電信業務經營者、互聯網信息服務提供者在收集、使用用戶個人信息時,應當明確告知用戶收集、使用信息的目的、方式和範圍,查詢、更正信息的渠道以及拒絕提供信息的後果。
電信業務經營者、互聯網信息服務提供者不得收集提供服務所必需的以外的用戶個人信息或者將該信息用於提供服務以外的目的,不得以欺騙、誤導、脅迫或者違反法律、行政法規和雙方約定的方式收集、使用信息。
電信業務經營者、互聯網信息服務提供者應當在用戶停止使用電信業務或者互聯網信息服務後,停止收集、使用用戶個人信息,並向用戶提供註銷號碼或者賬戶的服務。
法律、行政法規對本條第壹款至第四款規定的情形另有規定的,從其規定。第十條電信業務經營者、互聯網信息服務提供者及其工作人員應當對在提供服務過程中收集、使用的用戶個人信息嚴格保密,不得泄露、篡改或者毀損,不得出售或者非法提供給他人。第十壹條電信業務經營者、互聯網信息服務提供者委托他人代理營銷、技術服務等直接面向用戶的服務,涉及收集、使用用戶個人信息的,應當對代理人保護用戶個人信息的情況進行監督管理,不得委托不符合本規定用戶個人信息保護要求的代理人代理相關服務。第十二條電信業務經營者、互聯網信息服務提供者應當建立用戶投訴處理機制,公布有效聯系方式,受理涉及用戶個人信息保護的投訴,並自收到投訴之日起15日內回復投訴人。第三章安全措施第十三條電信業務經營者、互聯網信息服務提供者應當采取下列措施,防止用戶個人信息被泄露、損毀、篡改或者丟失:
(壹)確定各部門、各崗位、各分支機構的用戶個人信息安全管理職責;
(二)建立用戶個人信息收集、使用及相關活動的工作流程和安全管理制度;
(三)對工作人員和代理人實施權限管理,審查批量導出、復制和銷毀信息,並采取防泄密措施;
(四)妥善保管記錄用戶個人信息的紙質介質、光學介質、電磁介質等載體,並采取相應的安全存儲措施;
(五)對存儲用戶個人信息的信息系統實施訪問審查,並采取防入侵和防病毒措施;
(六)記錄操作用戶個人信息的人員、時間、地點、事項等信息;
(七)按照電信管理機構的規定開展通信網絡安全保護工作;
(八)電信管理機構規定的其他必要措施。第十四條電信業務經營者、互聯網信息服務提供者保存的用戶個人信息發生或者可能發生泄露、損毀、丟失的,應當立即采取補救措施;造成或者可能造成嚴重後果的,應當立即向準予許可或者備案的電信管理機構報告,並配合有關部門的調查處理。
電信管理機構應當對舉報或者發現的可能違反本規定的行為進行影響評估;影響特別重大的,相關省、自治區、直轄市通信管理局應當向工業和信息化部報告。電信管理機構在依照本規定作出決定前,可以要求電信業務經營者、互聯網信息服務提供者暫停相關行為,電信業務經營者、互聯網信息服務提供者應當執行。