国家互联网信息办公室�����、公安部关于《大型网络平台个人信息保护规定(征求意见稿)》公开征求意见的通知
为规范大型网络平台个人信息处理活动��� �,保护个人信息合法权益�����,促进平台经济健康发展�����,根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规���� ,国家互联网信息办公室��� �、公安部起草了《大型网络平台个人信息保护规定(征求意见稿)》�����,现向社会公开征求意见�����。公众可以通过以下途径和方式提出反馈意见:
1.登录中国网信网(www.cac.gov.cn)�����,进入首页“网信要闻�����”查看文稿��� �。
2.登录公安部官网(www.mps.gov.cn)�����,进入首页“调查征集��� �”查看文稿�����。
附件:《大型网络平台个人信息保护规定(征求意见稿)》
国家互联网信息办公室公安部
2025年11月22日
大型网络平台个人信息保护规定
(征求意见稿)
第一条为规范大型网络平台个人信息处理活动 ����,保护个人信息合法权益�����,促进个人信息依法合理利用�����,根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规� ���,制定本规定�����。
第二条在中华人民共和国境内建设�����、运营的大型网络平台的个人信息保护�����,适用本规定���� 。法律�����、行政法规另有规定的�����,从其规定�����。
第三条国家网信部门会同国务院公安部门等有关部门制定发布大型网络平台目录并动态更新�����。
对大型网络平台的认定�� ��,主要考虑以下因素:
(一)注册用户5000万以上或者月活跃用户1000万以上;
(二)提供重要网络服务或者经营范围涵盖多个类型业务;
(三)掌握处理的数据一旦被泄露���� 、篡改�����、损毁�����,对国家安全�����、经济运行�����、国计民生等具有重要影响;
(四)国家网信部门 ����、国务院公安部门规定的其他情形�����。
第四条提供大型网络平台服务的网络数据处理者(以下简称大型网络平台服务提供者)开展个人信息处理活动�����,应当遵循合法�����、正当�����、必要和诚信原则��� �,遵守法律� ���、法规�����,遵守社会公德和伦理�����,对所处理的个人信息安全承担主体责任���� ,严格保护敏感个人信息和未成年人个人信息�����,承担社会责任�����,不得危害国家安全�����、公共利益�����,不得损害个人�����、组织的合法权益 ����。
第五条大型网络平台服务提供者应当按照法律法规有关规定指定个人信息保护负责人 ����,并公开个人信息保护负责人的联系方式�����。
个人信息保护负责人应当由大型网络平台服务提供者管理层成员担任�����,具有中华人民共和国国籍�����,无境外永久居留权或者长期居留许可� ���,具备个人信息保护专业知识且从事相关工作5年以上�����。个人信息保护负责人可以由网络数据安全负责人兼任� ���。
个人信息保护负责人应当履行下列职责:
(一)指导大型网络平台合规开展个人信息处理活动�����,落实国家网信部门�� ��、国务院公安部门和有关主管部门的个人信息保护监管要求�����,配合有关部门开展个人信息保护监督检查;
(二)参与大型网络平台个人信息处理事项相关决策�� ��,并对个人信息处理事项具有否决权;
(三)负责对个人信息处理活动以及采取的保护措施等进行监督�����,发现大型网络平台个人信息处理活动存在较大安全风险或者存在违法违规情形的�����,应当立即采取措施��� �,并向国家网信部门和有关主管部门报告�����,涉嫌违法犯罪的应当向公安机关报案;
(四)组织制定专门的未成年人个人信息处理规则�����。
个人信息保护负责人可以直接向国家网信部门�����、有关主管部门报告大型网络平台服务提供者的个人信息保护有关情况�����。
第六条大型网络平台服务提供者应当明确个人信息保护工作机构�����,在个人信息保护负责人领导下开展个人信息保护相关工作���� ,包括但不限于:
(一)制定实施内部个人信息保护管理制度�����、操作规程以及个人信息安全事件应急预案�����,合理确定个人信息处理的操作权限�����,对大型网络平台的个人信息处理活动进行安全管理;
(二)组织开展个人信息安全风险监测��� �、风险评估�����、合规审计�����、影响评估���� 、应急演练�����、宣传教育培训等活动�����,及时处置个人信息安全风险和事件;
