寄遞服務用戶個人信息安全管理規定

來源：中華人民共和國(guó)郵政局網站
第一章　總　則

　　第一條　爲加強郵政行業寄遞服務用戶個人信息安全管理，保護用戶合法權益，維護郵政通信與信息安全，促進(jìn)郵政行業健康發(fā)展，根據《中華人民共和國(guó)郵政法》、《全國(guó)人大常委會(huì)關于加強網絡信息保護的規定》、《郵政行業安全監督管理辦法》等法律、行政法規和有關規定，制定本規定。

　　第二條　在中華人民共和國(guó)境内經(jīng)營和使用寄遞服務涉及用戶個人信息安全的活動以及相關監督管理工作，适用本規定。

　　第三條　本規定所稱寄遞服務用戶個人信息（以下簡稱寄遞用戶信息），是指用戶在使用寄遞服務過(guò)程中的個人信息，包括寄（收）件人的姓名、地址、身份證件号碼、電話号碼、單位名稱，以及寄遞詳情單号、時(shí)間、物品明細等内容。

　　第四條　寄遞用戶信息安全監督管理堅持安全第一、預防爲主、綜合治理的方針，保障用戶個人信息安全。

　　第五條　國(guó)務院郵政管理部門負責全國(guó)郵政行業寄遞用戶信息安全監督管理工作。

　　省、自治區、直轄市郵政管理機構負責本行政區域内的郵政行業寄遞用戶信息安全監督管理工作。

　　按照國(guó)務院規定設立的省級以下郵政管理機構負責本轄區的郵政行業寄遞用戶信息安全監督管理工作。

　　國(guó)務院郵政管理部門和省、自治區、直轄市郵政管理機構以及省級以下郵政管理機構，統稱爲郵政管理部門。

　　第六條　郵政管理部門應當與有關部門相互配合，健全寄遞用戶信息安全保障機制，維護寄遞用戶信息安全。

　　第七條　郵政企業、快遞企業及其從業人員應當遵守國(guó)家有關信息安全管理的規定及本規定，防止寄遞用戶信息洩露、丢失。

　　第二章　一般規定

　　第八條　郵政企業、快遞企業應當建立健全寄遞用戶信息安全保障制度和措施，明确企業内部各部門、崗位的安全責任，加強寄遞用戶信息安全管理和安全責任考核。

　　第九條　以加盟方式經(jīng)營快遞業務企業應當在加盟協議中訂立寄遞用戶信息安全保障條款，明确被加盟人與加盟人的安全責任。加盟人發(fā)生信息安全事(shì)故時(shí)，被加盟人應當依法承擔相應安全管理責任。

　　第十條　郵政企業、快遞企業應當與其從業人員簽訂寄遞用戶信息保密協議，明确保密義務和違約責任。

　　第十一條　郵政企業、快遞企業應當組織從業人員進(jìn)行寄遞用戶信息安全保護相關知識、技能(néng)培訓，加強職業道(dào)德教育，不斷提高從業人員的法制觀念和責任意識。

　　第十二條　郵政企業、快遞企業應當建立寄遞用戶信息安全投訴處理機制，公布有效聯系方式，接受并及時(shí)處理有關投訴。

　　第十三條　郵政企業、快遞企業受網絡購物、電視購物和郵購等經(jīng)營者委托提供寄遞服務的，在與委托方簽訂協議時(shí)，應當訂立寄遞用戶信息安全保障條款，明确信息使用範圍和方式、信息交換安全保護措施、信息洩露責任劃分等内容。

　　第十四條　郵政企業、快遞企業委托第三方錄入寄遞用戶信息的，應當确認其具有信息安全保障能(néng)力，并訂立信息安全保障條款，明确責任劃分。第三方發(fā)生信息安全事(shì)故導緻寄遞用戶信息洩露、丢失的，郵政企業、快遞企業應當依法承擔相應責任。

　　第十五條　未經(jīng)法律明确授權或者用戶書面(miàn)同意，郵政企業、快遞企業及其從業人員不得將(jiāng)其掌握的寄遞用戶信息提供給任何單位或者個人。

　　第十六條　公安機關、國(guó)家安全機關或者檢察機關的工作人員依照法律規定程序調閱、檢查寄遞詳情單實物及電子信息檔案，郵政企業、快遞企業應當配合，并對(duì)有關情況予以保密。

　　第十七條　郵政企業、快遞企業應當建立寄遞用戶信息安全應急處置機制。對(duì)于突發(fā)的寄遞用戶信息安全事(shì)故，應當立即采取補救措施，按照規定報告郵政管理部門，并配合郵政管理部門和相關部門的調查處理工作，不得遲報、漏報、謊報、瞞報。

　　第三章　寄遞詳情單實物信息安全管理

　　第十八條　郵政企業、快遞企業應當加強寄遞詳情單管理，對(duì)空白寄遞詳情單發(fā)放情況進(jìn)行登記，對(duì)号段進(jìn)行全程跟蹤，形成(chéng)跟蹤記錄。

