国家邮政局颁布《寄递服务用户个人信息安全管理规定》
2014年3月26日,国家邮政局颁布了《寄递服务用户个人信息安全管理规定》(以下简称“《管理规定》”)。这是继工信部、工商局、卫计委等部门根据全国人大常委会《关于加强网络信息保护的规定》制定行业内个人信息保护的规定后,又一部门推出的专门规定。也可以看出国家邮政局希望通过部门规章改善和解决最近在寄递服务领域多次出现个人信息泄露事件的努力。
明确定义寄递服务个人信息
《中国人民共和国邮政法》(2009)(以下简称“《邮政法》”)仅原则性的规定保护“用户使用邮政服务或者快递服务的信息”。《管理规定》则对寄递服务用户个人信息作出明确定义,即包括“用户在使用寄递服务过程中的个人信息,包括寄(收)件人的姓名、地址、身份证件号码、电话号码、单位名称,以及寄递详情单号、时间、物品明细等内容”。
用户个人信息安全保护
《管理规定》分五章围绕“用户个人信息安全”制定了一整套的保护规定,例如:
要求企业内部制定信息安全保障制度和措施;
要求各种协议中增加用户信息安全保障条款;
要求企业对员工进行用户信息安全保护相关的知识和技能培训等。
《管理规定》并就用户个人信息的纸质载体和电子载体两种不同情况,针对不同的存储和管理特点作出了相应的具体制度要求。
配套规定强化发生安全事故时的报告义务
与《管理规定》同日发布和实施的还有《邮政行业安全信息报告和处理规定》,要求用户使用寄递服务的信息遭非法泄露时,邮政企业、快递企业应及时对邮政部门进行报告。
简评
虽然《管理规定》及配套规定都体现出邮政管理部门对于用户个人信息安全的重视,但目前处罚措施和用户的救济措施仍然比较有限。例如,《管理规定》仅规定“邮政企业、快递企业及其从业人员违法提供寄递用户信息,尚未构成犯罪的,依照《邮政法》第七十六条的规定予以处罚”,另在第五十条增加了邮政管理部门在行业内及时公开通报邮政企业、快递企业违反寄递用户信息安全管理规定行为、信息安全事件,以及对有关责任人员进行处理的情况。鉴于《管理规定》的效力层级,对于处罚措施的规定有限可以理解,但这是否会影响《管理规定》在实践之中的执行及规范力,则仍有待观察。