(三)明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务 ����,并对其个人信息处理活动和履行个人信息保护义务情况进行监督;
(四)明确专人负责未成年人个人信息保护工作;
(五)受理并处理个人信息保护投诉�����、举报;
(六)每年编制发布大型网络平台服务提供者个人信息保护社会责任报告�� ��。
鼓励大型网络平台服务提供者设立专门的个人信息保护工作机构�����。
第七条大型网络平台服务提供者应当为个人信息保护负责人�����、个人信息保护工作机构履行职责提供必要支持�����。
第八条大型网络平台服务提供者应当及时向国家网信部门报送下列信息:
(一)个人信息保护负责人基本信息;
(二)个人信息保护工作机构基本信息;
(三)保障个人信息保护负责人和个人信息保护工作机构履职的措施��� �。
个人信息保护负责人 ����、个人信息保护工作机构等发生变化的�����,大型网络平台服务提供者应当在20个工作日内报送变更信息�����。
国家网信部门将大型网络平台服务提供者信息向国务院公安部门和有关主管部门共享�����。
第九条大型网络平台服务提供者应当将在中华人民共和国境内运营中收集和产生的个人信息存储在境内���� 。确需向境外提供的�����,应当符合国家数据出境安全管理有关规定�����。
大型网络平台服务提供者应当按照国家有关规定� ���,健全个人信息出境安全相关技术和管理措施�����,及时防范�����、处置个人信息违法违规出境安全风险和威胁�����。
第十条大型网络平台服务提供者应当将在中华人民共和国境内运营中收集和产生的个人信息存储在符合下列条件的数据中心:
(一)设立在中华人民共和国境内;
(二)主要负责人具有中华人民共和国国籍�����,无境外永久居留权或者长期居留许可;
(三)安全性符合国家有关标准要求�����。
第十一条数据中心应当协助大型网络平台服务提供者履行个人信息保护义务�� ��,包括但不限于:
(一)建立健全内部个人信息管理制度和操作规程;
(二)发现系统�����、网络产品和服务等存在影响大型网络平台服务提供者履行个人信息保护义务的安全缺陷� ���、漏洞等风险的�����,应当立即采取补救措施�����,按照规定向有关主管部门报告��� �,并通报大型网络平台服务提供者个人信息保护负责人;
(三)发生个人信息安全事件时�����,应当立即通报大型网络平台服务提供者个人信息保护负责人�����,及时启动应急处置预案���� ,采取措施防止危害扩大�����,消除安全隐患�����,并按照规定向国家网信部门�����、有关主管部门报告;
(四)及时执行国家网信部门�����、国务院公安部门和有关主管部门个人信息安全保护有关要求 ����。
第十二条大型网络平台服务提供者委托符合本规定第十条要求的第三方数据中心存储个人信息的�����,应当与其签订合同 ����,约定存储地点�� ��、规模�����、种类等�����,明确履行本规定第十一条安全要求和下列职责:
(一)严格依照法律法规的规定和合同约定�����,履行个人信息保护义务� ���,提供安全�����、稳定��� �、持续的服务�����,并接受大型网络平台服务提供者个人信息保护负责人�����、个人信息保护监督委员会等的监督;
(二)为大型网络平台服务提供者处理个人信息提供便利措施;
(三)协助大型网络平台服务提供者对个人信息处理活动进行安全管理�����。
第十三条大型网络平台服务提供者应当向国家网信部门等有关部门报送存储个人信息的数据中心的基本信息�����,包括管理团队和管理架构�����、内部个人信息保护管理制度���� 、采取的安全措施�����、与第三方数据中心签署的合同文本等�����。上述信息发生变化的�� ��,应当自变化之日起10个工作日内报送变更信息� ���。
第十四条大型网络平台服务提供者应当为个人行使查阅�����、复制�����、更正 ����、补充�����、删除�����、限制处理其个人信息�����,或者注销账号� ���、撤回同意等权利提供便捷的方法和途径�����。
个人请求将其个人信息转移至其指定的个人信息处理者的�����,大型网络平台服务提供者应当在接到个人请求后30个工作日内将个人信息通过通用�����、机器可读的格式进行转移��� �,并以邮件�����、电话�� ��、短信等方式告知个人处理结果�����,不符合法律�����、行政法规规定条件的�����,应当向个人说明原因�����。因请求数量�����、操作复杂等原因需要延长处理期限的���� ,应当向个人说明延期原因�����,可以在合理��� �、必要的情况下再延长30个工作日�� ��。法律�����、行政法规�����、部门规章另有规定的�����,从其规定�����。
