2024年2月1日,为贯彻《中华人民共和国邮政法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《快递暂行条例》等法律法规,保护寄递服务用户个人信息权益,规范寄递企业用户个人信息处理活动,国家邮政局起草了《寄递服务用户个人信息安全管理办法(征求意见稿)》,现向社会公开征求意见。
这一举措旨在进一步加强个人信息在邮政寄递服务中的保护,确保用户的个人信息安全。请于2024年3月2日前通过以下途径和方式反馈:
一、将意见建议通过电子邮件发送至:scs@spb.gov.cn。电子邮件的主题请注明“《寄递服务用户个人信息安全管理办法(征求意见稿)》草案意见建议”。
二、通过信函将意见建议寄至:北京市西城区北礼士路甲8号国家邮政局市场监管司,邮编100868。请在信封上注明“《寄递服务用户个人信息安全管理办法(征求意见稿)》草案意见建议”。
以下全文:
寄递服务用户个人信息安全管理办法
(征求意见稿)
第一条 为保护寄递服务用户个人信息权益,规范寄递企业用户个人信息处理活动,根据《中华人民共和国邮政法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《快递暂行条例》等法律、行政法规,制定本办法。
第二条 在中华人民共和国境内经营和使用寄递服务涉及用户个人信息安全的活动以及邮政管理部门监督管理工作,适用本办法。
第三条 本办法所称寄递服务用户个人信息是指寄递企业在提供寄递服务过程中获取的,以电子或者其他方式记录的,与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
本办法所称寄递服务用户个人信息处理活动,是指寄递企业在提供寄递服务过程中收集、存储、使用、加工、传输、提供、公开、删除用户个人信息等活动。
第四条 寄递企业用户个人信息处理活动应当坚持合法、正当、必要、诚信原则,寄递企业不得从事与寄递服务目的无关的个人信息处理活动。
第五条 寄递企业不得非法收集、使用、加工、传输用户个人信息,不得非法买卖、提供或公开用户个人信息,不得从事危害国家安全、公共利益的用户个人信息处理活动。
第六条 邮政管理部门依法履行寄递服务用户个人信息保护的监督管理职责。
邮政管理部门与有关部门相互配合,健全寄递服务用户个人信息安全保障机制,维护寄递服务用户个人信息安全。
第七条 寄递企业可基于下列情形之一处理用户个人信息:
(一)取得用户个人同意;
(二)为订立、履行寄递服务合同所必需;
(三)为履行法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)法律、行政法规规定的其他情形。
寄递企业处理用户个人信息包括敏感个人信息时,应当遵守相关法律法规规定。
第八条 除征得用户个人同意外,寄递企业保存用户个人信息的期限不得超过收集之日起三年,法律、行政法规另有规定的,从其规定。保存期限届满,寄递企业应当主动删除用户个人信息。删除个人信息从技术上难以实现的,寄递企业应当停止除存储和采取必要的安全保护措施之外的处理。
第九条 寄递企业在处理用户个人信息前,应当通过合同或者其他显著方式以清晰易懂的语言真实、准确、完整地向用户告知处理个人信息的目的、处理方式、保存期限、本企业联系方式、用户投诉机制等事项。
寄递服务用户要求查阅其使用寄递服务相关的个人信息的,寄递企业应当及时提供。
第十条 寄递企业委托第三方或者其他寄递企业对用户个人信息进行处理的,应当与受托人约定委托处理的目的、个人信息的种类、期限、处理方式、保护措施、泄密的法律责任以及双方的权利和义务等事项,并对受托人的个人信息处理活动进行监督。
委托合同不生效、无效、被撤销或者终止的,寄递企业应当要求受托人返还委托处理的用户个人信息,无法返还的应当监督其删除。
受托方发生寄递服务用户个人信息安全事件导致信息泄露、篡改、丢失的,寄递企业应当依法承担相应责任。
第十一条 寄递企业因合并、分立、解散、被宣告破产等原因需要转移用户个人信息的,应当向用户告知接收方的名称或者姓名和联系方式,接收方应继续履行个人信息保护义务。接收方变更原处理目的、处理方式的,需要重新取得个人同意。
