電信和互聯網用戶個人信息保護規定

（2013年6月28日中華人民共和國(guó)工業和信息化部第2次部務會議審議通過(guò)　2013年7月16日中華人民共和國(guó)工業和信息化部第24号令公布　自2013年9月1日起(qǐ)施行）

第一章　總則

　　第一條　爲了保護電信和互聯網用戶的合法權益，維護網絡信息安全，根據《全國(guó)人民代表大會常務委員會關于加強網絡信息保護的決定》、《中華人民共和國(guó)電信條例》和《互聯網信息服務管理辦法》等法律、行政法規，制定本規定。

　　第二條　在中華人民共和國(guó)境内提供電信服務和互聯網信息服務過(guò)程中收集、使用用戶個人信息的活動，适用本規定。

　　第三條　工業和信息化部和各省、自治區、直轄市通信管理局（以下統稱電信管理機構）依法對(duì)電信和互聯網用戶個人信息保護工作實施監督管理。

　　第四條　本規定所稱用戶個人信息，是指電信業務經(jīng)營者和互聯網信息服務提供者在提供服務的過(guò)程中收集的用戶姓名、出生日期、身份證件号碼、住址、電話号碼、賬号和密碼等能(néng)夠單獨或者與其他信息結合識别用戶的信息以及用戶使用服務的時間、地點等信息。

　　第五條　電信業務經(jīng)營者、互聯網信息服務提供者在提供服務的過(guò)程中收集、使用用戶個人信息，應當遵循合法、正當、必要的原則。

　　第六條　電信業務經(jīng)營者、互聯網信息服務提供者對(duì)其在提供服務過(guò)程中收集、使用的用戶個人信息的安全負責。

　　第七條　國(guó)家鼓勵電信和互聯網行業開(kāi)展用戶個人信息保護自律工作。

第二章　信息收集和使用規範

　　第八條　電信業務經(jīng)營者、互聯網信息服務提供者應當制定用戶個人信息收集、使用規則，并在其經(jīng)營或者服務場所、網站等予以公布。

　　第九條　未經(jīng)用戶同意，電信業務經(jīng)營者、互聯網信息服務提供者不得收集、使用用戶個人信息。

　　電信業務經(jīng)營者、互聯網信息服務提供者收集、使用用戶個人信息的，應當明确告知用戶收集、使用信息的目的、方式和範圍，查詢、更正信息的渠道(dào)以及拒絕提供信息的後(hòu)果等事(shì)項。

　　電信業務經(jīng)營者、互聯網信息服務提供者不得收集其提供服務所必需以外的用戶個人信息或者將(jiāng)信息用于提供服務之外的目的，不得以欺騙、誤導或者強迫等方式或者違反法律、行政法規以及雙方的約定收集、使用信息。

　　電信業務經(jīng)營者、互聯網信息服務提供者在用戶終止使用電信服務或者互聯網信息服務後(hòu)，應當停止對(duì)用戶個人信息的收集和使用，并爲用戶提供注銷号碼或者賬号的服務。

　　法律、行政法規對(duì)本條第一款至第四款規定的情形另有規定的，從其規定。

　　第十條　電信業務經(jīng)營者、互聯網信息服務提供者及其工作人員對(duì)在提供服務過(guò)程中收集、使用的用戶個人信息應當嚴格保密，不得洩露、篡改或者毀損，不得出售或者非法向(xiàng)他人提供。

　　第十一條　電信業務經(jīng)營者、互聯網信息服務提供者委托他人代理市場銷售和技術服務等直接面(miàn)向(xiàng)用戶的服務性工作，涉及收集、使用用戶個人信息的，應當對(duì)代理人的用戶個人信息保護工作進(jìn)行監督和管理，不得委托不符合本規定有關用戶個人信息保護要求的代理人代辦相關服務。

　　第十二條　電信業務經(jīng)營者、互聯網信息服務提供者應當建立用戶投訴處理機制，公布有效的聯系方式，接受與用戶個人信息保護有關的投訴，并自接到投訴之日起(qǐ)十五日内答複投訴人。

