IC供图

为规范大型网络平台个人信息处理活动,保护个人信息合法权益,促进平台经济健康发展,国家互联网信息办公室、公安部起草了《大型网络平台个人信息保护规定(征求意见稿)》,于22日向社会公开征求意见。意见反馈截止时间为2025年12月22日。

征求意见稿提出,网信部门、公安机关和有关主管部门发现大型网络平台服务提供者、第三方专业机构或者数据中心未履行个人信息保护责任的,依法追究责任;构成犯罪的,依法追究刑事责任。

大型网络平台如何认定?

对大型网络平台的认定,征求意见稿提出,主要考虑的因素包括:注册用户5000万以上或者月活跃用户1000万以上;提供重要网络服务或者经营范围涵盖多个类型业务;掌握处理的数据一旦被泄露、篡改、损毁,对国家安全、经济运行、国计民生等具有重要影响。

根据征求意见稿,提供大型网络平台服务的网络数据处理者(以下简称大型网络平台服务提供者)开展个人信息处理活动,应当遵循合法、正当、必要和诚信原则,遵守法律、法规,遵守社会公德和伦理,对所处理的个人信息安全承担主体责任,严格保护敏感个人信息和未成年人个人信息,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。

如何处置个人信息安全风险和事件?

根据征求意见稿,大型网络平台服务提供者应按照法律法规有关规定指定个人信息保护负责人,并公开个人信息保护负责人的联系方式。个人信息保护负责人应当由大型网络平台服务提供者管理层成员担任,具有中华人民共和国国籍,无境外永久居留权或者长期居留许可,具备个人信息保护专业知识且从事相关工作5年以上。个人信息保护负责人可以由网络数据安全负责人兼任。对未成年人个保工作,征求意见稿要求平台个人信息保护工作机构需专人负责未成年人个人信息保护,还规定个保负责人要组织制定专门的未成年人个人信息处理规则。

征求意见稿指出,大型网络平台服务提供者应当明确个人信息保护工作机构,在个人信息保护负责人领导下开展个人信息保护相关工作,包括制定实施内部个人信息保护管理制度、操作规程以及个人信息安全事件应急预案;组织开展个人信息安全风险监测、风险评估、合规审计、影响评估、应急演练、宣传教育培训等活动,及时处置个人信息安全风险和事件等。鼓励大型网络平台服务提供者设立专门的个人信息保护工作机构。

收集和产生的个人信息存储在哪?

征求意见稿提出,大型网络平台服务提供者应当将在中华人民共和国境内运营中收集和产生的个人信息存储在境内。确需向境外提供的,应当符合国家数据出境安全管理有关规定。

征求意见稿提出,大型网络平台服务提供者应当按照国家有关规定,健全个人信息出境安全相关技术和管理措施,及时防范、处置个人信息违法违规出境安全风险和威胁。征求意见稿提出,大型网络平台服务提供者应当将在中华人民共和国境内运营中收集和产生的个人信息存储在符合下列条件的数据中心:(一)设立在中华人民共和国境内;(二)主要负责人具有中华人民共和国国籍,无境外永久居留权或者长期居留许可;(三)安全性符合国家有关标准要求。

查阅删除个人信息有哪些便捷?

征求意见稿称,大型网络平台服务提供者应当为个人行使查阅、复制、更正、补充、删除、限制处理其个人信息,或者注销账号、撤回同意等权利提供便捷的方法和途径。

征求意见稿提出,个人请求将其个人信息转移至其指定的个人信息处理者的,大型网络平台服务提供者应当在接到个人请求后30个工作日内将个人信息通过通用、机器可读的格式进行转移,并以邮件、电话、短信等方式告知个人处理结果,不符合法律、行政法规规定条件的,应当向个人说明原因。因请求数量、操作复杂等原因需要延长处理期限的,应当向个人说明延期原因,可以在合理、必要的情况下再延长30个工作日。法律、行政法规、部门规章另有规定的,从其规定。

征求意见稿称,支持大型网络平台服务提供者通过应用程序接口或者其他标准化技术方式提供转移途径,采取身份验证、加密传输等安全措施保障个人信息转移安全。个人重复转移个人信息的,大型网络平台服务提供者可以根据转移个人信息的成本收取必要费用。

如何鼓励平台创新个人信息保护技术?

征求意见稿提出,鼓励大型网络平台服务提供者应用国家网络身份认证公共服务、使用数据标签标识技术、通过个人信息保护认证等,提高个人信息保护水平。

征求意见稿提出,鼓励大型网络平台服务提供者开展个人信息保护相关技术、产品、服务创新,积极参与个人信息保护相关国际标准和规则制定,推动与其他国家、地区之间的个人信息保护规则、标准协调互认。

个人信息保护有哪些情形需风险评估?

征求意见稿提出,大型网络平台服务提供者应当按照国家有关规定自行或者委托第三方专业机构开展个人信息保护合规审计、风险评估等活动,并对发现的问题进行整改。鼓励大型网络平台服务提供者优先选择通过认证的第三方专业机构。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。

受大型网络平台服务提供者委托开展个人信息保护合规审计、风险评估等活动的第三方专业机构,应当注册在中华人民共和国境内,发现大型网络平台服务提供者的个人信息处理活动存在较大安全风险或者存在违法违规情形的,可以直接向国家网信部门和有关主管部门报告;涉嫌违法犯罪的应当向公安机关报案。

征求意见稿提出,大型网络平台服务提供者有个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施、多次出现个人信息违规出境等违法违规、个人信息处理活动可能侵害众多个人权益、发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损等情形,国家网信部门、国务院公安部门和有关主管部门可以要求其委托第三方专业机构对其个人信息处理活动开展合规审计、风险评估等活动。

征求意见稿提出,大型网络平台服务提供者应当配合第三方专业机构履行职责,为第三方专业机构开展工作提供必要保障,包括为第三方专业机构指定人员提供必要的访问大型网络平台网络数据设施、系统及操作日志记录权限等。发现大型网络平台服务提供者无能力保障个人信息安全的,国家网信部门、国务院公安部门和有关主管部门可以要求大型网络平台服务提供者通过签订合同等方式将个人信息存储在符合本规定要求的第三方数据中心。

采写:南都记者 陈袁 

综合新华社、央视