寄递企业解散、被宣告破产且无接收方的,应当删除用户个人信息。
第十二条 寄递企业向信息汇聚平台等其他个人信息处理者提供用户个人信息的,应当向用户告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得用户个人的单独同意。
第十三条 寄递企业因业务等需要,确需向中华人民共和国境外提供用户个人信息的,应当按照相关法律法规的规定执行。
寄递企业处理的用户个人信息达到国家网信部门规定数量的,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
第十四条 寄递企业应当根据用户个人信息的处理目的、处理方式、个人信息的种类,以及对用户个人权益的影响、可能存在的安全风险等,制定内部安全管理制度,采取必要的技术措施,确保用户个人信息处理活动合法合规,防止未经授权的访问以及用户个人信息泄露、丢失等风险发生。
寄递企业处理的用户个人信息包含个人敏感信息的,应当针对敏感个人信息制定专门的管理制度和操作规程。
第十五条 有下列情形之一的,寄递企业应当根据用户个人信息的处理目的、处理方式、对个人权益的影响及安全风险、所采取的保护措施是否合法、有效并与风险程度相适应等,进行事前的个人信息保护影响评估,并保存评估记录:
(一)处理敏感个人信息的;
(二)委托第三方或者其他寄递企业对用户个人信息进行处理的;
(三)向信息汇聚平台等其他信息处理主体提供用户个人信息的;
(四)利用个人信息进行自动化决策的;
(五)向境外提供用户个人信息的;
(六)其他对个人权益有重大影响的用户个人信息处理活动。
寄递服务用户个人信息保护影响评估报告和处理情况记录应当至少保存三年。
第十六条 寄递企业应当对个人信息处理采取加密等必要的安全措施,保障个人信息安全。
第十七条 寄递企业应当对用户个人信息依法进行去标识化处理。快递电子运单的去标识化应当考虑正常寄递服务的需求。
寄递企业授权电商使用本企业的快递单号资源时,应当要求电商对快递电子运单中的个人信息执行去标识化。寄递企业应当与电商等第三方签订协议,明确去标识化执行主体、数据传输以及数据转化等相关事项。
第十八条 寄递企业应当加强营业场所、处理场所管理,严禁无关人员进出相关场所,严禁无关人员接触、翻阅、留存、拍照、摄录、复制、传抄运单信息。
第十九条 寄递企业应当在内部安全管理制度中合理确定不同部门、不同岗位业务人员个人信息处理活动的操作权限,依据最小必要原则授予一线业务人员用户个人信息查询权。
寄递企业应当对用户个人信息的批量导出、复制、销毁等操作实行事前审批,并记录保存操作人员、时间、地点和事项等信息。
寄递企业应当对离岗人员实行信息安全审计,及时删除或限制使用离岗人员系统账号。
第二十条 寄递企业处理用户个人信息达到国家网信部门规定数量时,应当指定用户个人信息保护负责人,负责对信息处理活动以及采取的保护措施等进行监督,并公开个人信息保护负责人的联系方式,将负责人的姓名、联系方式等向所在地邮政管理部门报送。负责人发生变更的,应在7个工作日内重新报送并公告。
第二十一条 寄递企业应当与其从业人员签订寄递服务用户个人信息保护协议,明确保护义务及违反的法律责任。
寄递企业应当定期对从业人员进行个人信息安全教育和培训,并保存培训记录。
第二十二条 寄递企业应当建立健全用户个人信息处理的实时风险监测机制,防范、遏制用户个人信息安全事件发生。
第二十三条 寄递企业应当针对用户个人信息处理过程中可能出现的各类信息安全事件制定应急预案,并定期组织应急演练。
第二十四条 寄递企业应当对本企业处理用户个人信息遵守法律、行政法规的情况进行合规审计,合规审计应当每年至少进行一次。相关法律、行政法规发生变化的,寄递企业应当及时补充合规审计。寄递企业应当保存合规审计记录。
第二十五条 寄递企业发生或可能发生用户个人信息泄露、丢失的,应当立即启动应急预案,有针对性地采取补救措施,及时报告所在地履行个人信息保护职责的相关部门和邮政管理部门,并通知涉及的个人。报告和通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、丢失的信息种类、原因和可能造成的危害;
