寄遞服務(wù)用戶個(gè)人信息安全管理規(guī)定

1、寄遞服務(wù)用戶個(gè)人信息安全管理規(guī)定（征求意見稿）第一章總則第一條 為加強(qiáng)郵政行業(yè)寄遞服務(wù)用戶個(gè)人信息安全管理， 保護(hù)用戶合法權(quán)益，維護(hù)郵政通信與信息安全，促進(jìn)郵政行業(yè)健 康發(fā)展，根據(jù)中華人民共和國郵政法、郵政行業(yè)安全監(jiān)督管理辦法及相關(guān)的法律法規(guī)和規(guī)定，制定本規(guī)定。第二條 在中華人民共和國境內(nèi)經(jīng)營和使用寄遞服務(wù)涉及用戶個(gè)人信息安全的活動(dòng)以及與之相關(guān)的監(jiān)督管理工作，適用本規(guī) 定。第二條本規(guī)定所稱寄遞服務(wù)用戶個(gè)人信息（以下簡稱寄遞用戶信息），是指用戶在使用寄遞服務(wù)過程中的個(gè)人信息，包括寄（收）件人的姓名、地址、身份證件號(hào)碼、電話號(hào)碼、單位名稱， 以及寄遞單號(hào)、時(shí)間、物品明細(xì)等內(nèi)容。第四條寄遞用戶信息安

2、全監(jiān)督管理堅(jiān)持安全第一、預(yù)防為主、綜合治理的方針，保障用戶個(gè)人信息安全，保護(hù)公民合法權(quán)、人益。第五條 國務(wù)院郵政管理部門負(fù)責(zé)全國郵政行業(yè)寄遞用戶信息安全監(jiān)督管理工作。省、自治區(qū)、直轄市郵政管理機(jī)構(gòu)負(fù)責(zé)本行政區(qū)域內(nèi)的郵政行業(yè)寄遞用戶信息安全監(jiān)督管理工作按照國務(wù)院規(guī)定設(shè)立的省級(jí)以下郵政管理機(jī)構(gòu)負(fù)責(zé)本轄區(qū)的 郵政行業(yè)寄遞用戶信息安全監(jiān)督管理工作。國務(wù)院郵政管理部門和省、自治區(qū)、直轄市郵政管理機(jī)構(gòu)以 及省級(jí)以下郵政管理機(jī)構(gòu)，統(tǒng)稱為郵政管理部門。第六條 郵政管理部門應(yīng)當(dāng)與有關(guān)部門相互配合，健全寄遞 用戶信息安全保障機(jī)制，維護(hù)寄遞用戶信息安全。第七條 郵政企業(yè)、快遞企業(yè)及其從業(yè)人員應(yīng)當(dāng)遵守國家有 關(guān)信息安

3、全管理的規(guī)定及本規(guī)定，對(duì)寄遞用戶信息的安全負(fù)責(zé)。第二章一般規(guī)定第八條 郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)建立健全寄遞用戶信息安 全保障制度和措施，確定各部門、崗位的安全責(zé)任，加強(qiáng)安全責(zé) 任考核。第九條 加盟制快遞企業(yè)應(yīng)當(dāng)在加盟協(xié)議中設(shè)立寄遞用戶信 息安全保障條款，明確被加盟人與加盟人的安全責(zé)任關(guān)系。對(duì)于 加盟人出現(xiàn)的信息安全事故，被加盟人應(yīng)承擔(dān)相應(yīng)的安全管理責(zé) 任。第十條 郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)與從業(yè)人員簽訂寄遞用戶 信息保密協(xié)議，明確保密義務(wù)。第十一條 郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)組織從業(yè)人員進(jìn)行寄遞 用戶信息安全保護(hù)相關(guān)知識(shí)、技能的培訓(xùn)，加強(qiáng)職業(yè)道德教育， 不斷提高從業(yè)人員的法制觀念和責(zé)任意識(shí)。第十二條 郵

