Expert Interpretation: Consolidating Capabilities, Strengthening Responsibility, and Building a Safety-Net Mechanism — The Regulatory Logic and International Comparison of the 'Large Online Platform Personal Information Protection Provisions'

2025年11月22日，国家互联网信息办公室、公安部发布了《大型网络平台个人信息保护规定（征求意见稿）》（以下简称《征求意见稿》），旨在帮助具有海量用户和对全局有系统性影响的大型网络平台，进一步提升个人信息保护能力。该规定以强化平台能力建设为主线，从平台识别、专职负责人和组织保障、数据中心能力要求、数据跨境流动与数据可携权，以及必要时引入第三方数据中心托管等方面，构建了可问责、可验证、可托底的个人信息保护框架。<br> 这一监管路径的逻辑在于：通过明确制定发布大型网络平台目录、确保平台内部建立完善的合规体系并接受外部监督、强化技术和基础设施保障、赋予用户对数据迁移和流动的权利，同时预设当平台自身能力不足或出现重大风险时的外部介入机制，从而全面提升个人信息保护水平。本文对《征求意见稿》所规定的五个关键制度设计，分析其科学性和必要性，并结合欧盟、美国等相关制度进行比较论证。<br> 一、大型平台认定：细化明确系统性外部性平台义务标准<br> 《征求意见稿》通过“双重标准”，即明确的用户数量阈值（如注册用户5000万以上、月活跃用户1000万以上）和服务性质（涉及重要网络服务、可能影响公共利益或国家安全），精准识别具有系统性影响和高风险的平台（第三条）。这一方式兼顾了可操作性和风险精准度，避免了监管的泛化与资源浪费。国际经验表明，欧盟《数字服务法》亦采用类似标准，将月活跃用户超过4500万的平台认定为超大型在线平台，实施更严格的风险评估、外部审计和数据共享义务。欧盟强调，此举正因大型平台对社会治理和公共利益的系统性外部性风险显著，必须通过高透明度和严监管加以控制。此外，美国学界也提出对具有重大社会影响的科技平台采用类似公共事业监管理念，强化其社会责任和外部监督。《征求意见稿》所设定的精准识别机制与国际监管实践高度一致，不仅提高了监管透明度与可预测性，也确保了监管资源的有效配置，实现了公共利益保护和风险精准管理的有机统一。<br> 二、个人信息保护负责人制度及专门机构：责任落实与组织保障<br> 《征求意见稿》明确规定大型平台须设立高层级个人信息保护负责人，负责参与重大决策、统筹制度建设与风险评估、监督投诉处理并组织制定专门的未成年人个人信息处理规则（第五条）。同时，要求配备专门的个人信息保护工作机构，并为其提供必要的经费、人员与技术工具等组织保障（第六条、第七条）。此外，针对负责人与机构信息的变更，要求平台在20个工作日内向监管部门进行报备（第八条）。这一制度设计体现了“责任到人”与“组织保障”相结合的监管思路，确保个人信息保护义务在企业内部真正落地执行。<br> 从国际经验看，欧盟《通用数据保护条例》早已明确要求在处理高风险个人数据场景下设立数据保护官，并强调其职能独立性及直接向企业最高管理层汇报，以保证其合规监督的有效性。欧盟《数字服务法》则要求超大型平台建立专门的独立合规部门，定期接受外部独立审计，通过内部责任落实与外部审计形成持续有效的问责链条。欧盟的思路在于，由于数字平台生态的复杂性，仅靠企业自律已难以保障合规，必须通过内嵌于企业组织结构的合规制度以及外部透明审计，形成可信的治理机制。<br> 由此可见，《征求意见稿》所提出的个人信息保护负责人与专门机构制度，符合国际监管趋势，将抽象的合规要求转化为平台企业内部的明确职责与具体执行能力，形成了内外双重约束与治理闭环，极大提升了个人信息保护制度的可操作性和执行力。<br> 三、数据中心能力建设与平台主动报告义务：夯实基础设施合规与可监管性<br> 大型平台由于处理海量个人信息，必须在技术和基础设施上具备足够的安全管理能力。《征求意见稿》将大型平台数据中心能力建设与主动报告义务结合设计，落实《个人信息保护法》要求，强调平台必须将在境内收集和产生的个人信息存储在境内（第九条），并建立完善的数据管理和技术安全规范体系，同时要求对重大风险或系统变更及时处置并向监管部门报告（第十条、第十三条）。