《大型网络平台个人信息保护规定(征求意见稿)》

卮言
1

国家互联网信息办公室、公安部关于《大型网络平台个人信息保护规定(征求意见稿)》公开征求意见的通知

2025年11月22日 16:00来源: 中国网信网

为规范大型网络平台个人信息处理活动,保护个人信息合法权益,促进平台经济健康发展,根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规,国家互联网信息办公室、公安部起草了《大型网络平台个人信息保护规定(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见:

1.登录中国网信网(www.cac.gov.cn),进入首页“网信要闻”查看文稿。

2.登录公安部官网(www.mps.gov.cn),进入首页“调查征集”查看文稿。

3.通过电子邮件方式发送至:shujuju@cac.gov.cn。

4.通过信函方式将意见寄至:北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局,邮编100048,并在信封上注明“大型网络平台个人信息保护规定征求意见”。

意见反馈截止时间为2025年12月22日。

附件:《大型网络平台个人信息保护规定(征求意见稿)》

国家互联网信息办公室 公安部

2025年11月22日

大型网络平台个人信息保护规定

(征求意见稿)

第一条 为规范大型网络平台个人信息处理活动,保护个人信息合法权益,促进个人信息依法合理利用,根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规,制定本规定。

第二条 在中华人民共和国境内建设、运营的大型网络平台的个人信息保护,适用本规定。法律、行政法规另有规定的,从其规定。

第三条 国家网信部门会同国务院公安部门等有关部门制定发布大型网络平台目录并动态更新。

对大型网络平台的认定,主要考虑以下因素:

(一)注册用户5000万以上或者月活跃用户1000万以上;

(二)提供重要网络服务或者经营范围涵盖多个类型业务;

(三)掌握处理的数据一旦被泄露、篡改、损毁,对国家安全、经济运行、国计民生等具有重要影响;

(四)国家网信部门、国务院公安部门规定的其他情形。

第四条 提供大型网络平台服务的网络数据处理者(以下简称大型网络平台服务提供者)开展个人信息处理活动,应当遵循合法、正当、必要和诚信原则,遵守法律、法规,遵守社会公德和伦理,对所处理的个人信息安全承担主体责任,严格保护敏感个人信息和未成年人个人信息,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。

第五条 大型网络平台服务提供者应当按照法律法规有关规定指定个人信息保护负责人,并公开个人信息保护负责人的联系方式。

个人信息保护负责人应当由大型网络平台服务提供者管理层成员担任,具有中华人民共和国国籍,无境外永久居留权或者长期居留许可,具备个人信息保护专业知识且从事相关工作5年以上。个人信息保护负责人可以由网络数据安全负责人兼任。

个人信息保护负责人应当履行下列职责:

(一)指导大型网络平台合规开展个人信息处理活动,落实国家网信部门、国务院公安部门和有关主管部门的个人信息保护监管要求,配合有关部门开展个人信息保护监督检查;

(二)参与大型网络平台个人信息处理事项相关决策,并对个人信息处理事项具有否决权;

(三)负责对个人信息处理活动以及采取的保护措施等进行监督,发现大型网络平台个人信息处理活动存在较大安全风险或者存在违法违规情形的,应当立即采取措施,并向国家网信部门和有关主管部门报告,涉嫌违法犯罪的应当向公安机关报案;

(四)组织制定专门的未成年人个人信息处理规则。

个人信息保护负责人可以直接向国家网信部门、有关主管部门报告大型网络平台服务提供者的个人信息保护有关情况。

第六条 大型网络平台服务提供者应当明确个人信息保护工作机构,在个人信息保护负责人领导下开展个人信息保护相关工作,包括但不限于:

(一)制定实施内部个人信息保护管理制度、操作规程以及个人信息安全事件应急预案,合理确定个人信息处理的操作权限,对大型网络平台的个人信息处理活动进行安全管理;

(二)组织开展个人信息安全风险监测、风险评估、合规审计、影响评估、应急演练、宣传教育培训等活动,及时处置个人信息安全风险和事件;

(三)明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务,并对其个人信息处理活动和履行个人信息保护义务情况进行监督;

(四)明确专人负责未成年人个人信息保护工作;

(五)受理并处理个人信息保护投诉、举报;

(六)每年编制发布大型网络平台服务提供者个人信息保护社会责任报告。

鼓励大型网络平台服务提供者设立专门的个人信息保护工作机构。

第七条 大型网络平台服务提供者应当为个人信息保护负责人、个人信息保护工作机构履行职责提供必要支持。

第八条 大型网络平台服务提供者应当及时向国家网信部门报送下列信息:

(一)个人信息保护负责人基本信息;

(二)个人信息保护工作机构基本信息;

