Expert Interpretation: Strengthening Legal Measures for Personal Information Protection on Large Online Platforms — Interpretation of the 'Large Online Platform Personal Information Protection Provisions (Draft for Comment)'

随着数智技术的日新月异与广泛应用，以电子方式记录的与已识别或可识别自然人相关的各类信息，推动了个人信息数据化。个人信息保护是广大人民群众最关心的重大问题之一，已成为我国法治建设重点关注的领域。作为个人信息载体的个人数据，与其他类型数据深度融合，已成为数字经济最关键的生产要素之一。在当前阶段，平台经济是数字经济的典型形态，大型网络平台则是连接生产与消费的核心媒介，更是个人信息最主要的商业处理主体。因此，有必要依据《个人信息保护法》《数据安全法》《网络安全法》及《网络数据安全管理条例》等法律法规，制定专门规章，进一步明晰大型网络平台个人信息保护规则，打通前述法律法规落地“最后一公里”的瓶颈，实现“保护个人信息合法权益”与“促进个人信息依法合理利用”的良性互动。<br> 一、明确大型网络平台认定标准，夯实公正严格执法的微观基础<br> 大型网络平台兼具用户基数庞大、数据集中度高、应用场景多元、生态辐射广泛等特征，是个人信息商业处理环节的“关键节点”，其个人信息处理行为同时具备“规模效应”“范围效应”与“风险放大效应”。基于此，相较于中小网络平台，大型网络平台需承担更重的法律责任与社会责任。而确保责任配置的公平性与正义性，首要前提是构建科学合理的主体认定标准体系。<br> 《大型网络平台个人信息保护规定（征求意见稿）》（以下简称《征求意见稿》）立足实践需求，明确认定大型网络平台需综合考量用户规模、业务范围、数据安全影响，网信与公安部门规定的其他情形等。可以预见，这一科学合理的主体认定标准体系，不仅清晰界定了法律适用对象与责任主体，更为法律法规的严格实施夯实了微观基础。<br> 二、坚持保护与利用并重，衔接上位法实现法治一致性<br> 《征求意见稿》第一条开宗明义，明确立法目的为“规范大型网络平台个人信息处理活动，保护个人信息合法权益，促进个人信息依法合理利用”，兼具“规范行为”与“双重价值保障”的导向。申言之，“规范大型网络平台个人信息处理活动”需同步实现两大效果：一方面筑牢个人信息合法权益的保护屏障，另一方面为个人信息依法合理利用开辟合规路径。<br> 从法律衔接来看，《征求意见稿》的立法目的与上位法一脉相承——《个人信息保护法》的立法目的是“保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用”，《数据安全法》则旨在“规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益”。这种一致性设计，既坚守了法治统一原则，又有助于全面准确理解与实施《征求意见稿》及相关法律法规，避免出现理解片面化、实施偏差化的问题。<br> 三、健全内部保护体制机制，筑牢个人信息安全“内生防线”<br> 我国《个人信息保护法》第五十二条明确规定：“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。”《征求意见稿》以前述法律规定为依据，从“任职资格”与“职责权限”两个维度，对个人信息保护负责人制度作了细化完善。<br> 在任职资格方面，《征求意见稿》明确要求：个人信息保护负责人需由大型网络平台服务提供者的管理层成员担任，具有中华人民共和国国籍且无境外永久居留权或长期居留许可，具备个人信息保护专业知识并从事相关工作5年以上；同时允许个人信息保护负责人与网络数据安全负责人兼任，兼顾效率与专业性。<br> 在职责权限方面，《征求意见稿》进一步明确个人信息保护负责人的核心职责包括合规指导配合监管、参与个人信息处理决策并享有否决权、监督处置风险并报告、制定未成年人信息处理规则等。此外，还赋予个人信息保护负责人“直接报告权”，可直接向监管部门反馈平台个人信息保护情况。<br> 与此同时，《征求意见稿》要求“大型网络平台服务提供者应当明确个人信息保护工作机构，在个人信息保护负责人领导下开展相关工作”。这一规定清晰界定了负责人与工作机构的法律关系，确立了工作机构的“负责人责任制”——既做实了个人信息保护负责人的统筹协调机制，又强化了工作机构的执行落地能力。针对工作机构的职能与责任，《征求意见稿》亦设置专条作出详细且具操作性的规定，推动平台构建“负责人统筹+机构执行”的内部保护闭环。<br> 综上，《征求意见稿》通过细化负责人制度、明确工作机构定位，可有效推动大型网络平台健全个人信息保护内部体制机制，显著提升个人信息保护工作的质效。<br> 四、探索符合安全要求的数据中心制度，破解个人信息存储安全难题<br> 针对大型网络平台个人信息收集规模大、存储节点分散、使用场景多元、安全风险覆盖面广、管理链条长且难度大等现实问题，《征求意见稿》借鉴欧美大型网络平台管理实践，创新性探索建立“可靠数据中心制度”，明确要求：大型网络平台服务提供者需将在中华人民共和国境内运营中收集和产生的个人信息，存储在境内设立的符合法定条件的数据中心。<br> 由境内机构对境内数据进行专业化存储，既是彰显国家主权的必然要求，也是高质量保护个人信息权益、提升监管效能、降低大型网络平台存储成本的必要举措。《征求意见稿》从“平台义务”与“监管协同”两个层面，界定了可靠数据中心的职能与责任：对平台而言，数据中心需协助其履行个人信息保护义务；对监管而言，数据中心需严格执行主管部门的个人信息安全保护要求，并及时报告个人信息安全事件。<br> 需注意的是，可靠数据中心制度尚属新事物，《征求意见稿》对平台与第三方数据中心的委托存储合同必要内容作了初步指引，后续将从细化第三方数据中心的安全标准、保障平台与数据中心之间合同关系的公平性、规范第三方数据中心的市场竞争与合作秩序等方面，在实践中进一步完善配套规则，确保制度更好落地实效。<br> 五、鼓励第三方审计评估，构建客观中立的合规监督体系<br> 关于个人信息保护的合规审计与安全风险评估，《个人信息保护法》《网络数据安全管理条例》均有明确规定。例如，《个人信息保护法》第五十四条要求“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”，但未对“自我审计评估”与“第三方审计评估”作出区分；《网络数据安全管理条例》第二十七条则补充规定“网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计”，为两类审计评估提供了法律依据。<br> 众所周知，大型网络平台数据处理规模庞大、流程复杂，内部审计易受利益关联或管理惯性干扰，难以保证客观性；而第三方机构与平台无直接利益绑定，审计过程不易受平台内部管理干预，结论更具客观中立性，可有效避免合规流于形式。同时，第三方审计需遵循统一的法律框架与行业标准（如个人信息保护影响评估指南），才能倒逼不同大型网络平台向同一合规基准看齐，形成可量化、可对比的行业合规生态；高质量的第三方审计评估，还可降低监管成本、提升监管效能，弥补用户与平台之间的信息不对称，强化用户对平台的信任。<br> 基于此，《征求意见稿》鼓励大型网络平台服务提供者优先选择通过认证的第三方专业机构开展审计评估，这一制度设计兼具科学性与合理性。建议在推进此项工作过程中未雨绸缪：一方面需强化对第三方机构的规则约束，另一方面要大幅提高违法成本，坚决防范第三方机构滥用信任、出具虚假报告等不良行为，确保审计评估制度真正发挥作用。【作者：时建中，中国政法大学数据法治研究院（实验室）院长、教授】