第一条为了保护内部用户和互联网用户的合法权益,维护用户个人信息安全,根据《中华人民共和国网络安全法》、《电信和互联网用户个人信息保护规定》、《个人信息安全规范》和《互联网信息服务管理办法》等法律法规,制定本制度。
第二条本制度适用于对天河市场监督管理局的信息系统提供社会公众服务和本单位内部信息服务过程中收集、使用个人信息相关活动中的用户信息保护。
第三条本制度所称用户个人信息,是指本单位提供公众服务和单位内部信息服务提供者在提供服务的过程中收集的用户名、姓名、性别、单位、联系电话、邮箱、身份证件号码、出生日期、住址、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
第四条本单位内为社会公众提供服务的网站、应用系统责任单位和单位内部信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。
第五条本单位内为社会公众提供服务的网站、应用系统责任单位和单位内部信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。
第六条本单位内为社会公众提供服务的网站、应用系统责任单位和单位内部信息服务提供者应当明确用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。
第七条未经用户同意,本单位内为社会公众提供服务的网站、应用系统责任单位和单位内部信息服务提供者不得收集、使用用户个人信息。
第八条本单位内为社会公众提供服务的网站、应用系统责任单位和单位内部信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。
第九条本单位内为社会公众提供服务的网站、应用系统责任单位和单位内部信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。
第十条本单位内为社会公众提供服务的网站、应用系统责任单位和单位内部信息服务提供者在用户终止或者不同意使用服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。
第十一条本单位内为社会公众提供服务的网站、应用系统责任单位和单位内部信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十二条因业务需要,确需要向境外提供的,应当按照国家网信办和国务院有关部门制定的办法进行安全评估。
第十三条本单位内为社会公众提供服务的网站、应用系统责任单位和单位内部信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:
1、确定各部门和岗位的用户个人信息安全管理相关责任;
2、建立用户个人信息收集、使用及其相关活动的工作流程和安全管理措施;
3、对工作人员实行严格的权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;
4、收集和产生的公民个人信息和重要业务数据应当在境内存储;
5、妥善保管记录用户个人信息的纸介质、光介质、电磁介质、数据介质等载体,并采取相应的安全储存措施;
6、对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等安全措施;
7、记录对用户个人信息进行操作的人员、时间、地点、事项等信息;
8、按照国家相关法律法规开展信息安全风险评估、安全检测等工作。
第十四条本单位内为社会公众提供服务的网站、应用系统责任单位和单位内部信息服务提供者应当与其工作人员签订安全保密责任书,并进行用户个人信息保护相关知识和安全责任培训。
第十五条本单位内为社会公众提供服务的网站、应用系统责任单位和单位内部信息服务提供者应当对用户个人信息保护情况定期(至少每年一次)进行自查,记录自查情况,及时消除自查中发现的安全问题或隐患。
第十六条本单位应当对为社会公众提供服务的网站、应用系统责任单位和单位内部信息服务提供者保护用户个人信息的情况实施监督检查。
第十七条本单位实施监督检查过程中,应当记录监督检查相关情况,不得妨碍为社会公众提供服务的网站、应用系统责任单位和单位内部信息服务提供者正常的经营或者服务活动,不得向用户收取任何费用。
第十八条本单位工作人员对在履行职责中知悉的用户个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十九条本文件由天河市场监督管理局制定、解释和组织修订。
第二十条本文件自发布之日起执行。