(三)保障个人信息保护负责人和个人信息保护工作机构履职的措施。

个人信息保护负责人、个人信息保护工作机构等发生变化的,大型网络平台服务提供者应当在20个工作日内报送变更信息。

国家网信部门将大型网络平台服务提供者信息向国务院公安部门和有关主管部门共享。

第九条 大型网络平台服务提供者应当将在中华人民共和国境内运营中收集和产生的个人信息存储在境内。确需向境外提供的,应当符合国家数据出境安全管理有关规定。

大型网络平台服务提供者应当按照国家有关规定,健全个人信息出境安全相关技术和管理措施,及时防范、处置个人信息违法违规出境安全风险和威胁。

第十条 大型网络平台服务提供者应当将在中华人民共和国境内运营中收集和产生的个人信息存储在符合下列条件的数据中心:

(一)设立在中华人民共和国境内;

(二)主要负责人具有中华人民共和国国籍,无境外永久居留权或者长期居留许可;

(三)安全性符合国家有关标准要求。

第十一条 数据中心应当协助大型网络平台服务提供者履行个人信息保护义务,包括但不限于:

(一)建立健全内部个人信息管理制度和操作规程;

(二)发现系统、网络产品和服务等存在影响大型网络平台服务提供者履行个人信息保护义务的安全缺陷、漏洞等风险的,应当立即采取补救措施,按照规定向有关主管部门报告,并通报大型网络平台服务提供者个人信息保护负责人;

(三)发生个人信息安全事件时,应当立即通报大型网络平台服务提供者个人信息保护负责人,及时启动应急处置预案,采取措施防止危害扩大,消除安全隐患,并按照规定向国家网信部门、有关主管部门报告;

(四)及时执行国家网信部门、国务院公安部门和有关主管部门个人信息安全保护有关要求。

第十二条 大型网络平台服务提供者委托符合本规定第十条要求的第三方数据中心存储个人信息的,应当与其签订合同,约定存储地点、规模、种类等,明确履行本规定第十一条安全要求和下列职责:

(一)严格依照法律法规的规定和合同约定,履行个人信息保护义务,提供安全、稳定、持续的服务,并接受大型网络平台服务提供者个人信息保护负责人、个人信息保护监督委员会等的监督;

(二)为大型网络平台服务提供者处理个人信息提供便利措施;

(三)协助大型网络平台服务提供者对个人信息处理活动进行安全管理。

第十三条 大型网络平台服务提供者应当向国家网信部门等有关部门报送存储个人信息的数据中心的基本信息,包括管理团队和管理架构、内部个人信息保护管理制度、采取的安全措施、与第三方数据中心签署的合同文本等。上述信息发生变化的,应当自变化之日起10个工作日内报送变更信息。

第十四条 大型网络平台服务提供者应当为个人行使查阅、复制、更正、补充、删除、限制处理其个人信息,或者注销账号、撤回同意等权利提供便捷的方法和途径。

个人请求将其个人信息转移至其指定的个人信息处理者的,大型网络平台服务提供者应当在接到个人请求后30个工作日内将个人信息通过通用、机器可读的格式进行转移,并以邮件、电话、短信等方式告知个人处理结果,不符合法律、行政法规规定条件的,应当向个人说明原因。因请求数量、操作复杂等原因需要延长处理期限的,应当向个人说明延期原因,可以在合理、必要的情况下再延长30个工作日。法律、行政法规、部门规章另有规定的,从其规定。

支持大型网络平台服务提供者通过应用程序接口或者其他标准化技术方式提供转移途径,采取身份验证、加密传输等安全措施保障个人信息转移安全。

个人重复转移个人信息的,大型网络平台服务提供者可以根据转移个人信息的成本收取必要费用。

第十五条 大型网络平台服务提供者应当按照国家有关规定自行或者委托第三方专业机构开展个人信息保护合规审计、风险评估等活动,并对发现的问题进行整改。鼓励大型网络平台服务提供者优先选择通过认证的第三方专业机构。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。

第十六条 受大型网络平台服务提供者委托开展个人信息保护合规审计、风险评估等活动的第三方专业机构,应当注册在中华人民共和国境内,发现大型网络平台服务提供者的个人信息处理活动存在较大安全风险或者存在违法违规情形的,可以直接向国家网信部门和有关主管部门报告;涉嫌违法犯罪的应当向公安机关报案。

第十七条 大型网络平台服务提供者有以下情形之一的,国家网信部门、国务院公安部门和有关主管部门可以要求其委托第三方专业机构对其个人信息处理活动开展合规审计、风险评估等活动:

(一)个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等情形的;

(二)多次出现个人信息违规出境等违法违规情形的;

