立法动向 | 靶向治理关键少数，《大型网络平台个人信息保护规定（征求意见稿）》发布

大型网络平台实施目录管理

《规定》适用于境内建设、运营的大型网络平台。《规定》第3条指出，国家网信部门将会同有关部门制定发布大型网络平台目录并动态更新。由此可见，是否构成大型网络平台将有明确的监管认定，且实施目录管理。

《规定》明确的认定要素如下（括号内为与《网数条例》定义的对应情况）：

1. 注册用户5000万以上或者月活跃用户1000万以上；（用户量级不变）

2. 提供重要网络服务或者经营范围涵盖多个类型业务；（对应“业务类型复杂”）

3. 掌握处理的数据一旦被泄露、篡改、损毁，对国家安全、经济运行、国计民生等具有重要影响；（对应“网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响”，基本不变）

4. 国家网信部门、国务院公安部门规定的其他情形。（新增兜底）

更严格的人员机构设置

《规定》第5条对于大型网络平台的个人信息保护负责人在一般性要求的基础上提出了更为具体的条件，以下要点值得关注：

• 层级：管理层

• 国籍：中国国籍，无境外永久居留权或者长期居留许可

• 专业和年限：具备个人信息保护专业知识且从事相关工作5年以上

• 可由网络数据安全负责人兼任（同时为重要数据处理者的情况）

  
  

此外，《规定》指出个人信息保护负责人可以直接向国家网信部门、有关主管部门报告大型网络平台服务提供者的个人信息保护有关情况。这也是《网数条例》赋予“网络数据安全负责人”的权利。

《规定》第6条列举了大型网络平台的个人信息保护工作机构的职责，其中指出要明确专人负责未成年人个人信息保护工作。

数据中心要求及协助义务

在个人信息存储方面，《规定》对于大型网络平台存储个人信息的数据中心提出如下要求：

1. 基本条件（第10条）

1. 设立在境内

2. 主要负责人具有中国国籍，无境外永久居留权或者长期居留许可

3. 安全性符合国家有关标准要求

   
   

2. 协助义务与安全要求（第11条）：协助大型网络平台履行个人信息保护义务，例如对于有影响的安全风险、个人信息安全事件应通报大型网络平台个人信息保护负责人。

   
   

3. 第三方数据中心的合同约束（第12条）

1. 约定存储地点、规模、种类

2. 履行第11条的协助义务与安全要求

3. 接受监督、提供便利以及协助进行安全管理

更详细的信息报送

针对《规定》提出的人员机构和数据中心要求，《规定》配置了对应的报送机制：

• 及时向国家网信部门报送有关个人信息保护负责人、工作机构的基本信息和保障其履职的措施。相较100万人以上个人信息处理者而言，大型网络平台承担更详细的报送义务。（如有变更应在20个工作日内报送变更信息）

  
  

• 应向国家网信部门等有关部门报送存储个人信息的数据中心基本信息，包括管理团队和管理架构、内部个人信息保护管理制度、采取的安全措施、与第三方数据中心签署的合同文本等。（如有变更应在10个工作日内报送变更信息）

更具体的转移权保障

《规定》第14条重点对于个人信息转移权的实现方式提出要求：

• 处理时限：接到个人请求后30个工作日，因请求数量、操作复杂等原因可在说明后且在合理、必要的情况下延长30个工作日。

• 转移格式：通用、机器可读的格式。

• 结果告知：以邮件、电话、短信等方式告知个人处理结果。

• 安全性：支持通过应用程序接口或者其他标准化技术方式转移，采取身份验证、加密传输等安全措施保障转移安全。

• 费用收取：仅在个人重复转移个人信息时，可根据转移成本收取必要费用。

更明确的评估审计要求

《规定》指出，大型网络平台委托第三方专业机构开展合规审计、风险评估等活动，该机构应为国内注册，且在发现较大安全风险或违法违规情形时，可直接向网信部门等有关部门报告或报案。

根据《个人信息保护合规审计管理办法》，个人信息处理者在若干情形下可能会被监管部门要求开展审计。对于大型网络平台而言，《规定》新增一项监管审计情形，即多次出现个人信息违规出境等违法违规情形（第17条）。此外，在相同情形下大型网络平台不仅可能被要求开展审计，还可能被要求开展风险评估。

多年来，我国互联网平台经济得到长足发展，大型网络平台经营已具有一定的社会性、公共性特征，由此《规定》对大型网络平台的个人信息保护工作提出了更高要求，特别是加大了外部监管强度和社会监督强度，重视建立从人员机构到存储设施的全流程合规链条。对此，大型网络平台在个人信息保护合规体系完整性、保护措施精细程度以及外部合规事件应对能力等方面有着更高提升空间，从而更好地承担社会责任、增强社会信任。