(二)寄递企业采取的补救措施和用户个人可以采取的减轻危害的措施;
(三)寄递企业的联系方式。
寄递企业采取措施能够有效避免信息泄露、丢失造成危害的,可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求寄递企业通知涉及的个人。
第二十六条 邮政管理部门在履行寄递服务用户个人信息保护职责时,可以依法采取下列措施:
(一)对寄递企业实施现场检查;
(二)查阅、复制寄递企业与用户个人信息处理活动有关的合同、记录、账簿以及其他有关资料;
(三)检查寄递企业与用户个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,履行法定程序,可以查封或者扣押;
(四)法律、行政法规规定的其他措施。邮政管理部门依法履行职责,寄递企业应当予以协助、配合,不得拒绝、阻挠。
第二十七条 邮政管理部门在履行职责中发现寄递企业用户个人信息处理的活动存在较大风险或者发生寄递服务用户个人信息安全事件的,可依法对寄递企业的法定代表人或者主要负责人进行约谈,也可以要求寄递企业委托专业机构对其个人信息处理活动进行合规审计。寄递企业应当按照要求采取有效措施进行整改,消除用户个人信息安全隐患。
邮政管理部门发现寄递企业违法处理用户个人信息涉嫌犯罪的,应当及时移送公安机关。
第二十八条 寄递企业有下列违法情形,尚未造成用户个人信息泄露、丢失后果的,邮政管理部门应责令其改正,给予警告,有违法所得的,没收违法所得,对违法处理用户个人信息的寄递服务应用程序,责令暂停或者终止提供服务;拒不改正的,并处十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上三万元以下罚款。
(一)违反用户个人信息处理的合法条件的;
(二)违反用户个人信息保存期限的;
(三)未依法履行用户个人信息告知义务的;
(四)委托处理用户个人信息时,未依法履行用户个人信息保护义务的;
(五)合并、分立、解散、被宣告破产等情形下,未依法履行用户个人信息保护义务的;
(六)向其他个人信息处理者提供用户个人信息时,未依法履行用户个人信息保护义务的;
(七)向中华人民共和国境外提供用户个人信息时,未依法履行用户个人信息保护义务的。
寄递企业违反前款规定,造成用户个人信息泄露、丢失后果的,由邮政管理部门依据《中华人民共和国个人信息保护法》《中华人民共和国邮政法》《快递暂行条例》的规定给予行政处罚。
第二十九条 寄递企业有下列违法情形的,由邮政管理部门根据情节轻重,适用《中华人民共和国个人信息保护法》《快递暂行条例》的规定给予行政处罚。
(一)未依法建立内部安全管理制度,采取必要的技术措施的;
(二)未依法履行用户个人信息保护影响评估义务的;
(三)未依法对用户个人信息采取加密等安全保护措施的;
(四)未依法对用户个人信息进行去标识化处理的;
(五)未依法履行营业场所用户个人信息安全保护义务的;
(六)未依法确定和执行业务人员用户个人信息处理活动操作规程的;
(七)未依法建立用户个人信息保护负责人制度的;
(八)未依法履行与从业人员签订用户个人信息保护协议并进行教育、培训义务的;
(九)未依法履行对用户个人信息处理实时风险监测义务的;
(十)未依法履行制定信息安全事件应急预案并演练义务的;
(十一)未依法履行用户个人信息合规审计的;
(十二)未依法履行用户个人信息泄露时的补救和报告义务的。
第三十条 邮政管理部门可以在行业内通报寄递企业违反本办法的行为、个人信息安全事件,以及对有关责任人员进行处理的情况。必要时,可以向社会公布上述信息,但涉及国家秘密、商业秘密和个人隐私的除外。
第三十一条 寄递企业有违反本办法的违法行为的,邮政管理部门可依据有关法律、行政法规的规定将违法情况记入信用档案,并予以公示。
第三十二条 本办法自 起实施。
下载附件:
寄递服务用户个人信息安全管理办法(征求意见稿)