支持大型网络平台服务提供者通过应用程序接口或者其他标准化技术方式提供转移途径�����,采取身份验证���� 、加密传输等安全措施保障个人信息转移安全�����。
个人重复转移个人信息的 ����,大型网络平台服务提供者可以根据转移个人信息的成本收取必要费用��� �。
第十五条大型网络平台服务提供者应当按照国家有关规定自行或者委托第三方专业机构开展个人信息保护合规审计�����、风险评估等活动�����,并对发现的问题进行整改�����。鼓励大型网络平台服务提供者优先选择通过认证的第三方专业机构�����。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行���� 。
第十六条受大型网络平台服务提供者委托开展个人信息保护合规审计�����、风险评估等活动的第三方专业机构�����,应当注册在中华人民共和国境内� ���,发现大型网络平台服务提供者的个人信息处理活动存在较大安全风险或者存在违法违规情形的�����,可以直接向国家网信部门和有关主管部门报告;涉嫌违法犯罪的应当向公安机关报案�����。
第十七条大型网络平台服务提供者有以下情形之一的�����,国家网信部门�����、国务院公安部门和有关主管部门可以要求其委托第三方专业机构对其个人信息处理活动开展合规审计 ����、风险评估等活动:
(一)个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等情形的;
(二)多次出现个人信息违规出境等违法违规情形的;
(三)个人信息处理活动可能侵害众多个人权益的;
(四)发生个人信息安全事件�� ��,导致100万人以上个人信息或者10万人以上敏感个人信息泄露�����、篡改�����、丢失� ���、毁损的;
(五)法律法规和有关主管部门规定的其他情形�����。
大型网络平台服务提供者应当配合第三方专业机构履行职责�����,为第三方专业机构开展工作提供必要保障�����,包括为第三方专业机构指定人员提供必要的访问大型网络平台网络数据设施�����、系统及操作日志记录权限等�����。
发现大型网络平台服务提供者无能力保障个人信息安全的��� �,国家网信部门�����、国务院公安部门和有关主管部门可以要求大型网络平台服务提供者通过签订合同等方式将个人信息存储在符合本规定要求的第三方数据中心 ����。
第十八条鼓励大型网络平台服务提供者应用国家网络身份认证公共服务�� ��、使用数据标签标识技术�����、通过个人信息保护认证等�����,提高个人信息保护水平�����。
第十九条鼓励大型网络平台服务提供者开展个人信息保护相关技术�����、产品��� �、服务创新�����,积极参与个人信息保护相关国际标准和规则制定���� ,推动与其他国家�����、地区之间的个人信息保护规则�����、标准协调互认�����。
第二十条任何组织和个人有权对大型网络平台服务提供者���� 、第三方数据中心违反本规定的活动�����,向履行个人信息保护职责的部门进行投诉�����、举报� ���。收到投诉�����、举报的部门应当在15个工作日内依法处理�����,并将处理结果告知投诉�����、举报人�����。
履行个人信息保护职责的部门应当加强信息共享�����,协同开展相关工作�����。
第二十一条网信部门 ����、公安机关和有关主管部门发现大型网络平台服务提供者�����、第三方专业机构或者数据中心未履行个人信息保护责任的 ����,依法追究责任;构成犯罪的�����,依法追究刑事责任�� ��。
第二十二条国家网信部门�����、国务院公安部门和有关主管部门� ���、第三方数据中心�����、第三方专业机构的工作人员应当对工作过程中知悉的个人隐私�����、个人信息�� ��、商业秘密�����、保密商务信息等依法予以保密�����,不得泄露或者非法向他人提供�����。
第二十三条开展涉及国家秘密�����、工作秘密的个人信息处理活动� ���,适用《中华人民共和国保守国家秘密法》等法律��� �、行政法规的规定�����。
大型网络平台应当落实网络安全等级保护有关要求�����,属于关键信息基础设施的大型网络平台�����,还应当遵守国家关于关键信息基础设施安全的有关规定��� �。
第二十四条本规定自X年X月X日起施行�����。
来源:新华社客户端
(文章来源:上海证券报)
