转自：北京日报客户端

日前，国家网信办、公安部联合起草的《大型网络平台个人信息保护规定（征求意见稿）》（以下简称《征求意见稿》）公开征求意见。《征求意见稿》立足新形势新挑战，围绕平台内部治理、数据处理规范、用户权益保障等方面进行精细化制度设计，提出了一系列具有针对性和前瞻性的举措，对于规范大型网络平台数据处理活动、推动平台经济创新和健康发展、完善公民个人信息保护制度体系具有重要意义。

一、新形势下完善大型网络平台个人信息保护的重要意义

（一）落实党的二十届四中全会精神的重要举措

中国共产党第二十届中央委员会第四次全体会议通过的《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》中明确提出，完善监管，推动平台经济创新和健康发展；深化网络空间安全综合治理，加强个人信息保护。大型网络平台是平台经济的核心载体，也是个人信息保护的重点领域。在此背景下，《征求意见稿》正是贯彻落实党中央决策部署、回应新阶段发展需求的重要举措，为实现规范与发展并重、安全与创新协同提供了关键的制度保障，意义重大而深远。

（二）配套实施个人信息相关立法的必要举措

《个人信息保护法》《网络数据安全管理条例》确立了大型网络平台个人信息保护制度框架。大型网络平台具有用户规模巨大、业务模式复杂、数据处理海量和社会影响力强等显著特征。在实践中，如何将个人信息相关立法的一般性规定精准应用于大型网络平台的复杂场景，亟需更具针对性和可操作性的实施细则。《征求意见稿》对《个人信息保护法》与《网络数据安全管理条例》相关制度进行了深化、细化和补充，填补了个人信息保护领域一般性法律与平台实践之间的操作空白，特别对个人信息可携带权等内容作出了具体的操作指引，是确保个人信息相关立法在大型平台这一关键领域得到全面、深入贯彻执行的必要举措。

（三）推动平台经济健康发展与个人数据规范流动的有力支撑

数据要素是平台经济的核心引擎，大型网络平台是海量数据处理的关键枢纽，个人信息在平台间的规范、高效流动，是激发数据要素价值、发展新质生产力的重要基础。《征求意见稿》有利于打击部分大型网络平台对个人信息的违规处理，保障用户权益。通过划定清晰的合规底线和行为规范，消除不确定性，引导大型网络平台规范开展数据处理活动，有利于构建安全可信的数据处理与流动环境、赋能平台经济高质量发展。

二、大型网络平台个人信息保护制度的重要创新

（一）创新大型网络平台目录管理机制

《征求意见稿》在细化大型网络平台范畴的基础上，通过制定目录清单，增强对境内建设、运营的大型网络平台管理的透明度和可预期性。《征求意见稿》细化了《网络数据安全管理条例》中对于大型网络平台的定义，明确“业务类型复杂”是指经营重要网络服务或经营范围涵盖多个类型业务，同时要求其掌握的数据一旦被泄露、篡改、毁损将对国家安全、经济运行、国计民生造成重大影响。此外，《征求意见稿》也包括了由国家网信部门和公安机关规定的其他情形，确保监管覆盖的全面性。《征求意见稿》拟建立的目录管理机制，可以让监管机关和监管对象更清晰地识别规定的适用对象，最大程度地解决了大型网络平台界定上的确定性，同时也可以通过目录动态更新，及时回应平台经济发展中的新情况。

（二）健全大型网络平台内部治理架构

《征求意见稿》的核心举措之一，是明确要求大型网络平台建立并落实个人信息保护负责人制度，着力完善大型网络平台的内部治理架构。

一是严格限定了负责人的资质和权威性。《征求意见稿》要求负责人必须由管理层成员担任，且必须是中国国籍，无境外永久居留权或长期居留许可，并具备五年以上相关经验。为降低企业合规成本，允许数据安全负责人兼任。

二是赋予负责人实质性的决策权与监督权。《征求意见稿》明确个人信息保护负责人有权参与个人信息处理相关决策并享有否决权，同时承担指导合规、配合检查，以及发现违法犯罪行为时向监管部门和公安机关报告的法定职责。

三是强调体系化保障。《征求意见稿》要求平台配备专门团队，协助负责人开展规则制定、权限管理、监测审计、应急演练和未成年人保护等工作。负责人的相关信息须统一报国家网信部门，再由国家网信部门向公安机关等部门共享，形成高效协同的监管闭环。

（三）完善大型网络平台治理与审计机制

《征求意见稿》着眼于数据流转的全链条安全，建立了一套严格的闭环治理机制。

一是强化数据存储的属地管理与“延伸监管”。《征求意见稿》明确，境内收集和产生的数据原则上应在境内存储。对大型网络平台的监管延伸至数据中心，明确其负责人必须是中国国籍，无境外永久居留权或长期居留许可。数据中心的安全性要符合国家有关标准。数据确需出境的，必须严守国家规定。

二是健全风险处置与第三方协同机制。《征求意见稿》要求平台发现数据中心存在相关风险须立即补救并报告监管部门及个人信息保护负责人。若使用第三方数据中心，必须签订合同明确其职责，并要求其接受个人信息保护负责人的监督。

三是细化了强制合规审计的触发条件。《征求意见稿》明确，在发生严重风险、多次违规、导致100万以上个人信息或10万人以上敏感个人信息泄露的重大安全事件时，必须强制引入第三方审计，同时平台必须为第三方审计提供必要的访问权限和便利。

（四）细化个人信息可携带操作方案

《征求意见稿》对《个人信息保护法》中的个人信息可携带进行了操作层面的细化，为用户实现个人信息可携带提供了清晰路径。

一是明确了响应时限与流程。《征求意见稿》要求大型平台在收到用户转移请求后，原则上应在30个工作日内，以通用的机器可读格式完成信息转移，并通知个人结果。若因请求量大或操作复杂确需延期，在必要合理的前提下可再延长30个工作日，但必须向用户说明原因。

二是规范了技术实现与安全要求。《征求意见稿》支持通过应用程序接口或标准化方式进行转移，并要求平台在过程中采取身份验证和加密传输措施，确保数据转移全过程的安全可控。

三是平衡了权利与成本。对于不符合法定条件而无法转移的请求，《征求意见稿》要求平台必须向用户说明理由；同时，允许平台收取基于实际成本的必要费用，确保了该机制的可持续运行。

《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》对有效市场和有为政府的结合提出更高要求，体现了从“管得住”到“管得好”的升维调整。相信经充分讨论和修改完善后，《征求意见稿》相关制度设计的科学性、可行性与可操作性必将得到进一步提升，有效实现大型网络平台个人信息保护“管得好”的目标，为平台经济的创新和健康发展提供更加坚实的制度保障。

作者：中国社会科学院法学研究所网络与信息法研究室副主任

来源：网信中国

作者: 周辉