第壹條為保護電信和互聯網用戶的合法權益,維護網絡信息安全,根據《全國人民代表大會常務委員會關於加強網絡信息保護的決定》、《中華人民共和國電信條例》和《互聯網信息服務管理辦法》,制定本規定。
第二條在中華人民共和國境內提供電信服務、互聯網信息服務過程中收集和使用用戶個人信息,適用本規定。
第三條工業和信息化部和各省、自治區、直轄市通信管理局(以下簡稱電信管理機構)依法對電信和互聯網用戶個人信息保護實施監督管理。
第四條本規定所稱用戶個人信息,是指電信業務經營者、互聯網信息服務提供者在提供服務過程中收集的能夠單獨或者結合其他信息識別用戶身份的用戶姓名、出生日期、身份證號、住址、電話號碼、賬號、密碼,以及用戶使用服務的時間、地點等信息。
第五條電信業務經營者、互聯網信息服務提供者在提供服務過程中收集、使用用戶個人信息,應當遵循合法、公正、必要的原則。
第六條電信業務經營者、互聯網信息服務提供者應當對其在提供服務過程中收集、使用的用戶個人信息的安全負責。
第七條國家鼓勵電信、互聯網行業開展用戶個人信息保護自律。
第二章信息收集和使用規範
第八條電信業務經營者、互聯網信息服務提供者應當制定用戶個人信息收集和使用規則,並在其經營或者服務場所、網站上公布。
第九條未經用戶同意,電信業務經營者、互聯網信息服務提供者不得收集、使用用戶個人信息。
電信業務經營者、互聯網信息服務提供者在收集、使用用戶個人信息時,應當明確告知用戶收集、使用信息的目的、方式和範圍,查詢、更正信息的渠道以及拒絕提供信息的後果。
電信業務經營者、互聯網信息服務提供者不得收集提供服務所必需的以外的用戶個人信息或者將該信息用於提供服務以外的目的,不得以欺騙、誤導、脅迫或者違反法律、行政法規和雙方約定的方式收集、使用信息。
電信業務經營者、互聯網信息服務提供者應當在用戶停止使用電信業務或者互聯網信息服務後,停止收集、使用用戶個人信息,並向用戶提供註銷號碼或者賬戶的服務。
法律、行政法規對本條第壹款至第四款規定的情形另有規定的,從其規定。
第十條電信業務經營者、互聯網信息服務提供者及其工作人員應當對在提供服務過程中收集、使用的用戶個人信息嚴格保密,不得泄露、篡改或者毀損,不得出售或者非法提供給他人。
第十壹條電信業務經營者、互聯網信息服務提供者委托他人代理營銷、技術服務等直接面向用戶的服務,涉及收集、使用用戶個人信息的,應當對代理人保護用戶個人信息的情況進行監督管理,不得委托不符合本規定用戶個人信息保護要求的代理人代理相關服務。
第十二條電信業務經營者、互聯網信息服務提供者應當建立用戶投訴處理機制,公布有效聯系方式,受理涉及用戶個人信息保護的投訴,並自收到投訴之日起15日內回復投訴人。
第三章安全措施
第十三條電信業務經營者和互聯網信息服務提供者應當采取下列措施,防止用戶個人信息被泄露、損毀、篡改或者丟失:
(壹)確定各部門、各崗位、各分支機構的用戶個人信息安全管理職責;
(二)建立用戶個人信息收集、使用及相關活動的工作流程和安全管理制度;
(三)對工作人員和代理人實施權限管理,審查批量導出、復制和銷毀信息,並采取防泄密措施;
(四)妥善保管記錄用戶個人信息的紙質介質、光學介質、電磁介質等載體,並采取相應的安全存儲措施;
(五)對存儲用戶個人信息的信息系統實施訪問審查,並采取防入侵和防病毒措施;
(六)記錄操作用戶個人信息的人員、時間、地點、事項等信息;
(七)按照電信管理機構的規定開展通信網絡安全保護工作;
(八)電信管理機構規定的其他必要措施。
第十四條電信業務經營者、互聯網信息服務提供者保存的用戶個人信息發生或者可能發生泄露、損毀、丟失的,應當立即采取補救措施;造成或者可能造成嚴重後果的,應當立即向準予許可或者備案的電信管理機構報告,並配合有關部門的調查處理。
電信管理機構應當對舉報或者發現的可能違反本規定的行為進行影響評估;影響特別重大的,相關省、自治區、直轄市通信管理局應當向工業和信息化部報告。電信管理機構在依照本規定作出決定前,可以要求電信業務經營者、互聯網信息服務提供者暫停相關行為,電信業務經營者、互聯網信息服務提供者應當執行。
第十五條電信業務經營者、互聯網信息服務提供者應當對其工作人員進行與用戶個人信息保護相關的知識、技能和安全責任培訓。
第十六條電信業務經營者、互聯網信息服務提供者應當每年至少開展壹次用戶個人信息保護自查,記錄自查情況,及時消除自查中發現的安全隱患。
第四章監督檢查
第十七條電信管理機構應當對電信業務經營者、互聯網信息服務提供者保護用戶個人信息的情況進行監督檢查。
電信管理機構進行監督檢查時,可以要求電信業務經營者、互聯網信息服務提供者提供相關材料,並進入其生產經營場所調查情況,電信業務經營者、互聯網信息服務提供者應當予以配合。
電信管理機構進行監督檢查時,應當記錄監督檢查情況,不得幹擾電信業務經營者、互聯網信息服務提供者的正常經營或者服務活動,不得收取任何費用。
第十八條電信管理機構及其工作人員應當對履行職責中知悉的用戶個人信息保密,不得泄露、篡改、毀損,不得出售或者非法提供給他人。
第十九條電信監管機構實施電信業務經營許可和經營許可年檢時,應當審查用戶個人信息保護情況。
第二十條電信管理機構應當將電信業務經營者、互聯網信息服務提供者違反本規定的行為記入其社會信用檔案,並向社會公布。
第二十壹條鼓勵電信、互聯網行業協會依法制定用戶個人信息保護自律管理制度,引導會員加強自律管理,提高用戶個人信息保護水平。
第五章法律責任
第二十二條電信業務經營者、互聯網信息服務提供者違反本規定第八條、第十二條規定的,由電信管理機構責令限期改正,給予警告,可以並處1萬元以下罰款。
第二十三條電信業務經營者、互聯網信息服務提供者違反本規定第九條至第十壹條、第十三條至第十六條、第十七條第二款規定的,由電信管理機構依據職權責令限期改正,給予警告,可以並處1萬元以上3萬元以下罰款,並向社會公告;構成犯罪的,依法追究刑事責任。
第二十四條電信管理人員在用戶個人信息保護監督管理過程中,玩忽職守、濫用職權、徇私舞弊的,依法予以處理;構成犯罪的,依法追究刑事責任。
第六章附則
第二十五條本規定自2065年9月1日起施行。