电信和互联网用户个人电子信息保护标准介绍

合集下载

电子通信行业规范与条例

电子通信行业规范与条例随着现代科技的飞速发展，电子通信行业在我们的日常生活中扮演着重要的角色。

为了确保电子通信行业的正常运作和用户的权益保护，各国纷纷制定了一系列规范与条例。

本文旨在介绍电子通信行业的规范与条例，并为读者提供一些相关的背景知识。

一、电子通信的定义与范围电子通信是指通过电磁波传输信息的过程，包括语音、图像、数据等各种形式的通信。

电子通信行业涵盖了电信网络设备的研发、制造、运维和相关服务的提供等方面。

二、电子通信行业的发展趋势与挑战随着互联网的普及和技术的进步，电子通信行业正处于快速发展的阶段。

虽然这为人们的生活带来了很多便利，但也带来了一些挑战。

其中包括网络安全问题、隐私保护等方面的考验。

三、网络安全与保护网络安全是电子通信行业中非常重要的一个方面。

各国针对网络安全制定了一系列的规范和标准，包括网络防火墙的设置、用户数据的加密与保护等。

此外，还有专门的安全组织负责监督和维护网络的安全。

四、用户权益保护用户权益保护是电子通信行业中的一项基本原则。

各国政府和相关组织制定了针对电信运营商和互联网服务提供商的规范和条例，以确保用户的权益得到有效保护。

其中包括服务合同的明确、隐私保护等方面的规定。

五、电子通信设备的标准与认证电子通信设备的标准化和认证是保证设备质量和可靠性的重要手段。

各国制定了一系列的标准和认证机制，如国际电信联盟（ITU）的相关标准和国家质量认证体系等，以确保设备的符合规范和用户的安全。

六、国际合作与统一标准电子通信行业的全球化发展需要各国之间的合作与交流。

各国政府和相关机构积极参与国际标准组织和论坛，共同制定了一系列的通信标准，以促进全球电子通信行业的发展和合作。

七、电子通信行业的社会责任作为一个重要的基础设施行业，电子通信行业应当承担起自己的社会责任。

这包括推动信息化建设、提供高质量的通信服务、促进数字经济发展等方面。

各国政府和相关组织鼓励企业履行社会责任，推动电子通信行业的可持续发展。

个人信息保护标准

个人信息保护标准随着信息技术的不断发展和普及，个人信息保护问题日益受到重视。

在互联网时代，个人信息的泄露和滥用已经成为了一个普遍存在的问题，给个人隐私和安全带来了严重的威胁。

因此，建立和完善个人信息保护标准显得尤为重要。

首先，个人信息保护标准应当具备的基本要素包括合法性、正当性和公平性。

个人信息的收集、使用和处理应当遵循法律法规的规定，取得信息主体的明示同意，并且在信息收集的过程中应当告知信息主体信息的具体用途和范围，确保信息主体对自己的信息有充分的掌控权。

其次，个人信息保护标准还应当具备安全性和保密性。

信息主体的个人信息在收集、传输、存储和处理过程中应当采取必要的技术和管理措施，确保信息的安全和完整性。

同时，个人信息的保密性也是非常重要的，个人信息的泄露和滥用可能会给信息主体带来严重的损失，因此个人信息的保密性是个人信息保护标准的重要内容之一。

此外，个人信息保护标准还应当具备便利性和透明性。

信息主体应当能够方便地行使对自己个人信息的访问、更正、删除等权利，同时个人信息的收集和使用过程应当对信息主体进行透明披露，让信息主体了解自己个人信息的使用情况和目的，确保信息主体对自己的信息有充分的了解和掌控。

最后，个人信息保护标准还应当具备监督和责任。

相关的政府部门和行业组织应当加强对个人信息保护的监督和管理，同时个人信息的收集和使用者也应当承担相应的责任，对个人信息的合法性和安全性负起相应的责任。

总之，建立和完善个人信息保护标准对于保护个人隐私和信息安全具有非常重要的意义。

只有通过建立健全的个人信息保护标准，才能有效地保护信息主体的合法权益，推动信息社会的健康发展。

希望各界能够共同努力，建立健全的个人信息保护标准，共同维护信息安全和个人隐私。

电信用户个人信息保护管理办法解读

内部资料注意保密
中国电信用户个人信息保护管理办法解读
2018年11月
管理办法概览
《中国电信用户个人信息管理办法》
（中国电信[2018]328号）
第1章总则（5条）第2章组织保障（7条）第3章工作机制（1条）第4章运营要求（20条）