　　第十九條　郵政企業、快遞企業應當加強營業場所、處理場所管理，嚴禁無關人員進(jìn)出郵件（快件）處理、存放場地，嚴禁無關人員接觸、翻閱郵件（快件），防止寄遞詳情單實物信息（以下簡稱實物信息）在處理過(guò)程中洩露。

　　第二十條　郵政企業、快遞企業應當優化寄遞處理流程，減少接觸實物信息的處理環節和操作人員。

　　第二十一條　郵政企業、快遞企業應當采用有效技術手段，防止實物信息在寄遞過(guò)程中洩露。

　　第二十二條　郵政企業、快遞企業應當配備符合國(guó)家标準的安全監控設備，安排具有專門技術和技能(néng)的人員，對(duì)收寄、分揀、運輸、投遞等環節的實物信息處理進(jìn)行安全監控。

　　第二十三條　郵政企業、快遞企業應當建立健全寄遞詳情單實物檔案管理制度，實行集中封閉管理，确定集中存放地，及時(shí)回收寄遞詳情單妥善保管。設立、變更集中存放地，應當及時(shí)報告所在地郵政管理部門。

　　第二十四條　郵政企業、快遞企業應當對(duì)寄遞詳情單實物檔案集中存放地設專人管理，采取必要的安全防護措施，确保存儲安全。

　　第二十五條　郵政企業、快遞企業應當建立并嚴格執行寄遞詳情單實物檔案查詢管理制度。内部人員因工作需要查閱檔案時(shí)，應當确保檔案完整無損，并做好(hǎo)查閱登記，不得私自攜帶離開(kāi)存放地。

　　第二十六條　寄遞詳情單實物檔案應當按照國(guó)家相關标準規定的期限保存。保存期滿後(hòu)，由企業進(jìn)行集中銷毀，做好(hǎo)銷毀記錄，嚴禁丢棄或者販賣。

　　第二十七條　郵政企業、快遞企業應當對(duì)實物信息安全保障情況進(jìn)行定期自查，記錄自查情況，及時(shí)消除自查中發(fā)現的信息安全隐患。

　　第四章　寄遞詳情單電子信息安全管理

　　第二十八條　郵政企業、快遞企業應當按照國(guó)家規定，加強寄遞服務用戶信息相關信息系統和網絡設施的安全管理。

　　第二十九條　郵政企業、快遞企業信息系統的網絡架構應當符合國(guó)家信息安全管理規定，合理劃分安全區域，實現各安全區域之間有效隔離，并具有防範、監控和阻斷來自内部和外部網絡攻擊破壞的能(néng)力。

　　第三十條　郵政企業、快遞企業應當配備必要的防病毒軟件、硬件，确保信息系統和網絡具有防範計算機病毒的能(néng)力，防止惡意代碼破壞信息系統和網絡，避免信息洩露或者被篡改。

　　第三十一條　郵政企業、快遞企業構建信息系統和網絡，應當避免使用信息系統和網絡供應商提供的默認密碼、安全參數，并對(duì)通過(guò)開(kāi)放公共網絡傳輸的寄遞用戶信息采取加密措施，嚴格審查并監控對(duì)信息系統、網絡設備的遠程訪問。

　　第三十二條　郵政企業、快遞企業在采購計算機軟件、硬件産品或者技術服務時(shí)，應當與供應商簽訂保密協議，明确其安全責任，以及在發(fā)生信息安全事(shì)件時(shí)配合郵政管理部門和相關部門調查的義務。

　　第三十三條　郵政企業、快遞企業應當建立信息系統安全内部審計制度，定期開(kāi)展内部審計，對(duì)發(fā)現的問題及時(shí)整改。

　　第三十四條　郵政企業、快遞企業應當加強信息系統及網絡的權限管理，基于權限最小化和權限分離原則，向(xiàng)從業人員分配滿足工作需要的最小操作權限和可訪問的最小信息範圍。

　　郵政企業、快遞企業應當加強對(duì)信息系統和數據庫的管理，使網絡管理人員僅具有進(jìn)行信息系統、數據庫、網絡運行維護和優化的權限。網絡管理人員的維護操作須經(jīng)安全管理員授權，并受到安全審計員的監控和審計。

　　第三十五條　郵政企業、快遞企業應當加強信息系統密碼管理，使用高安全級别密碼策略，定期更換密碼，禁止將(jiāng)密碼透露給無關人員。

　　第三十六條　郵政企業、快遞企業應當加強寄遞用戶電子信息的存儲安全管理，包括：

　　（一）使用獨立物理區域存儲寄遞用戶信息，禁止非授權人員進(jìn)出該區域；

　　（二）采用加密方式存儲寄遞用戶信息；

　　（三）确保安全使用、保管和處置存有寄遞用戶信息的計算機、移動設備和移動存儲介質。明确管理數據存儲設備、介質的負責人，建立設備、介質使用和借用登記制度，限制設備輸出接口的使用。存儲設備和介質報廢的，應當及時(shí)删除其中的寄遞用戶信息數據，并銷毀硬件。

