第壹條為了加強郵政用戶個人信息安全管理,保護用戶合法權益,維護郵政通信和信息安全,促進郵政行業健康發展,根據《中華人民共和國郵政法》、《全國人民代表大會常務委員會市關於加強網絡信息保護的規定》、《郵政行業安全監督管理辦法》等法律、行政法規和有關規定,制定本規定。
第二條在中華人民共和國境內經營、使用寄遞服務中涉及用戶個人信息安全及相關監督管理的活動,適用本規定。
第三條本規定所稱寄遞服務用戶個人信息,是指用戶在使用寄遞服務過程中的個人信息,包括寄件人(收件人)的姓名、地址、身份證號、電話號碼、公司名稱以及寄遞明細、時間、物品明細等。
第四條寄遞用戶信息安全監督管理應當堅持安全第壹、預防為主、綜合治理的原則,確保用戶個人信息安全。
第五條國務院郵政管理部門負責全國郵政行業寄遞用戶信息安全的監督管理。
省、自治區、直轄市郵政管理部門負責本行政區域內郵政用戶信息安全的監督管理。
按照國務院規定設立的省級以下郵政管理機構負責本轄區內郵政行業用戶信息安全的監督管理。
國務院郵政管理機構和省、自治區、直轄市郵政管理機構以及省級以下郵政管理機構統稱郵政管理機構。
第六條郵政管理部門應當配合有關部門完善寄遞用戶信息安全保障機制,維護寄遞用戶信息安全。
第七條郵政企業、快遞企業及其從業人員應當遵守國家有關信息安全管理的規定和本條例,防止寄遞用戶信息泄露或者丟失。
第二章總則
第八條郵政企業、快遞企業應當建立健全寄遞用戶信息安全制度和措施,明確企業內部各部門、各崗位的安全責任,加強寄遞用戶信息安全管理和安全責任考核。
第九條以加盟方式從事快遞業務的企業,應當在加盟協議中訂立寄遞用戶信息安全條款,明確被特許人和被特許人的安全責任。特許經營者發生信息安全事故時,特許經營者應當依法承擔相應的安全管理責任。
第十條郵政企業、快遞企業應當與從業人員簽訂收發用戶信息保密協議,明確保密義務和違約責任。
第十壹條郵政企業、快遞企業應當組織員工開展寄遞用戶信息安全保護相關知識和技能的培訓,加強職業道德教育,不斷提高員工的法制觀念和責任意識。
第十二條郵政企業、快遞企業應當建立寄遞用戶信息安全投訴處理機制,公布有效聯系方式,及時受理和處理相關投訴。
第十三條郵政企業、快遞企業受網絡購物、電視購物、郵購等經營者委托提供寄遞服務的,在與委托方簽訂協議時,應當訂立寄遞用戶信息安全條款,明確信息使用範圍和方式、信息交換安全保護措施、信息披露責任分工等內容。
第十四條郵政企業、快遞企業委托第三方錄入、傳遞用戶信息的,應當確認其具備保障信息安全的能力,並訂立信息安全條款,明確責任分工。因第三方的信息安全事故造成寄遞用戶信息泄露或者丟失的,郵政企業、快遞企業應當依法承擔相應責任。
第十五條未經法律明確授權或者用戶書面同意,郵政企業、快遞企業及其從業人員不得向任何單位或者個人提供寄遞用戶信息。
第十六條公安機關、國家安全機關、檢察機關工作人員應當依照法律規定的程序閱讀、核對寄遞詳細清單的實物和電子信息檔案,郵政企業、快遞企業應當予以配合,並為相關信息保密。
第十七條郵政企業、快遞企業應當建立寄遞用戶信息安全應急機制。對寄遞用戶信息安全突發事故,應當立即采取補救措施,按照規定向郵政管理部門報告,並配合郵政管理部門和有關部門的調查處理工作,不得緩報、漏報、謊報或者隱瞞。
第三章發貨明細表實物信息安全管理
第十八條郵政企業、快遞企業應當加強寄遞明細表管理,對空白寄遞明細表的發放進行登記,並全程跟蹤號段,形成跟蹤記錄。
