作者:袁立志
11月22日,国家网信办、公安部联合发布《大型网络平台个人信息保护(征求意见稿)》。以下是浓缩版,剔除了完全重申现有规定的条文,只保留重点条文(尤其是红字内容),略加点评(蓝字),并附作者向国家网信办提交的修改建议。
浓缩版约3000字,适合数据法领域长期跟踪研究者,新入行者请读规定全文。
大型网络平台个人信息保护规定(征求意见稿)
……
第三条 国家网信部门会同国务院公安部门等有关部门制定发布大型网络平台目录并动态更新。
(动态目录管理兼顾了明确性和灵活性。)
对大型网络平台的认定,主要考虑以下因素:(依行文习惯,四个考虑因素择一满足即构成大型平台,不需同时满足)
(一)注册用户5000万以上或者月活跃用户1000万以上;
(二)提供重要网络服务或者经营范围涵盖多个类型业务;
(三)掌握处理的数据一旦被泄露、篡改、损毁,对国家安全、经济运行、国计民生等具有重要影响;(这句话不通顺,我们已就这一条正式向国家网信办提修改意见)
(如果平台因第(三)项被认定为大型平台,其处理的数据可能落入重要数据范围,因为网数安全条例对重要数据界定使用了类似的措辞,二者的认定如何相互影响,还有待观察)
(四)国家网信部门、国务院公安部门规定的其他情形。
(我们理解,本条认定的是“平台”,不是“运营者”,故原则上以产品为统计口径,但在实际控制人相同、数据互通等特殊情况下,不排除合并认定的可能性。我们已就此正式向国家网信办提修改意见,建议予以明确)
第五条 大型网络平台服务提供者应当按照法律法规有关规定指定个人信息保护负责人,并公开个人信息保护负责人的联系方式。
个人信息保护负责人应当由大型网络平台服务提供者管理层成员担任,具有中华人民共和国国籍,无境外永久居留权或者长期居留许可,具备个人信息保护专业知识且从事相关工作5年以上。个人信息保护负责人可以由网络数据安全负责人兼任。
(网数安全条例要求重要数据处理者任命的网络数据安全负责人由管理层担任,这一要求扩展适用于处理1000万人以上个人信息的处理者。这里则进一步扩展至大型平台,且提出了国籍、境外居留权和五年以上工作经验要求,比对重要数据处理者的要求更严格。所谓“管理层”可参考公司法,通常包括董事、监事、经理、副经理、财务负责人以及章程规定的其他人员。)
个人信息保护负责人应当履行下列职责:
……
(二)参与大型网络平台个人信息处理事项相关决策,并对个人信息处理事项具有否决权;
……
个人信息保护负责人可以直接向国家网信部门、有关主管部门报告大型网络平台服务提供者的个人信息保护有关情况。
第六条 大型网络平台服务提供者应当明确个人信息保护工作机构,在个人信息保护负责人领导下开展个人信息保护相关工作,包括但不限于:
……
(四)明确专人负责未成年人个人信息保护工作;
……
鼓励大型网络平台服务提供者设立专门的个人信息保护工作机构。
……
第八条 大型网络平台服务提供者应当及时向国家网信部门报送下列信息:
(一)个人信息保护负责人基本信息;
(二)个人信息保护工作机构基本信息;
(三)保障个人信息保护负责人和个人信息保护工作机构履职的措施。
个人信息保护负责人、个人信息保护工作机构等发生变化的,大型网络平台服务提供者应当在20个工作日内报送变更信息。
国家网信部门将大型网络平台服务提供者信息向国务院公安部门和有关主管部门共享。
第九条 大型网络平台服务提供者应当将在中华人民共和国境内运营中收集和产生的个人信息存储在境内。确需向境外提供的,应当符合国家数据出境安全管理有关规定。
……
第十条 大型网络平台服务提供者应当将在中华人民共和国境内运营中收集和产生的个人信息存储在符合下列条件的数据中心:(这是对数据本地化的延伸要求,第一次出现,可能会对云服务市场带来实质影响)
(一)设立在中华人民共和国境内;(这里应该是指数据中心的物理位置,而不是指数据中心运营者的注册地)
(二)主要负责人具有中华人民共和国国籍,无境外永久居留权或者长期居留许可;(主要负责人是单指法定代表人还是包括其他职务,是一个人还是多个人,有待明确,我们已就这一点正式向国家网信办提修改意见,予以明确)
(三)安全性符合国家有关标准要求。
第十一条 数据中心应当协助大型网络平台服务提供者履行个人信息保护义务,包括但不限于:
(一)建立健全内部个人信息管理制度和操作规程;(如果数据中心是第三方的,那么要求第三方帮助大型平台完善管理制度和操作规程似乎不合适,用不着帮,也帮不上;如果数据中心是大型平台自建的,则其无独立的法律地位,由其来“帮助”大型平台完善制度也说不通。如果这一条是指数据中心自身要建立管理制度和操作规程,不宜放在这一条。我们已就这一条正式向国家网信办提修改意见)
(二)发现系统、网络产品和服务等存在影响大型网络平台服务提供者履行个人信息保护义务的安全缺陷、漏洞等风险的,应当立即采取补救措施,按照规定向有关主管部门报告,并通报大型网络平台服务提供者个人信息保护负责人;
(三)发生个人信息安全事件时,应当立即通报大型网络平台服务提供者个人信息保护负责人,及时启动应急处置预案,采取措施防止危害扩大,消除安全隐患,并按照规定向国家网信部门、有关主管部门报告;
……
第十二条 大型网络平台服务提供者委托符合本规定第十条要求的第三方数据中心存储个人信息的,应当与其签订合同,约定存储地点、规模、种类等,明确履行本规定第十一条安全要求和下列职责:
(一)严格依照法律法规的规定和合同约定,履行个人信息保护义务,提供安全、稳定、持续的服务,并接受大型网络平台服务提供者个人信息保护负责人、个人信息保护监督委员会等的监督;