　　第三十七條　郵政企業、快遞企業應當加強寄遞用戶信息的應用安全管理，對(duì)所有批量導出、複制、銷毀用戶個人信息的操作進(jìn)行審查，并采取防洩密措施，同時(shí)記錄進(jìn)行操作的人員、時(shí)間、地點和事(shì)項，留作信息安全審計依據。

　　第三十八條　郵政企業、快遞企業應當加強對(duì)離崗人員的信息安全審計，及時(shí)删除或者禁用離崗人員系統賬戶。

　　第三十九條　郵政企業、快遞企業應當制定本企業與市場相關主體的信息系統安全互聯技術規則，對(duì)存儲寄遞服務信息的信息系統實行接入審查，定期進(jìn)行安全風險評估。

　　第五章　監督管理

　　第四十條　郵政管理部門依法履行下列職責：

　　（一）制定保障寄遞用戶信息安全的政策、制度和相關标準，并監督實施；

　　（二）監督、指導郵政企業、快遞企業落實信息安全責任制，督促企業加強寄遞用戶信息安全管理；

　　（三）對(duì)寄遞用戶信息安全進(jìn)行監測、預警和應急管理；

　　（四）監督、指導郵政企業、快遞企業開(kāi)展寄遞用戶信息安全宣傳教育和培訓；

　　（五）依法對(duì)郵政企業、快遞企業實施寄遞用戶信息安全監督檢查；

　　（六）組織調查或者參與調查寄遞用戶信息安全事(shì)故，依法查處違反寄遞用戶信息安全管理規定的行爲；

　　（七）法律、行政法規和規章規定的其他職責。

　　第四十一條　郵政管理部門應當加強郵政行業寄遞用戶信息安全管理制度和知識的宣傳，強化郵政企業、快遞企業及其從業人員的信息安全管理意識，提高用戶對(duì)個人信息安全保護的認識。

　　第四十二條　郵政管理部門應當加強郵政行業寄遞用戶信息安全運行的監測預警，建立信息管理體系，收集、分析與信息安全有關的各類信息。

　　下級郵政管理部門應當及時(shí)向(xiàng)上一級郵政管理部門報告郵政行業寄遞用戶信息安全情況，并根據需要通報工業和信息化、通信管理、公安、國(guó)家安全、商務和工商行政管理等相關部門。

　　第四十三條　郵政管理部門應當對(duì)郵政企業、快遞企業建立和執行寄遞用戶信息安全管理制度，規範從業人員信息安全保護行爲，防範信息安全風險等情況進(jìn)行檢查。

　　第四十四條　郵政管理部門發(fā)現郵政企業、快遞企業存在違反寄遞用戶信息安全管理規定，妨害或者可能(néng)妨害寄遞用戶信息安全的，應當依法進(jìn)行調查處理。違法行爲涉及其他部門管理職權的，郵政管理部門應當會(huì)同有關部門對(duì)涉案郵政企業、快遞企業進(jìn)行調查處理。

　　第四十五條　郵政管理部門應當加強對(duì)郵政企業、快遞企業及其從業人員遵守本規定情況的監督檢查。

　　第四十六條　郵政企業、快遞企業拒不配合寄遞用戶信息安全監督檢查的，依照《中華人民共和國(guó)郵政法》第七十七條的規定予以處罰。

　　第四十七條　郵政企業、快遞企業及其從業人員因洩露寄遞用戶信息對(duì)用戶造成(chéng)損失的，應當依法予以賠償。

　　第四十八條　郵政企業、快遞企業及其從業人員違法提供寄遞用戶信息，尚未構成(chéng)犯罪的，依照《中華人民共和國(guó)郵政法》第七十六條的規定予以處罰。構成(chéng)犯罪的，移送司法機關追究刑事(shì)責任。

　　第四十九條　任何單位和個人有權向(xiàng)郵政管理部門舉報違反本規定的行爲。郵政管理部門接到舉報後(hòu)，應當依法及時(shí)處理。

　　第五十條　郵政管理部門可以在行業内通報郵政企業、快遞企業違反寄遞用戶信息安全管理規定行爲、信息安全事(shì)件，以及對(duì)有關責任人員進(jìn)行處理的情況。必要時(shí)可以向(xiàng)社會(huì)公布上述信息，但涉及國(guó)家秘密、商業秘密和個人隐私的除外。

　　第五十一條　郵政管理部門及其工作人員對(duì)在履行職責過(guò)程中知悉的寄遞用戶信息應當保密，不得洩露、篡改或者損毀，不得出售或者非法向(xiàng)他人提供。

　　第五十二條　郵政管理部門工作人員在寄遞用戶信息安全監督管理工作中濫用職權、玩忽職守、徇私舞弊，依照《郵政行業安全監督管理辦法》第五十五條的規定予以處理。

　　第六章　附　則

　　第五十三條　本規定自發(fā)布之日起(qǐ)施行。