- within Privacy, Transport and Real Estate and Construction topic(s)
- in United States
- with readers working within the Media & Information and Retail & Leisure industries
前 言
2025年11月22日,国家网信办联合公安部发布了《大型网络平台个人信息保护规定(征求意见稿)》("《大型平台规定(征)》"),旨在进一步细化大型网络平台的个人信息保护义务边界。《大型平台规定(征)》在现行个人信息保护通用规则的基础上,明确了大型网络平台的界定规则,创设了个人信息保护负责人任职规范、个人信息存储本地化与数据中心管理要求、个人信息转移权响应机制、信息报送制度等一系列特殊义务,对大型网络平台服务提供者提出了更为严格的合规要求。
本文将重点拆解三大核心问题:其一,大型网络平台的界定标准如何适用;其二,大型网络平台服务提供者相较于一般个人信息处理者,存在哪些特殊合规义务;其三,我国大型网络平台监管规则与域外规则的异同点何在。
一、大型网络平台的界定标准
"大型网络平台"并非全新概念,此前《个人信息保护法》("《个保法》")、《网络数据安全管理条例》("《网数条例》")、《大型网络平台设立个人信息保护监督委员会规定(征求意见稿)》("《大型平台个保监督规定(征)》")等多部法律文件中,均有类似概念提及,但不同文件在定量与定性层面的界定标准存在差异。《大型平台规定(征)》沿用了《网数条例》中的定量标准,扩展了认定考量因素,并衔接了《大型平台个保监督规定(征)》提及的"目录清单制"管理模式,为企业开展自我识别与认定工作提供了明确指引。
综合上述不同的界定标准,认定某一组织是否构成《大型平台规定(征)》中的"大型网络平台服务提供者",需从以下三个核心维度综合考虑:
1. 是否具备"平台"的法定属性?
依据《国务院反垄断委员会关于平台经济领域的反垄断指南》《互联网平台分类分级指南(征)》《网络安全标准实践指南—大型互联网平台网络安全评估指南》,平台的核心属性是通过网络信息技术,促成相互依赖的双边或者多边主体在特定载体提供的规则下交互并共同创造价值的商业组织形态,关键在于具备连接个人与个人、商品、信息、服务、线下资源、资金、软件等要素的双边或多边属性。例如,第三方电商平台、网约车平台、配送服务平台、保险经纪平台等均属于典型的"平台",而平台的商家、车辆营运公司、运力服务商、保险公司等则属于"平台内经营者"。而实践中,对于不存在"平台内经营者"的形态是否构成"平台",存在一定的争议。例如,自建电商网站是否属于"平台"?从本质上分析,此类网站虽无平台内经营者的概念,但其实现了人与商品的连接,具有双边属性,属于"平台"。结合相关立法演进脉络及《大型平台规定(征)》的上下文语境,"平台"似乎宜作广义理解。
2. 认定因素需满足全部还是择一适用?
根据《大型平台规定(征)》第3条并综合上述其他法律依据或参考文件,界定"大型网络平台"的因素主要包括用户规模、业务类型、数据安全影响程度。对于这些因素需满足全部还是择一适用,实践中存在不同解读。部分观点试图通过标点符号(如《个保法》中的顿号、《网数条例》中的逗号、《大型平台规定(征)》的分号)进行判断,但标点仅为文本表达的辅助工具,核心还是需要回归到定义本质。
从立法精神来看,大型网络平台的认定应采取综合判定原则,即综合用户数、业务类型或数据敏感程度进行判断。若仅用户规模达标,但业务类型单一或处理的数据敏感程度相对较低,未涉及国家安全和国计民生等重点领域,则通常不认定为大型网络平台。
3. 目录列入是否为认定的前置条件?
