中新網(wǎng)11月22日電 據(jù)“網(wǎng)信中國”微信公眾號22日消息，為規(guī)范大型網(wǎng)絡平臺個人信息處理活動，保護個人信息合法權益，促進平臺經(jīng)濟健康發(fā)展，根據(jù)《中華人民共和國個人信息保護法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡安全法》《網(wǎng)絡數(shù)據(jù)安全管理條例》等法律法規(guī)，國家互聯(lián)網(wǎng)信息辦公室、公安部起草了《大型網(wǎng)絡平臺個人信息保護規(guī)定(征求意見稿)》，現(xiàn)向社會公開征求意見。公眾可以通過以下途徑和方式提出反饋意見：

　　1.登錄中國網(wǎng)信網(wǎng)(www.cac.gov.cn)，進入首頁“網(wǎng)信要聞”查看文稿。

　　2.登錄公安部官網(wǎng)(www.mps.gov.cn)，進入首頁“調查征集”查看文稿。

　　3.通過電子郵件方式發(fā)送至：shujuju@cac.gov.cn。

　　4.通過信函方式將意見寄至：北京市海淀區(qū)阜成路15號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡數(shù)據(jù)管理局，郵編100048，并在信封上注明“大型網(wǎng)絡平臺個人信息保護規(guī)定征求意見”。

　　意見反饋截止時間為2025年12月22日。

　　附件：《大型網(wǎng)絡平臺個人信息保護規(guī)定(征求意見稿)》

國家互聯(lián)網(wǎng)信息辦公室 公安部

2025年11月22日

大型網(wǎng)絡平臺個人信息保護規(guī)定

(征求意見稿)

　　第一條 為規(guī)范大型網(wǎng)絡平臺個人信息處理活動，保護個人信息合法權益，促進個人信息依法合理利用，根據(jù)《中華人民共和國個人信息保護法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡安全法》《網(wǎng)絡數(shù)據(jù)安全管理條例》等法律法規(guī)，制定本規(guī)定。

　　第二條 在中華人民共和國境內建設、運營的大型網(wǎng)絡平臺的個人信息保護，適用本規(guī)定。法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。

　　第三條 國家網(wǎng)信部門會同國務院公安部門等有關部門制定發(fā)布大型網(wǎng)絡平臺目錄并動態(tài)更新。

　　對大型網(wǎng)絡平臺的認定，主要考慮以下因素：

　　(一)注冊用戶5000萬以上或者月活躍用戶1000萬以上；

　　(二)提供重要網(wǎng)絡服務或者經(jīng)營范圍涵蓋多個類型業(yè)務；

　　(三)掌握處理的數(shù)據(jù)一旦被泄露、篡改、損毀，對國家安全、經(jīng)濟運行、國計民生等具有重要影響；

　　(四)國家網(wǎng)信部門、國務院公安部門規(guī)定的其他情形。

　　第四條 提供大型網(wǎng)絡平臺服務的網(wǎng)絡數(shù)據(jù)處理者(以下簡稱大型網(wǎng)絡平臺服務提供者)開展個人信息處理活動，應當遵循合法、正當、必要和誠信原則，遵守法律、法規(guī)，遵守社會公德和倫理，對所處理的個人信息安全承擔主體責任，嚴格保護敏感個人信息和未成年人個人信息，承擔社會責任，不得危害國家安全、公共利益，不得損害個人、組織的合法權益。

　　第五條 大型網(wǎng)絡平臺服務提供者應當按照法律法規(guī)有關規(guī)定指定個人信息保護負責人，并公開個人信息保護負責人的聯(lián)系方式。

　　個人信息保護負責人應當由大型網(wǎng)絡平臺服務提供者管理層成員擔任，具有中華人民共和國國籍，無境外永久居留權或者長期居留許可，具備個人信息保護專業(yè)知識且從事相關工作5年以上。個人信息保護負責人可以由網(wǎng)絡數(shù)據(jù)安全負責人兼任。

