第一章總則

 

　　第一條為加強(qiáng)郵政行業(yè)寄遞服務(wù)用戶個人信息安全管理，保護(hù)用戶合法權(quán)益，維護(hù)郵政通信與信息安全,，促進(jìn)郵政行業(yè)健康發(fā)展，根據(jù)《中華人民共和國郵政法》,、《郵政行業(yè)安全監(jiān)督管理辦法》及相關(guān)的法律法規(guī)和規(guī)定，制定本規(guī)定,。

 

　　第二條在中華人民共和國境內(nèi)經(jīng)營和使用寄遞服務(wù)涉及用戶個人信息安全的活動以及與之相關(guān)的監(jiān)督管理工作，適用本規(guī)定,。

 

　　第三條本規(guī)定所稱寄遞服務(wù)用戶個人信息(以下簡稱寄遞用戶信息),，是指用戶在使用寄遞服務(wù)過程中的個人信息，包括寄(收)件人的姓名,、地址,、身份證件號碼、電話號碼,、單位名稱,，以及寄遞單號、時間,、物品明細(xì)等內(nèi)容,。

 

　　第四條寄遞用戶信息安全監(jiān)督管理堅持安全第一、預(yù)防為主,、綜合治理的方針,，保障用戶個人信息安全，保護(hù)公民合法權(quán)益,。

 

　　第五條國務(wù)院郵政管理部門負(fù)責(zé)全國郵政行業(yè)寄遞用戶信息安全監(jiān)督管理工作,。

 

　　省、自治區(qū),、直轄市郵政管理機(jī)構(gòu)負(fù)責(zé)本行政區(qū)域內(nèi)的郵政行業(yè)寄遞用戶信息安全監(jiān)督管理工作,。

 

　　按照國務(wù)院規(guī)定設(shè)立的省級以下郵政管理機(jī)構(gòu)負(fù)責(zé)本轄區(qū)的郵政行業(yè)寄遞用戶信息安全監(jiān)督管理工作。

 

　　國務(wù)院郵政管理部門和省,、自治區(qū),、直轄市郵政管理機(jī)構(gòu)以及省級以下郵政管理機(jī)構(gòu)，統(tǒng)稱為郵政管理部門。

 

　　第六條郵政管理部門應(yīng)當(dāng)與有關(guān)部門相互配合,，健全寄遞用戶信息安全保障機(jī)制,，維護(hù)寄遞用戶信息安全。

 

　　第七條郵政企業(yè),、快遞企業(yè)及其從業(yè)人員應(yīng)當(dāng)遵守國家有關(guān)信息安全管理的規(guī)定及本規(guī)定,，對寄遞用戶信息的安全負(fù)責(zé)。

 

　　第二章一般規(guī)定

 

　　第八條郵政企業(yè),、快遞企業(yè)應(yīng)當(dāng)建立健全寄遞用戶信息安全保障制度和措施,，確定各部門、崗位的安全責(zé)任,，加強(qiáng)安全責(zé)任考核,。

 

　　第九條加盟制快遞企業(yè)應(yīng)當(dāng)在加盟協(xié)議中設(shè)立寄遞用戶信息安全保障條款，明確被加盟人與加盟人的安全責(zé)任關(guān)系,。對于加盟人出現(xiàn)的信息安全事故,，被加盟人應(yīng)承擔(dān)相應(yīng)的安全管理責(zé)任。

 

　　第十條郵政企業(yè),、快遞企業(yè)應(yīng)當(dāng)與從業(yè)人員簽訂寄遞用戶信息保密協(xié)議,，明確保密義務(wù)。

 

　　第十一條郵政企業(yè),、快遞企業(yè)應(yīng)當(dāng)組織從業(yè)人員進(jìn)行寄遞用戶信息安全保護(hù)相關(guān)知識,、技能的培訓(xùn)，加強(qiáng)職業(yè)道德教育,，不斷提高從業(yè)人員的法制觀念和責(zé)任意識,。

 

　　第十二條郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)建立寄遞用戶信息安全投訴處理機(jī)制,，公布有效的聯(lián)系方式,，接受并及時處理有關(guān)投訴。

 

