快递服务用户信息安全保障体系

第一章一般原则

第一条为了加强邮政用户个人信息安全管理,保护用户合法权益,维护邮政通信和信息安全,促进邮政行业健康发展,根据《中华人民共和国邮政法》、《全国人民代表大会常务委员会市关于加强网络信息保护的规定》、《邮政行业安全监督管理办法》等法律、行政法规和有关规定,制定本规定。

第二条在中华人民共和国境内经营、使用寄递服务中涉及用户个人信息安全及相关监督管理的活动,适用本规定。

第三条本规定所称寄递服务用户个人信息,是指用户在使用寄递服务过程中的个人信息,包括寄件人(收件人)的姓名、地址、身份证号、电话号码、公司名称以及寄递明细、时间、物品明细等。

第四条寄递用户信息安全监督管理应当坚持安全第一、预防为主、综合治理的原则,确保用户个人信息安全。

第五条国务院邮政管理部门负责全国邮政行业寄递用户信息安全的监督管理。

省、自治区、直辖市邮政管理部门负责本行政区域内邮政用户信息安全的监督管理。

按照国务院规定设立的省级以下邮政管理机构负责本辖区内邮政行业用户信息安全的监督管理。

国务院邮政管理机构和省、自治区、直辖市邮政管理机构以及省级以下邮政管理机构统称邮政管理机构。

第六条邮政管理部门应当配合有关部门完善寄递用户信息安全保障机制,维护寄递用户信息安全。

第七条邮政企业、快递企业及其从业人员应当遵守国家有关信息安全管理的规定和本条例,防止寄递用户信息泄露或者丢失。

第二章总则

第八条邮政企业、快递企业应当建立健全寄递用户信息安全制度和措施,明确企业内部各部门、各岗位的安全责任,加强寄递用户信息安全管理和安全责任考核。

第九条以加盟方式从事快递业务的企业,应当在加盟协议中订立寄递用户信息安全条款,明确被特许人和被特许人的安全责任。特许经营者发生信息安全事故时,特许经营者应当依法承担相应的安全管理责任。

第十条邮政企业、快递企业应当与从业人员签订收发用户信息保密协议,明确保密义务和违约责任。

第十一条邮政企业、快递企业应当组织员工开展寄递用户信息安全保护相关知识和技能的培训,加强职业道德教育,不断提高员工的法制观念和责任意识。

第十二条邮政企业、快递企业应当建立寄递用户信息安全投诉处理机制,公布有效联系方式,及时受理和处理相关投诉。

第十三条邮政企业、快递企业受网络购物、电视购物、邮购等经营者委托提供寄递服务的,在与委托方签订协议时,应当订立寄递用户信息安全条款,明确信息使用范围和方式、信息交换安全保护措施、信息披露责任分工等内容。

第十四条邮政企业、快递企业委托第三方录入、传递用户信息的,应当确认其具备保障信息安全的能力,并订立信息安全条款,明确责任分工。因第三方的信息安全事故造成寄递用户信息泄露或者丢失的,邮政企业、快递企业应当依法承担相应责任。

第十五条未经法律明确授权或者用户书面同意,邮政企业、快递企业及其从业人员不得向任何单位或者个人提供寄递用户信息。

第十六条公安机关、国家安全机关、检察机关工作人员应当依照法律规定的程序阅读、核对寄递详细清单的实物和电子信息档案,邮政企业、快递企业应当予以配合,并为相关信息保密。

第十七条邮政企业、快递企业应当建立寄递用户信息安全应急机制。对寄递用户信息安全突发事故,应当立即采取补救措施,按照规定向邮政管理部门报告,并配合邮政管理部门和有关部门的调查处理工作,不得缓报、漏报、谎报或者隐瞒。