《大型平台规定(征)》确定的目录制管理方式,与《关键信息基础设施安全保护条例》第10条规定的关键信息基础设施运营者(CIIO)认定机制存在相似性。CIIO运营者采取"通知认定制",未接到认定通知的组织不属于CIIO;而《大型平台规定(征)》并未明确未列入目录的平台不构成大型网络平台。因此,如果某一组织暂未被列入大型网络平台目录中,但其实际用户规模、业务类型等情况又满足上述认定因素,则建议主动开展合规自查与自我认定,并参照《大型平台规定(征)》履行对应的合规义务,避免后续整改带来重大业务影响。
二、大型网络平台特殊合规要求
《大型平台规定(征)》为大型网络平台服务提供者划定了明确的合规底线。为精准识别此类主体的特殊合规要求,结合《个保法》《网数条例》《大型平台个保监督规定(征)》《大型平台规定(征)》等相关规定,笔者整理了不同主体对应的个人信息保护合规要求,具体见下表《个人信息保护合规要求对照表》。
根据上述表格,大型网络平台服务提供者除需遵循现行个人信息保护通用规则外,还需履行如下特殊的"守门人"合规要求:
(一)个人信息保护组织建设
1. 个人信息保护负责人
根据《大型平台规定(征)》,大型网络平台服务提供者应指定个人信息保护负责人(PIPO),并向国家网信部门报送基本信息,同时公开联系方式。《大型平台规定(征)》对PIPO提出了严苛的任职条件,包括:
- 为大型网络平台服务提供者管理层成员;
- 具有中国国籍,无境外永居或者长期居留许可;
- 具备个保专业知识且从事相关工作5年以上。
虽任职条件严苛,但《大型平台规定(征)》从履职支持方面赋予了PIPO一定的权力,包括赋予其参与个人信息处理事项的决策权、对相关处理事项的否决权等,同时允许PIPO直接向国家网信部门及有关主管部门报告平台情况。
2. 个人信息保护工作机构
《大型平台规定(征)》要求大型网络平台服务提供者明确个人信息保护工作机构(即"个保部门"),并鼓励设立专门的个保部门,负责开展内部个人信息保护相关工作,包括制定实施内部个人信息保护管理制度、组织开展日常合规评审工作、编制年度社会责任报告等工作。
实践中,企业通常采用"虚拟组织"模式,设立一个由法务部、信息安全部、风控合规部等多个职能部门组成的虚拟工作小组,而此类模式通常容易产生职责划分不清、责任不到人等问题。大型网络平台的高风险强合规需求,设立一个专门机构能够相对有效地解决前述问题。
3. 个人信息保护监督委员会
《大型平台规定(征)》中并未重申"独立监督机构"这一要求,该要求已在今年9月12日国家网信办发布的《大型平台个保监督规定(征)》中予以明确,同时《数据安全技术 大型互联网企业内设个人信息保护监督机构(GBT 45404-2025)》进一步细化了监督机构的职责、工作机制等内容。
根据《大型平台个保监督规定(征)》,大型网络平台运营者应设立个人信息保护监督委员会,人数需与大型网络平台相适应,一般不少于7人,外部成员占比不低于2/3,且外部成员需保持身份和履职的独立性。监督委员会重点对大型网络平台的各类个保合规事项进行监督,如PIA、出境、个保审计等。实践中已有头部企业落实此要求,设立了由外部专家、知名学者等人员组成的个人信息保护监督委员会,并面向公众公开相关信息。如蚂蚁集团监委会委员由不少于五名法学、技术领域的外部专家组成,监委会委员由董事会选聘或更换,任期三年。
(二)数据中心建设
《大型平台规定(征)》第9条至13条重点围绕大型网络平台的个人信息存储及数据中心管理设置了强制性规定,形成了"本地化存储+数据中心资质准入+协议约束+信息报送"的强监管体系。具体如下:
1. 个人信息本地化存储
大型网络平台服务提供者必须将在境内运营过程中收集和产生的个人信息存储在境内,不论其是否构成CIIO或属于特殊行业。
2. 数据中心资质准入
大型网络平台服务提供者如果委托第三方数据中心存储数据,则应选择符合条件的数据中心。《大型平台规定(征)》规定了数据中心的资质要求,具体包括:
- 设立在中国境内;
- 主要负责人具有中国国籍,无境外永居或者长期居留许可;
