電信和互聯網用户個人信息保護規定

第24號

《電信和互聯網用户個人信息保護規定》已經2013年6月28日中華人民共和國工業和信息化部第2次部務會議審議通過，現予公佈，自2013年9月1日起施行。 ^[1] 

部長 苗圩

2013年7月16日

《電信和互聯網用户個人信息保護規定》

第一條 為了保護電信和互聯網用户的合法權益，維護網絡信息安全，根據《全國人民代表大會常務委員會關於加強網絡信息保護的決定》、《中華人民共和國電信條例》和《互聯網信息服務管理辦法》等法律、行政法規，制定本規定。

第二條 在中華人民共和國境內提供電信服務和互聯網信息服務過程中收集、使用用户個人信息的活動，適用本規定。

第三條 工業和信息化部和各省、自治區、直轄市通信管理局（以下統稱電信管理機構）依法對電信和互聯網用户個人信息保護工作實施監督管理。

第四條 本規定所稱用户個人信息，是指電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用户姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用户的信息以及用户使用服務的時間、地點等信息。

第五條 電信業務經營者、互聯網信息服務提供者在提供服務的過程中收集、使用用户個人信息，應當遵循合法、正當、必要的原則。

第六條 電信業務經營者、互聯網信息服務提供者對其在提供服務過程中收集、使用的用户個人信息的安全負責。

第七條 國家鼓勵電信和互聯網行業開展用户個人信息保護自律工作。 ^[1] 

第八條 電信業務經營者、互聯網信息服務提供者應當制定用户個人信息收集、使用規則，並在其經營或者服務場所、網站等予以公佈。

第九條 未經用户同意，電信業務經營者、互聯網信息服務提供者不得收集、使用用户個人信息。

電信業務經營者、互聯網信息服務提供者收集、使用用户個人信息的，應當明確告知用户收集、使用信息的目的、方式和範圍，查詢、更正信息的渠道以及拒絕提供信息的後果等事項。

電信業務經營者、互聯網信息服務提供者不得收集其提供服務所必需以外的用户個人信息或者將信息用於提供服務之外的目的，不得以欺騙、誤導或者強迫等方式或者違反法律、行政法規以及雙方的約定收集、使用信息。

電信業務經營者、互聯網信息服務提供者在用户終止使用電信服務或者互聯網信息服務後，應當停止對用户個人信息的收集和使用，併為用户提供註銷號碼或者賬號的服務。

法律、行政法規對本條第一款至第四款規定的情形另有規定的，從其規定。

第十條 電信業務經營者、互聯網信息服務提供者及其工作人員對在提供服務過程中收集、使用的用户個人信息應當嚴格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。

第十一條 電信業務經營者、互聯網信息服務提供者委託他人代理市場銷售和技術服務等直接面向用户的服務性工作，涉及收集、使用用户個人信息的，應當對代理人的用户個人信息保護工作進行監督和管理，不得委託不符合本規定有關用户個人信息保護要求的代理人代辦相關服務。

第十二條 電信業務經營者、互聯網信息服務提供者應當建立用户投訴處理機制，公佈有效的聯繫方式，接受與用户個人信息保護有關的投訴，並自接到投訴之日起十五日內答覆投訴人。 ^[1] 

第十三條 電信業務經營者、互聯網信息服務提供者應當採取以下措施防止用户個人信息泄露、毀損、篡改或者丟失：

（一）確定各部門、崗位和分支機構的用户個人信息安全管理責任；

（二）建立用户個人信息收集、使用及其相關活動的工作流程和安全管理制度；

（三）對工作人員及代理人實行權限管理，對批量導出、複製、銷燬信息實行審查，並採取防泄密措施；

（四）妥善保管記錄用户個人信息的紙介質、光介質、電磁介質等載體，並採取相應的安全儲存措施；

（五）對儲存用户個人信息的信息系統實行接入審查，並採取防入侵、防病毒等措施；

（六）記錄對用户個人信息進行操作的人員、時間、地點、事項等信息；

（七）按照電信管理機構的規定開展通信網絡安全防護工作；

（八）電信管理機構規定的其他必要措施。

第十四條 電信業務經營者、互聯網信息服務提供者保管的用户個人信息發生或者可能發生泄露、毀損、丟失的，應當立即採取補救措施；造成或者可能造成嚴重後果的，應當立即向准予其許可或者備案的電信管理機構報告，配合相關部門進行的調查處理。

