|
全国人民代表大会常务委员会关于加强网络信息保护的决定 |
||
|
||
|
中华人民共和国工业和信息化部令
第24号
《电信和互联网用户个人信息保护规定》已经2013年6月28日中华人民共和国工业和信息化部第2次部务会议审议通过,现予公布,自2013年9月1日起施行。
部长 苗圩
2013年7月16日
电信和互联网用户个人信息保护规定
第一章总则
第一条为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定本规定。
第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。
第三条工业和信息化部和各省、自治区、直辖市通信管理局(以下统称电信管理机构)依法对电信和互联网用户个人信息保护工作实施监督管理。
第四条本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
第五条电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。
第六条电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。
第七条国家鼓励电信和互联网行业开展用户个人信息保护自律工作。
第二章信息收集和使用规范
第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。
第九条 未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。
电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。
电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。
电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。
法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。
第十条电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十一条电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。
第十二条电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。
第三章安全保障措施
第十三条电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:
(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;(二)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度;
(三)对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;
(四)妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;
(五)对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;
(六)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;
(七)按照电信管理机构的规定开展通信网络安全防护工作;
(八)电信管理机构规定的其他必要措施。
第十四条电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。
电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估;影响特别重大的,相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前,可以要求电信业务经营者和互联网信息服务提供者暂停有关行为,电信业务经营者和互联网信息服务提供者应当执行。
第十五条电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。
第十六条电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。
第四章监督检查
第十七条电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。
电信管理机构实施监督检查时,可以要求电信业务经营者、互联网信息服务提供者提供相关材料,进入其生产经营场所调查情况,电信业务经营者、互联网信息服务提供者应当予以配合。
电信管理机构实施监督检查,应当记录监督检查的情况,不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动,不得收取任何费用。
第十八条电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十九条电信管理机构实施电信业务经营许可及经营许可证年检时,应当对用户个人信息保护情况进行审查。
第二十条电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。
第二十一条鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度,引导会员加强自律管理,提高用户个人信息保护水平。
第五章法律责任
第二十二条电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以下的罚款。
第二十三条电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。
第二十四条电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的,依法给予处理;构成犯罪的,依法追究刑事责任。
第六章附则
第二十五条本规定自2013年9月1日起施行。
中华人民共和国工业和信息化部令
第25号
