電信運(yùn)營商客戶信息保護(hù)管理辦法第一章總則第一條目的與依據(jù)為規(guī)范電信運(yùn)營商客戶信息的收集、存儲(chǔ)、使用、傳輸、銷毀等全生命周期管理，保障客戶合法權(quán)益，維護(hù)信息安全與市場(chǎng)秩序，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)，結(jié)合電信行業(yè)特點(diǎn)及本運(yùn)營商實(shí)際情況，制定本辦法。第二條定義本辦法所稱客戶信息，是指電信運(yùn)營商在提供服務(wù)過程中收集、產(chǎn)生的，能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括但不限于身份信息、通信信息、賬戶信息、使用記錄等。第三條適用范圍本辦法適用于本運(yùn)營商及所屬各單位（以下統(tǒng)稱“各單位”）在各項(xiàng)業(yè)務(wù)活動(dòng)中涉及客戶信息的所有環(huán)節(jié)和相關(guān)人員。外包服務(wù)提供商及其他合作方涉及客戶信息處理的，參照本辦法進(jìn)行管理和約束。第四條基本原則客戶信息保護(hù)遵循以下原則：（一）合法正當(dāng)原則：收集、使用客戶信息必須符合法律法規(guī)規(guī)定，遵循正當(dāng)程序，不得利用客戶信息從事違法違規(guī)活動(dòng)。（二）最小必要原則：僅收集與提供服務(wù)直接相關(guān)的、實(shí)現(xiàn)業(yè)務(wù)功能所必需的客戶信息，避免過度收集。（三）安全可控原則：建立健全客戶信息安全保障體系，采取必要措施確?？蛻粜畔⒌谋Ｃ苄?、完整性和可用性，防止信息泄露、丟失或被篡改。（四）權(quán)責(zé)統(tǒng)一原則：明確各單位、各崗位在客戶信息保護(hù)中的職責(zé)與權(quán)限，確保責(zé)任落實(shí)到人。（五）知情同意原則：在收集客戶信息前，應(yīng)明確告知收集目的、范圍及使用方式，并獲得客戶的明示同意。第二章客戶信息管理要求第五條客戶信息收集（一）各單位應(yīng)明確客戶信息收集的范圍和目的，確保收集行為與業(yè)務(wù)需求直接相關(guān)。（二）收集客戶信息時(shí)，應(yīng)通過顯著方式、清晰易懂的語言向客戶明示信息收集的目的、方式、范圍以及信息使用規(guī)則等事項(xiàng)，并獲得客戶的明確同意。客戶不同意的，不得以此為由拒絕提供基礎(chǔ)電信服務(wù)。（三）禁止以欺詐、誤導(dǎo)、強(qiáng)迫等不正當(dāng)方式收集客戶信息。禁止收集與提供的服務(wù)無關(guān)的客戶信息。（四）通過合作渠道收集客戶信息的，應(yīng)與合作方簽訂協(xié)議，明確雙方在信息收集、使用、保護(hù)等方面的責(zé)任，并對(duì)合作方的信息收集行為進(jìn)行監(jiān)督。第六條客戶信息存儲(chǔ)與傳輸（一）客戶信息應(yīng)存儲(chǔ)在安全可控的系統(tǒng)中，并采取加密、訪問控制等安全保護(hù)措施。（二）嚴(yán)格按照法律法規(guī)規(guī)定的期限存儲(chǔ)客戶信息。超出存儲(chǔ)期限的，應(yīng)及時(shí)、安全地予以刪除或匿名化處理。（三）客戶信息在傳輸過程中應(yīng)采取加密等安全措施，防止信息泄露或被非法截取。（四）禁止將客戶信息存儲(chǔ)在未經(jīng)授權(quán)的外部系統(tǒng)或介質(zhì)中。第七條客戶信息使用與加工（一）客戶信息的使用應(yīng)限于已告知客戶的范圍和目的。如需超出原范圍和目的使用，應(yīng)再次獲得客戶同意。（二）對(duì)客戶信息進(jìn)行加工、分析以提供個(gè)性化服務(wù)或開展業(yè)務(wù)優(yōu)化的，不得損害客戶合法權(quán)益，且加工結(jié)果應(yīng)符合法律法規(guī)要求。（三）禁止出售、泄露、非法向他人提供客戶信息。因業(yè)務(wù)需要向關(guān)聯(lián)方或第三方提供客戶信息的，應(yīng)確保接收方具備相應(yīng)的信息保護(hù)能力，并事先獲得客戶的明示同意，同時(shí)對(duì)信息提供行為進(jìn)行記錄和管理。（四）在使用客戶信息時(shí)，應(yīng)采取措施防止信息被濫用或誤用。第八條客戶信息查詢與訪問（一）建立嚴(yán)格的客戶信息查詢與訪問權(quán)限管理制度。僅授權(quán)因工作需要必須接觸客戶信息的人員，并為其分配最小必要的操作權(quán)限。（二）客戶信息的查詢、訪問應(yīng)遵循“誰查詢、誰負(fù)責(zé)”的原則，進(jìn)行詳細(xì)的日志記錄，包括查詢?nèi)恕⒉樵儠r(shí)間、查詢內(nèi)容、查詢?cè)虻?。