電信管理機構應當對報告或者發現的可能違反本規定的行為的影響進行評估；影響特別重大的，相關省、自治區、直轄市通信管理局應當向工業和信息化部報告。電信管理機構在依據本規定作出處理決定前，可以要求電信業務經營者和互聯網信息服務提供者暫停有關行為，電信業務經營者和互聯網信息服務提供者應當執行。

第十五條 電信業務經營者、互聯網信息服務提供者應當對其工作人員進行用户個人信息保護相關知識、技能和安全責任培訓。

第十六條 電信業務經營者、互聯網信息服務提供者應當對用户個人信息保護情況每年至少進行一次自查，記錄自查情況，及時消除自查中發現的安全隱患。 ^[1] 

第十七條 電信管理機構應當對電信業務經營者、互聯網信息服務提供者保護用户個人信息的情況實施監督檢查。

電信管理機構實施監督檢查時，可以要求電信業務經營者、互聯網信息服務提供者提供相關材料，進入其生產經營場所調查情況，電信業務經營者、互聯網信息服務提供者應當予以配合。

電信管理機構實施監督檢查，應當記錄監督檢查的情況，不得妨礙電信業務經營者、互聯網信息服務提供者正常的經營或者服務活動，不得收取任何費用。

第十八條 電信管理機構及其工作人員對在履行職責中知悉的用户個人信息應當予以保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。

第十九條 電信管理機構實施電信業務經營許可及經營許可證年檢時，應當對用户個人信息保護情況進行審查。

第二十條 電信管理機構應當將電信業務經營者、互聯網信息服務提供者違反本規定的行為記入其社會信用檔案並予以公佈。

第二十一條 鼓勵電信和互聯網行業協會依法制定有關用户個人信息保護的自律性管理制度，引導會員加強自律管理，提高用户個人信息保護水平。 ^[1] 

第二十二條 電信業務經營者、互聯網信息服務提供者違反本規定第八條、第十二條規定的，由電信管理機構依據職權責令限期改正，予以警告，可以並處一萬元以下的罰款。

第二十三條 電信業務經營者、互聯網信息服務提供者違反本規定第九條至第十一條、第十三條至第十六條、第十七條第二款規定的，由電信管理機構依據職權責令限期改正，予以警告，可以並處一萬元以上三萬元以下的罰款，向社會公告；構成犯罪的，依法追究刑事責任。

第二十四條 電信管理機構工作人員在對用户個人信息保護工作實施監督管理的過程中翫忽職守、濫用職權、徇私舞弊的，依法給予處理；構成犯罪的，依法追究刑事責任。 ^[1] 

第二十五條 本規定自2013年9月1日起施行。 ^[1] 

2013年7月16日，工業和信息化部公佈了《電信和互聯網用户個人信息保護規定》（中華人民共和國工業和信息化部令第24號）。記者就《規定》採訪了工業和信息化部政法司巡視員李國斌，請他對《規定》進行了解讀。 ^[2] 

工業和信息化部出台了《電信和互聯網用户個人信息保護規定》，請問《規定》出台的意義是什麼？

李國斌：近年來，我國電信和互聯網行業快速發展，新技術、新應用層出不窮，對促進經濟社會發展起到了積極的作用。與此同時，用户個人信息的泄露風險和保護難度不斷增大，加強用户個人信息保護立法成為社會廣泛關注的問題。

出台《規定》，可以進一步完善電信和互聯網行業個人信息保護制度。目前，部分電信業務經營者、互聯網信息服務提供者對用户個人信息安全重視不夠，安全防護措施不完善，管理制度不健全，信息安全責任落實不到位，需要進一步完善用户個人信息保護法律制度，規範電信服務、互聯網信息服務過程中收集、使用用户個人信息的活動。

出台《規定》，也是貫徹落實全國人大常委會《關於加強網絡信息保護的決定》（以下簡稱《決定》）的需要。貫徹執行好《決定》有關收集、使用個人信息的制度，需要出台相關配套規定。制定《規定》，進一步明確電信業務經營者、互聯網信息服務提供者收集、使用用户個人信息的規則和信息安全保障措施等，是落實全國人大常委會《決定》規定的制度和措施，切實保護用户合法權益的要求。

您能否介紹一下《規定》的制定過程？

李國斌：2012年5月，工業和信息化部啓動了《規定》立法研究和起草工作。在起草過程中，我們赴吉林、廣東、四川等地進行了調研，多次書面徵求了部機關相關司局、各省（區、市）通信管理局、基礎電信企業和互聯網企業對《規定（徵求意見稿）》的意見，組織召開了省級通信管理局、基礎電信企業和互聯網企業參加的立法座談會，並通過國務院法制辦的“中國政府法制信息網”和我部門户網站向社會公開徵求了意見。經徵求意見，社會各方面對制定《規定》給予了積極的肯定，沒有原則性的不同意見。在充分聽取各方面意見並進一步完善有關制度的基礎上，我們形成了《規定（草案）》。

