寄递存储安全

寄递服务用户个人信息安全管理规定(征求意见稿)第一章总则第一条为加强邮政行业寄递服务用户个人信息安全管理,保护用户合法权益,维护邮政通信与信息安全,促进邮政行业健康发展,根据《中华人民共和国邮政法》、《邮政行业安全监督管理办法》及相关的法律法规和规定,制定本规定.

第二条在中华人民共和国境内经营和使用寄递服务涉及用户个人信息安全的活动以及与之相关的监督管理工作,适用本规定.
第三条本规定所称寄递服务用户个人信息(以下简称寄递用户信息),是指用户在使用寄递服务过程中的个人信息,包括寄(收)件人的姓名、地址、身份证件号码、电话号码、单位名称,以及寄递单号、时间、物品明细等内容.

第四条寄递用户信息安全监督管理坚持安全第一、预防为主、综合治理的方针,保障用户个人信息安全,保护公民合法权益.
第五条国务院邮政管理部门负责全国邮政行业寄递用户信息安全监督管理工作.
省、自治区、直辖市邮政管理机构负责本行政区域内的邮政行业寄递用户信息安全监督管理工作.
按照国务院规定设立的省级以下邮政管理机构负责本辖区的邮政行业寄递用户信息安全监督管理工作.
国务院邮政管理部门和省、自治区、直辖市邮政管理机构以及省级以下邮政管理机构,统称为邮政管理部门.
第六条邮政管理部门应当与有关部门相互配合,健全寄递用户信息安全保障机制,维护寄递用户信息安全.
第七条邮政企业、快递企业及其从业人员应当遵守国家有关信息安全管理的规定及本规定,对寄递用户信息的安全负责.
第二章一般规定第八条邮政企业、快递企业应当建立健全寄递用户信息安全保障制度和措施,确定各部门、岗位的安全责任,加强安全责任考核.
第九条加盟制快递企业应当在加盟协议中设立寄递用户信息安全保障条款,明确被加盟人与加盟人的安全责任关系.
对于加盟人出现的信息安全事故,被加盟人应承担相应的安全管理责任.
第十条邮政企业、快递企业应当与从业人员签订寄递用户信息保密协议,明确保密义务.
第十一条邮政企业、快递企业应当组织从业人员进行寄递用户信息安全保护相关知识、技能的培训,加强职业道德教育,不断提高从业人员的法制观念和责任意识.
第十二条邮政企业、快递企业应当建立寄递用户信息安全投诉处理机制,公布有效的联系方式,接受并及时处理有关投诉.
第十三条邮政企业、快递企业接受网络购物、电视购物和邮购等经营者委托提供寄递服务的,在与委托方签订协议时,应当约定寄递用户信息安全保障条款,明确信息使用范围、使用方式、信息交换使用的安全保护措施、信息泄露责任划分等内容.

第十四条邮政企业、快递企业委托第三方录入寄递用户信息的,应当确认其具有信息安全保障能力,并签订信息安全保障协议条款,明确企业与第三方的安全责任.
对于第三方出现的信息安全事故,邮政企业、快递企业应承担相应责任.

第十五条未经法律明确授权或者用户书面同意,邮政企业、快递企业及其从业人员不得将其掌握的寄递用户信息提供给任何组织或者个人.
第十六条国家安全机关、公安机关、检察机关的工作人员依据法律规定调阅、检查邮件(快件)实物及电子信息档案,必须凭被调阅企业所在地的县级以上(含县级)国家安全机关、公安机关、检察机关出具的书面证明办理相关调阅和交接手续,实施调阅、检查时,应当出示工作证件.
邮政企业、快递企业应当配合,并对有关情况予以保密.

第十七条邮政企业、快递企业应当建立寄递用户信息安全应急处置机制.
对于突发的寄递用户信息安全事故,应立即采取补救措施,按照规定报告邮政管理部门,不得迟报、漏报、瞒报,并配合邮政管理部门和相关部门对案件进行调查处理.