　　個人信息保護負責人應當履行下列職責：

　　(一)指導大型網(wǎng)絡平臺合規(guī)開展個人信息處理活動，落實國家網(wǎng)信部門、國務院公安部門和有關主管部門的個人信息保護監(jiān)管要求，配合有關部門開展個人信息保護監(jiān)督檢查；

　　(二)參與大型網(wǎng)絡平臺個人信息處理事項相關決策，并對個人信息處理事項具有否決權；

　　(三)負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督，發(fā)現(xiàn)大型網(wǎng)絡平臺個人信息處理活動存在較大安全風險或者存在違法違規(guī)情形的，應當立即采取措施，并向國家網(wǎng)信部門和有關主管部門報告，涉嫌違法犯罪的應當向公安機關報案；

　　(四)組織制定專門的未成年人個人信息處理規(guī)則。

　　個人信息保護負責人可以直接向國家網(wǎng)信部門、有關主管部門報告大型網(wǎng)絡平臺服務提供者的個人信息保護有關情況。

　　第六條 大型網(wǎng)絡平臺服務提供者應當明確個人信息保護工作機構，在個人信息保護負責人領導下開展個人信息保護相關工作，包括但不限于：

　　(一)制定實施內部個人信息保護管理制度、操作規(guī)程以及個人信息安全事件應急預案，合理確定個人信息處理的操作權限，對大型網(wǎng)絡平臺的個人信息處理活動進行安全管理；

　　(二)組織開展個人信息安全風險監(jiān)測、風險評估、合規(guī)審計、影響評估、應急演練、宣傳教育培訓等活動，及時處置個人信息安全風險和事件；

　　(三)明確平臺內產(chǎn)品或者服務提供者處理個人信息的規(guī)范和保護個人信息的義務，并對其個人信息處理活動和履行個人信息保護義務情況進行監(jiān)督；

　　(四)明確專人負責未成年人個人信息保護工作；

　　(五)受理并處理個人信息保護投訴、舉報；

　　(六)每年編制發(fā)布大型網(wǎng)絡平臺服務提供者個人信息保護社會責任報告。

　　鼓勵大型網(wǎng)絡平臺服務提供者設立專門的個人信息保護工作機構。

　　第七條 大型網(wǎng)絡平臺服務提供者應當為個人信息保護負責人、個人信息保護工作機構履行職責提供必要支持。

　　第八條 大型網(wǎng)絡平臺服務提供者應當及時向國家網(wǎng)信部門報送下列信息：

　　(一)個人信息保護負責人基本信息；

　　(二)個人信息保護工作機構基本信息；

　　(三)保障個人信息保護負責人和個人信息保護工作機構履職的措施。

　　個人信息保護負責人、個人信息保護工作機構等發(fā)生變化的，大型網(wǎng)絡平臺服務提供者應當在20個工作日內報送變更信息。

　　國家網(wǎng)信部門將大型網(wǎng)絡平臺服務提供者信息向國務院公安部門和有關主管部門共享。

　　第九條 大型網(wǎng)絡平臺服務提供者應當將在中華人民共和國境內運營中收集和產(chǎn)生的個人信息存儲在境內。確需向境外提供的，應當符合國家數(shù)據(jù)出境安全管理有關規(guī)定。

　　大型網(wǎng)絡平臺服務提供者應當按照國家有關規(guī)定，健全個人信息出境安全相關技術和管理措施，及時防范、處置個人信息違法違規(guī)出境安全風險和威脅。

　　第十條 大型網(wǎng)絡平臺服務提供者應當將在中華人民共和國境內運營中收集和產(chǎn)生的個人信息存儲在符合下列條件的數(shù)據(jù)中心：

　　(一)設立在中華人民共和國境內；

　　(二)主要負責人具有中華人民共和國國籍，無境外永久居留權或者長期居留許可；

　　(三)安全性符合國家有關標準要求。

　　第十一條 數(shù)據(jù)中心應當協(xié)助大型網(wǎng)絡平臺服務提供者履行個人信息保護義務，包括但不限于：

　　(一)建立健全內部個人信息管理制度和操作規(guī)程；

　　(二)發(fā)現(xiàn)系統(tǒng)、網(wǎng)絡產(chǎn)品和服務等存在影響大型網(wǎng)絡平臺服務提供者履行個人信息保護義務的安全缺陷、漏洞等風險的，應當立即采取補救措施，按照規(guī)定向有關主管部門報告，并通報大型網(wǎng)絡平臺服務提供者個人信息保護負責人；