2013年6月28日，我部第2次部務會議審議通過了《規定》。7月16日，工業和信息化部第24號令公佈了《規定》。《規定》將於9月1日生效。

您能否介紹一下《規定》關於用户個人信息保護管理工作的定位？

李國斌：全國人大常委會《決定》對“公民個人電子信息”做了界定，並明確了信息收集、使用的原則和相關規則。

目前，各行業普遍存在收集、使用個人信息的情況，相應的信息保護工作也涉及到眾多的部門，我部並不負責管理所有的個人信息。《規定》依據《決定》的有關規定，立足我部電信和互聯網行業管理職責，以“概括加列舉”的方式規定了由我部負責監督管理的用户個人信息的範圍，即：電信業務經營者、互聯網信息服務提供者在提供服務的過程中收集的能夠識別用户的信息以及用户使用服務的信息，包括用户姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用户的信息以及用户使用服務的時間、地點等信息。

您能否介紹一下《規定》的主要內容？

李國斌：《規定》共六章、二十五條，主要規定了如下內容：

（一）電信和互聯網用户個人信息的保護範圍。《規定》依據全國人大常委會《決定》的有關規定，明確要求保護“電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用户姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用户的信息以及用户使用服務的時間、地點等信息”。

（二）用户個人信息收集和使用原則。《規定》根據全國人大常委會《決定》的規定，要求電信業務經營者、互聯網信息服務提供者收集、使用用户個人信息應當遵循合法、正當、必要的原則，並對用户個人信息的安全負責。

（三）用户個人信息收集和使用規則。《規定》要求電信業務經營者、互聯網信息服務提供者遵守下列信息收集和使用規則：制定並公佈其信息收集和使用的規則；未經用户同意不得收集、使用用户個人信息；明確告知用户其收集、使用信息的目的、方式和範圍等事項；不得收集提供服務所必需以外的用户個人信息；在用户終止使用服務後應當停止對用户個人信息的收集和使用，並提供註銷號碼或賬號的服務；不得泄露、篡改、毀損、出售或者非法向他人提供用户個人信息等。

（四）代理商管理。《規定》按照“誰經營、誰負責”、“誰委託、誰負責”的原則，根據民法上的委託代理制度，明確規定由電信業務經營者、互聯網信息服務提供者負責對其代理商的個人信息保護工作實施管理。《規定》要求：電信業務經營者、互聯網信息服務提供者委託他人代理市場銷售和技術服務等直接面向用户的服務性工作，涉及收集、使用用户個人信息的，應當對代理人的用户個人信息保護工作進行監督和管理，不得委託不符合《規定》有關用户個人信息保護要求的代理人代辦相關服務。

（五）安全保障制度。《規定》從崗位責任、管理制度、權限管理、存儲介質、信息系統、操作記錄、安全防護等方面，明確了電信業務經營者、互聯網信息服務提供者應當採取的防止用户個人信息泄露、毀損、篡改或者丟失的措施。與此同時，《規定》對用户個人信息保護情況自查和培訓等制度作了相應的規定。

（六）監督檢查制度。《規定》要求電信管理機構對用户個人信息保護情況實施監督檢查，電信業務經營者、互聯網信息服務提供者應當予以配合。《規定》還明確規定電信管理機構在電信業務經營許可和年檢中應當審查用户個人信息保護的情況，將電信業務經營者、互聯網信息服務提供者違反《規定》的行為記入其社會信用檔案。

有人認為，《規定》的處罰力度有限。《規定》在制度設計方面如何解決處罰力度過低的問題的？

李國斌：誠如您所言，在徵求意見過程中，確實有意見認為《規定》設定的罰款數額過低，處罰力度過小，不利於懲處和預防侵害用户個人信息的違法行為，建議加大處罰力度。根據《行政處罰法》和國務院的有關規定，部門規章只能設定警告和最高額為三萬元的罰款。《規定》遵循了上述規定，對相關違法行為設定了警告和三萬元以下的罰款處罰。與此同時，為有效預防和打擊相關違法行為，我們還積極創新管理方式，在法律規定的幅度內設定相關處罰的同時，設立了制止違法行為危害擴大的“叫停”制度、“向社會公告”行政處罰的制度和將違法行為“記入社會信用檔案”的制度。我們認為，綜合運用上述管理制度和處罰措施，能夠有效地遏制侵害用户個人信息的違法行為。 ^[2]