第十九條郵政企業、快遞企業應當加強對營業場所和處理場所的管理,禁止無關人員出入郵件(快件)處理和存放場所,禁止無關人員接觸或者閱讀郵件(快件),防止寄遞細節物理信息(以下簡稱物理信息)在處理過程中泄露。
第二十條郵政企業、快遞企業應當優化寄遞流程,減少與物理信息處理環節和操作人員的接觸。
第二十壹條郵政企業、快遞企業應當采取有效的技術手段,防止寄遞過程中物理信息泄露。
第二十二條郵政企業、快遞企業應當配備符合國家標準的安全監控設備,並安排具有專門技能的人員對收寄、分揀、運輸和寄遞過程中的物理信息處理進行安全監控。
第二十三條郵政企業、快遞企業應當建立健全寄遞明細實物檔案管理制度,實行集中封閉管理,確定集中存放場所,及時收回並妥善保管寄遞明細。集中存放場所的設立和變更應當及時向當地郵政管理部門報告。
第二十四條郵政企業、快遞企業應當設立專人管理寄遞明細實物檔案的集中存放場所,並采取必要的安全防護措施,確保存放安全。
第二十五條郵政企業、快遞企業應當建立並嚴格執行寄遞明細實物檔案查詢管理制度。內部人員因工作需要查閱檔案時,應確保檔案完好並做好登記,不得擅自離開保管場所。
第二十六條交付細節的實物檔案應當按照國家有關標準保存。保存期限屆滿後,企業將進行集中銷毀,做好銷毀記錄,嚴禁丟棄或出售。
第二十七條郵政企業、快遞企業應當定期對物理信息安全進行自查,記錄自查情況,及時消除自查中發現的信息安全隱患。
第四章發貨明細表電子信息安全管理
第二十八條郵政企業、快遞企業應當按照國家規定,加強與寄遞服務用戶信息相關的信息系統和網絡設施的安全管理。
第二十九條郵政企業、快遞企業信息系統的網絡架構應當符合國家信息安全管理規定,合理劃分安全區域,實現安全區域之間的有效隔離,具有防範、監控和阻斷來自內外網絡的攻擊和破壞的能力。
第三十條郵政企業、快遞企業應當配備必要的防病毒軟件和硬件,確保信息系統和網絡具有防範計算機病毒、防止惡意代碼破壞信息系統和網絡、避免信息泄露或者篡改的能力。
第三十壹條郵政企業、快遞企業在建設信息系統和網絡時,應當避免使用信息系統和網絡提供者提供的默認密碼和安全參數,對通過開放公共網絡傳輸的投遞用戶信息采取加密措施,嚴格審查和監控遠程訪問信息系統和網絡設備。
第三十二條郵政企業、快遞企業在采購計算機軟件、硬件產品或者技術服務時,應當與供應商簽訂保密協議,明確其安全責任以及配合郵政管理部門和有關部門調查信息安全事件的義務。
第三十三條郵政企業、快遞企業應當建立信息系統安全內部審計制度,定期開展內部審計,對發現的問題及時整改。
第三十四條郵政企業、快遞企業應當加強信息系統和網絡的權限管理,按照最小權限和權限分離的原則,向員工分配最小操作權限和最小可訪問信息範圍。
郵政企業和快遞企業要加強信息系統和數據庫的管理,使網絡管理者只有維護和優化信息系統、數據庫和網絡的權限。網絡管理員的維護操作必須由安全管理員授權,並由安全審計員監控和審計。
第三十五條郵政企業、快遞企業應當加強信息系統密碼管理,使用高安全性密碼策略,定期更換密碼,禁止向無關人員泄露密碼。
第三十六條郵政企業和快遞企業應當加強寄遞用戶電子信息的存儲安全管理,包括:
(1)使用獨立的物理區域存儲和傳遞用戶信息,禁止未經授權的人員進出該區域;
(2)以加密方式存儲和傳遞用戶信息;
(三)確保包含用戶信息的計算機、移動設備和移動存儲介質的安全使用、存儲和處置。明確管理數據存儲設備和介質的責任人,建立設備和介質的使用和借閱登記制度,限制設備輸出接口的使用。存儲設備和介質報廢的,應當及時刪除已交付的用戶信息數據,並銷毀硬件。