(二)为大型网络平台服务提供者处理个人信息提供便利措施;
(三)协助大型网络平台服务提供者对个人信息处理活动进行安全管理。
第十三条 大型网络平台服务提供者应当向国家网信部门等有关部门报送存储个人信息的数据中心的基本信息,包括管理团队和管理架构、内部个人信息保护管理制度、采取的安全措施、与第三方数据中心签署的合同文本等。上述信息发生变化的,应当自变化之日起10个工作日内报送变更信息。
第十四条 ……
个人请求将其个人信息转移至其指定的个人信息处理者的,大型网络平台服务提供者应当在接到个人请求后30个工作日内将个人信息通过通用、机器可读的格式进行转移,并以邮件、电话、短信等方式告知个人处理结果,不符合法律、行政法规规定条件的,应当向个人说明原因。因请求数量、操作复杂等原因需要延长处理期限的,应当向个人说明延期原因,可以在合理、必要的情况下再延长30个工作日。法律、行政法规、部门规章另有规定的,从其规定。(在网数安全条例的基础上,进一步明确了转移权的响应时间是30个工作日)
支持大型网络平台服务提供者通过应用程序接口或者其他标准化技术方式提供转移途径,采取身份验证、加密传输等安全措施保障个人信息转移安全。
……
第十六条 受大型网络平台服务提供者委托开展个人信息保护合规审计、风险评估等活动的第三方专业机构,应当注册在中华人民共和国境内……
第十七条 大型网络平台服务提供者有以下情形之一的,国家网信部门、国务院公安部门和有关主管部门可以要求其委托第三方专业机构对其个人信息处理活动开展合规审计、风险评估等活动:
(一)个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等情形的;
(二)多次出现个人信息违规出境等违法违规情形的;(相对于个保合规审计办法增加的条款)
(三)个人信息处理活动可能侵害众多个人权益的;
(四)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的;
(五)法律法规和有关主管部门规定的其他情形。
……
发现大型网络平台服务提供者无能力保障个人信息安全的,国家网信部门、国务院公安部门和有关主管部门可以要求大型网络平台服务提供者通过签订合同等方式将个人信息存储在符合本规定要求的第三方数据中心。
……
附:袁立志律师向国家网信办提交的对《大型网络平台个人信息保护规定(征求意见稿)》的修改建议
尊敬的国家互联网信息办公室:
我是一名从事网络与数据法工作的执业律师。贵办于2025年11月22日联合公安部发布了《大型网络平台个人信息保护规定(征求意见稿)》(以下简称《规定》),向社会公开征求意见。我认真研读了《规定》全文,结合法律及实践,就其中部分条款提出如下修改建议,供贵办参考:
一、关于“大型网络平台”认定是以产品为单位还是可以合并认定
建议条款:第三条
问题说明:
我理解,“大型网络平台”的认定原则上是以“产品”为对象,但在特殊情况下,如实际控制人相同、数据相互打通等,不排除多个产品合并计算用户规模或评估影响力的可能性。对此,草案没有明确说明。
建议:
为防止规避法律,预留监管自由裁量空间,建议在第三条后增加一款:
“对于存在同一实际控制人控制、共用用户账号体系或打通用户数据等情况的多个网络平台,国家网信部门、国务院公安部门可以综合评估其整体用户规模、业务协同性、数据集中度和影响力,决定是否合并认定。”
二、关于第三条“大型网络平台认定标准”的表述优化建议
建议条款:第三条第二款第(三)项
“掌握处理的数据一旦被泄露、篡改、损毁,对国家安全、经济运行、国计民生等具有重要影响。”
问题说明:
这句话不通顺。“掌握”与“处理”一词存在重复,且容易引起理解混乱,建议删去“掌握”一词,仅保留“处理”一词。
“一旦被……,对……等具有重要影响”语句不通,建议改为“一旦被……,可能对……等造成重要影响”。
修改建议:
建议修改为:
“所处理的数据一旦被泄露、篡改、损毁,可能对国家安全、经济运行、国计民生等造成重大影响。”
三、关于第十条“数据中心主要负责人”范围不明确的问题
建议条款:第十条第(二)项
“主要负责人具有中华人民共和国国籍,无境外永久居留权或者长期居留许可。”
问题说明:
“主要负责人”概念模糊,未明确是指法定代表人、实际控制人,还是包括技术负责人等多人。若解释过宽,将显著增加第三方数据中心合规成本。
修改建议:
建议修改为:
“(数据中心的)法定代表人及实际控制人应当具有中华人民共和国国籍,无境外永久居留权或者长期居留许可。”
四、关于第十一条“数据中心协助义务”职责设定不当的问题
建议条款:第十一条第(一)项
“建立健全内部个人信息管理制度和操作规程”
问题说明:
若数据中心为第三方服务商(如云厂商),其法律地位是受托处理者,仅负有按约定提供安全存储服务的义务,要求其帮助大型网络平台建立健全管理制度,超出了其能力范围,也与行业实践不符。若数据中心是大型网络平台自建,则其或为内设部门,或分公司或子公司,要求其帮助总公司/母公司来建立健全制度和规程,于理不合。
若这一项指的是数据中心自身要建立健全制度和规程,则不应放在第十一条,因为这一条规定的是数据中心的协助义务。
修改建议:
建议删除该项,或修改为:
“建立健全内部个人信息管理制度和操作规程,确保与大型网络平台的个人信息管理制度和操作规程相衔接,并协助大型网络平台予以落实”
以上建议,供参考。
袁立志
2025年11月27日
声明:本文来自减熵实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