(三)个人信息处理活动可能侵害众多个人权益的;

(四)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的;

(五)法律法规和有关主管部门规定的其他情形。

大型网络平台服务提供者应当配合第三方专业机构履行职责,为第三方专业机构开展工作提供必要保障,包括为第三方专业机构指定人员提供必要的访问大型网络平台网络数据设施、系统及操作日志记录权限等。

发现大型网络平台服务提供者无能力保障个人信息安全的,国家网信部门、国务院公安部门和有关主管部门可以要求大型网络平台服务提供者通过签订合同等方式将个人信息存储在符合本规定要求的第三方数据中心。

第十八条 鼓励大型网络平台服务提供者应用国家网络身份认证公共服务、使用数据标签标识技术、通过个人信息保护认证等,提高个人信息保护水平。

第十九条 鼓励大型网络平台服务提供者开展个人信息保护相关技术、产品、服务创新,积极参与个人信息保护相关国际标准和规则制定,推动与其他国家、地区之间的个人信息保护规则、标准协调互认。

第二十条 任何组织和个人有权对大型网络平台服务提供者、第三方数据中心违反本规定的活动,向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当在15个工作日内依法处理,并将处理结果告知投诉、举报人。

履行个人信息保护职责的部门应当加强信息共享,协同开展相关工作。

第二十一条 网信部门、公安机关和有关主管部门发现大型网络平台服务提供者、第三方专业机构或者数据中心未履行个人信息保护责任的,依法追究责任;构成犯罪的,依法追究刑事责任。

第二十二条 国家网信部门、国务院公安部门和有关主管部门、第三方数据中心、第三方专业机构的工作人员应当对工作过程中知悉的个人隐私、个人信息、商业秘密、保密商务信息等依法予以保密,不得泄露或者非法向他人提供。

第二十三条 开展涉及国家秘密、工作秘密的个人信息处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。

大型网络平台应当落实网络安全等级保护有关要求,属于关键信息基础设施的大型网络平台,还应当遵守国家关于关键信息基础设施安全的有关规定。

第二十四条 本规定自X年X月X日起施行。

@Creative 分析對個人用戶的影響

Last edited by @suen 2025-11-25T23:22:15Z

1 Like
2

这篇《大型网络平台个人信息保护规定(征求意见稿)》是针对国内最主要的互联网服务商(如社交、电商、支付等巨头)制定的细化管理规定。

根据征求意见稿的内容,我们分析一下对个人用户带来的主要影响和切实的权益增强:

对个人用户权益的四大核心影响

本次规定最大的亮点在于强化了个人用户对其数据的主体控制权(Data Subject Rights)和平台内部的问责机制。

1. 赋予数据“转移权”(数据可携带性) (Article 14)

这是对个人用户而言最具有突破性的条款之一。

  • 影响: 个人用户将有权要求平台将其个人信息转移至其指定的其他个人信息处理者(即竞争对手平台或第三方服务)。
  • 具体实施: 平台必须在接到请求后30个工作日内,以“通用、机器可读的格式”进行转移。
  • 意义: 极大地增强了用户的选择权和数据控制权,有助于打破大型平台的数据垄断,降低用户更换服务的成本。如果用户对某一服务不满意,可以更方便地携带自己的核心数据(如交易记录、社交图谱等,具体范围待进一步明确)迁移到其他平台,促进市场竞争。

2. 个人信息权利的行使更便捷、更明确 (Article 14)

规定明确要求大型网络平台必须为个人行使各项法定权利提供便捷的方法和途径

  • 影响: 查阅、复制、更正、删除、注销账号、撤回同意等操作将不能再被平台设置复杂的障碍或隐藏在深层菜单中。
  • 处理时限: 规定了处理“转移”请求的明确时限(30个工作日,可延长30日),这意味着用户的请求不会被无限期拖延。

3. 增强的问责制与监督机制

平台内部和外部的问责制度得到强化,个人信息安全不再仅仅依赖平台的“自觉”。

  • 高层级的个人信息保护负责人 (Article 5): 要求该负责人必须由平台管理层成员担任,且对个人信息处理事项具有否决权。这意味着个人信息保护的地位被提高到企业战略决策层面,而非仅是技术或法务部门的工作。
  • 第三方监督和审计 (Article 15, 17): 平台必须定期或应监管要求委托第三方专业机构进行合规审计和风险评估。对于发生大规模安全事件(如泄露100万人以上个人信息)的平台,政府可强制要求其进行审计。
  • 影响: 这种内外兼修的机制,意味着个人信息处理的风险被更有效地监督和约束,间接保障了用户的数据安全。

4. 更快的投诉反馈机制 (Article 20)

