電信和互聯網用戶個人信息保護規定
電信業務經營者、互聯網信息服務提供者收集、使用用戶個人信息的,應當明確告知用戶收集、使用信息的目的、方式和範圍,查詢、更正信息的渠道以及拒絕提供信息的後果等事項。
電信業務經營者、互聯網信息服務提供者不得收集其提供服務所必需以外的用戶個人信息或者將信息用於提供服務之外的目的,不得以欺騙、誤導或者強迫等方式或者違反法律、行政法規以及雙方的約定收集、使用信息。
電信業務經營者、互聯網信息服務提供者在用戶終止使用電信服務或者互聯網信息服務後,應當停止對用戶個人信息的收集和使用,並為用戶提供註銷號碼或者賬號的服務。
法律、行政法規對本條第壹款至第四款規定的情形另有規定的,從其規定。第十條 電信業務經營者、互聯網信息服務提供者及其工作人員對在提供服務過程中收集、使用的用戶個人信息應當嚴格保密,不得泄露、篡改或者毀損,不得出售或者非法向他人提供。第十壹條 電信業務經營者、互聯網信息服務提供者委托他人代理市場銷售和技術服務等直接面向用戶的服務性工作,涉及收集、使用用戶個人信息的,應當對代理人的用戶個人信息保護工作進行監督和管理,不得委托不符合本規定有關用戶個人信息保護要求的代理人代辦相關服務。第十二條 電信業務經營者、互聯網信息服務提供者應當建立用戶投訴處理機制,公布有效的聯系方式,接受與用戶個人信息保護有關的投訴,並自接到投訴之日起十五日內答復投訴人。第三章 安全保障措施第十三條 電信業務經營者、互聯網信息服務提供者應當采取以下措施防止用戶個人信息泄露、毀損、篡改或者丟失:
(壹)確定各部門、崗位和分支機構的用戶個人信息安全管理責任;
(二)建立用戶個人信息收集、使用及其相關活動的工作流程和安全管理制度;
(三)對工作人員及代理人實行權限管理,對批量導出、復制、銷毀信息實行審查,並采取防泄密措施;
(四)妥善保管記錄用戶個人信息的紙介質、光介質、電磁介質等載體,並采取相應的安全儲存措施;
(五)對儲存用戶個人信息的信息系統實行接入審查,並采取防入侵、防病毒等措施;
(六)記錄對用戶個人信息進行操作的人員、時間、地點、事項等信息;
(七)按照電信管理機構的規定開展通信網絡安全防護工作;
(八)電信管理機構規定的其他必要措施。第十四條 電信業務經營者、互聯網信息服務提供者保管的用戶個人信息發生或者可能發生泄露、毀損、丟失的,應當立即采取補救措施;造成或者可能造成嚴重後果的,應當立即向準予其許可或者備案的電信管理機構報告,配合相關部門進行的調查處理。
電信管理機構應當對報告或者發現的可能違反本規定的行為的影響進行評估;影響特別重大的,相關省、自治區、直轄市通信管理局應當向工業和信息化部報告。電信管理機構在依據本規定作出處理決定前,可以要求電信業務經營者和互聯網信息服務提供者暫停有關行為,電信業務經營者和互聯網信息服務提供者應當執行。