4、政企業(yè)、快遞企業(yè)應(yīng)當(dāng)建立寄遞用戶信息安全 投訴處理機(jī)制，公布有效的聯(lián)系方式，接受并及時(shí)處理有關(guān)投訴。第十三條 郵政企業(yè)、快遞企業(yè)接受網(wǎng)絡(luò)購物、電視購物和 郵購等經(jīng)營者委托提供寄遞服務(wù)的，在與委托方簽訂協(xié)議時(shí)，應(yīng) 當(dāng)約定寄遞用戶信息安全保障條款，明確信息使用范圍、使用方 式、信息交換使用的安全保護(hù)措施、信息泄露責(zé)任劃分等內(nèi)容。第十四條 郵政企業(yè)、快遞企業(yè)委托第三方錄入寄遞用戶信 息的，應(yīng)當(dāng)確認(rèn)其具有信息安全保障能力，并簽訂信息安全保障 協(xié)議條款，明確企業(yè)與第三方的安全責(zé)任。對(duì)于第三方出現(xiàn)的信 息安全事故，郵政企業(yè)、快遞企業(yè)應(yīng)承擔(dān)相應(yīng)責(zé)任。第十五條 未經(jīng)法律明確授權(quán)或者用戶書面同意，郵政企業(yè)、快遞

5、企業(yè)及其從業(yè)人員不得將其掌握的寄遞用戶信息提供給任何 組織或者個(gè)人。第十六條 國家安全機(jī)關(guān)、公安機(jī)關(guān)、檢察機(jī)關(guān)的工作人員 依據(jù)法律規(guī)定調(diào)閱、檢查郵件（快件）實(shí)物及電子信息檔案，必 須憑被調(diào)閱企業(yè)所在地的縣級(jí)以上（含縣級(jí)）國家安全機(jī)關(guān)、公 安機(jī)關(guān)、檢察機(jī)關(guān)出具的書面證明辦理相關(guān)調(diào)閱和交接手續(xù)，實(shí) 施調(diào)閱、檢查時(shí)，應(yīng)當(dāng)出示工作證件。郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng) 配合，并對(duì)有關(guān)情況予以保密。第十七條 郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)建立寄遞用戶信息安全 應(yīng)急處置機(jī)制。對(duì)于突發(fā)的寄遞用戶信息安全事故，應(yīng)立即采取補(bǔ)救措施，按照規(guī)定報(bào)告郵政管理部門，不得遲報(bào)、漏報(bào)、瞞報(bào)， 并配合郵政管理部門和相關(guān)部門對(duì)案件進(jìn)行調(diào)查處理。

6、第三章寄遞詳情單實(shí)物信息安全管理第十八條 郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)寄遞詳情單的管 理，對(duì)發(fā)放空白單情況進(jìn)行登記，對(duì)號(hào)段進(jìn)行全程跟蹤，形成跟 蹤記錄。第十九條 郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)營業(yè)場所、處理 場所的管理，對(duì)用戶服務(wù)區(qū)域與郵件（快件）處理、存放場地進(jìn) 行物理隔離。嚴(yán)禁無關(guān)人員進(jìn)出郵件（快件）處理、存放場地， 嚴(yán)禁無關(guān)人員接觸、翻閱郵件（快件），防止實(shí)物信息在處理過程 中被竊取、泄露。第二十條 郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)優(yōu)化寄遞處理流程，減 少接觸實(shí)物信息的處理環(huán)節(jié)和操作人員。第二十一條 鼓勵(lì)郵政企業(yè)、快遞企業(yè)采用技術(shù)手段，防止 信息在寄遞過程中被竊取、泄露。第二十二條郵政企業(yè)、快遞企業(yè)