第九條客戶信息刪除與銷毀（一）客戶注銷業(yè)務(wù)或提出刪除特定信息的合理請(qǐng)求時(shí)，應(yīng)在核實(shí)身份后，及時(shí)刪除相關(guān)信息或進(jìn)行匿名化處理，法律法規(guī)另有規(guī)定的除外。（二）對(duì)于廢棄的存儲(chǔ)介質(zhì)（如硬盤、U盤等），應(yīng)采取物理銷毀、數(shù)據(jù)擦除等方式確?？蛻粜畔o法被恢復(fù)。（三）信息系統(tǒng)退役或數(shù)據(jù)遷移時(shí)，應(yīng)對(duì)原系統(tǒng)中的客戶信息進(jìn)行妥善處理，確保數(shù)據(jù)安全轉(zhuǎn)移或徹底銷毀。第三章安全保障措施第十條組織與制度保障（一）公司層面應(yīng)設(shè)立或明確客戶信息保護(hù)的牽頭管理部門，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)客戶信息保護(hù)工作，制定和完善相關(guān)制度與流程。（二）各單位應(yīng)指定專人負(fù)責(zé)本單位的客戶信息保護(hù)工作，落實(shí)各項(xiàng)保護(hù)措施。（三）建立健全客戶信息安全管理制度體系，包括但不限于信息分類分級(jí)、訪問控制、安全審計(jì)、應(yīng)急處置等制度。第十一條技術(shù)安全保障（一）對(duì)客戶信息系統(tǒng)采取必要的技術(shù)防護(hù)措施，包括但不限于防火墻、入侵檢測(cè)/防御系統(tǒng)、數(shù)據(jù)加密、防病毒軟件等，保障系統(tǒng)安全穩(wěn)定運(yùn)行。（二）采用數(shù)據(jù)脫敏、數(shù)據(jù)備份與恢復(fù)等技術(shù)手段，降低信息泄露風(fēng)險(xiǎn)，確保數(shù)據(jù)可用性。（三）對(duì)客戶信息的訪問、操作行為進(jìn)行實(shí)時(shí)監(jiān)控與審計(jì)，及時(shí)發(fā)現(xiàn)和處置異常行為。（四）定期開展信息系統(tǒng)安全評(píng)估和漏洞掃描，及時(shí)修復(fù)安全隱患。第十二條人員管理與培訓(xùn)（一）對(duì)接觸客戶信息的員工進(jìn)行背景審查，簽訂保密協(xié)議，明確其信息保護(hù)責(zé)任和義務(wù)。（二）定期組織開展客戶信息保護(hù)法律法規(guī)、政策標(biāo)準(zhǔn)及安全技能培訓(xùn)，提高員工的信息安全意識(shí)和操作水平。（三）建立員工離崗離職信息安全管理流程，及時(shí)回收其訪問權(quán)限，清除其持有的客戶信息。第十三條應(yīng)急處置與事件響應(yīng)（一）制定客戶信息泄露等安全事件應(yīng)急預(yù)案，明確應(yīng)急處置流程、責(zé)任分工和保障措施。（二）定期組織應(yīng)急演練，提高應(yīng)對(duì)突發(fā)事件的能力。（三）發(fā)生客戶信息泄露等安全事件時(shí)，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，采取補(bǔ)救措施，防止事態(tài)擴(kuò)大，并按照規(guī)定及時(shí)向監(jiān)管部門和受影響客戶報(bào)告。第四章監(jiān)督檢查與責(zé)任追究第十四條內(nèi)部監(jiān)督檢查（一）公司相關(guān)管理部門應(yīng)定期或不定期對(duì)各單位客戶信息保護(hù)工作的落實(shí)情況進(jìn)行監(jiān)督檢查和審計(jì)，及時(shí)發(fā)現(xiàn)問題并督促整改。（二）鼓勵(lì)員工對(duì)違反客戶信息保護(hù)規(guī)定的行為進(jìn)行舉報(bào)，對(duì)舉報(bào)屬實(shí)的給予適當(dāng)獎(jiǎng)勵(lì)，并對(duì)舉報(bào)人信息予以保密。第十五條責(zé)任追究（一）對(duì)違反本辦法規(guī)定，造成客戶信息泄露、丟失、濫用等不良后果的單位和個(gè)人，將根據(jù)情節(jié)輕重，按照公司相關(guān)規(guī)定予以嚴(yán)肅處理，包括但不限于通報(bào)批評(píng)、經(jīng)濟(jì)處罰、紀(jì)律處分等。（二）情節(jié)嚴(yán)重，觸犯法律法規(guī)的，將移交司法機(jī)關(guān)依法追究法律責(zé)任。（三）因客戶信息泄露給客戶造成損失的，應(yīng)依法承擔(dān)相應(yīng)的賠償責(zé)任。第五章附則第十六條解釋權(quán)本辦法