2025年11月22日，國家互聯網信息辦公室、公安部發布了《大型網絡平臺個人信息保護規定（征求意見稿）》（以下簡稱《征求意見稿》），旨在幫助具有海量用戶和對全局有系統性影響的大型網絡平臺，進一步提升個人信息保護能力。該規定以強化平臺能力建設為主線，從平臺識別、專職負責人和組織保障、數據中心能力要求、數據跨境流動與數據可攜權，以及必要時引入第三方數據中心托管等方面，構建了可問責、可驗證、可托底的個人信息保護框架。

這一監管路徑的邏輯在于：通過明確制定發布大型網絡平臺目錄、確保平臺內部建立完善的合規體系并接受外部監督、強化技術和基礎設施保障、賦予用戶對數據遷移和流動的權利，同時預設當平臺自身能力不足或出現重大風險時的外部介入機制，從而全面提升個人信息保護水平。本文對《征求意見稿》所規定的五個關鍵制度設計，分析其科學性和必要性，并結合歐盟、美國等相關制度進行比較論證。

一、大型平臺認定：細化明確系統性外部性平臺義務標準

《征求意見稿》通過“雙重標準”，即明確的用戶數量閾值（如注冊用戶5000萬以上、月活躍用戶1000萬以上）和服務性質（涉及重要網絡服務、可能影響公共利益或國家安全），精準識別具有系統性影響和高風險的平臺（第三條）。這一方式兼顧了可操作性和風險精準度，避免了監管的泛化與資源浪費。國際經驗表明，歐盟《數字服務法》亦采用類似標準，將月活躍用戶超過4500萬的平臺認定為超大型在線平臺，實施更嚴格的風險評估、外部審計和數據共享義務。歐盟強調，此舉正因大型平臺對社會治理和公共利益的系統性外部性風險顯著，必須通過高透明度和嚴監管加以控制。此外，美國學界也提出對具有重大社會影響的科技平臺采用類似公共事業監管理念，強化其社會責任和外部監督。《征求意見稿》所設定的精準識別機制與國際監管實踐高度一致，不僅提高了監管透明度與可預測性，也確保了監管資源的有效配置，實現了公共利益保護和風險精準管理的有機統一。

二、個人信息保護負責人制度及專門機構：責任落實與組織保障

《征求意見稿》明確規定大型平臺須設立高層級個人信息保護負責人，負責參與重大決策、統籌制度建設與風險評估、監督投訴處理并組織制定專門的未成年人個人信息處理規則（第五條）。同時，要求配備專門的個人信息保護工作機構，并為其提供必要的經費、人員與技術工具等組織保障（第六條、第七條）。此外，針對負責人與機構信息的變更，要求平臺在20個工作日內向監管部門進行報備（第八條）。這一制度設計體現了“責任到人”與“組織保障”相結合的監管思路，確保個人信息保護義務在企業內部真正落地執行。

從國際經驗看，歐盟《通用數據保護條例》早已明確要求在處理高風險個人數據場景下設立數據保護官，并強調其職能獨立性及直接向企業最高管理層匯報，以保證其合規監督的有效性。歐盟《數字服務法》則要求超大型平臺建立專門的獨立合規部門，定期接受外部獨立審計，通過內部責任落實與外部審計形成持續有效的問責鏈條。歐盟的思路在于，由于數字平臺生態的復雜性，僅靠企業自律已難以保障合規，必須通過內嵌于企業組織結構的合規制度以及外部透明審計，形成可信的治理機制。

由此可見，《征求意見稿》所提出的個人信息保護負責人與專門機構制度，符合國際監管趨勢，將抽象的合規要求轉化為平臺企業內部的明確職責與具體執行能力，形成了內外雙重約束與治理閉環，極大提升了個人信息保護制度的可操作性和執行力。

三、數據中心能力建設與平臺主動報告義務：夯實基礎設施合規與可監管性

大型平臺由于處理海量個人信息，必須在技術和基礎設施上具備足夠的安全管理能力。《征求意見稿》將大型平臺數據中心能力建設與主動報告義務結合設計，落實《個人信息保護法》要求，強調平臺必須將在境內收集和產生的個人信息存儲在境內（第九條），并建立完善的數據管理和技術安全規范體系，同時要求對重大風險或系統變更及時處置并向監管部門報告（第十條、第十三條）。這種“基礎設施合規”與“可監管性”相結合的設計，突出了對平臺數據安全能力的事前建設與事中事后的透明監督，確保合規能力真正可驗證、可考核，而非流于形式。

