引言
11月22日,国家网信办和公安部联合就《大型网络平台个人信息保护规定(征求意见稿)》(下称《征求意见稿》)向社会公开征求意见。虽然该规定并非正式出台稿,但是规定了非常丰富的内容,大幅提高了大型网络平台的个人信息保护合规义务,法律责任同步覆盖到第三方专业机构和数据中心(IDC),从制度设计上体现出强闭环、高标准的特点。通过本文的梳理,我们拟分析以下主要内容:
(1)大型网络平台如何认定?
(2)大型网络平台有哪些特殊义务?
(3)个人信息出境为何义务变高?
01
大型网络平台的认定
1. 认定标准
《个人信息保护法》和《网络数据安全管理条例》先后规定大型网络平台的义务和具体要求。《个人信息保护法》首次对大型网络平台作出规定,其第五十八条明确“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”应当履行更高的保护义务;《网络数据安全管理条例》第六十二条第八项首次对大型网络平台进行界定,是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。
《征求意见稿》拟进一步明确,国家网信部门会同国务院公安部门等有关部门制定发布大型网络平台目录并动态更新,同时拟提出认定大型网络平台的四个因素:
(1)数量因素。注册用户5000万以上或者月活跃用户1000万以上;
(2)业务因素。提供重要网络服务或者经营范围涵盖多个类型业务;
(3)风险因素。掌握处理的数据一旦被泄露、篡改、损毁,对国家安全、经济运行、国计民生等具有重要影响;
(4)其他因素。国家网信部门、国务院公安部门规定的其他情形。
2. 哪些企业可能被认定为大型网络平台?
《征求意见稿》提出了数量、业务、风险和其他因素考量的认定标准,其中数量标准、业务类型为定量标准,比较客观;业务重要程度和数据安全风险为定性标准,比较主观。
就数量标准和业务类型而言,建议相关企业参考个人信息保护负责人报送情况[1],其中包括处理个人信息规模(按去重后的自然人统计)和月活跃用户(按去重后的自然人统计),也包括涉及行业领域——大于或等于三个以上的行业领域,很有可能被认为属于“经营范围涵盖多个类型业务”。
就业务重要程度和数据安全风险而言,建议相关企业考虑掌握处理的数据类型,如位置、金融、健康、生物识别(特别是人脸信息)、儿童个人信息等均可能较为敏感的数据类型,容易构成“一旦被泄露、篡改、损毁,对国家安全、经济运行、国计民生等具有重要影响”的因素;就业务重要程度来说,结合互联网发展实际和我们的理解,国民级应用、头部应用以及与个人生活、工作密切相关的应用可能构成“提供重要网络服务”,具体可参见下表:
02
大型网络平台的义务和特殊规定
《征求意见稿》以《个人信息保护法》《数据安全法》《网络安全法》《网络数据安全管理条例》等为上位法依据,涉及个人信息保护、数据安全、网络安全等相关义务。根据“守门人”理论,大型网络平台通常要在履行一般义务的基础上,承担更高的安全保障义务,体现出风险治理的思路。
1. 主体责任和社会责任
《征求意见稿》第四条规定了提供大型网络平台服务的网络数据处理者(“大型网络平台服务提供者”)应承担主体责任和社会责任。主体责任意味着相关主体对法定义务履行情况负有证明义务,需要企业妥善开展相关合规工作并留存相关合规证明;社会责任意味着在法定责任基础上更高的责任,需要企业充分考虑国家、社会、公众等利益开展合规工作。具体而言,第四条重点明确了四个总体合规义务:
(1)基本原则。遵循合法、正当、必要和诚信原则;
(2)遵法循礼。遵守法律、法规,遵守社会公德和伦理;
(3)重点保护。严格保护敏感个人信息和未成年人个人信息;
(4)安全保障。不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
2. 个人信息保护
