第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集,使用用户个人信息的活动,适用本规定。
第三条工业和信息化部和各省,自治区,直辖市通信管理局(以下统称电信管理机构)依法对电信和互联网用户个人信息保护工作实施监督管理。
第四条本规定所称的用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名,出生日期,身份证件号码,住址,电话号码,账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间,地点等信息。
第五条电信业务经营者,互联网信息服务提供者在提供服务的过程中收集,使用用户个人信息,应遵循合法,正当,必要的原则。
第六条电信业务经营者,互联网信息服务提供者旨在在提供服务过程中收集,使用的用户个人信息的安全负责。
第七条国家鼓励电信和互联网行业开展用户个人信息保护自律工作。
第二章信息收集和使用规范
第八条电信业务经营者,互联网信息服务提供者已准备好用户个人信息收集,使用规则,并在其经营或服务场所,网站等公布。
第九条未经用户同意,电信业务经营者,互联网信息服务提供者不得收集,使用用户个人信息。
电信业务经营者,互联网信息服务提供者收集,使用用户个人信息的,明确告知用户收集,使用信息的目的,方式和范围,查询,更正信息的渠道以及拒绝提供信息的后果等事项。
电信业务经营者,互联网信息服务提供者不得收集其提供的服务所必需的其他用户个人信息或者将信息提供提供服务之外的目的,不得以欺骗,误导或强迫等方式或者违反法律,行政法规以及双方的约定收集,使用信息。
电信业务经营者,互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,可以停止对用户个人信息的收集和使用,并为用户提供替换号码或账号的服务。
法律,行政法规对本条第一款至第四款规定的某些另有规定的,从其规定。
第十条电信业务经营者,互联网信息服务提供者及其工作人员对在提供服务过程中收集,使用的用户个人信息权限严格保密,不得篡改,篡改或毁损,不得出售或非法向他人提供。
第十一条电信业务经营者,互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集,使用用户个人信息的,对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。
第十二条电信业务经营者,互联网信息服务提供者已建立用户投诉处理机制,已发布有效的联系方式,接受与用户个人信息保护有关的投诉,并自诉投诉之日起十五日内部答复投诉人。
第三章安全保障措施
第十三条电信业务经营者,互联网信息服务提供者已采取以下措施防止用户个人信息扭曲,毁损,纠正改正或丢失:
(一)确定各部门,职位和分支机构的用户个人信息安全管理责任;
(二)建立用户个人信息收集,使用及其相关活动的工作流程和安全管理制度;
(三)对工作人员及代理人实施权限管理,对批量扩充,复制,销毁信息实行审查,并采取防泄密措施;
(四)妥善保管记录用户个人信息的纸介质,光介质,电磁介质等载体,并采取相应的安全储存措施;
(五)对储存用户个人信息的信息系统实行审查,并采取防入侵,防病毒等措施;
(六)记录对用户个人信息进行操作的人员,时间,地点,事项等信息;
(七)按照电信管理机构的规定通信网络安全防护工作;
(八)电信管理机构规定的其他必须要施。
第十四条电信业务经营者,互联网信息服务提供者保管的用户个人信息发生或可能发生、、损毁,丢失的,应立即采取纠正措施;造成或可能造成严重后果的,立即立即向予予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。
电信管理机构根据对报告或发现的可能违反本规定的行为的影响进行评估;影响特别重大的,相关省,自治区,直辖市通信管理局向工业和信息化部报告。做出处理决定前,可以要求电信业务经营者和互联网信息服务提供者暂停有关行为,电信业务经营者和互联网信息服务提供者证明执行。
第十五条电信业务经营者,互联网信息服务提供者适当的工作人员进行用户个人信息保护相关知识,技能和安全责任培训。
第十六条电信业务经营者,互联网信息服务提供者正确对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。
第四章监督检查
第十七条电信管理机构对电信业务经营者,互联网信息服务提供者保护用户个人信息的情况实施监督检查。
电信管理机构实施监督检查时,可以要求电信业务经营者,互联网信息服务提供者提供相关材料,进入其生产运营场所调查情况,电信业务经营者,互联网信息服务提供者可以配合。
电信管理机构实施监督检查,适当记录监督检查的情况,不得阻止电信业务经营者,互联网信息服务提供者正常的经营或服务活动,不得支出任何费用。
第十八条电信管理机构及其工作人员对在组成职能中知悉的用户个人信息适当的保密,不得介入,纠正改正或毁损,不得出售或非法向他人提供。
第十九条电信管理机构实施电信业务经营许可及经营许可证年检时,对对个人信息保护情况进行审查。
第二十条电信管理机构适当将电信业务经营者,互联网信息服务提供者违反了本规定的行为记入其社会信用档案并予以公布。
第二十一条鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度,引导会员加强自律管理,提高用户个人信息保护水平。
第五章法律责任
第二十二条电信业务经营者,互联网信息服务提供者违反了本规定第八条,第十二条规定的,由电信管理机构依据职权责令限期改正,警告,可以并处一百万以下的票据。
第二十三条电信业务经营者,互联网信息服务提供者违反了本规定第九条至第十一条,第十三条至第十六条,第十七条第二款规定的,由电信管理机构依据职权责任令限期改正,警告,可以并处一百万以上三百万以下的标注,向社会公告;构成犯罪的,依法追究刑事责任。
第二十四条电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守,滥用职权,徇私舞弊的,依法给予处理;构成犯罪的,依法追究刑事责任。
第六章附则
第二十五条本规定自2013年9月1日起施行。