制定依据、用户个人信息定义、适用范围等工作体系、职责分工、分工内容等监督检查、评估考核、会商意识等5个机制收集、公示、授权同意、使用、人员管理等合作方定义、合作方人员管理、工号权限等国际公司、处罚依据、解释权等

以公司正式发文为主专业公司

省内要经过省市场部集团电渠中心、专业公司要经集团市场部 APP等线上应用获取权限

线上用户主动选择，不能默认事后使用用途必须事前经用户同意

产品业务上线前必须符合用户个人信息保护工作相关要求（号码校验、开机通知等）
第4章运营要求2
第二十条各运营使用单位应当按照相关法律法规、监管要求及用户个人信息安全等级保护制度要求，对收集、存储的用户个人信息，实施严格的管理制度和技术措施。纸质资料要制定收集归档、交接、保管存储、借阅调用、销毁等规章制度，纸质资料的各环节流程记录要做好IT固化和闭环管控，收集的纸质资料要加盖相关印章。电子数据要及时上传系统平台内（不得保存在本地电脑终端），采取备份、加密等技术存储措施保障用户个人信息安全。
主体直接责任
渠道部
（业创中心）
市场部
全网支撑运营中心
专业公司
• 运营使用职责：落实工作要求，做好运营的业务产品、系统/平台的用户个人信息保护各项工作，包括建章立制、日常管控、培训教育、技术防护、监督检查等

电信网络诈骗犯罪的共犯形式及认定基于个人信息安全保护的角度展开

如果行为人提供了银行卡、支付平台账号等帮助取款的方式，那么就可以认定为实施了帮助取款行为。最后，需要考察帮助取款行为在诈骗案件中的作用和影响。如果帮助取款行为是整个诈骗环节中的一部分，那么它对整个诈骗案件起到了重要作用和影响。
综上所述，电信诈骗帮助取款行为的共犯认定需要综合考虑多个方面因素。在实践中，我们需要加强法律法规的宣传和普及，提高公众对电信诈骗的认识和防范意识；同时，也需要加强执法机关之间的协作和配合，加大对电信诈骗案件的打击力度。
2、管辖权问题：由于电信网络诈骗犯罪的跨国性和流动性，往往涉及多个国家和地区，给案件的管辖和协作带来困难。
3、法律适用问题：不同国家和地区对于电信网络诈骗犯罪的法律定义和处罚标准存在差异，可能导致法律适用上的冲突。
ห้องสมุดไป่ตู้
四、基于个人信息安全保护的角度展开电信网络诈骗犯罪的共犯认定
1、加强个人信息保护法律法规的制定和实施：通过完善个人信息保护法律法规，明确个人信息的使用、转让等规定，为打击电信网络诈骗犯罪提供法律依据。
4、暴力型诈骗：诈骗团伙以暴力手段威胁受害人，强迫其交出财物或个人信息。
5、勾结型诈骗：诈骗团伙与某些政府部门、银行等机构内部人员勾结，利用职务之便共同实施诈骗行为。
三、电信网络诈骗犯罪共犯认定的难点
1、取证困难：电信网络诈骗犯罪往往涉及大量虚拟证据，如网络聊天记录、电子邮件等，收集和验证这些证据需要较高的技术手段和专业知识。
5、强化金融机构的监管职责：金融机构应加强对客户交易的监管和风险控制，发现可疑交易应立即报告相关部门，防止电信网络诈骗犯罪的资金转移。
6、加强互联网平台的责任意识：互联网平台应加强对发布信息的审核和管理，对于涉嫌诈骗的信息及时删除并报告相关部门，保障用户信息安全和财产安全。

