寄递服务用户个人信息安全管理办法(征求意见稿)第一条 为保护寄递服务用户个人信息权益,规范寄递 企业用户个人信息处理活动,根据《中华人民共和国邮政法》《中华人民共和国网络安全法》《中华人民共和国数据安全 法》《中华人民共和国个人信息保护法》《快递暂行条例》等法律、行政法规,制定本办法。第二条 在中华人民共和国境内经营和使用寄递服务涉及用户个人信息安全的活动以及邮政管理部门监督管理工作,适用本办法。第三条 本办法所称寄递服务用户个人信息是指寄递企 业在提供寄递服务过程中获取的,以电子或者其他方式记录的,与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。本办法所称寄递服务用户个人信息处理活动,是指寄递企业在提供寄递服务过程中收集、存储、使用、加工、传输、提供、公开、删除用户个人信息等活动。第四条 寄递企业用户个人信息处理活动应当坚持合法 、正当、必要、诚信原则,寄递企业不得从事与寄递服务目的无关的个人信息处理活动。第五条 寄递企业不得非法收集、使用、加工、传输用户个人信息,不得非法买卖、提供或公开用户个人信息,不得从事危害国家安全、公共利益的用户个人信息处理活动。第六条 邮政管理部门依法履行寄递服务用户个人信息保护的监督管理职责。邮政管理部门与有关部门相互配合,健全寄递服务用户个人信息安全保障机制,维护寄递服务用户个人信息安全。第七条 寄递企业可基于下列情形之一处理用户个人信息:(一)取得用户个人同意;(二)为订立、履行寄递服务合同所必需;(三)为履行法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)法律、行政法规规定的其他情形。寄递企业处理用户个人信息包括敏感个人信息时,应当遵守相关法律法规规定。第八条 除征得用户个人同意外,寄递企业保存用户个人信息的期限不得超过收集之日起三年,法律、行政法规另有规定的,从其规定。保存期限届满,寄递企业应当主动删 除用户个人信息。删除个人信息从技术上难以实现的,寄递企业应当停止除存储和采取必要的安全保护措施之外的处理。第九条 寄递企业在处理用户个人信息前,应当通过合同或者其他显著方式以清晰易懂的语言真实、准确、完整地向用户告知处理个人信息的目的、处理方式、保存期限、本企业联系方式、用户投诉机制等事项。寄递服务用户要求查阅其使用寄递服务相关的个人信息的,寄递企业应当及时提供。第十条 寄递企业委托第三方或者其他寄递企业对用户个人信息进行处理的,应当与受托人约定委托处理的目的、个人信息的种类、期限、处理方式、保护措施、泄密的法律 责任以及双方的权利和义务等事项,并对受托人的个人信息处理活动进行监督。委托合同不生效、无效、被撤销或者终止的,寄递企业 应当要求受托人返还委托处理的用户个人信息,无法返还的应当监督其删除。受托方发生寄递服务用户个人信息安全事件导致信息泄露、篡改、丢失的,寄递企业应当依法承担相应责任。第十一条 寄递企业因合并、分立、解散、被宣告破产等原因需要转移用户个人信息的,应当向用户告知接收方的 名称或者姓名和联系方式,接收方应继续履行个人信息保护 义务。接收方变更原处理目的、处理方式的,需要重新取得个人同意。寄递企业解散、被宣告破产且无接收方的,应当删除用户个人信息。第十二条 寄递企业向信息汇聚平台等其他个人信息处理者提供用户个人信息的,应当向用户告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得用户个人的单独同意。第十三条 寄递企业因业务等需要,确需向中华人民共 和国境外提供用户个人信息的,应当按照相关法律法规的规定执行。寄递企业处理的用户个人信息达到国家网信部门规定数量的,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。第十四条 寄递企业应当根据用户个人信息的处理目的 、处理方式、个人信息的种类,以及...