　　(三)發(fā)生個人信息安全事件時，應當立即通報大型網(wǎng)絡平臺服務提供者個人信息保護負責人，及時啟動應急處置預案，采取措施防止危害擴大，消除安全隱患，并按照規(guī)定向國家網(wǎng)信部門、有關主管部門報告；

　　(四)及時執(zhí)行國家網(wǎng)信部門、國務院公安部門和有關主管部門個人信息安全保護有關要求。

　　第十二條 大型網(wǎng)絡平臺服務提供者委托符合本規(guī)定第十條要求的第三方數(shù)據(jù)中心存儲個人信息的，應當與其簽訂合同，約定存儲地點、規(guī)模、種類等，明確履行本規(guī)定第十一條安全要求和下列職責：

　　(一)嚴格依照法律法規(guī)的規(guī)定和合同約定，履行個人信息保護義務，提供安全、穩(wěn)定、持續(xù)的服務，并接受大型網(wǎng)絡平臺服務提供者個人信息保護負責人、個人信息保護監(jiān)督委員會等的監(jiān)督；

　　(二)為大型網(wǎng)絡平臺服務提供者處理個人信息提供便利措施；

　　(三)協(xié)助大型網(wǎng)絡平臺服務提供者對個人信息處理活動進行安全管理。

　　第十三條 大型網(wǎng)絡平臺服務提供者應當向國家網(wǎng)信部門等有關部門報送存儲個人信息的數(shù)據(jù)中心的基本信息，包括管理團隊和管理架構、內部個人信息保護管理制度、采取的安全措施、與第三方數(shù)據(jù)中心簽署的合同文本等。上述信息發(fā)生變化的，應當自變化之日起10個工作日內報送變更信息。

　　第十四條 大型網(wǎng)絡平臺服務提供者應當為個人行使查閱、復制、更正、補充、刪除、限制處理其個人信息，或者注銷賬號、撤回同意等權利提供便捷的方法和途徑。

　　個人請求將其個人信息轉移至其指定的個人信息處理者的，大型網(wǎng)絡平臺服務提供者應當在接到個人請求后30個工作日內將個人信息通過通用、機器可讀的格式進行轉移，并以郵件、電話、短信等方式告知個人處理結果，不符合法律、行政法規(guī)規(guī)定條件的，應當向個人說明原因。因請求數(shù)量、操作復雜等原因需要延長處理期限的，應當向個人說明延期原因，可以在合理、必要的情況下再延長30個工作日。法律、行政法規(guī)、部門規(guī)章另有規(guī)定的，從其規(guī)定。

　　支持大型網(wǎng)絡平臺服務提供者通過應用程序接口或者其他標準化技術方式提供轉移途徑，采取身份驗證、加密傳輸?shù)劝踩胧┍Ｕ蟼€人信息轉移安全。

　　個人重復轉移個人信息的，大型網(wǎng)絡平臺服務提供者可以根據(jù)轉移個人信息的成本收取必要費用。

　　第十五條 大型網(wǎng)絡平臺服務提供者應當按照國家有關規(guī)定自行或者委托第三方專業(yè)機構開展個人信息保護合規(guī)審計、風險評估等活動，并對發(fā)現(xiàn)的問題進行整改。鼓勵大型網(wǎng)絡平臺服務提供者優(yōu)先選擇通過認證的第三方專業(yè)機構。專業(yè)機構的認證按照《中華人民共和國認證認可條例》的有關規(guī)定執(zhí)行。

