国家互联网信息办公室、公安部于2025年11月22日公布了《大型网络平台个人信息保护规定（征求意见稿）》（（以下简称“《规定（征求意见稿）》”）。对于大型网络平台的认定、个人信息保护负责人及内部保护工作机构、报送义务、数据境内存储与数据中心建设、向监管进行信息报送、合规审计与安全评估等重要做出了规定。《规定（征求意见稿）》确立了以大型网络平台为个人信息保护重要措施的思路。

大型网络平台通常具备用户规模巨大的特点，一旦发生个人信息泄露、篡改、丢失等安全事件，除对个人信息主体的权益造成影响外，可能对社会秩序、公共利益造成严重危害。近年频发的大型网络平台个人信息泄露等安全事件也提示，大型网络平台履行个人信息保护义务需接受更具针对性的规制。《规定（征求意见稿）》严格遵循《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）《中华人民共和国数据安全法》（以下简称“《数据安全法》”）《中华人民共和国网络安全法》（以下简称“《网络安全法》”）等基础性法律所确立的基本原则，并同时与《网络数据安全管理条例》等行政法规配套衔接。《网络数据安全管理条例》为网络数据处理者的网络数据处理活动及其安全监督管理进行规定，而《规定（征求意见稿）》则聚焦于大型网络平台服务提供者这一主体的个人信息处理活动，对其个人信息保护义务进行了更具象化的规定，进一步完善了数据规则治理体系。

《规定（征求意见稿）》第二条规定，其适用范围涵盖“在中华人民共和国境内建设、运营的大型网络平台”，聚焦于大型网络平台这一主体的个人信息保护义务履行。

同时，《规定（征求意见稿）》第三条对“大型网络平台”的认定，进一步细化了《网络数据安全管理条例》等行政法规的规定。《网络数据安全管理条例》第二十六条定义“大型网络平台”为“注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。”《规定（征求意见稿）》在延续了《网络数据安全管理条例》对用户规模、业务类型、影响程度判断维度的基础上，进一步将抽象概念具体化，同时通过由国家网信部门会同国务院公安部门等有关部门制定和动态更新大型网络平台目录的方式，构建了兼具明确认定规则及动态调整目录的认定体系。

《规定（征求意见稿）》第五条至第八条围绕个人信息保护负责人和个人信息保护工作机构，构建了大型网络平台个人信息保护相对完整的“负责人及工作机构”体系，为本次《规定（征求意见稿）》最具创新的内容之一。

（一）个人信息保护负责人的履职要求

根据《规定（征求意见稿）》第五条第二款，个人信息保护负责人必须具备以下条件：（1）为大型网络平台服务提供者管理层成员；（2）具有中华人民共和国国籍，无境外永久居留权或者长期居留许可；（3）具备个人信息保护专业知识且从事相关工作5年以上。前述任职条件除要求个人信息保护负责人必须具备履行职责所需的专业知识及工作经验，还保证个人信息保护负责人能够对大型网络平台的个人信息保护策略及措施具有管理权。

《规定（征求意见稿）》第五条第三款规定个人信息保护负责人的职责包括：（1）指导大型网络平台合规开展个人信息处理活动；（2）参与大型网络平台个人信息处理事项相关决策；（3）负责对个人信息处理活动以及采取的保护措施等进行监督；（4）组织制定专门的未成年人个人信息处理规则。除此之外，第五条第三款进一步明确了个人信息保护负责人的职权，对内赋予个人信息保护负责人对大型网络平台个人信息处理事项的否决权；对外明确个人信息保护负责人可以直接向国家网信部门、有关主管部门报告大型网络平台服务提供者的个人信息保护有关情况。

（二）个人信息保护工作机构

此外，《规定（征求意见稿）》首次要求大型网络平台服务者需明确个人信息保护工作机构，为个人信息保护负责人履行职责提供组织支持，其职责包括但不限于制定实施内部个人信息保护管理制度、确定个人信息处理的操作权限、组织开展个人信息安全管理活动、处置个人信息安全风险和事件、明确平台个人信息处理规则并进行监督、明确专人负责未成年人个人信息保护工作、受理并处理个人信息保护投诉、编制发布个人信息保护社会责任报告。

《规定（征求意见稿）》第六条鼓励大型网络平台服务提供者设立专门的个人信息保护工作机构，第七条明确大型网络平台服务提供者应当为个人信息保护负责人及工作机构履行职责提供必要支持。

（三）个人信息保护负责人及工作机构报送机制

《规定（征求意见稿）》第八条规定大型网络平台服务提供者应当及时向国家网信部门报送个人信息保护负责人、个人信息保护工作机构基本信息及履职保障措施，并明确报送内容将向国务院公安部门和有关主管部门共享。这一条款对《个人信息保护法》第五十二条个人信息保护负责人报送规定进行细化，增加了对保障个人信息保护负责人履职措施的报送要求，并将报送规则延伸至个人信息保护工作机构。同时，《规定（征求意见稿）》对《关于开展个人信息保护负责人信息报送工作的公告》“报送信息发生实质性变更的，应当在变更之日起30个工作日内办理信息变更手续”的变更报送时间和变更信息范围进行一定创新，规定“个人信息保护负责人、个人信息保护工作机构等发生变化的，大型网络平台服务提供者应当在20个工作日内报送变更信息”。