　　第十三條郵政企業(yè),、快遞企業(yè)接受網(wǎng)絡(luò)購物,、電視購物和郵購等經(jīng)營者委托提供寄遞服務(wù)的，在與委托方簽訂協(xié)議時,，應(yīng)當(dāng)約定寄遞用戶信息安全保障條款,，明確信息使用范圍、使用方式,、信息交換使用的安全保護(hù)措施,、信息泄露責(zé)任劃分等內(nèi)容。

 

　　第十四條郵政企業(yè),、快遞企業(yè)委托第三方錄入寄遞用戶信息的,，應(yīng)當(dāng)確認(rèn)其具有信息安全保障能力,，并簽訂信息安全保障協(xié)議條款，明確企業(yè)與第三方的安全責(zé)任,。對于第三方出現(xiàn)的信息安全事故,，郵政企業(yè)、快遞企業(yè)應(yīng)承擔(dān)相應(yīng)責(zé)任,。

 

　　第十五條未經(jīng)法律明確授權(quán)或者用戶書面同意,，郵政企業(yè)、快遞企業(yè)及其從業(yè)人員不得將其掌握的寄遞用戶信息提供給任何組織或者個人,。

 

　　第十六條國家安全機(jī)關(guān),、公安機(jī)關(guān)、檢察機(jī)關(guān)的工作人員依據(jù)法律規(guī)定調(diào)閱,、檢查郵件(快件)實物及電子信息檔案,，必須憑被調(diào)閱企業(yè)所在地的縣級以上(含縣級)國家安全機(jī)關(guān)、公安機(jī)關(guān),、檢察機(jī)關(guān)出具的書面證明辦理相關(guān)調(diào)閱和交接手續(xù),，實施調(diào)閱、檢查時,，應(yīng)當(dāng)出示工作證件,。郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)配合,，并對有關(guān)情況予以保密。

 

　　第十七條郵政企業(yè),、快遞企業(yè)應(yīng)當(dāng)建立寄遞用戶信息安全應(yīng)急處置機(jī)制,。對于突發(fā)的寄遞用戶信息安全事故，應(yīng)立即采取補(bǔ)救措施,，按照規(guī)定報告郵政管理部門,，不得遲報、漏報,、瞞報,，并配合郵政管理部門和相關(guān)部門對案件進(jìn)行調(diào)查處理。

 

　　第三章寄遞詳情單實物信息安全管理

 

　　第十八條郵政企業(yè),、快遞企業(yè)應(yīng)當(dāng)加強(qiáng)對寄遞詳情單的管理,，對發(fā)放空白單情況進(jìn)行登記，對號段進(jìn)行全程跟蹤,，形成跟蹤記錄,。

 

　　第十九條郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)加強(qiáng)對營業(yè)場所,、處理場所的管理,，對用戶服務(wù)區(qū)域與郵件(快件)處理、存放場地進(jìn)行物理隔離。嚴(yán)禁無關(guān)人員進(jìn)出郵件(快件)處理,、存放場地,，嚴(yán)禁無關(guān)人員接觸、翻閱郵件(快件),，防止實物信息在處理過程中被竊取,、泄露。

 

　　第二十條郵政企業(yè),、快遞企業(yè)應(yīng)當(dāng)優(yōu)化寄遞處理流程,，減少接觸實物信息的處理環(huán)節(jié)和操作人員。

 

　　第二十一條鼓勵郵政企業(yè),、快遞企業(yè)采用技術(shù)手段,，防止信息在寄遞過程中被竊取、泄露,。

 

　　第二十二條郵政企業(yè),、快遞企業(yè)應(yīng)當(dāng)配備符合國家標(biāo)準(zhǔn)的安全監(jiān)控設(shè)備，安排具備專門技術(shù)和技能的人員,，對收寄,、分揀、運(yùn)輸,、投遞等環(huán)節(jié)的實物信息處理進(jìn)行安全監(jiān)控,。

 

　　第二十三條郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)建立健全寄遞詳情單實物檔案管理制度,，實行集中管理,，確定集中存放地，及時回收寄遞詳情單妥善保管,。設(shè)立,、變更集中存放地時應(yīng)當(dāng)告知所在地郵政管理部門。

 