　　第十六條 受大型網(wǎng)絡平臺服務提供者委托開展個人信息保護合規(guī)審計、風險評估等活動的第三方專業(yè)機構，應當注冊在中華人民共和國境內，發(fā)現(xiàn)大型網(wǎng)絡平臺服務提供者的個人信息處理活動存在較大安全風險或者存在違法違規(guī)情形的，可以直接向國家網(wǎng)信部門和有關主管部門報告；涉嫌違法犯罪的應當向公安機關報案。

　　第十七條 大型網(wǎng)絡平臺服務提供者有以下情形之一的，國家網(wǎng)信部門、國務院公安部門和有關主管部門可以要求其委托第三方專業(yè)機構對其個人信息處理活動開展合規(guī)審計、風險評估等活動：

　　(一)個人信息處理活動存在嚴重影響個人權益或者嚴重缺乏安全措施等情形的；

　　(二)多次出現(xiàn)個人信息違規(guī)出境等違法違規(guī)情形的；

　　(三)個人信息處理活動可能侵害眾多個人權益的；

　　(四)發(fā)生個人信息安全事件，導致100萬人以上個人信息或者10萬人以上敏感個人信息泄露、篡改、丟失、毀損的；

　　(五)法律法規(guī)和有關主管部門規(guī)定的其他情形。

　　大型網(wǎng)絡平臺服務提供者應當配合第三方專業(yè)機構履行職責，為第三方專業(yè)機構開展工作提供必要保障，包括為第三方專業(yè)機構指定人員提供必要的訪問大型網(wǎng)絡平臺網(wǎng)絡數(shù)據(jù)設施、系統(tǒng)及操作日志記錄權限等。

　　發(fā)現(xiàn)大型網(wǎng)絡平臺服務提供者無能力保障個人信息安全的，國家網(wǎng)信部門、國務院公安部門和有關主管部門可以要求大型網(wǎng)絡平臺服務提供者通過簽訂合同等方式將個人信息存儲在符合本規(guī)定要求的第三方數(shù)據(jù)中心。

　　第十八條 鼓勵大型網(wǎng)絡平臺服務提供者應用國家網(wǎng)絡身份認證公共服務、使用數(shù)據(jù)標簽標識技術、通過個人信息保護認證等，提高個人信息保護水平。

　　第十九條 鼓勵大型網(wǎng)絡平臺服務提供者開展個人信息保護相關技術、產(chǎn)品、服務創(chuàng)新，積極參與個人信息保護相關國際標準和規(guī)則制定，推動與其他國家、地區(qū)之間的個人信息保護規(guī)則、標準協(xié)調互認。

　　第二十條 任何組織和個人有權對大型網(wǎng)絡平臺服務提供者、第三方數(shù)據(jù)中心違反本規(guī)定的活動，向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當在15個工作日內依法處理，并將處理結果告知投訴、舉報人。

　　履行個人信息保護職責的部門應當加強信息共享，協(xié)同開展相關工作。

　　第二十一條 網(wǎng)信部門、公安機關和有關主管部門發(fā)現(xiàn)大型網(wǎng)絡平臺服務提供者、第三方專業(yè)機構或者數(shù)據(jù)中心未履行個人信息保護責任的，依法追究責任；構成犯罪的，依法追究刑事責任。

　　第二十二條 國家網(wǎng)信部門、國務院公安部門和有關主管部門、第三方數(shù)據(jù)中心、第三方專業(yè)機構的工作人員應當對工作過程中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等依法予以保密，不得泄露或者非法向他人提供。

　　第二十三條 開展涉及國家秘密、工作秘密的個人信息處理活動，適用《中華人民共和國保守國家秘密法》等法律、行政法規(guī)的規(guī)定。

　　大型網(wǎng)絡平臺應當落實網(wǎng)絡安全等級保護有關要求，屬于關鍵信息基礎設施的大型網(wǎng)絡平臺，還應當遵守國家關于關鍵信息基礎設施安全的有關規(guī)定。

　　第二十四條 本規(guī)定自X年X月X日起施行。