《规定（征求意见稿）》第九条是对《个人信息保护法》第四十条个人信息境内存储规定的细化，规定大型网络平台服务提供者“确需向境外提供的，应当符合国家数据出境安全管理有关规定”。因此，大型网络平台服务提供者向境外提供个人信息，可通过适用《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息出境认证办法》等规范性文件选择个人信息出境的具体路径。

《规定（征求意见稿）》第十条至第十三条对数据中心进行规定，也是本次《规定（征求意见稿）》较先前规范性文件显著创新的内容。《规定（征求意见稿）》第十一条规定了数据中心对大型网络平台服务提供者履行个人信息保护义务的协助义务，包括但不限于建立健全内部个人信息管理制度、针对个人信息保护义务风险采取补救措施、处理个人信息安全事件、执行监管部门个人信息安全保护有关要求。《规定（征求意见稿）》对数据中心协助义务的规定，增加大型网络平台服务提供者履行个人信息保护义务的保障。

《规定（征求意见稿）》第十二条对大型网络平台服务提供者与第三方数据中心订立委托存储数据合同进行进一步明确，包括个人信息的存储地点、规模、种类、第三方数据中心的个人信息保护义务及接受监督、第三方数据中心提供便利措施、协助大型网络平台安全管理等。值得注意的是，《规定（征求意见稿）》第十二条明确大型网络平台服务提供者与第三方数据中心为委托关系，因此大型网络平台服务者与第三方数据中心建立合作并订立个人信息存储合同，需要同时参照遵守《个人信息保护法》第二十一条的委托处理义务。

《规定（征求意见稿）》第十三条规定大型网络平台服务者对数据中心的报送义务及报送变更义务。目前，《关于开展个人信息保护负责人信息报送工作的公告》对个人信息保护负责人的报送义务履行进行具体规定，对于数据中心报送规则，合理推测会通过发布公告等形式进行进一步明确和细化，需要持续关注。

《规定（征求意见稿）》第十四条对《网络数据安全管理条例》第二十三条、《个人信息保护法》第四章，即“个人在个人信息处理活动中的权利”等相关规定进行重申和细化。除延续了相关规定对个人信息主体查阅、复制、更正、补充、删除、限制处理、注销账号、撤回同意等权利外，对个人信息转移进行了进一步规定。《规定（征求意见稿）》要求“大型网络平台服务提供者应当在接到个人请求后30个工作日内将个人信息通过通用、机器可读的格式进行转移，并以邮件、电话、短信等方式告知个人处理结果……”，并明确如大型网络平台服务提供者需要延长期限的，应当向个人说明延期原因，并可以在合理、必要的情况下再延长30个工作日。同时，《规定（征求意见稿）》鼓励大型网络平台服务者通过应用程序接口等转移途径，采取身份验证等安全措施保障个人信息转移安全。针对个人重复转移个人信息，《规定（征求意见稿）》允许大型网络平台服务提供者根据转移个人信息成本收取必要费用，与《网络数据安全管理条例》第二十五条规定的精神一致。

《规定（征求意见稿）》第十五条至第十七条规定个人信息保护合规审计、风险评估等事项。第十五条规定大型网络平台服务提供者应当按照国家有关规定自行或者委托第三方专业机构开展个人信息保护合规审计、风险评估等活动。这一规定与《个人信息保护法》第五十四条、《网络数据安全管理条例》第二十七条等规定要求个人信息处理者定期开展个人信息保护合规审计的精神相一致。同时，大型网络平台服务提供者根据《规定（征求意见稿）》开展风险评估，可参考《网络数据安全管理条例》第三十三条等对重点评估内容的规定。

《规定（征求意见稿）》第十六条对受托开展个人信息保护合规审计、风险评估等活动的第三方专业机构进行规定。

《规定（征求意见稿）》第十七条较《个人信息保护法》第五十四条、《网络数据安全管理条例》第二十七条等规定细化增加了“多次出现个人信息违规出境等违法违规情形”“法律法规和有关主管部门规定的其他情形”可能受到监管部门要求开展合规审计、风险评估的情形。这一规定与前文数据本地化的规定相呼应，体现监管部门对数据出境场景履行个人信息保护义务的重视。同时，第十七条规定如监管部门发现大型网络平台服务提供者无能力保障个人信息安全的，可以要求大型网络平台服务提供者将个人信息存储在第三方数据中心。这一规定与《规定（征求意见稿）》强调了数据中心保障个人信息安全的协助义务。

《规定（征求意见稿）》第二十条至第二十三条明确各监管部门对大型网络平台开展协同监管。第二十条明确履行个人信息保护职责的部门应当加强信息共享，协同开展相关工作。第二十一条规定明确对未履行个人信息保护责任的大型网络平台服务提供者、第三方专业机构或数据中心依法追究责任。由于本条未明确具体罚则，上述主体承担的法律责任应当参照《个人信息保护法》第六十六条等规定，即“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”并依据《个人信息保护法》第七十一条等规定，给予治安管理处罚及刑事责任。

《规定（征求意见稿）》第二十二条规定国家网信部门、国务院公安部门和有关主管部门、第三方数据中心、第三方专业机构的工作人员应当对工作过程中知悉的个人信息等信息依法予以保密，保障个人信息安全。

《规定（征求意见稿）》第二十三条规定开展涉及国家秘密、工作秘密的个人信息处理活动，适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定，并明确大型网络平台应当落实网络安全等级保护有关要求。属于关键信息基础设施的大型网络平台，还应当遵守《关键信息基础设施安全保护条例》等有关规定，保障关键信息基础设施安全。