第三章寄递详情单实物信息安全管理第十八条邮政企业、快递企业应当加强对寄递详情单的管理,对发放空白单情况进行登记,对号段进行全程跟踪,形成跟踪记录.
第十九条邮政企业、快递企业应当加强对营业场所、处理场所的管理,对用户服务区域与邮件(快件)处理、存放场地进行物理隔离.
严禁无关人员进出邮件(快件)处理、存放场地,严禁无关人员接触、翻阅邮件(快件),防止实物信息在处理过程中被窃取、泄露.

第二十条邮政企业、快递企业应当优化寄递处理流程,减少接触实物信息的处理环节和操作人员.
第二十一条鼓励邮政企业、快递企业采用技术手段,防止信息在寄递过程中被窃取、泄露.
第二十二条邮政企业、快递企业应当配备符合国家标准的安全监控设备,安排具备专门技术和技能的人员,对收寄、分拣、运输、投递等环节的实物信息处理进行安全监控.
第二十三条邮政企业、快递企业应当建立健全寄递详情单实物档案管理制度,实行集中管理,确定集中存放地,及时回收寄递详情单妥善保管.
设立、变更集中存放地时应当告知所在地邮政管理部门.
第二十四条邮政企业、快递企业在实物档案集中存放地应当设立专用档案室,设专人管理.
采取必要的安全存储措施,做好防灾、防盗、防泄露工作,确保实物档案安全.
第二十五条邮政企业、快递企业的业务部门因工作需要查阅档案时,应经主管领导批准.
查阅人员应当保持档案完整无损,不得私自携带出室,并做好查阅记录.
第二十六条寄递详情单实物档案应当满足国家相关标准规定的保存期限.
保存期满后,由企业监督进行集中销毁,并做好销毁记录,严禁丢弃或贩卖.
第二十七条邮政企业、快递企业应当对寄递详情单实物安全保障情况进行定期自查,记录自查情况,及时消除自查中发现的信息安全问题.
第四章寄递详情单电子信息安全管理第二十八条邮政企业、快递企业应按照国家、行业相关规定,加强寄递服务用户信息相关系统和网络设施的信息安全管理.
第二十九条邮政企业、快递企业信息系统应当建立符合国家信息安全要求的、合理的网络架构,划分安全区域,各安全区域之间应当进行有效隔离,并具有防范、监控和阻断来自内外部网络攻击破坏的能力.
第三十条邮政企业、快递企业应配置必要的防病毒软硬件,确保信息系统和网络具有防范木马等各类病毒的能力,防止恶意代码破坏信息系统和网络,避免信息泄露或者被篡改.
第三十一条邮政企业、快递企业构建信息系统和网络,应避免使用信息系统和网络供应商提供的默认密码、安全参数,对通过开放公共网络传输的寄递用户信息设置加密措施,严格审查并监控对信息系统、网络设备的远程访问.

第三十二条邮政企业、快递企业在采购软硬件产品或者技术服务时,应当与供应商签订保密协议,明确其安全责任及发生信息安全事件时配合邮政管理部门和相关部门调查工作的义务.
第三十三条邮政企业、快递企业应加强信息系统及网络的权限管理,应基于权限最小化原则和权限分离原则,对从业人员分配满足工作需要的最小操作权限和可访问的最小信息范围.
邮政企业、快递企业应加强对系统管理员、数据库管理员、网络管理员的权限限制,使其有且仅有进行系统、数据库、信息网络运行维护和优化的权限,其所有管理维护操作应得到安全管理员的授权,并受到安全审计员的监控和审计.

第三十四条邮政企业、快递企业应加强相关系统密码管理,使用高安全级别密码策略,强制定期更换密码,禁止将密码转告他人.
第三十五条邮政企业、快递企业应加强寄递用户电子信息的存储安全管理,包括:(一)使用独立物理区域存储寄递用户信息,禁止非授权人员进出该区域;(二)采用加密方式存储寄递用户信息;(三)确保安全使用、保存和处置存有寄递用户信息的计算机、移动设备和移动介质(包括磁带、磁盘、笔记本电脑、设备USB口、可写光驱等输入输出介质等).
明确管理数据存储设备、介质的负责人,建立设备、介质使用和借用登记,限制USB口、可写光驱、无线接口等设备输出接口的使用.
及时删除销毁报废设备和存储介质中的寄递用户信息数据.