　　第二十四條郵政企業(yè),、快遞企業(yè)在實物檔案集中存放地應(yīng)當(dāng)設(shè)立專用檔案室,，設(shè)專人管理。采取必要的安全存儲措施,，做好防災(zāi),、防盜、防泄露工作,，確保實物檔案安全,。

 

　　第二十五條郵政企業(yè)、快遞企業(yè)的業(yè)務(wù)部門因工作需要查閱檔案時,，應(yīng)經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn),。查閱人員應(yīng)當(dāng)保持檔案完整無損,，不得私自攜帶出室，并做好查閱記錄,。

 

　　第二十六條寄遞詳情單實物檔案應(yīng)當(dāng)滿足國家相關(guān)標(biāo)準(zhǔn)規(guī)定的保存期限,。保存期滿后，由企業(yè)監(jiān)督進(jìn)行集中銷毀,，并做好銷毀記錄,，嚴(yán)禁丟棄或販賣。

 

　　第二十七條郵政企業(yè),、快遞企業(yè)應(yīng)當(dāng)對寄遞詳情單實物安全保障情況進(jìn)行定期自查,，記錄自查情況，及時消除自查中發(fā)現(xiàn)的信息安全問題,。

 

　　第四章寄遞詳情單電子信息安全管理

 

　　第二十八條郵政企業(yè),、快遞企業(yè)應(yīng)按照國家、行業(yè)相關(guān)規(guī)定,，加強(qiáng)寄遞服務(wù)用戶信息相關(guān)系統(tǒng)和網(wǎng)絡(luò)設(shè)施的信息安全管理,。

 

　　第二十九條郵政企業(yè)、快遞企業(yè)信息系統(tǒng)應(yīng)當(dāng)建立符合國家信息安全要求的,、合理的網(wǎng)絡(luò)架構(gòu),，劃分安全區(qū)域，各安全區(qū)域之間應(yīng)當(dāng)進(jìn)行有效隔離,，并具有防范,、監(jiān)控和阻斷來自內(nèi)外部網(wǎng)絡(luò)攻擊破壞的能力。

 

　　第三十條郵政企業(yè),、快遞企業(yè)應(yīng)配置必要的防病毒軟硬件,，確保信息系統(tǒng)和網(wǎng)絡(luò)具有防范木馬等各類病毒的能力，防止惡意代碼破壞信息系統(tǒng)和網(wǎng)絡(luò),，避免信息泄露或者被篡改。

 

　　第三十一條郵政企業(yè),、快遞企業(yè)構(gòu)建信息系統(tǒng)和網(wǎng)絡(luò),，應(yīng)避免使用信息系統(tǒng)和網(wǎng)絡(luò)供應(yīng)商提供的默認(rèn)密碼、安全參數(shù),，對通過開放公共網(wǎng)絡(luò)傳輸?shù)募倪f用戶信息設(shè)置加密措施,，嚴(yán)格審查并監(jiān)控對信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程訪問,。

 

　　第三十二條郵政企業(yè),、快遞企業(yè)在采購軟硬件產(chǎn)品或者技術(shù)服務(wù)時，應(yīng)當(dāng)與供應(yīng)商簽訂保密協(xié)議,，明確其安全責(zé)任及發(fā)生信息安全事件時配合郵政管理部門和相關(guān)部門調(diào)查工作的義務(wù),。

 

　　第三十三條郵政企業(yè),、快遞企業(yè)應(yīng)加強(qiáng)信息系統(tǒng)及網(wǎng)絡(luò)的權(quán)限管理，應(yīng)基于權(quán)限最小化原則和權(quán)限分離原則,，對從業(yè)人員分配滿足工作需要的最小操作權(quán)限和可訪問的最小信息范圍,。

 

　　郵政企業(yè)、快遞企業(yè)應(yīng)加強(qiáng)對系統(tǒng)管理員,、數(shù)據(jù)庫管理員,、網(wǎng)絡(luò)管理員的權(quán)限限制，使其有且僅有進(jìn)行系統(tǒng),、數(shù)據(jù)庫,、信息網(wǎng)絡(luò)運(yùn)行維護(hù)和優(yōu)化的權(quán)限，其所有管理維護(hù)操作應(yīng)得到安全管理員的授權(quán),，并受到安全審計員的監(jiān)控和審計,。