这种“基础设施合规”与“可监管性”相结合的设计，突出了对平台数据安全能力的事前建设与事中事后的透明监督，确保合规能力真正可验证、可考核，而非流于形式。<br> 从国际实践来看，欧盟《数字服务法》要求超大型平台每年必须进行独立外部审计，并向监管机构与独立研究者开放数据，以确保平台合规措施的持续可见性。此外，欧盟《网络和信息系统指令2》更是明确要求成员国对数据中心、云服务等关键数字基础设施实施严格的安全风险管理、通报机制和现场审计检查，以确保其安全性与可靠性。因此，欧盟的路径是《数字市场法》与《数字服务法》的监管侧重于平台“无形”层面，而对数据中心这类“有形”基础设施的监管，则由《网络和信息系统指令2》及各成员国法规起到重要的补充作用。<br> 《征求意见稿》将数据中心的安全能力建设与主动报告紧密结合，与欧盟“审计+报告+现场检查”的监管逻辑高度一致，不仅显著提升了监管的可操作性，也顺应了全球对数字基础设施监管日益强化的趋势。这种制度设计，有效强化了对个人信息安全的整体保障能力。<br> 四、数据可携：用户赋权、平台互通与风险管控<br> 《征求意见稿》第十四条明确规定，大型网络平台应保障用户可便捷地转移个人信息，并对转移请求设定了明确的受理时限和服务标准，如要求“30个工作日内答复与处理”，确保用户权利的落实具备明确的可操作性和可核查性。这种安排不仅从抽象权利宣示转化为可执行的服务承诺，更通过服务时限、流程和标准的明确规范，增强了用户对个人信息的自主控制力，降低了用户对特定平台的依赖程度。<br> 从国际监管经验来看，欧盟《通用数据保护条例》第二十条也确立了类似的个人数据可携权，明确要求数据控制者需以结构化、机器可读的方式向用户提供其个人信息，以方便用户自由迁移到其他平台。此外，欧盟《数字市场法》第6（9）条更进一步强化对“守门人”平台的数据可携要求，要求其提供高质量、持续且实时的数据迁移服务，并积极鼓励第三方直接接入，目的是减少平台的锁定效应，促进数字市场竞争与用户的自由选择权。<br> 欧盟的实践表明，数据可携权与平台互操作性已成为现代“公共事业式”监管的关键工具，能够有效改善市场的进入条件，打破数据孤岛局面，增强用户对个人信息的控制力和选择权。因此，《征求意见稿》强调数据迁移的便利性和时效性，充分体现了“用户赋权”与“市场竞争”的监管逻辑，与国际先进的监管理念高度一致。<br> 五、托底机制：第三方数据中心存储的外部保障<br> 《征求意见稿》第十七条明确规定，当大型网络平台出现重大安全风险、严重数据事故或执法发现系统性缺陷等极端情形，且平台自身能力不足以保障个人信息安全时，监管机关有权要求平台将个人信息转移至符合条件的第三方数据中心进行存储和管理。这一安排旨在建立一种“托底机制”，提供关键时刻的结构性矫正与应急接管能力，有效防范因平台技术或管理能力不足而引发的个人信息安全风险扩散和失控。<br> 这种机制在国际监管实践中具有显著的理论和制度基础。尽管欧盟《数字服务法》和《数字市场法》未明确规定“强制第三方托管”，但其制度设计包括限制令、暂停数据处理、外部独立审计与数据开放共享等多种外部矫正措施，实质上与第三方可信托管的理念相似。此外，欧美学界近年来将大型网络平台视为“新公共事业”的重要信息基础设施，强调其对社会稳定、连续性和公共利益的重要意义，提出在必要情形下应采取结构性手段介入，以确保平台生态稳定运行并防范系统性风险。<br> 因此，《征求意见稿》所引入的第三方数据中心托底机制，是针对高风险场景的一种必要的工程化风险管控与应急保障措施。这种机制强调了个人信息保护的连续性与韧性，将抽象的制度要求转化为具体的应对能力，确保在关键时刻平台个人信息的安全性与合规性。这种制度设计不仅与国际主流的监管思路保持一致，更为高风险平台提供了明确、可验证且可实际操作的保障方案，体现出高度的监管科学性和制度正当性。<br> 综上，《大型网络平台个人信息保护规定（征求意见稿）》通过上述五方面的制度设计，勾勒出我国个人信息保护监管的新思路：强调平台主体责任和能力提升，同时借鉴国际经验强化透明度和外部监督，并设置极端情况下保护用户权益的安全网。这一套框架既具有务实的制度逻辑，又体现了前瞻性的监管理念。对于监管部门而言，该规定提供了操作性强的工具箱，使对大型平台的监管“有据可依、有力可使”。对于企业而言，新要求倒逼其加强合规投入，提升数据治理水平，在国内国际双重标准下赢得用户信任。对于学界和公共政策制定者而言，这一探索也提供了可资借鉴的“中国方案”，印证了在数字时代如何通过综合治理来有效平衡个人信息保护与数字经济创新发展的命题。（作者：洪延青，北京理工大学法学院教授）