7、應(yīng)當(dāng)配備符合國家標(biāo)準(zhǔn)的安全監(jiān)控設(shè)備，安排具備專門技術(shù)和技能的人員，對(duì)收寄、分揀、 運(yùn)輸、投遞等環(huán)節(jié)的實(shí)物信息處理進(jìn)行安全監(jiān)控。第二十三條郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)建立健全寄遞詳情單實(shí)物檔案管理制度，實(shí)行集中管理，確定集中存放地，及時(shí)回收寄遞詳情單妥善保管。設(shè)立、變更集中存放地時(shí)應(yīng)當(dāng)告知所在地 郵政管理部門。第二十四條 郵政企業(yè)、快遞企業(yè)在實(shí)物檔案集中存放地應(yīng) 當(dāng)設(shè)立專用檔案室，設(shè)專人管理。采取必要的安全存儲(chǔ)措施，做 好防災(zāi)、防盜、防泄露工作，確保實(shí)物檔案安全。第二十五條 郵政企業(yè)、快遞企業(yè)的業(yè)務(wù)部門因工作需要查 閱檔案時(shí)，應(yīng)經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)。查閱人員應(yīng)當(dāng)保持檔案完整無損， 不得私自攜帶出室，并做好查

8、閱記錄。第二十六條 寄遞詳情單實(shí)物檔案應(yīng)當(dāng)滿足國家相關(guān)標(biāo)準(zhǔn)規(guī) 定的保存期限。保存期滿后，由企業(yè)監(jiān)督進(jìn)行集中銷毀，并做好 銷毀記錄，嚴(yán)禁丟棄或販賣。第二十七條 郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)對(duì)寄遞詳情單實(shí)物安 全保障情況進(jìn)行定期自查，記錄自查情況，及時(shí)消除自查中發(fā)現(xiàn) 的信息安全問題。第四章 寄遞詳情單電子信息安全管理第二十八條 郵政企業(yè)、快遞企業(yè)應(yīng)按照國家、行業(yè)相關(guān)規(guī) 定，加強(qiáng)寄遞服務(wù)用戶信息相關(guān)系統(tǒng)和網(wǎng)絡(luò)設(shè)施的信息安全管理。第二十九條 郵政企業(yè)、快遞企業(yè)信息系統(tǒng)應(yīng)當(dāng)建立符合國 家信息安全要求的、合理的網(wǎng)絡(luò)架構(gòu)，劃分安全區(qū)域，各安全區(qū) 域之間應(yīng)當(dāng)進(jìn)行有效隔離，并具有防范、監(jiān)控和阻斷來自內(nèi)外部 網(wǎng)絡(luò)攻擊破

9、壞的能力。5 -第三十條 郵政企業(yè)、快遞企業(yè)應(yīng)配置必要的防病毒軟硬件， 確保信息系統(tǒng)和網(wǎng)絡(luò)具有防范木馬等各類病毒的能力，防止惡意 代碼破壞信息系統(tǒng)和網(wǎng)絡(luò)，避免信息泄露或者被篡改。第三一條 郵政企業(yè)、快遞企業(yè)構(gòu)建信息系統(tǒng)和網(wǎng)絡(luò)，應(yīng) 避免使用信息系統(tǒng)和網(wǎng)絡(luò)供應(yīng)商提供的默認(rèn)密碼、安全參數(shù)，對(duì) 通過開放公共網(wǎng)絡(luò)傳輸?shù)募倪f用戶信息設(shè)置加密措施，嚴(yán)格審查 并監(jiān)控對(duì)信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程訪問。第三十二條 郵政企業(yè)、快遞企業(yè)在采購軟硬件產(chǎn)品或者技 術(shù)服務(wù)時(shí)，應(yīng)當(dāng)與供應(yīng)商簽訂保密協(xié)議，明確其安全責(zé)任及發(fā)生 信息安全事件時(shí)配合郵政管理部門和相關(guān)部門調(diào)查工作的義務(wù)。第三十三條 郵政企業(yè)、快遞企業(yè)應(yīng)加強(qiáng)信息系統(tǒng)及網(wǎng)