第三十七條郵政企業、快遞企業應當加強寄遞用戶信息的應用安全管理,對所有批量導出、復制、銷毀用戶個人信息的操作進行審核,采取防泄露措施,記錄操作的人員、時間、地點和事項,進行信息安全審核。
第三十八條郵政企業、快遞企業應當加強對下班人員的信息安全審核,及時刪除或者停用下班人員的系統賬號。
第三十九條郵政企業、快遞企業應當制定信息系統與市場相關主體安全互聯的技術規範,對存儲寄遞服務信息的信息系統進行準入審查,並定期進行安全風險評估。
第五章監督管理
第四十條郵政管理機構應當依法履行下列職責:
(壹)制定保障交付用戶信息安全的政策、制度和相關標準,並監督實施;
(二)督促和指導郵政企業、快遞企業落實信息安全責任制,督促企業加強寄遞用戶的信息安全管理;
(三)寄遞用戶信息安全的監測、預警和應急管理;
(四)監督和指導郵政企業、快遞企業開展寄遞用戶信息安全宣傳、教育和培訓;
(五)依法監督檢查郵政企業、快遞企業的信息安全;
(六)組織或者參與寄遞用戶信息安全事故調查,依法查處違反寄遞用戶信息安全管理規定的行為;
(七)法律、行政法規和規章規定的其他職責。
第四十壹條郵政管理部門應當加強對郵政用戶信息安全管理制度和知識的宣傳,強化郵政企業、快遞企業及其從業人員的信息安全管理意識,提高用戶個人信息安全保護意識。
第四十二條郵政管理部門應當加強對郵政用戶信息安全運行的監測和預警,建立信息管理系統,收集和分析與信息安全相關的各類信息。
下級郵政管理機構應當及時向上壹級郵政管理機構報告郵政用戶信息安全情況,並根據需要通報工業和信息化、通信管理、公安、國家安全、商務、工商行政管理等相關部門。
第四十三條郵政管理部門應當檢查郵政企業、快遞企業信息安全管理制度建立和執行情況,規範從業人員信息安全防護行為,防範信息安全風險。
第四十四條郵政管理部門發現郵政企業、快遞企業違反寄遞用戶信息安全管理規定,妨礙或者可能妨礙寄遞用戶信息安全的,應當依法查處。違法行為涉及其他部門管理權限的,由郵政管理部門會同有關部門對涉及的郵政企業、快遞企業進行查處。
第四十五條郵政管理部門應當加強對郵政企業、快遞企業及其從業人員遵守本規定的監督檢查。
第四十六條郵政企業、快遞企業拒絕配合寄遞用戶信息安全監督檢查的,依照《中華人民共和國郵政法》第七十七條的規定予以處罰。
第四十七條郵政企業、快遞企業及其從業人員因泄露、投遞用戶信息給用戶造成損失的,應當依法予以賠償。
第四十八條郵政企業、快遞企業及其從業人員非法提供寄遞用戶信息,尚不構成犯罪的,依照《中華人民共和國郵政法》第七十六條的規定處罰。構成犯罪的,移送司法機關追究刑事責任。
第四十九條任何單位和個人有權向郵政管理部門舉報違反本規定的行為。郵政管理部門接到報告後,應當依法及時處理。
第五十條郵政管理部門可以向郵政企業、快遞企業通報其違反寄遞用戶信息安全管理規定的行為和信息安全事件,以及對相關責任人員的行業處理情況。上述信息在必要時可以向社會公布,但涉及國家秘密、商業秘密和個人隱私的除外。
第五十壹條郵政管理部門及其工作人員應當對在履行職責過程中知悉的寄遞用戶信息保密,不得泄露、篡改、毀損,不得出售或者非法提供給他人。
第五十二條郵政管理部門的工作人員在郵政用戶信息安全監督管理工作中濫用職權、玩忽職守、徇私舞弊的,依照《郵政行業安全監督管理辦法》第五十五條的規定處理。