用户个人电子信息保护技术要求和管理要求.docxVIP

用户个人电子信息保护技术要求和管理要求 PAGE 1 目录 TOC \o 1-3 \h \z \u 1. 概述 1 1.1. 范围 1 1.2. 安全防护内容 1 2. 安全防护要求 2 2.1. 收集环节 2 2.1.1. 管理要求 2 2.1.2. 技术要求 3 2.2. 存储环节 3 2.2.1. 管理要求 3 2.2.2. 技术要求 3 2.3. 操作环节 4 2.3.1. 管理要求 4 2.3.2. 技术要求 5 2.4. 转移环节 7 2.4.1. 管理要求 7 2.4.2. 技术要求 8 2.5. 删除环节 8 2.5.1. 管理要求 8 2.5.2. 技术要求 8 概述 范围 用户个人电子信息是指信息服务提供者在提供服务的过程中以电子形式存储和使用的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点、通信内容等信息。 用户个人电子信息按照内容可以分为身份信息、鉴权信息、日志信息和内容信息，具体如下： ◆身份信息：指能够单独或相互结合识别特定用户身份的信息，如用户基本资料、通讯录信息和虚拟身份信息等。个人用户基本资料包括个人姓名、出生日期、个人有效证件类别和号码、职业、单位、居住地址、家庭成员信息和通信联系方式等；单位用户基本资料包括单位名称、单位有效证件类别和号码、办公或注册地址、通信联系方式、单位负责人和联系人基本信息等。通信录信息包括存储于用户终端设备或同步到服务器上的联系人列表、电话号码薄等。虚拟身份信息包括用户昵称、级别和积分等。 ◆鉴权信息：指用于鉴定用户身份是否合法的信息，如用户登录各种业务系统的账号和密码、服务密码等。 ◆日志信息：指用户使用业务过程中产生的信息，如用户消费信息、服务订购关系、终端信息、访问信息（如IP地址）、位置信息、使用服务的时间及使用相关业务的记录（如通话详单、网页购物记录、搜索内容等）。 ◆内容信息：指用户使用业务过程中所传递的信息内容，如短信内容记录、移动上网内容及记录、应用平台上交互的信息内容等。 安全防护内容 用户个人电子信息的生命周期可分为收集、存储、操作、转移、删除五个环节。对用户个人电子信息的安全防护要求贯穿于五个环节中； ◆ 收集环节：指对用户个人电子信息进行获取并记录的过程。 ◆ 存储环节：指用户个人电子信息在通信网络单元中存储的过程。 ◆ 操作环节：指用户个人电子信息收集者操作使用信息的过程。 ◆ 转移环节：指用户个人电子信息从收集者向第三者的流转过程，包括向公众或特定对象公开、合伙伙伴间信息共享、委托加工等情形。 ◆ 删除环节：指使用户个人电子信息在信息系统中不再可用的过程。 安全防护要求 收集环节 管理要求 收集用户个人电子信息应当有正当、明确的目的。 收集用户个人电子信息时，应满足以下条件之一：; 1）法律法规明确授权或经用户同意； 2）与用户有合法的合同关系； 3）用户自行公开或已合法公开的信息。 收集用户个人电子信息前应采用用户能够知悉的方式，至少向用户明确告知如下事项： 1）收集用户个人电子信息的目的、方式、类别和留存时限； 2）用户个人电子信息的使用范围，包括披露或向其他组织和机构提供用户个人电子信息范围； 3）用户个人电子信息的保护措施； 4）提供用户个人电子信息后可能存在的风险； 5）不提供用户个人电子信息可能出现的后果； 6）用户个人电子信息管理者的名称、地址、联系方式等信息； 7）用户的投诉渠道。 d）应只收集能够达到已告知目的的最少信息，不得收集与其所告知的收集目的无直接关系的用户个人电子信息。 应采用已告知的手段和方式直接向用户收集用户个人电子信息，不采取隐蔽手段或以间接方式收集用户个人电子信息。 技术要求 a）通过在线方式进行用户身份信息收集时，应使用加密传输以保障用户在线提交信息的安全性。 b）应对用户设置访问控制，每个用户只能访问自己所上传的用户信息。 c）用户鉴权信息应有位数要求，并有复杂度要求（使用大写字母、小写字母、数字、标点及特殊字符四种字符中至少三种的组合，且与用户名无相关性）。 d）应对收集用户个人电子信息的操作进行日志记录，并对日志记录中的身份信息和鉴权信息进行模糊化处理。 e）身份信息、鉴权信息在用户端显示时应进行模糊化处理，如：用户注册面页身份证号码显示、密码找回页面手机号码显示、密码找回页面邮箱显示、用户输入密码显示等。 存储环节 管理要求 a）对于存储用户个人电子信息的存储介质（如磁阵、硬盘和磁带等）的维护、更换、升级和销毁等操作和管理流程，应制定严格的登记和审批制度并落实。 b）应采取有效的管理手段加