各省、自治区、直辖市邮政管理局，中国邮政集团有限公司，各主要快递企业总部:

修订后的《寄递服务用户个人信息安全管理规定》于2023年2月6日经国家邮政局2023年第2次局长办公会议审议通过，现印发给你们，请遵照执行。

                                        国家邮政局

                                          2023年2月13日 

寄递服务用户个人信息安全管理规定

第一条 为加强寄递服务用户个人信息安全管理，保护用户 合法权益，维护邮政通信与信息安全，促进邮政行业健康发展， 根据《中华人民共和国邮政法》《中华人民共和国网络安全法》 《中华人民共和国数据安全法》《中华人民共和国个人信息保护  法》以及《快递暂行条例》 《邮政业寄递安全监督管理办法》等法律、行政法规和有关规定，制定本规定。

第二条 在中华人民共和国境内经营和使用寄递服务涉及用户个人信息安全的活动以及邮政管理部门监督管理工作，适用本

规定。

第三条 本规定所称寄递服务用户个人信息，是指用户在使用寄递服务过程中记录的个人信息，包括《中华人民共和国民法典》第一千零三十四条所列的姓名、身份证件号码、生物识别信息、住址、电话号码等信息以及运单号、时间、物品明细等信息。

第四条  邮政管理部门应当与有关部门相互配合，健全寄递服务用户个人信息安全保障机制，维护寄递服务用户个人信息安全。

第五条 寄递企业应当建立健全寄递服务用户个人信息安全保障制度和措施，明确企业部门、岗位的安全保护责任，合理确定寄递服务用户个人信息处理的操作权限，定期对从业人员进行安全教育和培训。

第六条 使用统一的商标、字号或者快递运单经营快递业务的，商标、字号或者快递运单所属企业应当对使用其商标、字号或者快递运单的企业的信息安全保障实行统一管理，发生寄递服务用户个人信息安全事件时，应当依法承担相应责任。

第七条  寄递企业收集寄递服务用户个人信息应仅限于完成寄递服务全流程操作目的的最小范围，不得过度收集用户个人信息。寄递企业应当与其从业人员签订寄递服务用户个人信息保密协议，明确保密义务。

第八条  寄递企业为完成寄递服务全流程操作委托第三方或 者其他寄递企业等开展代收代投、清关等业务，需要对寄递服务 用户个人信息数据进行委托处理时，应当事前进行寄递服务用户 个人信息保护影响评估，并依法约定委托处理的目的、期限、处理方式、个人信息种类、保护措施及双方权利义务，并对受托人的个人信息处理活动进行监督。受托方发生寄递服务用户个人信息安全事件导致信息泄露、篡改、丢失的，寄递企业应当依法承担相应责任。

第九条  寄递企业应当建立寄递服务用户个人信息安全投诉处理及请求响应机制，公布有效联系方式，接受并及时处理有关投诉及请求。

第十条  寄递企业应当建立寄递服务用户个人信息安全应急 处置机制。发现信息安全隐患、漏洞等风险的，或者发生信息安全突发事件的，应当立即采取处置措施，按照规定报告邮政管理部门，并配合邮政管理部门和相关部门的调查处理工作，不得迟报、漏报、谎报、瞒报。

第十一条 处理寄递服务用户个人信息达到国家网信部门规 定数量的寄递企业应当指定寄递服务用户个人信息保护负责人，负责对信息处理活动以及采取的保护措施等进行监督，并公开寄递服务用户个人信息保护负责人的联系方式，将负责人的姓名、联系方式等向所在地市级邮政管理部门报送。负责人发生变更的，应在7个工作日内重新报送并公告。前款规定的寄递企业同时符合《中华人民共和国个人信息保护法》第五十八条规定条件的，还应当依法履行该条规定的建立 健全寄递服务用户个人信息保护合规制度体系、成立主要由外部 成员组成的独立机构对个人信息保护情况进行监督、定期发布寄递服务用户个人信息保护社会责任报告并接受社会监督等义务。

第十二条  寄递企业因业务等需要，确需向中华人民共和国 境外提供寄递服务用户个人信息的，应当按照相关法律法规的规

定执行。寄递企业应当将在中华人民共和国境内收集和产生的个人信息存储在境内。

第十三条  寄递企业应当对快递电子运单单号资源实施全过程管理，并采用射频识别、虚拟安全号码、电子纸等有效技术手 段对快递电子运单信息进行去标识化处理，防止运单信息在寄递过程中泄露。寄递企业与电商平台或者快递电子运单集成系统运营企业等第三方对接寄递信息或者授权使用分配本企业单号资源时，应要 求其对快递电子运单信息进行去标识化处理，并确保不影响正常寄递服务。存在寄递服务用户个人信息安全风险或可能影响正常寄递服务的，寄递企业不得对接寄递信息或授权使用分配本企业

单号资源。法律、行政法规另有规定，或者用户有要求的，可以不对快递电子运单信息进行去标识化处理。

第十四条 寄递企业应当保证建设与寄递服务用户个人信息相关的信息系统时，在网络传输、访问控制、终端防护、恶意代 码防护、监控审计等方面采取有效措施，确保同步规划、同步建设和同步使用。寄递企业应当建立存储介质使用管理制度，使用独立物理区域采用加密方式存储用户个人信息，加强存储安全管理。

第十五条 寄递企业应当加强寄递服务用户个人信息的应用安全管理，对所有批量导出、复制、销毁等操作进行事先审核，采取防泄密措施，并记录保存操作人员、时间、地点和事项等信息，作为信息安全审计依据。寄递企业应当加强对离岗人员的信息安全审计，删除或者禁用离岗人员系统账户。

第十六条  寄递企业应当强化对寄递服务用户个人信息安全的实时监测能力，严格落实安全管理和技术防范措施，防范和遏制重大安全风险、事件发生。

第十七条  寄递企业应当制定本企业与市场相关主体的信息系统互联的安全技术规则，对存储寄递服务用户个人信息的信息系统实行接入审查，定期进行安全风险评估。

第十八条  寄递企业应当加强营业场所、处理场所管理，严 禁无关人员进出相关场所，严禁无关人员接触、翻阅、留存、拍照、摄录、复制、传抄运单信息。

第十九条  邮政管理部门应当依法监督寄递企业落实寄递服务用户个人信息安全责任制，加强个人信息安全管理，防范重大个人信息安全事件，及时处理有关举报。

第二十条  邮政管理部门可以在行业内通报寄递企业违反本 规定的行为、个人信息安全事件，以及对有关责任人员进行处理的情况。必要时，可以向社会公布上述信息，但涉及国家秘密、商业秘密和个人隐私的除外。

第二十一条  邮政管理部门及其工作人员应当对在履行职责过程中知悉的寄递服务用户个人信息保密。在监督管理工作中滥用职权、玩忽职守、徇私舞弊，构成犯罪的，依法追究刑事责任;尚不构成犯罪的，依法给予处分。

第二十二条  邮政管理部门发现寄递企业存在违反本规定行为，妨害或者可能妨害个人信息安全保护的，应当依法调查处理。违法行为涉及其他部门管理职权的，应当依法向相关部门移送线索。

第二十三条 本规定自2023年2月13日起施行，2014年3月19日发布的《寄递服务用户个人信息安全管理规定》同时废止。