- 安全性符合国家有关标准要求,如GB50174、GB50462等。
3. 协议签署
综合《大型平台规定(征)》《个保法》《网数条例》等要求,大型网络平台服务提供者须与第三方数据中心签署协议,明确约定以下事宜:
- 数据存储基本情况:存储地点、规模、种类等基本信息;
- 落实保护与接受监督义务:数据中心将严格依照法律法规的规定和合同约定,履行个人信息保护义务,建立健全内部个人信息管理制度和操作规程,提供安全、稳定、持续的服务,并接受大型网络平台服务提供者个人信息保护负责人、个人信息保护监督委员会等的监督;
- 提供便利义务:为平台服务提供者个保工作提供便利措施;
- 安全管理义务:协助平台服务提供者对个人信息处理活动进行安全管理;
- 安全漏洞补救与报告义务:发现系统、网络产品和服务等存在影响大型网络平台服务提供者履行个人信息保护义务的安全缺陷、漏洞等风险的,应当立即采取补救措施,按照规定向有关主管部门报告,并通报大型网络平台服务提供者个人信息保护负责人;
- 安全事件应急处置要求:发生个人信息安全事件时,应当立即通报大型网络平台服务提供者个人信息保护负责人,及时启动应急处置预案,采取措施防止危害扩大,消除安全隐患,并按照规定向国家网信部门、有关主管部门报告;
- 其他《个保法》规定的委托处理场景下所需约定的条款。
4.信息报送
大型网络平台服务提供者应向国家网信部门报送数据中心相关信息,包括管理团队和管理架构、内部个人信息保护管理制度、采取的安全措施、与第三方数据中心签署的合同文本等。因此,这对第三方数据中心提出了较高的要求,也对现有企业内部重新评估合作方提供了思路。
(三)平台规则与平台责任
1. 平台规则
根据《大型平台规定(征)》《个保法》《网数条例》《个人信息保护合规审计管理办法》等相关规定,大型网络平台服务提供者应制定平台规则。平台规则应:
- 明确约定平台、平台内产品或服务提供者的个人信息保护权利和义务;
- 不得存在违反法律法规强制性规定。
例如,平台规则中不得包含不合理的格式条款(享有单方解释权或者最终解释权)、不正当竞争(二选一)的条款、不合理的差别待遇条款、违反民法基本原则或损害用户合法权益等内容。
2. 平台责任
根据《大型平台规定(征)》《个保法》《网数条例》,大型网络平台服务提供者应尽到平台管理责任,建立平台管理处置机制,对于严重违法违规的平台内运营者采取关停等处罚措施、信用机制等。
此外,特殊类型平台(如应用分发平台、预置应用智能终端)服务提供者还应履行额外的合规要求,如上线前办理应用程序分发平台备案手续、对上架应用服务提供者开展身份验证、审核上架及更新的应用程序、公示应用程序六要素、建立违规处置措施等。
(四)社会责任报告
根据《大型平台规定(征)》《个保法》《网数条例》《个人信息保护合规审计管理办法》等相关规定,大型网络平台服务提供者应每年编制并发布个人信息保护社会责任报告,报告中应包括:
- 个人信息保护组织架构和内部管理情况;
- 个人信息保护能力建设情况;
- 个人信息保护措施和成效;
- 个人行使权利的申请受理情况;
- 独立监督机构履职情况;
- 重大个人信息安全事件处理情况;
- 促进个人信息保护社会共治的科普宣传、公益活动情况;
- 法律、行政法规规定的其他事项。
目前已有头部企业发布每年度个人信息保护社会责任报告,充分展示了企业在个人信息保护方面所开展的工作,为行业内提供最佳实践案例。
(五)个人信息保护合规审计
根据《大型平台规定(征)》《个人信息保护合规审计管理办法》,大型网络平台服务提供者应定期或按监管要求开展个人信息保护合规审计,具体如下:
- 定期审计:应至少每2年开展1次个人信息保护合规审计;
- 监管审计:存在法律规定情形之一的,国家主管部门可要求其开展合规审计,如"多次出现个人信息违规出境等违法违规情形"。
而大型网络平台服务提供者委托开展个保审计的第三方专业机构,需要满足一定的资质要求,如鼓励优先选择通过认证的三方机构、三方机构应注册在中国境内等。