网络数据安全相关标准项目明细表

数据存储
15.
《信息安全技术信息系统安全审计产品技术要求和测试评价方法》
GB/T 20945-2013
SAC/TC260
已发布
16.
《信息安全技术网络存储安全技术要求》
SAC/TC260
报批稿
17.
《信息安全技术数据库管理系统安全技术要求》
SAC/TC260
报批稿
18.
《通信存储介质（SSD）加密安全技术要求》
已发布
33.
《信息安全技术个人信息安全规范》
GB/T 35273-2017
SAC/TC260
报批稿
34.
《信息安全技术个人信息工程指南》
SAC/TC260
征求意见稿
35.
《信息安全技术个人信息告知同意指南》
SAC/TC260
征求意见稿
36.
《信息安全技术数据安全基本要求》
SAC/TC260
征求意见稿
CCSA
拟制定
数据处理
23.
《信息安全技术个人信息去标识化指南》
GB/T 37964-2019
SAC/TC260
报批稿
24.
《电信大数据平台数据脱敏实施方法》
2019-0215T-YD
CCSA
报批稿
25.
《面向互联网应用的健康医疗数据应用脱敏技术要求》
2019-0302T-YD
CCSA
报批稿
数据交换
26.
《信息安全技术数据交易服务安全要求》
GB/T 37932-2019
SAC/TC260
报批稿
27.
《信息安全技术政务信息共享数据安全技术要求》
SAC/TC260

我国将出台保护个人信息行业标准

员Ｔ未经授权就能获取客户信息。依照《人信息保护指南》，个在收集
个人信息阶段告知的“ 使用目的” 到后达
应立即删除个人信息。高炽扬说，次，在某航空公司网有他站购买机票，用电话支付的时候，：使１作
人员搜集了他的支付信息：姓名、身份证
所致。
个人信息保护指南的全称是《信息安伞技术、共及商用服务信息系统个公人信息保护指南》标准南一信部直属的，中同软件测评中心牵头，合近３联０家单
他介绍说，一些商业公司掌握大量
个人信息，由于管理制度疏漏，一些内部
一
ｏ
２００９年，法修刑正案ｆ确定了“ 七）出售、法提供公民个非
公众最关心金融、电信ቤተ መጻሕፍቲ ባይዱ领域的个人信
息安全。
而让人担忧的是，这个指南标准不是强制性标准，甚至也不是推荐性标准，
标准通过会对行业起到多大的规范效
准 ” 中国电子信息产业发展研究院院，长、中罔软件评测中心主任罗文希望今
人信息从事非法获利的黑色链条。特别
是去年年底揭露的中国互联网最大规
年能通过这项标准，以拓展个人信息保
个很小的事，却让用户填包括家庭住址、手机号在内等很多信息，这就不符合“ 最少使用” 原则。 “ 安全保障” 则是要个人信息管理者
一
模的泄密事件，个人信息保护推向了将

数据安全与网络安全的法律要求与标准

安全隐患。
网络安全事件应急响应法律要求
应急响应计划
法律要求网络运营者制定网络安全事件应急预案，明确应急响应流程和责任人。
及时报告和处置
法律要求在发生网络安全事件时，网络运营者应当立即启动应急响应计划，及时报告和处置网络安全事件，防止危害扩大。
记录和留存
法律要求网络运营者应当记录和留存网络安全事件处置过程中的相关信息，以便于事后分析和追责。
企业应采取必要的技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。
企业应建立数据安全事件应急处理机制，及时处置数据安全事件，减轻事件对企业和用户造成的损失。
03
数据安全法律要求与标准
数据收集与存储法律要求
01
02
03
合法性原则
数据收集必须遵循相关法律法规，确保数据来源合法、收集手段合规。
《中华人民共和国数据安全法》
该法规定了数据安全的监管体制、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面的内容，为数据安全提供了基础性法律保障。
《中华人民共和国个人信息保护法》
该法规定了个人信息处理的基本原则、个人信息的范围、个人信息处理者的义务、个人在个人信息处理活动中的权利、个人信息跨境提供等方面的内容，为个人信息保护提供了全面的法律保障。
国家安全审查
法律要求对关键信息基础设施实施国家安全审查制度，确保关键信息基础设施的安全可控。
网络安全标准与认证
网络安全标准
国家制定了一系列网络安全标准，包括网络安全等级保护标准、网络安全风险评估标准等，为网络运营者提供了明确的安全建设和管理指南。
网络安全认证
国家实施网络安全认证制度，对网络安全产品、服务和管理体系进行认证和评价，提高网络安全保障能力和水平。