第三章　安全保障措施

　　第十三條　電信業務經(jīng)營者、互聯網信息服務提供者應當采取以下措施防止用戶個人信息洩露、毀損、篡改或者丢失：

　　（一）确定各部門、崗位和分支機構的用戶個人信息安全管理責任；

　　（二）建立用戶個人信息收集、使用及其相關活動的工作流程和安全管理制度；

　　（三）對(duì)工作人員及代理人實行權限管理，對(duì)批量導出、複制、銷毀信息實行審查，并采取防洩密措施；

　　（四）妥善保管記錄用戶個人信息的紙介質、光介質、電磁介質等載體，并采取相應的安全儲存措施；

　　（五）對(duì)儲存用戶個人信息的信息系統實行接入審查，并采取防入侵、防病毒等措施；

　　（六）記錄對(duì)用戶個人信息進(jìn)行操作的人員、時間、地點、事(shì)項等信息；

　　（七）按照電信管理機構的規定開(kāi)展通信網絡安全防護工作；

　　（八）電信管理機構規定的其他必要措施。

　　第十四條　電信業務經(jīng)營者、互聯網信息服務提供者保管的用戶個人信息發(fā)生或者可能(néng)發(fā)生洩露、毀損、丢失的，應當立即采取補救措施；造成(chéng)或者可能(néng)造成(chéng)嚴重後(hòu)果的，應當立即向(xiàng)準予其許可或者備案的電信管理機構報告，配合相關部門進(jìn)行的調查處理。

　　電信管理機構應當對(duì)報告或者發(fā)現的可能(néng)違反本規定的行爲的影響進(jìn)行評估；影響特别重大的，相關省、自治區、直轄市通信管理局應當向(xiàng)工業和信息化部報告。電信管理機構在依據本規定作出處理決定前，可以要求電信業務經(jīng)營者和互聯網信息服務提供者暫停有關行爲，電信業務經(jīng)營者和互聯網信息服務提供者應當執行。

　　第十五條　電信業務經(jīng)營者、互聯網信息服務提供者應當對(duì)其工作人員進(jìn)行用戶個人信息保護相關知識、技能(néng)和安全責任培訓。

　　第十六條　電信業務經(jīng)營者、互聯網信息服務提供者應當對(duì)用戶個人信息保護情況每年至少進(jìn)行一次自查，記錄自查情況，及時消除自查中發(fā)現的安全隐患。

第四章　監督檢查

　　第十七條　電信管理機構應當對(duì)電信業務經(jīng)營者、互聯網信息服務提供者保護用戶個人信息的情況實施監督檢查。

　　電信管理機構實施監督檢查時，可以要求電信業務經(jīng)營者、互聯網信息服務提供者提供相關材料，進(jìn)入其生産經(jīng)營場所調查情況，電信業務經(jīng)營者、互聯網信息服務提供者應當予以配合。

　　電信管理機構實施監督檢查，應當記錄監督檢查的情況，不得妨礙電信業務經(jīng)營者、互聯網信息服務提供者正常的經(jīng)營或者服務活動，不得收取任何費用。

　　第十八條　電信管理機構及其工作人員對(duì)在履行職責中知悉的用戶個人信息應當予以保密，不得洩露、篡改或者毀損，不得出售或者非法向(xiàng)他人提供。

　　第十九條　電信管理機構實施電信業務經(jīng)營許可及經(jīng)營許可證年檢時，應當對(duì)用戶個人信息保護情況進(jìn)行審查。

　　第二十條　電信管理機構應當將(jiāng)電信業務經(jīng)營者、互聯網信息服務提供者違反本規定的行爲記入其社會信用檔案并予以公布。

　　第二十一條　鼓勵電信和互聯網行業協會依法制定有關用戶個人信息保護的自律性管理制度，引導會員加強自律管理，提高用戶個人信息保護水平。

第五章　法律責任

　　第二十二條　電信業務經(jīng)營者、互聯網信息服務提供者違反本規定第八條、第十二條規定的，由電信管理機構依據職權責令限期改正，予以警告，可以并處一萬元以下的罰款。

　　第二十三條　電信業務經(jīng)營者、互聯網信息服務提供者違反本規定第九條至第十一條、第十三條至第十六條、第十七條第二款規定的，由電信管理機構依據職權責令限期改正，予以警告，可以并處一萬元以上三萬元以下的罰款，向(xiàng)社會公告；構成(chéng)犯罪的，依法追究刑事(shì)責任。

　　第二十四條　電信管理機構工作人員在對(duì)用戶個人信息保護工作實施監督管理的過(guò)程中玩忽職守、濫用職權、徇私舞弊的，依法給予處理；構成(chéng)犯罪的，依法追究刑事(shì)責任。

第六章　附則

　　第二十五條　本規定自2013年9月1日起(qǐ)施行。