國家互聯網信息辦公室、公安部關于《大型網絡平臺個人信息保護規定（征求意見稿）》公開征求意見的通知

  為規范大型網絡平臺個人信息處理活動，保護個人信息合法權益，促進平臺經濟健康發展，根據《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《網絡數據安全管理條例》等法律法規，國家互聯網信息辦公室、公安部起草了《大型網絡平臺個人信息保護規定（征求意見稿）》，現向社會公開征求意見。公眾可以通過以下途徑和方式提出反饋意見：

  1.登錄中國網信網（www.cac.gov.cn），進入首頁“網信要聞”查看文稿。

  2.登錄公安部官網（www.mps.gov.cn），進入首頁“調查征集”查看文稿。

  3.通過電子郵件方式發送至：shujuju@cac.gov.cn。

  4.通過信函方式將意見寄至：北京市海淀區阜成路15號國家互聯網信息辦公室網絡數據管理局，郵編100048，并在信封上注明“大型網絡平臺個人信息保護規定征求意見”。

  意見反饋截止時間為2025年12月22日。

  附件：《大型網絡平臺個人信息保護規定（征求意見稿）》

國家互聯網信息辦公室 公安部

2025年11月22日

大型網絡平臺個人信息保護規定

（征求意見稿）

  第一條 為規范大型網絡平臺個人信息處理活動，保護個人信息合法權益，促進個人信息依法合理利用，根據《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《網絡數據安全管理條例》等法律法規，制定本規定。

  第二條 在中華人民共和國境內建設、運營的大型網絡平臺的個人信息保護，適用本規定。法律、行政法規另有規定的，從其規定。

  第三條 國家網信部門會同國務院公安部門等有關部門制定發布大型網絡平臺目錄并動態更新。

  對大型網絡平臺的認定，主要考慮以下因素：

  （一）注冊用戶5000萬以上或者月活躍用戶1000萬以上；

  （二）提供重要網絡服務或者經營范圍涵蓋多個類型業務；

  （三）掌握處理的數據一旦被泄露、篡改、損毀，對國家安全、經濟運行、國計民生等具有重要影響；

  （四）國家網信部門、國務院公安部門規定的其他情形。

  第四條 提供大型網絡平臺服務的網絡數據處理者（以下簡稱大型網絡平臺服務提供者）開展個人信息處理活動，應當遵循合法、正當、必要和誠信原則，遵守法律、法規，遵守社會公德和倫理，對所處理的個人信息安全承擔主體責任，嚴格保護敏感個人信息和未成年人個人信息，承擔社會責任，不得危害國家安全、公共利益，不得損害個人、組織的合法權益。

  第五條 大型網絡平臺服務提供者應當按照法律法規有關規定指定個人信息保護負責人，并公開個人信息保護負責人的聯系方式。

  個人信息保護負責人應當由大型網絡平臺服務提供者管理層成員擔任，具有中華人民共和國國籍，無境外永久居留權或者長期居留許可，具備個人信息保護專業知識且從事相關工作5年以上。個人信息保護負責人可以由網絡數據安全負責人兼任。

  個人信息保護負責人應當履行下列職責：

  （一）指導大型網絡平臺合規開展個人信息處理活動，落實國家網信部門、國務院公安部門和有關主管部門的個人信息保護監管要求，配合有關部門開展個人信息保護監督檢查；

  （二）參與大型網絡平臺個人信息處理事項相關決策，并對個人信息處理事項具有否決權；

  （三）負責對個人信息處理活動以及采取的保護措施等進行監督，發現大型網絡平臺個人信息處理活動存在較大安全風險或者存在違法違規情形的，應當立即采取措施，并向國家網信部門和有關主管部門報告，涉嫌違法犯罪的應當向公安機關報案；