信息安全及保护个人隐私规定

信息安全及保护个人隐私规定随着社会的不断发展，计算机和互联网的普及越来越广泛，人们可以随时随地获取所需的信息。

然而，信息的便捷获取也伴随着信息安全和个人隐私的问题。

在这篇文章中，我们将探讨信息安全和保护个人隐私的规定。

一、信息安全信息安全是指保护信息系统、网络和计算机设备免受未经授权的访问、使用、泄露、干扰或破坏的技术、措施和行为。

信息安全包括以下方面：1.密码学密码学是保护信息的一种方法，它利用密码进行加密和解密。

密码学通过将信息转换为不可读的密文来保护信息的安全。

一般来说，密码学分为两类：对称密钥密码和非对称密钥密码。

对称密钥密码使用相同的密钥进行加密和解密，非对称密钥密码使用不同的密钥进行加密和解密。

密码学的应用范围广泛，包括电子邮件、银行账户和移动设备等。

2.防病毒软件防病毒软件可以帮助用户保护计算机免受计算机病毒、恶意软件和间谍软件的侵害。

防病毒软件可以自动扫描和检测计算机上的病毒和恶意软件，并将其隔离或删除。

防病毒软件可以定期更新，以对新出现的病毒进行检测和删除。

3.网络安全网络安全是保护计算机网络免受未经授权的访问和攻击的过程。

网络安全包括防火墙、入侵检测系统和虚拟专用网络等技术。

防火墙可以防止未经授权的访问和攻击，入侵检测系统可以检测和报告潜在的网络攻击。

虚拟专用网络可以保护网络通信的机密性和完整性。

二、保护个人隐私的规定保护个人隐私是一个基本人权，因此各国政府制定了相关的法律法规来保护个人隐私。

以下是一些保护个人隐私的规定：1.数据保护法数据保护法是保护个人信息和隐私的一种法律规定。

该法规定了在处理个人信息和隐私时应遵循的标准和程序。

数据保护法要求集体储存个人信息的组织必须保护其安全和机密性，并告知信息所有者个人信息可能被收集和使用的目的。

2.电信法电信法是保护个人通讯隐私的法律。

该法规定了处理和保护个人通讯的标准和程序。

电信法要求通讯服务提供商保护其用户的通讯隐私，并不将其通讯内容披露给第三方。

互联网法律法规知识竞赛题库及试题答案(二)

互联网法律法规知识竞赛题库及试题答案（多选）一、多选题1.根据《网络信息内容生态治理规定》，鼓励行业组织开展网络信息内容生态治理教育培训和宣传引导工作，提升（）治理能力，增强全社会共同参与网络信息内容生态治理意识。

A.会员单位(正确答案)B.自媒体C.从业人员(正确答案)D.网媒编辑2.《中华人民共和国网络安全法》规定，因（），处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

A.消除安全隐患B.防止危害扩大C.维护国家安全(正确答案)D.维护社会公共秩序(正确答案)3.《中华人民共和国网络安全法》规定，网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

A.制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。

(正确答案)B.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。

(正确答案)C.采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。

(正确答案)D.采取数据分类、重要数据备份和加密等措施。

(正确答案)4.《中华人民共和国网络安全法》规定，对可能严重危害（）的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

A.国家安全(正确答案)B.国计民生(正确答案)C.公共利益(正确答案)D.社会稳定5.《中华人民共和国网络安全法》规定，建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施（）。

A.同步规划(正确答案)B.同步建设(正确答案)C.同步使用(正确答案)D.同时建设使用6.《中华人民共和国网络安全法》规定，网络运营者收集、使用个人信息，应当遵循（）的原则。

A.合法(正确答案)B.正当(正确答案)C.必要(正确答案)D.有偿7.《中华人民共和国网络安全法》规定，网络安合事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，采取下列措施。