第三章发货明细表实物信息安全管理

第十八条邮政企业、快递企业应当加强寄递明细表管理,对空白寄递明细表的发放进行登记,并全程跟踪号段,形成跟踪记录。

第十九条邮政企业、快递企业应当加强对营业场所和处理场所的管理,禁止无关人员出入邮件(快件)处理和存放场所,禁止无关人员接触或者阅读邮件(快件),防止寄递细节物理信息(以下简称物理信息)在处理过程中泄露。

第二十条邮政企业、快递企业应当优化寄递流程,减少与物理信息处理环节和操作人员的接触。

第二十一条邮政企业、快递企业应当采取有效的技术手段,防止寄递过程中物理信息泄露。

第二十二条邮政企业、快递企业应当配备符合国家标准的安全监控设备,并安排具有专门技能的人员对收寄、分拣、运输和寄递过程中的物理信息处理进行安全监控。

第二十三条邮政企业、快递企业应当建立健全寄递明细实物档案管理制度,实行集中封闭管理,确定集中存放场所,及时收回并妥善保管寄递明细。集中存放场所的设立和变更应当及时向当地邮政管理部门报告。

第二十四条邮政企业、快递企业应当设立专人管理寄递明细实物档案的集中存放场所,并采取必要的安全防护措施,确保存放安全。

第二十五条邮政企业、快递企业应当建立并严格执行寄递明细实物档案查询管理制度。内部人员因工作需要查阅档案时,应确保档案完好并做好登记,不得擅自离开保管场所。

第二十六条交付细节的实物档案应当按照国家有关标准保存。保存期限届满后,企业将进行集中销毁,做好销毁记录,严禁丢弃或出售。

第二十七条邮政企业、快递企业应当定期对物理信息安全进行自查,记录自查情况,及时消除自查中发现的信息安全隐患。

第四章发货明细表电子信息安全管理

第二十八条邮政企业、快递企业应当按照国家规定,加强与寄递服务用户信息相关的信息系统和网络设施的安全管理。

第二十九条邮政企业、快递企业信息系统的网络架构应当符合国家信息安全管理规定,合理划分安全区域,实现安全区域之间的有效隔离,具有防范、监控和阻断来自内外网络的攻击和破坏的能力。

第三十条邮政企业、快递企业应当配备必要的防病毒软件和硬件,确保信息系统和网络具有防范计算机病毒、防止恶意代码破坏信息系统和网络、避免信息泄露或者篡改的能力。

第三十一条邮政企业、快递企业在建设信息系统和网络时,应当避免使用信息系统和网络提供者提供的默认密码和安全参数,对通过开放公共网络传输的投递用户信息采取加密措施,严格审查和监控远程访问信息系统和网络设备。

第三十二条邮政企业、快递企业在采购计算机软件、硬件产品或者技术服务时,应当与供应商签订保密协议,明确其安全责任以及配合邮政管理部门和有关部门调查信息安全事件的义务。

第三十三条邮政企业、快递企业应当建立信息系统安全内部审计制度,定期开展内部审计,对发现的问题及时整改。

第三十四条邮政企业、快递企业应当加强信息系统和网络的权限管理,按照最小权限和权限分离的原则,向员工分配最小操作权限和最小可访问信息范围。

邮政企业和快递企业要加强信息系统和数据库的管理,使网络管理者只有维护和优化信息系统、数据库和网络的权限。网络管理员的维护操作必须由安全管理员授权,并由安全审计员监控和审计。

第三十五条邮政企业、快递企业应当加强信息系统密码管理,使用高安全性密码策略,定期更换密码,禁止向无关人员泄露密码。

第三十六条邮政企业和快递企业应当加强寄递用户电子信息的存储安全管理,包括:

(1)使用独立的物理区域存储和传递用户信息,禁止未经授权的人员进出该区域;

(2)以加密方式存储和传递用户信息;

(三)确保包含用户信息的计算机、移动设备和移动存储介质的安全使用、存储和处置。明确管理数据存储设备和介质的责任人,建立设备和介质的使用和借阅登记制度,限制设备输出接口的使用。存储设备和介质报废的,应当及时删除已交付的用户信息数据,并销毁硬件。