《大型平台规定(征)》还规定,如果在个保审计过程中发现大型网络平台服务提供者无能力保障个人信息安全的,国家主管部门可以要求大型网络平台服务提供者更换数据中心。这一条对企业可能产生巨大的合规成本,在实践中数据中心迁移并非小事,正式版本中会如何规定值得期待。
(六)用户行权
《大型平台规定(征)》第14条在《个保法》《网数条例》的基础之上,细化了"个人信息转移权"的响应规则,进一步推动了我国"数据可携权"的落地,向《欧盟数据法》等相关规则逐步靠拢。根据《大型平台规定(征)》,大型网络平台服务提供者需按如下方式响应用户的个人信息转移权请求;
- 响应范围:基于个人同意提供的或者基于合同收集的个人信息(不含衍生信息);
- 响应时限:30个工作日+延期30个工作日(长于现行的15日/15个工作日个人信息行权响应期限);
- 响应方式:通过通用、机器可读的格式进行转移并告知个人处理结果,同时鼓励企业通过API接口或其他方式提供转移途径,并采取身份验证、加密传输等安全措施。
这一规定在保障用户权益、尝试打破数据孤岛的同时,也为头部企业带来了巨大的合规与商业挑战。实现数据可携权时,需综合考虑企业间的商业竞争、数据接口对接可能性、平台互联互通程度等多种因素,而这些因素每一样都很难解决。即使在实践中通过个人信息副本(复制权)的方式来替代解决,以及《数据安全技术 基于个人请求的个人信息转移要求(征求意见稿)》中尝试给出的三种个人信息转移的实现方式,也与真正的"个人信息转移权"落地有很大距离。
(七)信息报送
《大型平台规定(征)》规定了一系列向国家网信部门报送信息的义务,包括:
- (1)个人信息保护负责人基本信息;
- (2)个人信息保护工作机构基本信息;
- (3)保障个人信息保护负责人和个人信息保护工作机构履职的措施;
- (4)数据中心基本情况与数据中心合作协议。
当上述(1)-(3)发生变化时,大型网络平台服务提供者应在20个工作日内报送变更信息;(4)发生变化时,则应自变化之日起10个工作日内报送变更信息。而上述信息报送机制是否与现行的个人信息保护负责人信息报送机制相衔接还是另行通过其他平台开展,还需监管部门进一步明确。
此外,根据《大型平台个保监督规定(征)》,大型网络平台服务提供者应在监督委员会成立、变更之日起30个工作日内,向所在地省级网信部门报送监督委员会规则、成员名单等信息。监督委员会每年向所在地省级网信部门报送履行职责情况报告。省级网信部门每年向国家网信部门报送大型网络平台个人信息保护监督委员会相关工作情况。
三、大型平台域外规则比较分析
大型网络平台因其用户规模庞大、业务属性重要,极易引发系统性风险,全球多个法域均对此类平台出台了专门的监管规则。我国前述大型平台监管规则的制定,亦借鉴了部分域外的立法经验。随着出海浪潮的兴起,中国大型网络平台亦需同步关注域外的相关规则,布局全球化合规策略。下表将就欧盟有关大型网络平台的规则与中国规则进行比较,分析其中异同:
由上表可知,中国与欧盟在大型网络平台治理方面存在诸多共性,例如均采用名单认定制、要求开展独立审计、强调平台规则透明、实施内容管控等,但二者的监管侧重点又略有不同,其中欧盟在广告营销规范、透明度、未成年人权益保护等方面,设置了更为严苛的合规标准。
四、结语
《大型平台规定(征)》的出台,既是对《个保法》《网数条例》等上位法规则的细化与落地,也是对具有系统性影响及高风险属性的"守门人"主体的精准规制,推动我国平台监管从"通用规范"向"精准治理"升级,最终实现个人权益保护、平台经济健康发展与国家安全保障的三重平衡。
不过,新规设定的各项规则给相关企业带来了诸多现实挑战,相关问题亟待行业正视、面对并妥善解决。当前,《大型平台规定(征)》处于征求意见阶段,相关企业应结合自身实际业务情况,积极反馈意见充分表达现实困境,同时提前开展合规筹划工作,制定完善的合规应对方案,以应对未来的合规挑战。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
[View Source]