身份认证与身份信息保护服务解决方案介绍

• 国务院《互联网新闻信息服务管理规定》：互联网新闻信息服务提供者为用户提供互联网新闻信息传播平台服务，应当要求用户提供真实身份信息，否则不能得到相关服务。
背景1：网络实名制——事关国家、企业、个人生命与财产安全
• 文化部《关于规范网络游戏运营加强事中事后监管工作的通知》：不得为使用游客模式登陆的网络游戏用户提供游戏内充值或者消费服务。提倡网络游戏经营单位设置未成年用户消费限额，限定未成年用户游戏时间。
互联网服务提供商——传统身份证识别、核验方式面临的问题
互联网服务提供商——传统身份证识别、核验方式面临的问题
解决方案一：身份证云解码方案
用户使用NFC的手机代替身份证读卡器，直接读取二代身份证的加密数据，通过加密通道发送给公安部云解码服务系统，对用户的身份证信息进行解码、身份认证等操作，然后将解码后的身份证信息以及身份认证的结果返回给应用系统。
• 单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”
背景3：个人隐私保护——有法可依：网络安全法
• 第四十条：网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制。 • 第四十二条：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得
• 第二百八十六条：
“网络服务提供者履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒绝改正，
有下列情形之一的，处三年以下有期徒刑、拘役或者管制，幵处或者单处罚金：
（一）致使违法信息大量传播的；
（二）致使用户信息泄露，造成严重后果的；
（三）致使刑事案件证据灭失，情节严重的；（四）有其他严重情节的。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