10、絡(luò)的 權(quán)限管理，應(yīng)基于權(quán)限最小化原則和權(quán)限分離原則，對(duì)從業(yè)人員 分配滿足工作需要的最小操作權(quán)限和可訪問的最小信息范圍。郵政企業(yè)、快遞企業(yè)應(yīng)加強(qiáng)對(duì)系統(tǒng)管理員、數(shù)據(jù)庫管理員、 網(wǎng)絡(luò)管理員的權(quán)限限制，使其有且僅有進(jìn)行系統(tǒng)、數(shù)據(jù)庫、信息 網(wǎng)絡(luò)運(yùn)行維護(hù)和優(yōu)化的權(quán)限，其所有管理維護(hù)操作應(yīng)得到安全管 理員的授權(quán)，并受到安全審計(jì)員的監(jiān)控和審計(jì)。第三十四條 郵政企業(yè)、快遞企業(yè)應(yīng)加強(qiáng)相關(guān)系統(tǒng)密碼管理， 使用高安全級(jí)別密碼策略，強(qiáng)制定期更換密碼，禁止將密碼轉(zhuǎn)告 他人。第三十五條 郵政企業(yè)、快遞企業(yè)應(yīng)加強(qiáng)寄遞用戶電子信息 的存儲(chǔ)安全管理，包括：（一）使用獨(dú)立物理區(qū)域存儲(chǔ)寄遞用戶信息，禁止非授權(quán)人 員進(jìn)出該區(qū)域；（二）

11、米用加密方式存儲(chǔ)寄遞用戶信息；（三）確保安全使用、保存和處置存有寄遞用戶信息的計(jì)算機(jī)、移動(dòng)設(shè)備和移動(dòng)介質(zhì)（包括磁帶、磁盤、筆記本電腦、設(shè)備 USB 口、可寫光驅(qū)等輸入輸出介質(zhì)等）。明確管理數(shù)據(jù)存儲(chǔ)設(shè)備、 介質(zhì)的負(fù)責(zé)人，建立設(shè)備、介質(zhì)使用和借用登記，限制USB 口、可寫光驅(qū)、無線接口等設(shè)備輸出接口的使用。及時(shí)刪除銷毀報(bào)廢 設(shè)備和存儲(chǔ)介質(zhì)中的寄遞用戶信息數(shù)據(jù)。第三十六條 郵政企業(yè)、快遞企業(yè)應(yīng)加強(qiáng)寄遞用戶信息的應(yīng) 用安全管理，對(duì)所有批量導(dǎo)出、復(fù)制、銷毀用戶個(gè)人信息的操作 進(jìn)行審查，并采取防泄密措施，同時(shí)記錄進(jìn)行操作的人員、時(shí)間、 地點(diǎn)、事項(xiàng)，作為以后進(jìn)行信息安全審計(jì)的依據(jù)。第三十七條 郵政企業(yè)、快遞

12、企業(yè)應(yīng)加強(qiáng)信息系統(tǒng)賬戶管理， 應(yīng)在從業(yè)人員離職時(shí)對(duì)其進(jìn)行信息安全審計(jì)，及時(shí)禁用相關(guān)系統(tǒng) 賬戶。第三十八條 郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)制定本企業(yè)與市場相 關(guān)主體的信息系統(tǒng)安全互聯(lián)技術(shù)規(guī)則，對(duì)存儲(chǔ)寄遞服務(wù)信息的信 息系統(tǒng)實(shí)行接入審查，并定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。第三十九條 郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)安全內(nèi) 部審計(jì)制度，定期開展內(nèi)部審計(jì)，對(duì)發(fā)現(xiàn)的問題及時(shí)整改。7 -第五章監(jiān)督管理第四十條 郵政管理部門依法履行下列職責(zé)：（一）制定保障寄遞用戶信息安全的政策、制度和相關(guān)標(biāo)準(zhǔn)， 并監(jiān)督實(shí)施；（二）指導(dǎo)與監(jiān)督郵政企業(yè)、快遞企業(yè)落實(shí)信息安全責(zé)任制， 督促企業(yè)加強(qiáng)內(nèi)部信息安全管理；（三）對(duì)寄遞用戶信息安全進(jìn)行監(jiān)