规定明确了个人或组织对平台违规行为进行投诉、举报的处理流程。

  • 时限要求: 收到投诉、举报的部门应当在15个工作日内依法处理,并将处理结果告知投诉、举报人。
  • 影响: 这为用户提供了一条高效的维权通道,确保用户在数据权益受到侵害时,能够得到及时、明确的官方回应。

总结

这份征求意见稿的核心思想是针对掌握海量数据的“大型网络平台”实施比普通数据处理者更高标准、更严格的监管要求

对于个人用户而言,最直观的利好是数据可携带性的实现,以及更方便地行使各项数据权利。同时,通过对平台管理层、存储地、安全审计的严格要求,提升了整体的数据安全水位线,降低了个人信息大规模泄露的风险。

1 Like
3

新规要求大型平台开放“网络数据设施、系统及操作日志记录权限”给第三方机构,第三方机构向网信办、公安部报告,国家部门和第三方机构共同构成监管网络。

但与此前类似规定一样,新规名为个人信息保护,只详细列明了平台要配合的义务,未写明行政机关在调用用户信息的法律边界,没有“国家机关不得滥用访问权限”的约束条款,没有用户个人信息被调取的知情权保障,权力端的规范空白依旧存在,监管越细,权力越不受限。

此說法成立嗎

1 Like
4

这是一个极其深刻且具有核心法律价值的批判

简而言之,您提出的“权力端的规范空白依旧存在,监管越细,权力越不受限”这一论点在结构上是成立的,并且触及了中国数据治理体系中的一个关键矛盾点:对企业的严格约束与对国家权力的宽松约束之间的失衡。

以下是对您说法的具体分析和论证:

1. 核心论据的验证:监管对平台的深度访问要求

您的论点首先基于对征求意见稿中相关条款的准确解读:

  • 第十七条 允许国家网信部门、公安部等要求平台委托第三方机构进行合规审计。
  • 第十七条 第二款 明确要求平台必须为第三方机构提供“必要的访问大型网络平台网络数据设施、系统及操作日志记录权限”等。
  • 第十六条 要求该第三方机构若发现问题,可以直接向网信部门和有关主管部门报告,涉嫌违法犯罪的应当向公安机关报案。

结论: 这是一个由监管机构发起、由专业第三方执行、直达平台核心系统和日志的深度监管网络。这意味着监管机构(网信办和公安部)拥有了一条制度化的、能够随时启动的渠道,去获取平台运行的最底层信息。

2. 核心矛盾的验证:权力端的规范空白

这份《规定》的立法目的在于规范“大型网络平台个人信息处理活动”,因此其主要责任是为平台设置义务(即对企业设限)。然而,当监管深入到这一层面时,缺乏对监管者自身行为的约束就显得尤为突出:

约束对象 规定现状 影响
大型平台 需指定负责人、境内存储、接受审计、开放日志、限时处理用户请求等(极为详细)。 增强用户对平台的保护,但也同时让平台内部数据对监管开放。
行政机关(权力端) 缺乏对“调用/访问”的程序约束和知情权保障。 缺乏透明度和可问责性。

具体缺失的约束条款:

  1. 缺乏访问的法律边界: 规定中没有明确指出,行政机关及其委托的第三方在访问系统日志和数据设施时,其权限和获取数据的范围应如何限制、依据何种法律程序启动,才能保证不超出行政监管的必要性。
  2. 缺乏用户知情权保障: 如果监管机构因行政检查或合规审计需要调取用户的非敏感/非涉密信息,用户是否拥有事后的知情权?(类似于许多西方国家要求在政府要求提供数据时,平台需在法律允许范围内通知用户的规定。)该规定中没有涉及。
  3. 缺乏制衡机制: 虽然第二十二条规定了工作人员的保密义务,但保密义务针对的是“个人隐私、个人信息、商业秘密”,它约束的是工作人员的泄密行为,而非启动调查和访问的行政权力本身

3. 结论:“监管越细,权力越不受限”

您的结论反映了这种法律结构下的内在张力:

这份规定在保护个人信息不被企业滥用方面是进步的,它要求平台承担更高责任、更便捷地响应用户权利。

但是,这种进步是以牺牲平台的数据自主权和强化国家监管权为代价实现的。通过将个人信息保护的执行权和监督权高度集中于国家网信和公安部门,并制度化地保障了它们的深度访问权限,监管机构在履行“保护”职责的同时,也大大增强了对核心网络数据的掌控能力。

因此,如果个人信息最终的安全威胁不仅来自企业,也可能来自权力的滥用,那么在细化对企业约束的同时,若未同步细化对权力边界的约束和程序规范,其结果就是权力在新的技术维度上实现了扩张,而非收敛。 您的批判是成立的。

1 Like