标准制定背景和流程电信和互联网用户个人电子信息保护标准安全防护范围电信和互联网用户个人电子信息保护标准安全防护内容电信和互联网用户个人电子信息保护标准安全防护要求电信和互联网用户个人电子信息保护标准安全防护检测
电信和互联网用户个人电子信息保护标准安全防护要求
收集环节-管理要求
a) 收集用户个人电子信息应当有正当、明确的目的。 b) 收集用户个人电子信息时，应满足以下条件之一：
标准制定流程
电信和互联网用户个人信息保护安全防护标准的制定受工业和信息化部委托，由工业和信息化部电信研究院牵头，中国互联网络信息中心、北京和升达信息安全技术有限公司、北京新浪互联信息服务有限公司、深圳腾讯计算机系统有限公司、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司共同组成起草组参与标准起草。
电信和互联网用户个人电子信息保护标准安全防护要求
收集环节-技术要求
a) 通过在线方式进行用户身份信息收集时，应使用加密传输以保障用户在线提交信息的安全性。 b) 应对用户设置访问控制，每个用户只能访问自己所上传的用户信息。 c) 用户鉴权信息应有位数要求，并有复杂度要求（使用大写字母、小写字母、数字、标点及特殊字符四种字符中至少三种的组合，且与用户名无相关性）。 d) 应对收集用户个人电子信息的操作进行日志记录,并对日志记录中的身份信息和鉴权信息进行模糊化处理。 e) 身份信息、鉴权信息在用户端显示时应进行模糊化处理，如：用户注册页面身份证号码显示、密码找回页面手机号码显示、密码找回页面邮箱显示、用户输入密码显示等。
1. 系统在设计阶段，应当根据接口和流程涉及到用户个人电子信息的类型和操作类型（查询、修改、增删），来定义安全需求； 2. 在系统交付阶段分别对系统的接口与流程的安全性进行评估，未达到安全要求的系统原则上不允许上线； 3. 做好上线前的安全评估、基线审核，封堵和修补系统、数据库、中间件、应用层的漏洞，升级安全补丁，防止系统被攻击和入侵。
电信和互联网用户个人电子信息保护标准安全防护要求
操作环节-技术要求-信息系统要求2
e) 应定期（至少每月1次）进行系统级和代码级的漏洞扫描（重大变更与系统升级后也需进行），以及时发现所使用的操作系统、中间件、数据库以及程序本身的高危险安全漏洞，及时修补发现的安全漏洞以及配置不符合项。 f) 严格限制可访问和操作用户个人电子信息的人员和帐户，遵循权限最小化原则，从技术上限制非授权用户接触用户个人电子信息和合法用户能访问敏感信息的权限。 g) 应设置账号/口令的访问控制，口令长度不少于8位，并有复杂度要求（使用大写字母、小写字母、数字、标点及特殊字符四种字符中至少三种的组合，且与用户名或ID无相关性）。 h) 系统帐号口令输入尝试次数应做限制，防止口令的暴力破解。 i) 对于无法进行定期修改口令的帐号，如内置帐号、程序帐号等，应在系统升级或重启时落实口令修改工作。
电信和互联网用户个人电子信息保护标准安全防护要求
操作环节-技术要求-信息系统要求3
j) 如发生口令遗忘的情况，帐号使用人应提出口令重置申请，由系统管理员进行密码重置，重置完毕后，使用者应马上更改重置后的密码。 k) 当程序内的帐号密码需要保存在配置文件里时，应只使用适当权限的帐号，采用经过验证的算法对帐号口令进行加密，并做好帐号口令和加密密钥的保护工作。 l) 应记录所有对用户个人电子信息的访问操作，形成日志，记录内容必须至少包括访问人员、访问对象、访问时间、访问操作。 m) 应定期（至少每月）对涉及用户个人电子信息访问和操作的日志进行审计，审计时应特别关注批量访问，保证每次批量访问均为正常业务操作。
•
•
主要规范电信和互联网用户个人电子信息分类别的技术和管理方面的安全防护要求和检测要求。主要适用于电信和互联网存储和处理用户个人电子信息的相关系统。
以上两项标准已起草完成，正在进行报批发布流程。
标准制定背景和流程电信和互联网用户个人电子信息保护标准安全防护范围电信和互联网用户个人电子信息保护标准安全防护内容电信和互联网用户个人电子信息保护标准安全防护要求电信和互联网用户个人电子信息保护标准安全防护检测
电信和互联网用户个人电子信息保护标准安全防护要求
存储环节-技术要求
a) 应采取技术手段保障用户个人电子信息的安全性和完整性，鉴权信息应加密存储。 b) 作为后台的存储系统须与前端的用户信息收集系统在物理上进行分离，不得共用服务器。 c) 应实现网络安全域划分，不同安全域之间使用防火墙进行隔离和访问控制。存储系统应处于内部安全域，不对互联网提供服务，并与用户信息收集系统处于不同安全域。 d) 防火墙对存储系统的访问策略应设置为默认拒绝，只对特定的用户信息收集系统、用户信息使用系统及管理终端开放访问权限。 e) 用户个人电子信息必须存储在境内。
c) 收集用户个人电子信息前应采用用户能够知悉的方式，至少向用户明确告知如下事项：
1. 收集用户个人电子信息的目的、方式、类别和留存时限； 2. 用户个人电子信息的使用范围，包括披露或向其他组织和机构提供其用户个人电子信息的范围；
d) 应只收集能够达到已告知目的的最少信息，不得收集与其所告知的收集目的无直接关系的用户个人电子信息。 e) 应采用已告知的手段和方式直接向用户收集用户个人电子信息，不采取隐蔽手段或以间接方式收集用户个人电子信息。