13、測、預(yù)警和應(yīng)急管理；（四）指導(dǎo)與監(jiān)督郵政企業(yè)、快遞企業(yè)開展信息安全的宣傳 教育和培訓(xùn)；（五）依法對(duì)郵政企業(yè)、快遞企業(yè)實(shí)施信息安全監(jiān)督檢查；（六）組織調(diào)查或者參與調(diào)查寄遞用戶信息安全事故，查處 違反寄遞用戶信息安全監(jiān)管規(guī)定的行為；（七）法律、法規(guī)、規(guī)章規(guī)定的其他職責(zé)。第四十一條 郵政管理部門應(yīng)當(dāng)加強(qiáng)郵政行業(yè)寄遞用戶信息 安全管理制度和安全知識(shí)的宣傳，提高從業(yè)人員的信息安全意識(shí)，增強(qiáng)公眾對(duì)個(gè)人信息保護(hù)的安全意識(shí)。第四十二條 由E政管理部門應(yīng)當(dāng)加強(qiáng)郵政行業(yè)寄遞用戶信息 安全運(yùn)行的監(jiān)測預(yù)警，建立信息管理體系，收集、分析與信息安 全有關(guān)的各類信息。省級(jí)郵政管理部門和省級(jí)以下郵政管理機(jī)構(gòu)應(yīng)當(dāng)及時(shí)向上一 級(jí)

14、郵政管理部門報(bào)告郵政行業(yè)寄遞用戶信息安全情況，并定期通報(bào)相關(guān)的工業(yè)和信息化、通信管理、公安、國家安全、商務(wù)和工 商行政管理等部門。第四十三條 郵政管理部門應(yīng)當(dāng)對(duì)郵政企業(yè)、快遞企業(yè)建立 健全和遵守信息安全制度以及企業(yè)防范信息安全風(fēng)險(xiǎn)、規(guī)范從業(yè) 人員信息安全行為等情況進(jìn)行檢查。第四十四條 郵政管理部門發(fā)現(xiàn)郵政企業(yè)、快遞企業(yè)存在違 反寄遞用戶信息安全管理規(guī)定，妨害或者可能妨害寄遞用戶信息 安全的，應(yīng)當(dāng)對(duì)其調(diào)查。違法行為涉及其他部門的管理職權(quán)的， 郵政管理部門應(yīng)當(dāng)會(huì)同有關(guān)部門，共同對(duì)郵政企業(yè)、快遞企業(yè)進(jìn) 行調(diào)查。第四十五條 郵政管理部門應(yīng)當(dāng)加強(qiáng)對(duì)郵政企業(yè)、快遞企業(yè) 及其從業(yè)人員遵守本規(guī)定情況的監(jiān)督檢查

15、。第四十六條 郵政企業(yè)、快遞企業(yè)拒不配合寄遞用戶信息安 全監(jiān)督檢查的，依據(jù)中華人民共和國郵政法第七十七條的規(guī) 定予以處罰。第四十七條 郵政企業(yè)、快遞企業(yè)及其從業(yè)人員因泄露寄遞 用戶信息對(duì)用戶造成損失的，應(yīng)當(dāng)依法予以賠償。屬于從業(yè)人員違法泄露寄遞用戶信息造成損失的，郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)依法進(jìn)行賠償，并向從業(yè)人員追責(zé)。第四十八條 郵政企業(yè)、快遞企業(yè)及其從業(yè)人員違法提供寄 遞用戶信息，尚未構(gòu)成犯罪的，依照中華人民共和國郵政法 第七十六條規(guī)定予以處罰。郵政企業(yè)、快遞企業(yè)逾期不履行郵政9 -管理部門處罰決定的，由郵政管理部門依法申請人民法院強(qiáng)制執(zhí) 行。構(gòu)成犯罪的，移送司法機(jī)關(guān)追究刑事責(zé)任。第四十九條 任何單位和個(gè)人有權(quán)向郵政管理部門舉報(bào)違反 本規(guī)定的行為。郵政管理部門接到舉報(bào)后，應(yīng)當(dāng)依法及時(shí)處理。第五十條 郵政管理部門可以在行業(yè)內(nèi)通報(bào)郵政企業(yè)、快遞 企業(yè)違反寄