《征求意见稿》要求大型网络平台服务提供者对所处理的个人信息安全承担主体责任,即应当遵守《个人信息保护法》及相关配套规定的要求。同时,《征求意见稿》还对大型网络平台服务提供者提出了更高的个人信息保护要求,包括个人信息保护负责人及个人信息保护工作机构的设置、个人信息可携权、高水平合规审计等。
(1)个人信息保护负责人及个人信息保护工作机构
《征求意见稿》对大型网络平台设置信息保护负责人规定了更高要求。《个人信息保护法》及《个人信息保护合规审计办法》明确了个人信息处理者设置个人信息保护负责人的要求,处理100万以上个人信息的个人信息处理者应当制定信息保护负责人。《征求意见稿》对大型网络平台的个人信息保护负责人的任职资格和具体职责提出了专门要求。
个人信息保护负责人享有直接报告权,但其角色宜以沟通为主、监督为辅。《征求意见稿》明确,个人信息保护负责人可以直接向国家网信部门、有关主管部门报告大型网络平台服务提供者的个人信息保护有关情况。《征求意见稿》拟作出这样的规定,可能是为了帮助个人信息保护负责人排除内部的干扰或压力,从而更独立地实现对大型网络平台个人信息保护的监督。不过,个人信息保护负责人作为大型网络平台的雇员和高级管理人员,既对个人信息保护工作负责,也应对企业的经营发展负责。个人信息保护负责人作为内部人员更了解企业经营发展模式和个人信息处理活动特点,能够有效地监督个人信息保护工作的正常开展。但是,个人信息保护负责人本身就是企业个人信息保护的“法定代表人”,其履责情况即代表了企业的个人信息保护工作情况。个人信息保护负责人向监管机构报告的内容宜以沟通、咨询为主,寻求监管机构的指导,以在个人信息保护法治建设持续推进的背景下,不断明确具体实施规则,确定合法与违法的边界,促进企业发展和个人信息保护水平的提高。从这个角度看,监管机构实际上应为个人信息保护负责人的外部资源,协助其更好地把握个人信息保护的监管要求,并转化落实为企业的具体实践。当然,如果个人信息保护负责人正常履责受到企业内部的阻碍或干扰,也可以通过报告的手段获得监管力量的帮助。
大型网络平台服务提供者不仅要指定个人信息保护负责人,同时也要设置个人信息保护工作机构。个人信息保护负责人在大型网络平台中开展个人信息保护工作,势必需要团队力量的支持。《征求意见稿》拟要求大型网络平台服务提供者明确个人信息保护机构,在个人信息保护负责人领导下开展个人信息保护相关工作(第六条第一款)。就《征求意见稿》的态度来看,鼓励大型网络平台服务提供者设立专门的个人信息保护工作机构(第六条第二款)。这表明,大型网络平台服务提供者应当设置个人信息保护工作机构,但可以根据实际情况,决定设置单独的个人信息保护工作机构,也可以在现有的组织架构中,由特定部门承担个人信息保护工作机构的职责。相较而言,个人信息保护负责人和个人信息保护工作机构的职责相互补充,个人信息保护负责人的职责更为偏向监督和指导,个人信息保护工作机构的职责更为偏向日常保护和具体落实。
值得注意的是,《征求意见稿》不仅强调大型网络平台服务提供者为个人信息保护负责人、个人信息保护工作机构履行职责提供必要支持(第七条),而且通过报告机制的制度设计,督促企业具体落实。《征求意见稿》第八条要求大型网络平台服务提供者向国家网信部门报告相关信息,其中包括相关基本信息,以及“保障个人信息保护负责人和个人信息保护工作机构履职的措施”。这说明,大型网络平台服务提供者的个人信息保护工作由国家网信办直接监督、管理,也要求大型网络平台服务提供者必须提供足够向国家网信办报告的合理措施,以保障个人信息保护负责人和个人信息保护工作机构履职。
(2)个人信息可携权
《征求意见稿》首次规定了个人信息可携权的要求,以落实《个人信息保护法》第四十五条第三款的规定。具体包括以下几点:
①时限要求。30个工作日内完成,但因请求数量、操作复杂等原因的,可以在合理、必要的情况下再延长30个工作日,同时向个人说明延期原因。
②格式要求。必须是通用、机器可读的格式,同时支持通过应用程序接口或者其他标准化技术方式提供转移途径。
③成本补偿。个人重复转移个人信息的,大型网络平台服务提供者可以根据转移个人信息的成本收取必要费用。