第三十六条邮政企业、快递企业应加强寄递用户信息的应用安全管理,对所有批量导出、复制、销毁用户个人信息的操作进行审查,并采取防泄密措施,同时记录进行操作的人员、时间、地点、事项,作为以后进行信息安全审计的依据.

第三十七条邮政企业、快递企业应加强信息系统账户管理,应在从业人员离职时对其进行信息安全审计,及时禁用相关系统账户.
第三十八条邮政企业、快递企业应当制定本企业与市场相关主体的信息系统安全互联技术规则,对存储寄递服务信息的信息系统实行接入审查,并定期进行安全风险评估.
第三十九条邮政企业、快递企业应当建立信息系统安全内部审计制度,定期开展内部审计,对发现的问题及时整改.
第五章监督管理第四十条邮政管理部门依法履行下列职责:(一)制定保障寄递用户信息安全的政策、制度和相关标准,并监督实施;(二)指导与监督邮政企业、快递企业落实信息安全责任制,督促企业加强内部信息安全管理;(三)对寄递用户信息安全进行监测、预警和应急管理;(四)指导与监督邮政企业、快递企业开展信息安全的宣传教育和培训;(五)依法对邮政企业、快递企业实施信息安全监督检查;(六)组织调查或者参与调查寄递用户信息安全事故,查处违反寄递用户信息安全监管规定的行为;(七)法律、法规、规章规定的其他职责.
第四十一条邮政管理部门应当加强邮政行业寄递用户信息安全管理制度和安全知识的宣传,提高从业人员的信息安全意识,增强公众对个人信息保护的安全意识.
第四十二条邮政管理部门应当加强邮政行业寄递用户信息安全运行的监测预警,建立信息管理体系,收集、分析与信息安全有关的各类信息.
省级邮政管理部门和省级以下邮政管理机构应当及时向上一级邮政管理部门报告邮政行业寄递用户信息安全情况,并定期通报相关的工业和信息化、通信管理、公安、国家安全、商务和工商行政管理等部门.

第四十三条邮政管理部门应当对邮政企业、快递企业建立健全和遵守信息安全制度以及企业防范信息安全风险、规范从业人员信息安全行为等情况进行检查.
第四十四条邮政管理部门发现邮政企业、快递企业存在违反寄递用户信息安全管理规定,妨害或者可能妨害寄递用户信息安全的,应当对其调查.
违法行为涉及其他部门的管理职权的,邮政管理部门应当会同有关部门,共同对邮政企业、快递企业进行调查.

第四十五条邮政管理部门应当加强对邮政企业、快递企业及其从业人员遵守本规定情况的监督检查.
第四十六条邮政企业、快递企业拒不配合寄递用户信息安全监督检查的,依据《中华人民共和国邮政法》第七十七条的规定予以处罚.
第四十七条邮政企业、快递企业及其从业人员因泄露寄递用户信息对用户造成损失的,应当依法予以赔偿.
属于从业人员违法泄露寄递用户信息造成损失的,邮政企业、快递企业应当依法进行赔偿,并向从业人员追责.
第四十八条邮政企业、快递企业及其从业人员违法提供寄递用户信息,尚未构成犯罪的,依照《中华人民共和国邮政法》第七十六条规定予以处罚.
邮政企业、快递企业逾期不履行邮政管理部门处罚决定的,由邮政管理部门依法申请人民法院强制执行.
构成犯罪的,移送司法机关追究刑事责任.

第四十九条任何单位和个人有权向邮政管理部门举报违反本规定的行为.
邮政管理部门接到举报后,应当依法及时处理.
第五十条邮政管理部门可以在行业内通报邮政企业、快递企业违反寄递用户信息安全监管有关规定、发生信息安全事件以及对有关责任人员进行处理的情况,必要时可以向社会公开上述信息,但涉及国家秘密、商业秘密与个人隐私的除外.