會議材料之一

1、寄遞服務(wù)用戶個人信息安全管理規(guī)定第一章 總 則第一條 為加強郵政行業(yè)寄遞服務(wù)用戶個人信息安全 管理，保護用戶合法權(quán)益，維護郵政通信與信息安全，促進 郵政行業(yè)健康發(fā)展，根據(jù)中華人民共和國郵政法 、全國 人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的規(guī)定 、郵政行業(yè)安全 監(jiān)督管理辦法 等法律、 行政法規(guī)和有關(guān)規(guī)定， 制定本規(guī)定。第二條 在中華人民共和國境內(nèi)經(jīng)營和使用寄遞服務(wù) 涉及用戶個人信息安全的活動以及相關(guān)監(jiān)督管理工作，適用 本規(guī)定。第三條 本規(guī)定所稱寄遞服務(wù)用戶個人信息（以下簡稱 寄遞用戶信息） ，是指用戶在使用寄遞服務(wù)過程中的個人信 息，包括寄（收）件人的姓名、地址、身份證件號碼、電話 號碼、單位名稱，以

2、及寄遞詳情單號、時間、物品明細等內(nèi) 容。第四條 寄遞用戶信息安全監(jiān)督管理堅持安全第一、預(yù) 防為主、綜合治理的方針，保障用戶個人信息安全。第五條 國務(wù)院郵政管理部門負責全國郵政行業(yè)寄遞 用戶信息安全監(jiān)督管理工作。省、自治區(qū)、直轄市郵政管理機構(gòu)負責本行政區(qū)域內(nèi)的郵政行業(yè)寄遞用戶信息安全監(jiān)督管理工作按照國務(wù)院規(guī)定設(shè)立的省級以下郵政管理機構(gòu)負責本 轄區(qū)的郵政行業(yè)寄遞用戶信息安全監(jiān)督管理工作。國務(wù)院郵政管理部門和省、自治區(qū)、直轄市郵政管理機 構(gòu)以及省級以下郵政管理機構(gòu)，統(tǒng)稱為郵政管理部門。第六條 郵政管理部門應(yīng)當與有關(guān)部門相互配合，健全 寄遞用戶信息安全保障機制，維護寄遞用戶信息安全。第七條 郵政企業(yè)、

3、快遞企業(yè)及其從業(yè)人員應(yīng)當遵守國 家有關(guān)信息安全管理的規(guī)定及本規(guī)定，防止寄遞用戶信息泄 露、丟失。第二章 一般規(guī)定第八條 郵政企業(yè)、快遞企業(yè)應(yīng)當建立健全寄遞用戶信 息安全保障制度和措施，明確企業(yè)內(nèi)部各部門、崗位的安全 責任，加強寄遞用戶信息安全管理和安全責任考核。第九條 以加盟方式經(jīng)營快遞業(yè)務(wù)企業(yè)應(yīng)當在加盟協(xié) 議中訂立寄遞用戶信息安全保障條款，明確被加盟人與加盟 人的安全責任。加盟人發(fā)生信息安全事故時，被加盟人應(yīng)當 依法承擔相應(yīng)安全管理責任。第十條 郵政企業(yè)、快遞企業(yè)應(yīng)當與其從業(yè)人員簽訂寄 遞用戶信息保密協(xié)議，明確保密義務(wù)和違約責任。第十一條 郵政企業(yè)、快遞企業(yè)應(yīng)當組織從業(yè)人員進行 寄遞用戶信息

4、安全保護相關(guān)知識、技能培訓，加強職業(yè)道德 教育，不斷提高從業(yè)人員的法制觀念和責任意識。第十二條 郵政企業(yè)、快遞企業(yè)應(yīng)當建立寄遞用戶信息 安全投訴處理機制，公布有效聯(lián)系方式，接受并及時處理有 關(guān)投訴。第十三條 郵政企業(yè)、快遞企業(yè)受網(wǎng)絡(luò)購物、電視購物 和郵購等經(jīng)營者委托提供寄遞服務(wù)的，在與委托方簽訂協(xié)議 時，應(yīng)當訂立寄遞用戶信息安全保障條款，明確信息使用范 圍和方式、信息交換安全保護措施、信息泄露責任劃分等內(nèi) 容。第十四條 郵政企業(yè)、快遞企業(yè)委托第三方錄入寄遞用 戶信息的，應(yīng)當確認其具有信息安全保障能力，并訂立信息 安全保障條款，明確責任劃分。第三方發(fā)生信息安全事故導 致寄遞用戶信息泄露、丟失的，

