第十二条 电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。

第三章 安全保障措施

第十三条 电信业务经营者、互联网信息服务提供者应当采取以下防止用户个人信息泄露、毁损或者丢失的措施：

（一）确定各部门、岗位和分支机构的用户个人信息安全管理责任；

（二）建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度；

（三）对工作人员实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施；

（四）妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，采取相应的安全储存措施；

（五）对储存用户个人信息的信息系统实行接入审查，定期进行安全风险评估；

（六）按照电信管理机构的规定采取通信网络安全防护措施；

（七）记录对用户个人信息进行操作的人员、时间、地点、事项等信息；

（八）电信管理机构规定的其他必要措施。

第十四条 电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理。

第十五条 电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能及安全责任培训。

第十六条 电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况进行定期自查，记录自查情况，及时消除自查中发现的信息安全问题。

第四章 监督检查

第十七条 电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。

电信管理机构实施监督检查时，可以要求电信业务经营者、互联网信息服务提供者提供相关材料，进入其生产经营场所调查情况，电信业务经营者、互联网信息服务提供者应当予以配合。

电信管理机构实施监督检查，应当记录监督检查的情况。实施监督检查不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动，不得收取任何费用。

第十八条 电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。

第十九条 电信管理机构实施电信业务经营许可及经营许可证年检时，应当对用户个人信息保护情况进行审查。

第二十条 电信管理机构应当将有违反本规定行为的电信业务经营者、互联网信息服务提供者记入其社会信用档案并予以公布。

第二十一条 鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度，引导会员加强自律管理，提高用户个人信息保护水平。

第五章 法律责任

第二十二条 电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以下的罚款。