简析《大型网络平台个人信息保护规定（征求意见稿）》

进一步加强大型网络平台个人信息保护

——简析《大型网络平台个人信息保护规定（征求意见稿）》　

　　11月22日，国家互联网信息办公室、公安部联合发布《大型网络平台个人信息保护规定（征求意见稿）》（以下简称《征求意见稿》）向社会公开征求意见。意见反馈截止时间为2025年12月22日。

　　《征求意见稿》立足大型网络平台用户规模大、数据处理海量、社会影响深的特征，聚焦主体界定、责任落实、数据安全、权利保障、监督共治等，为平台合规提供了明确指引，将用户个人信息权益保护落到实处，为平台经济持续健康发展提供制度保障。

　　主要亮点

　　立足大型网络平台特点，《征求意见稿》提出了一系列具有针对性的措施。

　　第一，明确大型平台界定标准，精准识别监管对象。《征求意见稿》创新性地采用“数量阈值+风险评估”的双重标准，将注册用户5000万以上、月活跃用户1000万以上，提供重要网络服务或业务覆盖多领域及数据处理不当，可能对国家安全、国计民生造成严重影响的平台纳入重点监管。这一制度设计改变传统“一刀切”监管模式，既为中小平台预留了创新发展的合理空间，避免过度监管对市场活力的抑制，又集中监管资源管控高风险的大型网络平台主体，实现了监管资源的精准配置。

　　第二，落实平台治理责任，内部治理架构制度化。与以往监管规则相比，《征求意见稿》构建了“个人信息保护负责人+专门工作机构”的双重责任架构，第五条和第六条明确要求网络平台应当指定符合一定任职资格的管理层成员担任个人信息保护负责人，并由负责人领导个人信息保护工作机构开展制定内部制度、进行风险监测、监督平台内产品提供者等个人信息保护相关工作。这将抽象的“平台主体责任”转化为可操作的制度规范，为平台信息保护责任划定了清晰的执行路径，避免网络平台个人信息保护“人人有责却无人负责、担责”的治理困境。

　　第三，明确数据本地化与数据中心安全要求，升级数据安全防控。个人信息泄露风险，既可能由内部管理漏洞引起，也可能潜藏于数据存储与传输环节。针对其中的隐患，《征求意见稿》第九条至第十三条对个人信息存储和出境管理作了严格规定。一方面，对存储个人信息的数据中心提出可操作性的安全条件，明确储存个人信息的数据中心需满足“设立在境内、主要负责人为中国国籍、安全性符合国家标准”三大条件。要求委托第三方数据中心存储时，需满足“境内存储+合规审核+合同约束”的全面管理要求。另一方面，《征求意见稿》对内设数据中心与第三方数据中心的个人信息保护职责进行区分化设置，要求第三方数据中心协助平台履行保护义务并接受个人信息保护负责人的监督。这形成了“平台主责、机构协同”的安全格局，为防范数据跨境流动风险和保障关键数据安全奠定坚实基础。

　　第四，细化个人信息可携带权，回应用户权利诉求。《征求意见稿》明确要求平台需对用户个人信息的查阅、复制、更正、删除、注销账号、撤回同意等权利的行使提供便利途径。同时，若用户有需要，平台需在“合理期限内”完成信息转移，无法满足要求时需“说明理由”，为个人信息“跨平台流动”提供操作指引。值得注意的是，《征求意见稿》并非“一刀切”的刚性约束，而是预留了弹性空间。对因技术限制或法律规定无法及时转移信息的，平台可在说明理由后延长期限，这种“原则+例外”的立法模式，既坚守权利保护底线，又兼顾平台运营实际。

　　第五，引入第三方监督与审计机制，构建社会共治格局。《征求意见稿》要求平台定期发布社会责任报告以加强社会监督，并在第十五条至第十七条鼓励要求平台引入第三方专业机构进行合规审计和风险评估，明确在特定严重情形下，监管部门可强制要求平台委托第三方审计，并赋予第三方机构在发现重大风险或违法情形时直接向监管部门报告的权利。《征求意见稿》要求引入外部监督，这弥补了单纯依靠平台自我声明的监管不足，有助于提升评估审计的客观性和公信力，形成内部治理、政府监管、社会监督三方协同的共治模式。

　　完善建议

　　《征求意见稿》框架清晰，亮点突出，但最终落地实施，部分细节仍有进一步明确与完善的空间。

　　第一，进一步优化“大型网络平台”界定的动态调整机制。一方面，建议在《征求意见稿》第三条明确“大型网络平台目录”的更新频率，如每季度进行动态核查，每年集中更新一次，规避目录更新不及时可能导致的部分高风险平台游离于监管之外，或让已不符合标准的平台承担过重合规成本风险。另一方面，细化对目录制定的具体程序，将公众参与渠道和平台主体的知情权及申诉渠道纳入考虑，例如，要求监管部门在拟定目录时公示认定依据和数据来源，给予新增平台一定过渡期，允许其整改合规缺口、对目录认定结果有异议的，可提交材料申请复核等，以确保认定过程公平公正及认定结果的准确性。

　　第二，厘清“个人信息保护负责人”的责任边界与保障机制。《征求意见稿》赋予负责人重大权利和报告义务，也需关注其可能面临的履职风险和企业内部阻力。一方面，建议进一步明确负责人的尽职标准，将其责任与平台整体的合规状况进行合理区分，避免“一刀切”的追责。与此相应的是，也要建立合理的负责人履职评价机制，由网信部门定期评估其决策合理性、监督有效性，对滥用权力或失职的负责人依法追责。另一方面，建议增加负责人履职保障条款，明确平台不得因其依法向监管部门报告而施加不利影响，确保其能够独立、公正地履行职责。

　　第三，规范并细化合理收费标准，防范平台滥用收费权。《征求意见稿》第十四条允许平台对个人重复转移信息收取必要费用，但未明确收费的定价机制和上限标准。实践中，若缺乏约束，部分平台可能借收费之名变相阻碍用户行使信息转移权，增加用户维权成本。针对此情况，一方面，建议规定由监管部门会同物价部门制定个人信息转移的合理收费指导价，明确收费上限，禁止平台超出成本收取高额费用。另一方面，要求平台公示收费标准和成本核算依据，接受用户和社会监督。此外，对于老年人、未成年人等特殊群体，可规定免收相关费用，体现制度的人文关怀。

　　第四，完善第三方审计、评估机构的资质要求与责任边界。《征求意见稿》第十五条和第十六条鼓励平台委托第三方专业机构进行合规审计与风险评估，并规定在特定情形下主管部门可强制要求此类委托。一方面，为确保审计评估的公正性与专业性，除依据《中华人民共和国认证认可条例》进行机构认证外，建议进一步细化对第三方机构在个人信息保护领域的特定经验、技术能力、无重大违法违规记录等方面的要求，并建立可供查询的合格机构名录。另一方面，需明确第三方机构在履职过程中获取的平台商业秘密、技术秘密等信息的保密义务，以及其出具虚假或失实报告的法律责任，以防范潜在的道德风险与利益冲突，确保其工作客观公正。

　　《征求意见稿》构建了针对大型网络平台个人信息处理活动的规范框架，为个人信息保护与平台经济发展提供关键制度支撑，期待其进一步完善与有效落地后，为数字经济的高质量发展提供坚实的法治保障。

　　（作者单位：上海社科院法学所）