5、郵政企業(yè)、快遞企業(yè)應(yīng)當依 法承擔相應(yīng)責任。第十五條 未經(jīng)法律明確授權(quán)或者用戶書面同意，郵政 企業(yè)、快遞企業(yè)及其從業(yè)人員不得將其掌握的寄遞用戶信息 提供給任何單位或者個人。第十六條 公安機關(guān)、國家安全機關(guān)或者檢察機關(guān)的工 作人員依照法律規(guī)定程序調(diào)閱、檢查寄遞詳情單實物及電子 信息檔案，郵政企業(yè)、快遞企業(yè)應(yīng)當配合，并對有關(guān)情況予 以保密。第十七條 郵政企業(yè)、快遞企業(yè)應(yīng)當建立寄遞用戶信息 安全應(yīng)急處置機制。對于突發(fā)的寄遞用戶信息安全事故，應(yīng) 當立即采取補救措施，按照規(guī)定報告郵政管理部門，并配合 郵政管理部門和相關(guān)部門的調(diào)查處理工作， 不得遲報、 漏報、 謊報、瞞報。第三章 寄遞詳情單實物信息安全管理

6、第十八條 郵政企業(yè)、快遞企業(yè)應(yīng)當加強寄遞詳情單管 理，對空白寄遞詳情單發(fā)放情況進行登記，對號段進行全程 跟蹤，形成跟蹤記錄。第十九條 郵政企業(yè)、快遞企業(yè)應(yīng)當加強營業(yè)場所、處 理場所管理，嚴禁無關(guān)人員進出郵件（快件）處理、存放場 地，嚴禁無關(guān)人員接觸、翻閱郵件（快件） ，防止寄遞詳情 單實物信息（以下簡稱實物信息）在處理過程中泄露。第二十條 郵政企業(yè)、快遞企業(yè)應(yīng)當優(yōu)化寄遞處理流 程，減少接觸實物信息的處理環(huán)節(jié)和操作人員。第二十一條 郵政企業(yè)、快遞企業(yè)應(yīng)當采用有效技術(shù)手 段，防止實物信息在寄遞過程中泄露。第二十二條 郵政企業(yè)、快遞企業(yè)應(yīng)當配備符合國家標 準的安全監(jiān)控設(shè)備，安排具有專門技術(shù)和技能的人

7、員，對收 寄、分揀、 運輸、投遞等環(huán)節(jié)的實物信息處理進行安全監(jiān)控。第二十三條 郵政企業(yè)、快遞企業(yè)應(yīng)當建立健全寄遞詳 情單實物檔案管理制度，實行集中封閉管理，確定集中存放 地，及時回收寄遞詳情單妥善保管。 設(shè)立、 變更集中存放地， 應(yīng)當及時報告所在地郵政管理部門。第二十四條 郵政企業(yè)、快遞企業(yè)應(yīng)當對寄遞詳情單實 物檔案集中存放地設(shè)專人管理，采取必要的安全防護措施， 確保存儲安全。第二十五條 郵政企業(yè)、快遞企業(yè)應(yīng)當建立并嚴格執(zhí)行 寄遞詳情單實物檔案查詢管理制度。內(nèi)部人員因工作需要查 閱檔案時，應(yīng)當確保檔案完整無損，并做好查閱登記，不得 私自攜帶離開存放地。第二十六條 寄遞詳情單實物檔案應(yīng)當按照國家

8、相關(guān) 標準規(guī)定的期限保存。保存期滿后，由企業(yè)進行集中銷毀， 做好銷毀記錄，嚴禁丟棄或者販賣。第二十七條 郵政企業(yè)、快遞企業(yè)應(yīng)當對實物信息安全 保障情況進行定期自查，記錄自查情況，及時消除自查中發(fā) 現(xiàn)的信息安全隱患。第四章 寄遞詳情單電子信息安全管理第二十八條 郵政企業(yè)、快遞企業(yè)應(yīng)當按照國家規(guī)定， 加強寄遞服務(wù)用戶信息相關(guān)信息系統(tǒng)和網(wǎng)絡(luò)設(shè)施的安全管 理。第二十九條 郵政企業(yè)、快遞企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)架構(gòu) 應(yīng)當符合國家信息安全管理規(guī)定，合理劃分安全區(qū)域，實現(xiàn) 各安全區(qū)域之間有效隔離，并具有防范、監(jiān)控和阻斷來自內(nèi) 部和外部網(wǎng)絡(luò)攻擊破壞的能力。第三十條 郵政企業(yè)、快遞企業(yè)應(yīng)當配備必要的防病毒 軟件、硬件