 

　　第三十四條郵政企業(yè)、快遞企業(yè)應(yīng)加強(qiáng)相關(guān)系統(tǒng)密碼管理,，使用高安全級別密碼策略,，強(qiáng)制定期更換密碼，禁止將密碼轉(zhuǎn)告他人,。

 

　　第三十五條郵政企業(yè),、快遞企業(yè)應(yīng)加強(qiáng)寄遞用戶電子信息的存儲安全管理，包括：

 

　　(一)使用獨(dú)立物理區(qū)域存儲寄遞用戶信息,，禁止非授權(quán)人員進(jìn)出該區(qū)域,；

 

　　(二)采用加密方式存儲寄遞用戶信息；

 

　　(三)確保安全使用,、保存和處置存有寄遞用戶信息的計算機(jī),、移動設(shè)備和移動介質(zhì)(包括磁帶、磁盤,、筆記本電腦,、設(shè)備USB口、可寫光驅(qū)等輸入輸出介質(zhì)等),。明確管理數(shù)據(jù)存儲設(shè)備,、介質(zhì)的負(fù)責(zé)人，建立設(shè)備,、介質(zhì)使用和借用登記,，限制USB口、可寫光驅(qū),、無線接口等設(shè)備輸出接口的使用,。及時刪除銷毀報廢設(shè)備和存儲介質(zhì)中的寄遞用戶信息數(shù)據(jù)。

 

　　第三十六條郵政企業(yè),、快遞企業(yè)應(yīng)加強(qiáng)寄遞用戶信息的應(yīng)用安全管理,，對所有批量導(dǎo)出,、復(fù)制、銷毀用戶個人信息的操作進(jìn)行審查,，并采取防泄密措施,，同時記錄進(jìn)行操作的人員、時間,、地點,、事項，作為以后進(jìn)行信息安全審計的依據(jù),。

 

　　第三十七條郵政企業(yè),、快遞企業(yè)應(yīng)加強(qiáng)信息系統(tǒng)賬戶管理，應(yīng)在從業(yè)人員離職時對其進(jìn)行信息安全審計,，及時禁用相關(guān)系統(tǒng)賬戶,。

 

　　第三十八條郵政企業(yè)、快遞企業(yè)應(yīng)當(dāng)制定本企業(yè)與市場相關(guān)主體的信息系統(tǒng)安全互聯(lián)技術(shù)規(guī)則,，對存儲寄遞服務(wù)信息的信息系統(tǒng)實行接入審查,，并定期進(jìn)行安全風(fēng)險評估。第三十九條郵政企業(yè),、快遞企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)安全內(nèi)部審計制度,，定期開展內(nèi)部審計，對發(fā)現(xiàn)的問題及時整改,。

 

 

　　第四十條郵政管理部門依法履行下列職責(zé)：

 

　　(一)制定保障寄遞用戶信息安全的政策,、制度和相關(guān)標(biāo)準(zhǔn)，并監(jiān)督實施,；

 

　　(二)指導(dǎo)與監(jiān)督郵政企業(yè),、快遞企業(yè)落實信息安全責(zé)任制，督促企業(yè)加強(qiáng)內(nèi)部信息安全管理,；

 

　　(三)對寄遞用戶信息安全進(jìn)行監(jiān)測,、預(yù)警和應(yīng)急管理；

 

　　(四)指導(dǎo)與監(jiān)督郵政企業(yè),、快遞企業(yè)開展信息安全的宣傳教育和培訓(xùn),；

 

　　(五)依法對郵政企業(yè)、快遞企業(yè)實施信息安全監(jiān)督檢查,；

 

　　(六)組織調(diào)查或者參與調(diào)查寄遞用戶信息安全事故，查處違反寄遞用戶信息安全監(jiān)管規(guī)定的行為,；

 

　　(七)法律,、法規(guī)、規(guī)章規(guī)定的其他職責(zé),。

 

　　第四十一條郵政管理部門應(yīng)當(dāng)加強(qiáng)郵政行業(yè)寄遞用戶信息安全管理制度和安全知識的宣傳,，提高從業(yè)人員的信息安全意識,，增強(qiáng)公眾對個人信息保護(hù)的安全意識。