从规定内容来看,《征求意见稿》倾向于鼓励个人信息可携权的实施,而几乎未对个人信息转移设置限制条件,这可能对互联网平台经济产生一定的影响,而这种影响的效果还有待评估,后续可能通过相关网络平台的反馈意见进一步作出判断。
(3)个人信息保护合规审计
2025年2月14日,国家互联网信息办公室正式发布《个人信息保护合规审计管理办法》及其附件《个人信息保护合规审计指引》,自2025年5月1日起施行。《审计办法》的发布,标志着《个人信息保护法》及《网络数据安全管理条例》所设立的个人信息保护合规审计制度正式进入落地实施阶段。个人信息保护合规审计制度是合规审计制度在数字化时代进行延伸与拓展的必然结果,其核心目的是全面、客观评估企业的个人信息保护合规水平,对个人信息保护合规的监管资源进行有效补充。《征求意见稿》显著提升了大型网络平台个人信息保护合规审计的要求,具体体现为以下几点:
①鼓励选聘外部机构。《个人信息保护合规审计管理办法》明确个人信息处理者可以由其内部机构或者委托专业机构开展自行审计,而《征求意见稿》鼓励大型网络平台服务提供者优先选择通过认证的第三方专业机构。
②违法举报。《征求意见稿》明确开展个人信息保护合规审计、风险评估等活动的第三方专业机构,可以直接向监管机构报告其发现的个人信息处理活动安全风险及违法违规情形。这从制度设计上似乎存在矛盾之处,大型网络平台选聘第三方机构开展合规审计工作,可能会担心其直接向监管机构报告的风险,而失去了整改的机会和可能,因此可能更倾向于由内部机构开展个人信息保护合规审计工作。但是从更深的角度理解,这种制度设计实际上是希望整体提高大型网络平台的个人信息保护合规水平,企业宜在充分开展个人信息保护合规的基础上,选聘专业第三方机构开展合规审计,从而既能提高个人信息保护水平,也能获得积极的第三方专业机构的审计认可。
③强制审计。相较于《个人信息保护合规审计管理办法》,《征求意见稿》增加了两类强制审计的情形,即“多次出现个人信息违规出境等违法违规情形的”和“法律法规和有关主管部门规定的其他情形”。其中,《征求意见稿》再次体现出对大型网络平台个人信息出境的关注,也呼应了其对大型网络平台个人信息出境的严格管理规定。
④审计配合。在强制审计情形下,相较于《个人信息保护合规审计管理办法》要求个人信息处理者为专业机构正常开展个人信息保护合规审计工作提供必要支持,《征求意见稿》规定得更为细致,要求大型网络平台为第三方专业机构指定人员提供必要的访问大型网络平台网络数据设施、系统及操作日志记录权限等。
3. 数据安全
《征求意见稿》对大型网络平台的数据安全提出了更高要求,具体涉及个人信息出境和数据中心(IDC)。
(1)个人信息出境合规
《征求意见稿》在措辞上对大型网络平台服务提供者的个人信息出境活动作出了较为严格的规定,与关键信息基础设施运营者的义务相当,即“应当将在中华人民共和国境内运营中收集和产生的个人信息存储在境内”,但是“确需向境外提供的,应当符合国家数据出境安全管理有关规定”(第九条第一款)。
就文义而言,该规定原则上拟设置数据本地化的要求,与大型网络平台个人信息保护风险相匹配。结合《征求意见稿》第十条规定,大型网络平台服务提供者还应当将在中华人民共和国境内运营中收集和产生的个人信息存储在设立在中华人民共和国境内的数据中心,这显然提高了大型网络平台个人信息出境的合规义务。这些规定反映了现实情况,掌握较大规模个人信息的企业通常都会选择在境内存储个人信息,同时在满足数据出境安全管理合规义务的基础上开展必要的个人信息出境。整体来看,《征求意见稿》对大型网络平台个人信息出境持严格管理的态度,反映了风险治理的法治思路。不过仅从法理而言,《个人信息保护法》并未规定“原则本地化”的要求,后续《征求意见稿》如何处理法治衔接,给出确定的法治信号,也值得关注。
(2)IDC选用及合同要求
《征求意见稿》专门就大型网络平台使用IDC服务作出了规定,合规义务较高,具体包括以下几点:
①本地化因素。《征求意见稿》要求大型网络平台服务提供者将在中华人民共和国境内运营中收集和产生的个人信息存储在符合条件的数据中心:设立在中华人民共和国境内;主要负责人具有中华人民共和国国籍,无境外永久居留权或者长期居留许可;安全性符合国家有关标准要求。
②协助义务。《征求意见稿》规定了IDC协助大型网络平台服务提供者履行个人信息保护义务的要求,具体包括制度规程、漏洞管理、应急响应和报告义务等(第十一条)。值得注意的是,《征求意见稿》对IDC协助义务的规定,在一定程度上与大型网络平台服务提供者的个人信息保护义务有所重合,但是《征求意见稿》并未明确两者如何分配法律责任,以及两者在承担法律责任时应为何种关系,这可能有待后续立法中进一步厘清。
③合同约束。《征求意见稿》要求大型网络平台服务提供者委托IDC存储个人信息的,应当签订合同,约定存储地点、规模、种类等,并确定监督权利、提供便利和协助管理等义务(第十二条)。
④报送义务。《征求意见稿》要求大型网络平台服务提供者应当向国家网信部门等有关部门报送存储个人信息的数据中心的基本信息,包括管理团队和管理架构、内部个人信息保护管理制度、采取的安全措施、与第三方数据中心签署的合同文本等。同时,相关信息发生变化的,应当自变化之日起10个工作日内报送变更信息。
⑤强制存储。需要注意的是,《征求意见稿》还规定了一种特殊情形,即在强制审计中发现大型网络平台服务提供者无能力保障个人信息安全的,国家网信部门、国务院公安部门和有关主管部门可以要求大型网络平台服务提供者通过签订合同等方式将个人信息存储在符合本规定要求的第三方数据中心(第十七条第三款)。
4. 网络安全
考虑到《网络安全法》刚刚完成修正工作,《征求意见稿》未对网络安全相关内容作出进一步规定,仅原则性要求大型网络平台落实网络安全等级保护有关要求,以及遵守国家关于关键信息基础设施安全的有关规定(第二十三条第二款)。
03
法律责任
《征求意见稿》并未直接规定法律责任,而仅规定依法追究责任。不过,值得注意的是,不仅大型网络平台服务提供者是责任主体,第三方专业机构和IDC也可能承担法律责任,这就与前述相关报告义务等相衔接,形成完善且有力的制度闭环。同时,需要强调的是,《征求意见稿》的起草单位不仅包括国家网信办,还包括公安部门,这在以往立法中属于非常少见的组合形式,这反映了行政责任和刑事责任相结合的思路,也是《征求意见稿》中多次出现“刑事责任”(犯罪)所释放的信号(第五条第三项、第十六条、第二十一条),需要相关企业格外注意。
04
对企业合规的启示
今年以来,国家层面显著加大了个人信息保护立法和监管力度,本次《征求意见稿》在全面推进个人信息保护工作的基础上,突出大型网络平台这一主体,首次落实《个人信息保护法》第五十八条的规定,首次明确个人信息可携权的要求。虽然《征求意见稿》仅有二十四条,但是从前述分析不难发现,其对大型网络平台规定了层次丰富、结构清晰的合规要求,在个人信息保护领域提出了不少创新性的保护规定。
就合规而言,我们建议大型网络平台服务提供者提前布局,重点就个人信息保护负责人/个人信息保护工作机构、个人信息出境合规、个人信息合规审计、个人信息可携权等方面的合规工作进行专题复盘,同时还需要全面评估个人信息保护合规风险,防范合规风险和承担相关法律责任。当然,《征求意见稿》目前仍在立法过程中,具体合规义务还有待正式出台的立法确定。在此期间(征求意见截止于2025年12月22日),相关企业亦可以根据实际情况,积极反馈相关意见,共同促进立法的科学性和合理性。
脚注:
[1] 参见:关于开展个人信息保护负责人信息报送工作的公告_中央网络安全和信息化委员会办公室
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
方禹
顾问
合规业务部
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
声明:本文来自金杜研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