從國際實踐來看，歐盟《數字服務法》要求超大型平臺每年必須進行獨立外部審計，并向監管機構與獨立研究者開放數據，以確保平臺合規措施的持續可見性。此外，歐盟《網絡和信息系統指令2》更是明確要求成員國對數據中心、云服務等關鍵數字基礎設施實施嚴格的安全風險管理、通報機制和現場審計檢查，以確保其安全性與可靠性。因此，歐盟的路徑是《數字市場法》與《數字服務法》的監管側重于平臺“無形”層面，而對數據中心這類“有形”基礎設施的監管，則由《網絡和信息系統指令2》及各成員國法規起到重要的補充作用。

《征求意見稿》將數據中心的安全能力建設與主動報告緊密結合，與歐盟“審計+報告+現場檢查”的監管邏輯高度一致，不僅顯著提升了監管的可操作性，也順應了全球對數字基礎設施監管日益強化的趨勢。這種制度設計，有效強化了對個人信息安全的整體保障能力。

四、數據可攜：用戶賦權、平臺互通與風險管控

《征求意見稿》第十四條明確規定，大型網絡平臺應保障用戶可便捷地轉移個人信息，并對轉移請求設定了明確的受理時限和服務標準，如要求“30個工作日內答復與處理”，確保用戶權利的落實具備明確的可操作性和可核查性。這種安排不僅從抽象權利宣示轉化為可執行的服務承諾，更通過服務時限、流程和標準的明確規范，增強了用戶對個人信息的自主控制力，降低了用戶對特定平臺的依賴程度。

從國際監管經驗來看，歐盟《通用數據保護條例》第二十條也確立了類似的個人數據可攜權，明確要求數據控制者需以結構化、機器可讀的方式向用戶提供其個人信息，以方便用戶自由遷移到其他平臺。此外，歐盟《數字市場法》第6（9）條更進一步強化對“守門人”平臺的數據可攜要求，要求其提供高質量、持續且實時的數據遷移服務，并積極鼓勵第三方直接接入，目的是減少平臺的鎖定效應，促進數字市場競爭與用戶的自由選擇權。

歐盟的實踐表明，數據可攜權與平臺互操作性已成為現代“公共事業式”監管的關鍵工具，能夠有效改善市場的進入條件，打破數據孤島局面，增強用戶對個人信息的控制力和選擇權。因此，《征求意見稿》強調數據遷移的便利性和時效性，充分體現了“用戶賦權”與“市場競爭”的監管邏輯，與國際先進的監管理念高度一致。

五、托底機制：第三方數據中心存儲的外部保障

《征求意見稿》第十七條明確規定，當大型網絡平臺出現重大安全風險、嚴重數據事故或執法發現系統性缺陷等極端情形，且平臺自身能力不足以保障個人信息安全時，監管機關有權要求平臺將個人信息轉移至符合條件的第三方數據中心進行存儲和管理。這一安排旨在建立一種“托底機制”，提供關鍵時刻的結構性矯正與應急接管能力，有效防范因平臺技術或管理能力不足而引發的個人信息安全風險擴散和失控。

這種機制在國際監管實踐中具有顯著的理論和制度基礎。盡管歐盟《數字服務法》和《數字市場法》未明確規定“強制第三方托管”，但其制度設計包括限制令、暫停數據處理、外部獨立審計與數據開放共享等多種外部矯正措施，實質上與第三方可信托管的理念相似。此外，歐美學界近年來將大型網絡平臺視為“新公共事業”的重要信息基礎設施，強調其對社會穩定、連續性和公共利益的重要意義，提出在必要情形下應采取結構性手段介入，以確保平臺生態穩定運行并防范系統性風險。

因此，《征求意見稿》所引入的第三方數據中心托底機制，是針對高風險場景的一種必要的工程化風險管控與應急保障措施。這種機制強調了個人信息保護的連續性與韌性，將抽象的制度要求轉化為具體的應對能力，確保在關鍵時刻平臺個人信息的安全性與合規性。這種制度設計不僅與國際主流的監管思路保持一致，更為高風險平臺提供了明確、可驗證且可實際操作的保障方案，體現出高度的監管科學性和制度正當性。

綜上，《大型網絡平臺個人信息保護規定（征求意見稿）》通過上述五方面的制度設計，勾勒出我國個人信息保護監管的新思路：強調平臺主體責任和能力提升，同時借鑒國際經驗強化透明度和外部監督，并設置極端情況下保護用戶權益的安全網。這一套框架既具有務實的制度邏輯，又體現了前瞻性的監管理念。對于監管部門而言，該規定提供了操作性強的工具箱，使對大型平臺的監管“有據可依、有力可使”。對于企業而言，新要求倒逼其加強合規投入，提升數據治理水平，在國內國際雙重標準下贏得用戶信任。對于學界和公共政策制定者而言，這一探索也提供了可資借鑒的“中國方案”，印證了在數字時代如何通過綜合治理來有效平衡個人信息保護與數字經濟創新發展的命題。

作者：洪延青　北京理工大學法學院教授

來源：中央網信辦舉報中心