第三十七条邮政企业、快递企业应当加强寄递用户信息的应用安全管理,对所有批量导出、复制、销毁用户个人信息的操作进行审核,采取防泄露措施,记录操作的人员、时间、地点和事项,进行信息安全审核。

第三十八条邮政企业、快递企业应当加强对下班人员的信息安全审核,及时删除或者停用下班人员的系统账号。

第三十九条邮政企业、快递企业应当制定信息系统与市场相关主体安全互联的技术规范,对存储寄递服务信息的信息系统进行准入审查,并定期进行安全风险评估。

第五章监督管理

第四十条邮政管理机构应当依法履行下列职责:

(一)制定保障交付用户信息安全的政策、制度和相关标准,并监督实施;

(二)督促和指导邮政企业、快递企业落实信息安全责任制,督促企业加强寄递用户的信息安全管理;

(三)寄递用户信息安全的监测、预警和应急管理;

(四)监督和指导邮政企业、快递企业开展寄递用户信息安全宣传、教育和培训;

(五)依法监督检查邮政企业、快递企业的信息安全;

(六)组织或者参与寄递用户信息安全事故调查,依法查处违反寄递用户信息安全管理规定的行为;

(七)法律、行政法规和规章规定的其他职责。

第四十一条邮政管理部门应当加强对邮政用户信息安全管理制度和知识的宣传,强化邮政企业、快递企业及其从业人员的信息安全管理意识,提高用户个人信息安全保护意识。

第四十二条邮政管理部门应当加强对邮政用户信息安全运行的监测和预警,建立信息管理系统,收集和分析与信息安全相关的各类信息。

下级邮政管理机构应当及时向上一级邮政管理机构报告邮政用户信息安全情况,并根据需要通报工业和信息化、通信管理、公安、国家安全、商务、工商行政管理等相关部门。

第四十三条邮政管理部门应当检查邮政企业、快递企业信息安全管理制度建立和执行情况,规范从业人员信息安全防护行为,防范信息安全风险。

第四十四条邮政管理部门发现邮政企业、快递企业违反寄递用户信息安全管理规定,妨碍或者可能妨碍寄递用户信息安全的,应当依法查处。违法行为涉及其他部门管理权限的,由邮政管理部门会同有关部门对涉及的邮政企业、快递企业进行查处。

第四十五条邮政管理部门应当加强对邮政企业、快递企业及其从业人员遵守本规定的监督检查。

第四十六条邮政企业、快递企业拒绝配合寄递用户信息安全监督检查的,依照《中华人民共和国邮政法》第七十七条的规定予以处罚。

第四十七条邮政企业、快递企业及其从业人员因泄露、投递用户信息给用户造成损失的,应当依法予以赔偿。

第四十八条邮政企业、快递企业及其从业人员非法提供寄递用户信息,尚不构成犯罪的,依照《中华人民共和国邮政法》第七十六条的规定处罚。构成犯罪的,移送司法机关追究刑事责任。

第四十九条任何单位和个人有权向邮政管理部门举报违反本规定的行为。邮政管理部门接到报告后,应当依法及时处理。

第五十条邮政管理部门可以向邮政企业、快递企业通报其违反寄递用户信息安全管理规定的行为和信息安全事件,以及对相关责任人员的行业处理情况。上述信息在必要时可以向社会公布,但涉及国家秘密、商业秘密和个人隐私的除外。

第五十一条邮政管理部门及其工作人员应当对在履行职责过程中知悉的寄递用户信息保密,不得泄露、篡改、毁损,不得出售或者非法提供给他人。

第五十二条邮政管理部门的工作人员在邮政用户信息安全监督管理工作中滥用职权、玩忽职守、徇私舞弊的,依照《邮政行业安全监督管理办法》第五十五条的规定处理。