 

　　第四十二條郵政管理部門應(yīng)當(dāng)加強(qiáng)郵政行業(yè)寄遞用戶信息安全運(yùn)行的監(jiān)測預(yù)警,，建立信息管理體系,，收集、分析與信息安全有關(guān)的各類信息,。

 

　　省級郵政管理部門和省級以下郵政管理機(jī)構(gòu)應(yīng)當(dāng)及時向上一級郵政管理部門報告郵政行業(yè)寄遞用戶信息安全情況,，并定期通報相關(guān)的工業(yè)和信息化、通信管理,、公安,、國家安全、商務(wù)和工商行政管理等部門,。

 

　　第四十三條郵政管理部門應(yīng)當(dāng)對郵政企業(yè),、快遞企業(yè)建立健全和遵守信息安全制度以及企業(yè)防范信息安全風(fēng)險、規(guī)范從業(yè)人員信息安全行為等情況進(jìn)行檢查,。

 

　　第四十四條郵政管理部門發(fā)現(xiàn)郵政企業(yè),、快遞企業(yè)存在違反寄遞用戶信息安全管理規(guī)定，妨害或者可能妨害寄遞用戶信息安全的,，應(yīng)當(dāng)對其調(diào)查,。違法行為涉及其他部門的管理職權(quán)的，郵政管理部門應(yīng)當(dāng)會同有關(guān)部門,，共同對郵政企業(yè),、快遞企業(yè)進(jìn)行調(diào)查。

 

　　第四十五條郵政管理部門應(yīng)當(dāng)加強(qiáng)對郵政企業(yè),、快遞企業(yè)及其從業(yè)人員遵守本規(guī)定情況的監(jiān)督檢查,。

 

　　第四十六條郵政企業(yè)、快遞企業(yè)拒不配合寄遞用戶信息安全監(jiān)督檢查的,，依據(jù)《中華人民共和國郵政法》第七十七條的規(guī)定予以處罰,。

 

　　第四十七條郵政企業(yè)、快遞企業(yè)及其從業(yè)人員因泄露寄遞用戶信息對用戶造成損失的,，應(yīng)當(dāng)依法予以賠償,。

 

　　屬于從業(yè)人員違法泄露寄遞用戶信息造成損失的，郵政企業(yè),、快遞企業(yè)應(yīng)當(dāng)依法進(jìn)行賠償,，并向從業(yè)人員追責(zé)。

 

　　第四十八條郵政企業(yè),、快遞企業(yè)及其從業(yè)人員違法提供寄遞用戶信息,，尚未構(gòu)成犯罪的，依照《中華人民共和國郵政法》第七十六條規(guī)定予以處罰,。郵政企業(yè),、快遞企業(yè)逾期不履行郵政管理部門處罰決定的,，由郵政管理部門依法申請人民法院強(qiáng)制執(zhí)行。構(gòu)成犯罪的,，移送司法機(jī)關(guān)追究刑事責(zé)任,。

 

　　第四十九條任何單位和個人有權(quán)向郵政管理部門舉報違反本規(guī)定的行為。郵政管理部門接到舉報后,，應(yīng)當(dāng)依法及時處理,。

 

　　第五十條郵政管理部門可以在行業(yè)內(nèi)通報郵政企業(yè)、快遞企業(yè)違反寄遞用戶信息安全監(jiān)管有關(guān)規(guī)定,、發(fā)生信息安全事件以及對有關(guān)責(zé)任人員進(jìn)行處理的情況,，必要時可以向社會公開上述信息，但涉及國家秘密,、商業(yè)秘密與個人隱私的除外,。

 

　　第五十一條郵政管理部門及其工作人員對在履行職責(zé)中知悉的寄遞用戶信息應(yīng)當(dāng)予以保密，不得泄露,、篡改或者毀損,，不得出售或者非法向他人提供。

 

　　第五十二條郵政管理部門工作人員在信息安全監(jiān)督管理工作中濫用職權(quán),、玩忽職守,、徇私舞弊，依照《郵政行業(yè)安全監(jiān)督管理辦法》第五十五條的規(guī)定予以處理,。

 

　　第六章附則

 

　　第五十三條本規(guī)定自年月日起施行,。