9、，確保信息系統(tǒng)和網(wǎng)絡(luò)具有防范計算機病毒的能 力，防止惡意代碼破壞信息系統(tǒng)和網(wǎng)絡(luò)，避免信息泄露或者 被篡改。第三十一條 郵政企業(yè)、快遞企業(yè)構(gòu)建信息系統(tǒng)和網(wǎng) 絡(luò)，應(yīng)當避免使用信息系統(tǒng)和網(wǎng)絡(luò)供應(yīng)商提供的默認密碼、 安全參數(shù)，并對通過開放公共網(wǎng)絡(luò)傳輸?shù)募倪f用戶信息采取 加密措施，嚴格審查并監(jiān)控對信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備的遠程訪 問。第三十二條 郵政企業(yè)、快遞企業(yè)在采購計算機軟件、 硬件產(chǎn)品或者技術(shù)服務(wù)時，應(yīng)當與供應(yīng)商簽訂保密協(xié)議，明 確其安全責任，以及在發(fā)生信息安全事件時配合郵政管理部 門和相關(guān)部門調(diào)查的義務(wù)。第三十三條 郵政企業(yè)、快遞企業(yè)應(yīng)當建立信息系統(tǒng)安 全內(nèi)部審計制度，定期開展內(nèi)部審計，對發(fā)現(xiàn)的問題及

10、時整 改。第三十四條 郵政企業(yè)、快遞企業(yè)應(yīng)當加強信息系統(tǒng)及 網(wǎng)絡(luò)的權(quán)限管理，基于權(quán)限最小化和權(quán)限分離原則，向從業(yè) 人員分配滿足工作需要的最小操作權(quán)限和可訪問的最小信息范圍郵政企業(yè)、快遞企業(yè)應(yīng)當加強對信息系統(tǒng)和數(shù)據(jù)庫的管 理，使網(wǎng)絡(luò)管理人員僅具有進行信息系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)運 行維護和優(yōu)化的權(quán)限。網(wǎng)絡(luò)管理人員的維護操作須經(jīng)安全管 理員授權(quán)，并受到安全審計員的監(jiān)控和審計。第三十五條 郵政企業(yè)、快遞企業(yè)應(yīng)當加強信息系統(tǒng)密 碼管理，使用高安全級別密碼策略，定期更換密碼，禁止將 密碼透露給無關(guān)人員。第三十六條 郵政企業(yè)、快遞企業(yè)應(yīng)當加強寄遞用戶電 子信息的存儲安全管理，包括：（一）使用獨立物理區(qū)域存儲寄遞

11、用戶信息，禁止非授 權(quán)人員進出該區(qū)域；（二）采用加密方式存儲寄遞用戶信息；（三）確保安全使用、保管和處置存有寄遞用戶信息的 計算機、 移動設(shè)備和移動存儲介質(zhì)。 明確管理數(shù)據(jù)存儲設(shè)備、 介質(zhì)的負責人，建立設(shè)備、介質(zhì)使用和借用登記制度，限制 設(shè)備輸出接口的使用。存儲設(shè)備和介質(zhì)報廢的，應(yīng)當及時刪 除其中的寄遞用戶信息數(shù)據(jù)，并銷毀硬件。第三十七條 郵政企業(yè)、快遞企業(yè)應(yīng)當加強寄遞用戶信 息的應(yīng)用安全管理，對所有批量導出、復(fù)制、銷毀用戶個人 信息的操作進行審查，并采取防泄密措施，同時記錄進行操 作的人員、時間、地點和事項，留作信息安全審計依據(jù)。第三十八條 郵政企業(yè)、快遞企業(yè)應(yīng)當加強對離崗人員的信息安全審計