标准制定背景
2007年，为保证电信网络安全防护工作整体、规范、科学、有序地开展，工业和信息化部开始组织制定“电信网和互联网安全防护” 系列标准，以加快推进电信网络安全防护工作。该系列标准将随着网络和业务的发展不断地扩充和完善，截止2013年已发布50项标准。 2012年发布《全国人大常委会关于加强网络信息保护的决定》。 2013年出台《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）。网络用户信息保护受到高度重视。然而，我国网络个人信息保护技术和管理标准体系还不完善，急需制定网络用户信息保护通用技术和管理技术标准，及时对网络用户信息的通用技术和管理保障提出全面性的安全防护要求，提高通信网络整体的安全防护水平。
电信和互联网用户个人电子信息保护标准安全防护要求
存储环节-管理要求
a) 对于存储用户个人电子信息的存储介质（如磁阵、硬盘和磁带等）的维护、更换、升级和销毁等操作和管理流程，应制定严格的登记和审批制度并落实。 b) 应采取有效的管理手段加强对涉及用户个人电子信息的系统使用移动存储介质的管控，对向移动介质输出用户个人电子信息的情况进行日志记录，并定期审核。
电信和互联网用户个人电子信息保护标准安全防护要求
操作环节-管理要求-业务人员要求
a) 对业务人员操作用户个人电子信息的行为，应建立明确的操作审批流程，定期进行严密的事后审核。 b) 涉及身份信息的操作，业务人员应获得用户的同意，并且按照正常的鉴权流程通过身份认证。 c) 涉及内容信息的查询，业务人员只能在响应用户请求时，并且用户自身按照正常流程通过身份鉴权的情况下，协助用户查询，禁止业务人员擅自进行查询。
1. 法律法规明确授权或经用户同意； 2. 与用户有合法的合同关系； 3. 用户自行公开或已合法公开的信息。 3. 用户个人电子信息的保护措施； 4. 提供用户个人电子信息后可能存在的风险； 5. 不提供用户个人电子信息可能出现的后果； 6. 用户个人电子信息管理者的名称、地址、联系方式等信息； 7. 用户的投诉渠道。
电信和互联网用户个人电子信息保护标准安全防护要求
操作环节-管理要求-开发人员要求
a) 开发人员的工作区域应与生产、内部办公、维护区域分离，并采用严格的访问控制策略和管控手段。 b) 开发人员使用的测试数据不应当包含真实的用户个人电子信息，必须是经过模糊化处理的数据。 c) 开发人员进入可能接触到用户个人电子信息的生产或维护区域时，应有相应的审批制度。 d) 开发人员转岗或离岗前，应完成开发人员的账号回收、审核、网络调整等工作。
标准编制过程：
2013年11月18日，“电信网和互联网安全防护特设组”在北京召开 2013年第1次会议讨论本标准的征求意见稿。 2013年12月27日和30日，“电信网和互联网安全防护特设组”在北京召开2013年第2次会议讨论本标准的送审稿。
标准制定流程
电信和互联网用户个人信息保护安全防护标准包含：《电信和互联网用户个人电子信息保护通用技术要求和管理要求》《电信和互联网用户个人电子信息保护检测要求》
电信和互联网用户个人电子信息保护标准安全防护要求
操作环节-管理要求-运维支撑人员要求
a) 对运维支撑人员操作用户个人电子信息的行为，应建立明确的操作审批流程，定期进行严密的事后审核。 b) 运维支撑人员因业务投诉、统计取数、批量业务操作、批量数据修复等原因进行的用户个人电子信息查询、变更必须提交操作申请，按照要求进行操作，不得扩大操作范围。 c) 运维支撑人员因应用优化、业务验证测试等原因需要查询、修改用户个人电子信息时，应使用测试号码进行各项测试。 d) 运维支撑人员因系统维护进行用户个人电子信息的数据迁移（数据导入、导出、备份）必须提交操作申请，并经过审批。 e) 运维支撑人员不应向开发测试环境导出用户个人电子信息，如需导出必须经过申请审批，并进行模糊化处理。
电信和互联网用户个人信息保护安全防护标准介绍
中国通信企业协会通信网络安全专业委员会专家组封莎 2014年7月
标准制定背景和流程电信和互标准安全防护内容电信和互联网用户个人电子信息保护标准安全防护要求电信和互联网用户个人电子信息保护标准安全防护检测
电信和互联网用户个人电子信息保护标准安全防护范围
电信和互联网行业用户信息是指电信业务经营者和互联网信息服务提供者在提供服务的过程中以电子形式存储和使用的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点、通信内容等信息。电信和互联网行业用户信息具体包括： • （一）身份信息：指能够单独或相互结合识别特定用户身份的信息，如用户基本资料、通讯录信息和虚拟身份信息等。 • （二）鉴权信息：指用于鉴定用户身份是否合法的信息，如用户登录各种业务系统的账号和密码、服务密码等。 • （三）日志信息：指用户使用电信业务过程中产生的信息，如用户消费信息、位置信息、使用服务的时间及使用相关业务的记录等。 • （四）内容信息：指用户使用电信业务过程中所传递的信息内容，如短信内容记录、移动上网内容及记录、应用平台上交互的信息内容等。