《电话用户真实身份信息登记规定》已经2013年6月28日中华人民共和国工业和信息化部第2次部务会议审议通过,现予公布,自2013年9月1日起施行。
部长 苗圩
2013年7月16日
电话用户真实身份信息登记规定
第一条 为了规范电话用户真实身份信息登记活动,保障电话用户和电信业务经营者的合法权益,维护网络信息安全,促进电信业的健康发展,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》和《中华人民共和国电信条例》,制定本规定。
第二条 中华人民共和国境内的电话用户真实身份信息登记活动,适用本规定。
第三条 本规定所称电话用户真实身份信息登记,是指电信业务经营者为用户办理固定电话、移动电话(含无线上网卡,下同)等入网手续,在与用户签订协议或者确认提供服务时,如实登记用户提供的真实身份信息的活动。
本规定所称入网,是指用户办理固定电话装机、移机、过户,移动电话开户、过户等。
第四条 工业和信息化部和各省、自治区、直辖市通信管理局(以下统称电信管理机构)依法对电话用户真实身份信息登记工作实施监督管理。
第五条 电信业务经营者应当依法登记和保护电话用户办理入网手续时提供的真实身份信息。
第六条 电信业务经营者为用户办理入网手续时,应当要求用户出示有效证件、提供真实身份信息,用户应当予以配合。
用户委托他人办理入网手续的,电信业务经营者应当要求受托人出示用户和受托人的有效证件,并提供用户和受托人的真实身份信息。
第七条 个人办理电话用户真实身份信息登记的,可以出示下列有效证件之一:
(一)居民身份证、临时居民身份证或者户口簿;
(二)中国人民解放军军人身份证件、中国人民武装警察身份证件;
(三)港澳居民来往内地通行证、台湾居民来往大陆通行证或者其他有效旅行证件;
(四)外国公民护照;
(五)法律、行政法规和国家规定的其他有效身份证件。
第八条 单位办理电话用户真实身份信息登记的,可以出示下列有效证件之一:
(一)组织机构代码证;
(二)营业执照;
(三)事业单位法人证书或者社会团体法人登记证书;
(四)法律、行政法规和国家规定的其他有效证件或者证明文件。
单位办理登记的,除出示以上证件之一外,还应当出示经办人的有效证件和单位的授权书。
第九条 电信业务经营者应当对用户出示的证件进行查验,并如实登记证件类别以及证件上所记载的姓名(名称)、号码、住址信息;对于用户委托他人办理入网手续的,应当同时查验受托人的证件并登记受托人的上述信息。
为了方便用户提供身份信息、办理入网手续,保护用户的合法权益,电信业务经营者复印用户身份证件的,应当在复印件上注明电信业务经营者名称、复印目的和日期。
第十条 用户拒绝出示有效证件,拒绝提供其证件上所记载的身份信息,冒用他人的证件,或者使用伪造、变造的证件的,电信业务经营者不得为其办理入网手续。
第十一条 电信业务经营者在向电话用户提供服务期间及终止向其提供服务后两年内,应当留存用户办理入网手续时提供的身份信息和相关材料。
第十二条 电信业务经营者应当建立健全用户真实身份信息保密管理制度。
电信业务经营者及其工作人员对在提供服务过程中登记的用户真实身份信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供,不得用于提供服务之外的目的。
第十三条 电话用户真实身份信息发生或者可能发生泄露、毁损、丢失的,电信业务经营者应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向相关电信管理机构报告,配合相关部门进行的调查处理。
电信管理机构应当对报告或者发现的可能违反电话用户真实身份信息保护规定的行为的影响进行评估;影响特别重大的,相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前,可以要求电信业务经营者暂停有关行为,电信业务经营者应当执行。
第十四条 电信业务经营者委托他人代理电话入网手续、登记电话用户真实身份信息的,应当对代理人的用户真实身份信息登记和保护工作进行监督和管理,不得委托不符合本规定有关用户真实身份信息登记和保护要求的代理人代办相关手续。
第十五条 电信业务经营者应当对其电话用户真实身份信息登记和保护情况每年至少进行一次自查,并对其工作人员进行电话用户真实身份信息登记和保护相关知识、技能和安全责任培训。
第十六条 电信管理机构应当对电信业务经营者的电话用户真实身份信息登记和保护情况实施监督检查。电信管理机构实施监督检查时,可以要求电信业务经营者提供相关材料,进入其生产经营场所调查情况,电信业务经营者应当予以配合。
电信管理机构实施监督检查,应当记录监督检查的情况,不得妨碍电信业务经营者正常的经营或者服务活动,不得收取任何费用。
电信管理机构及其工作人员对在实施监督检查过程中知悉的电话用户真实身份信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十七条 电信业务经营者违反本规定第六条、第九条至第十五条的规定,或者不配合电信管理机构依照本规定开展的监督检查的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下罚款,向社会公告。其中,《中华人民共和国电信条例》规定法律责任的,依照其规定处理;构成犯罪的,依法追究刑事责任。
第十八条 用户以冒用、伪造、变造的证件办理入网手续的,电信业务经营者不得为其提供服务,并由相关部门依照《中华人民共和国居民身份证法》、《中华人民共和国治安管理处罚法》、《现役军人和人民武装警察居民身份证申领发放办法》等规定处理。
第十九条 电信管理机构工作人员在对电话用户真实身份信息登记工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的,依法给予处理;构成犯罪的,依法追究刑事责任。
第二十条 电信业务经营者应当通过电话、短信息、书面函件或者公告等形式告知用户并采取便利措施,为本规定施行前尚未提供真实身份信息或者所提供身份信息不全的电话用户补办登记手续。
电信业务经营者为电话用户补办登记手续,不得擅自加重用户责任。
电信业务经营者应当在向尚未提供真实身份信息的用户确认提供服务时,要求用户提供真实身份信息。
第二十一条 本规定自2013年9月1日起施行。