  （四）組織制定專門的未成年人個人信息處理規則。

  個人信息保護負責人可以直接向國家網信部門、有關主管部門報告大型網絡平臺服務提供者的個人信息保護有關情況。

  第六條 大型網絡平臺服務提供者應當明確個人信息保護工作機構，在個人信息保護負責人領導下開展個人信息保護相關工作，包括但不限于：

  （一）制定實施內部個人信息保護管理制度、操作規程以及個人信息安全事件應急預案，合理確定個人信息處理的操作權限，對大型網絡平臺的個人信息處理活動進行安全管理；

  （二）組織開展個人信息安全風險監測、風險評估、合規審計、影響評估、應急演練、宣傳教育培訓等活動，及時處置個人信息安全風險和事件；

  （三）明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務，并對其個人信息處理活動和履行個人信息保護義務情況進行監督；

  （四）明確專人負責未成年人個人信息保護工作；

  （五）受理并處理個人信息保護投訴、舉報；

  （六）每年編制發布大型網絡平臺服務提供者個人信息保護社會責任報告。

  鼓勵大型網絡平臺服務提供者設立專門的個人信息保護工作機構。

  第七條 大型網絡平臺服務提供者應當為個人信息保護負責人、個人信息保護工作機構履行職責提供必要支持。

  第八條 大型網絡平臺服務提供者應當及時向國家網信部門報送下列信息：

  （一）個人信息保護負責人基本信息；

  （二）個人信息保護工作機構基本信息；

  （三）保障個人信息保護負責人和個人信息保護工作機構履職的措施。

  個人信息保護負責人、個人信息保護工作機構等發生變化的，大型網絡平臺服務提供者應當在20個工作日內報送變更信息。

  國家網信部門將大型網絡平臺服務提供者信息向國務院公安部門和有關主管部門共享。

  第九條 大型網絡平臺服務提供者應當將在中華人民共和國境內運營中收集和產生的個人信息存儲在境內。確需向境外提供的，應當符合國家數據出境安全管理有關規定。

  大型網絡平臺服務提供者應當按照國家有關規定，健全個人信息出境安全相關技術和管理措施，及時防范、處置個人信息違法違規出境安全風險和威脅。

  第十條 大型網絡平臺服務提供者應當將在中華人民共和國境內運營中收集和產生的個人信息存儲在符合下列條件的數據中心：

  （一）設立在中華人民共和國境內；

  （二）主要負責人具有中華人民共和國國籍，無境外永久居留權或者長期居留許可；

  （三）安全性符合國家有關標準要求。

  第十一條 數據中心應當協助大型網絡平臺服務提供者履行個人信息保護義務，包括但不限于：

  （一）建立健全內部個人信息管理制度和操作規程；

  （二）發現系統、網絡產品和服務等存在影響大型網絡平臺服務提供者履行個人信息保護義務的安全缺陷、漏洞等風險的，應當立即采取補救措施，按照規定向有關主管部門報告，并通報大型網絡平臺服務提供者個人信息保護負責人；

  （三）發生個人信息安全事件時，應當立即通報大型網絡平臺服務提供者個人信息保護負責人，及時啟動應急處置預案，采取措施防止危害擴大，消除安全隱患，并按照規定向國家網信部門、有關主管部門報告；

  （四）及時執行國家網信部門、國務院公安部門和有關主管部門個人信息安全保護有關要求。

  第十二條 大型網絡平臺服務提供者委托符合本規定第十條要求的第三方數據中心存儲個人信息的，應當與其簽訂合同，約定存儲地點、規模、種類等，明確履行本規定第十一條安全要求和下列職責：

  （一）嚴格依照法律法規的規定和合同約定，履行個人信息保護義務，提供安全、穩定、持續的服務，并接受大型網絡平臺服務提供者個人信息保護負責人、個人信息保護監督委員會等的監督；

  （二）為大型網絡平臺服務提供者處理個人信息提供便利措施；

  （三）協助大型網絡平臺服務提供者對個人信息處理活動進行安全管理。

  第十三條 大型網絡平臺服務提供者應當向國家網信部門等有關部門報送存儲個人信息的數據中心的基本信息，包括管理團隊和管理架構、內部個人信息保護管理制度、采取的安全措施、與第三方數據中心簽署的合同文本等。上述信息發生變化的，應當自變化之日起10個工作日內報送變更信息。