12、，及時刪除或者禁用離崗人員系統(tǒng)賬戶。 第三十九條 郵政企業(yè)、快遞企業(yè)應(yīng)當制定本企業(yè)與市 場相關(guān)主體的信息系統(tǒng)安全互聯(lián)技術(shù)規(guī)則，對存儲寄遞服務(wù) 信息的信息系統(tǒng)實行接入審查，定期進行安全風險評估。第五章 監(jiān)督管理第四十條 郵政管理部門依法履行下列職責：（一）制定保障寄遞用戶信息安全的政策、制度和相關(guān) 標準，并監(jiān)督實施；（二）監(jiān)督、指導郵政企業(yè)、快遞企業(yè)落實信息安全責 任制，督促企業(yè)加強寄遞用戶信息安全管理；（三）對寄遞用戶信息安全進行監(jiān)測、 預(yù)警和應(yīng)急管理；（四）監(jiān)督、指導郵政企業(yè)、快遞企業(yè)開展寄遞用戶信 息安全宣傳教育和培訓；（五）依法對郵政企業(yè)、快遞企業(yè)實施寄遞用戶信息安 全監(jiān)督檢查；（六）組

13、織調(diào)查或者參與調(diào)查寄遞用戶信息安全事故， 依法查處違反寄遞用戶信息安全管理規(guī)定的行為；（七）法律、行政法規(guī)和規(guī)章規(guī)定的其他職責。 第四十一條 郵政管理部門應(yīng)當加強郵政行業(yè)寄遞用 戶信息安全管理制度和知識的宣傳，強化郵政企業(yè)、快遞企 業(yè)及其從業(yè)人員的信息安全管理意識，提高用戶對個人信息 安全保護的認識。第四十二條 郵政管理部門應(yīng)當加強郵政行業(yè)寄遞用 戶信息安全運行的監(jiān)測預(yù)警，建立信息管理體系，收集、分 析與信息安全有關(guān)的各類信息。下級郵政管理部門應(yīng)當及時向上一級郵政管理部門報 告郵政行業(yè)寄遞用戶信息安全情況，并根據(jù)需要通報工業(yè)和 信息化、通信管理、公安、國家安全、商務(wù)和工商行政管理 等相關(guān)部門。

14、第四十三條 郵政管理部門應(yīng)當對郵政企業(yè)、快遞企業(yè) 建立和執(zhí)行寄遞用戶信息安全管理制度，規(guī)范從業(yè)人員信息 安全保護行為，防范信息安全風險等情況進行檢查。第四十四條 郵政管理部門發(fā)現(xiàn)郵政企業(yè)、快遞企業(yè)存 在違反寄遞用戶信息安全管理規(guī)定，妨害或者可能妨害寄遞 用戶信息安全的，應(yīng)當依法進行調(diào)查處理。違法行為涉及其 他部門管理職權(quán)的，郵政管理部門應(yīng)當會同有關(guān)部門對涉案 郵政企業(yè)、快遞企業(yè)進行調(diào)查處理。第四十五條 郵政管理部門應(yīng)當加強對郵政企業(yè)、快遞 企業(yè)及其從業(yè)人員遵守本規(guī)定情況的監(jiān)督檢查。第四十六條 郵政企業(yè)、快遞企業(yè)拒不配合寄遞用戶信 息安全監(jiān)督檢查的，依照中華人民共和國郵政法第七十 七條的規(guī)定予以處罰。第四十七條 郵政企業(yè)、快遞企業(yè)及其從業(yè)人員因泄露寄遞用戶信息對用戶造成損失的，應(yīng)當依法予以賠償。第四十八條 郵政企業(yè)、快遞企業(yè)及其從業(yè)人員違法提 供寄遞用戶信息，尚未構(gòu)成犯罪的，依照中華人民共和國 郵政法第七十六條的規(guī)定予以處罰。構(gòu)成犯罪的，移送司 法機關(guān)追究刑事責任。第四十九條 任何單位和個人有權(quán)向郵政管理部門舉 報違反本規(guī)定的行為。郵政管理部門接到舉報后，應(yīng)當依法 及時處理。第五十條 郵政管理部門可以在行業(yè)內(nèi)通報郵政企業(yè)、 快遞企業(yè)違反寄遞用戶信息安全管理規(guī)定行為、