《寄递用户个人信息安全管理规定》草案

(征求意见稿)

第一条   为加强寄递用户个人信息安全管理，保护用户合  法权益 ，  维护邮政通信与信息安全 ，促进邮政行业健康发展 ， 根据《中华人民共和国邮政法》《中华人民共和国网络安全法》 《中华人民共和国数据安全法》《中华人民共和国个人信息保  护法》以及《快递暂行条例》《邮政业寄递安全监督管理办法》 等法律、行政法规和有关规定 ，  制定本规定。

第二条   在中华人民共和国境内经营和使用寄递服务涉 及用户个人信息安全的活动以及邮政管理部门监督管理工作， 适用本规定。

第三条   本规定所称寄递用户个人信息，是指用户在使用 寄递服务过程中记录的个人信息 ，包括寄 ( 收) 件人的姓名、 身份证件号码、地址 、电话号码、单位名称、个人生物识别信 息以及寄递运单号 、  时间 、物品明细等信息。

第四条   邮政管理部门应当与有关部门相互配合，健全寄 递用户个人信息安全保障机制 ，  维护寄递用户个人信息安全。

第五条    寄递企业应当建立健全寄递用户个人信息安全 保障制度和措施 ，明确企业部门、岗位的安全保护责任，合理 确定寄递用户个人信息处理的操作权限，定期对从业人员进行安全教育和培训。

第六条   使用统一 的商标、字号或者快递运单经营快递业 务的 ，  商标 、字号或者快递运单所属企业应当对使用其商标、 字号或者快递运单的企业的信息安全保障实行统一管理，发生 寄递用户个人信息安全事件时 ，  应当依法承担相应责任。

第七条   寄递企业收集寄递用户个人信息应仅限于实现 完成寄递服务全流程操作 目 的的最小范围，不得过度收集用户 个人信息。

寄递企业应当与其从业人员签订寄递用户个人信息保密 协议 ，  明确保密义务和违约责任。

第八条   寄递企业为完成寄递服务全流程操作委托第三 方或者其他寄递企业等开展代收代投、清关等业务，需要对寄 递用户个人信息数据进行委托处理时，应当事前进行寄递用户 个人信息保护影响评估 ，  并依法约定委托处理的 目 的 、期限、 处理方式、个人信息种类、保护措施及双方权利义务，并对受 托人的个人信息处理活动进行监督。

受托方发生寄递用户个人信息安全事件导致信息泄露、篡 改、丢失的 ，  寄递企业应当依法承担相应责任。

第九条    寄递企业应当建立寄递用户个人信息安全投诉 处理及请求响应机制，公布有效联系方式，接受并及时处理有 关投诉及请求。

第十条    寄递企业应当建立寄递用户个人信息安全应急 处置机制 。发现信息安全隐患、漏洞等风险的，或者发生信息安全突发事件的，应当立即采取处置措施，按照规定报告邮政 管理部门 ，  并配合邮政管理部门和相关部门的调查处理工作， 不得迟报、漏报、谎报、瞒报。

第十一条   处理寄递用户个人信息达到国家网信部门规 定数量的寄递企业应当指定寄递用户个人信息保护负责人，负 责对信息处理活动以及采取的保护措施等进行监督，并公开寄 递用户个人信息保护负责人的联系方式，将负责人的姓名、联 系方式等向所在地市级邮政管理部门报备 。  负责人发生变更 的 ，  应在5 个工作 日 内重新报备并公告。

前款规定的寄递企业应当按照国家规定建立健全寄递用 户个人信息保护合规制度体系，成立主要由外部成员组成的独 立机构对保护情况进行监督；应当定期发布寄递用户个人信息 保护社会责任报告 ，接受社会监督。

第十二条   寄递企业因业务等需要，确需向中华人民共和 国境外提供寄递用户个人信息的，应当按照相关法律法规的规 定执行。

第十三条    寄递企业应当对寄递运单单号资源实施全过 程管理，并采用射频识别 、虚拟安全号码、电子纸等有效技术 手段对寄递运单信息进行去标识化处理，防止运单信息在寄递 过程中泄露。

寄递企业与电商平台或者寄递电子运单集成系统运营企 业等第三方对接寄递信息或者授权使用分配本企业单号资源时，应要求其对寄递运单信息进行去标识化处理，并确保不影 响正常寄递服务。经评估，存在寄递用户个人信息安全风险或 可能影响正常寄递服务的，寄递企业不得对接寄递信息或授权 使用 、分配本企业单号资源。

法院传票等对寄递用户个人信息有明确公开要求的，可以 不对寄递运单信息进行去标识化处理。

第十四条   寄递企业应当保证建设与寄递用户个人信息 相关的信息系统时，在网络传输 、访问控制 、终端防护 、恶意 代码防护、监控审计等方面采取有效措施，确保同步规划、同 步建设和同步使用。

寄递企业应当建立存储介质使用管理制度，使用独立物理 区域采用加密方式存储用户个人信息 ，  加强存储安全管理。

第十五条   寄递企业应当加强寄递用户个人信息的应用 安全管理，对所有批量导出、复制、销毁等操作进行事先审核， 采取防泄密措施，并记录保存操作人员、时间、地点和事项等 信息 ，作为信息安全审计依据。

寄递企业应当加强对离岗人员的信息安全审计，删除或者 禁用离岗人员系统账户。

第十六条   寄递企业应当强化对寄递用户个人信息安全 的实时监测能力，严格落实安全管理和技术防范措施，防范和 遏制重大安全风险 、事件发生。

第十七条   寄递企业应当制定本企业与市场相关主体的信息系统互联的安全技术规则，对存储寄递用户个人信息的信 息系统实行接入审查 ，定期进行安全风险评估。

第十八条   寄递企业应当加强营业场所、处理场所管理 ， 严禁无关人员进出相关场所，严禁无关人员接触、翻阅、留存、 拍照 、摄录 、复制 、传抄寄递运单。

第十九条    邮政管理部门发现寄递企业存在违反本规定 行为，妨害或者可能妨害个人信息安全保护的，应当依法调查 处理。违法行为涉及其他部门管理职权的，应当依法向相关部 门移送线索。

第二十条   本规定自 2023 年 X 月 X 日起施行，原 2014 年 3 月 19 日发布的《寄递服务用户个人信息安全管理规定》同时废止。