  第十四條 大型網絡平臺服務提供者應當為個人行使查閱、復制、更正、補充、刪除、限制處理其個人信息，或者注銷賬號、撤回同意等權利提供便捷的方法和途徑。

  個人請求將其個人信息轉移至其指定的個人信息處理者的，大型網絡平臺服務提供者應當在接到個人請求后30個工作日內將個人信息通過通用、機器可讀的格式進行轉移，并以郵件、電話、短信等方式告知個人處理結果，不符合法律、行政法規規定條件的，應當向個人說明原因。因請求數量、操作復雜等原因需要延長處理期限的，應當向個人說明延期原因，可以在合理、必要的情況下再延長30個工作日。法律、行政法規、部門規章另有規定的，從其規定。

  支持大型網絡平臺服務提供者通過應用程序接口或者其他標準化技術方式提供轉移途徑，采取身份驗證、加密傳輸等安全措施保障個人信息轉移安全。

  個人重復轉移個人信息的，大型網絡平臺服務提供者可以根據轉移個人信息的成本收取必要費用。

  第十五條 大型網絡平臺服務提供者應當按照國家有關規定自行或者委托第三方專業機構開展個人信息保護合規審計、風險評估等活動，并對發現的問題進行整改。鼓勵大型網絡平臺服務提供者優先選擇通過認證的第三方專業機構。專業機構的認證按照《中華人民共和國認證認可條例》的有關規定執行。

  第十六條 受大型網絡平臺服務提供者委托開展個人信息保護合規審計、風險評估等活動的第三方專業機構，應當注冊在中華人民共和國境內，發現大型網絡平臺服務提供者的個人信息處理活動存在較大安全風險或者存在違法違規情形的，可以直接向國家網信部門和有關主管部門報告；涉嫌違法犯罪的應當向公安機關報案。

  第十七條 大型網絡平臺服務提供者有以下情形之一的，國家網信部門、國務院公安部門和有關主管部門可以要求其委托第三方專業機構對其個人信息處理活動開展合規審計、風險評估等活動：

  （一）個人信息處理活動存在嚴重影響個人權益或者嚴重缺乏安全措施等情形的；

  （二）多次出現個人信息違規出境等違法違規情形的；

  （三）個人信息處理活動可能侵害眾多個人權益的；

  （四）發生個人信息安全事件，導致100萬人以上個人信息或者10萬人以上敏感個人信息泄露、篡改、丟失、毀損的；

  （五）法律法規和有關主管部門規定的其他情形。

  大型網絡平臺服務提供者應當配合第三方專業機構履行職責，為第三方專業機構開展工作提供必要保障，包括為第三方專業機構指定人員提供必要的訪問大型網絡平臺網絡數據設施、系統及操作日志記錄權限等。

  發現大型網絡平臺服務提供者無能力保障個人信息安全的，國家網信部門、國務院公安部門和有關主管部門可以要求大型網絡平臺服務提供者通過簽訂合同等方式將個人信息存儲在符合本規定要求的第三方數據中心。

  第十八條 鼓勵大型網絡平臺服務提供者應用國家網絡身份認證公共服務、使用數據標簽標識技術、通過個人信息保護認證等，提高個人信息保護水平。

  第十九條 鼓勵大型網絡平臺服務提供者開展個人信息保護相關技術、產品、服務創新，積極參與個人信息保護相關國際標準和規則制定，推動與其他國家、地區之間的個人信息保護規則、標準協調互認。

  第二十條 任何組織和個人有權對大型網絡平臺服務提供者、第三方數據中心違反本規定的活動，向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當在15個工作日內依法處理，并將處理結果告知投訴、舉報人。

  履行個人信息保護職責的部門應當加強信息共享，協同開展相關工作。

  第二十一條 網信部門、公安機關和有關主管部門發現大型網絡平臺服務提供者、第三方專業機構或者數據中心未履行個人信息保護責任的，依法追究責任；構成犯罪的，依法追究刑事責任。

  第二十二條 國家網信部門、國務院公安部門和有關主管部門、第三方數據中心、第三方專業機構的工作人員應當對工作過程中知悉的個人隱私、個人信息、商業秘密、保密商務信息等依法予以保密，不得泄露或者非法向他人提供。

  第二十三條 開展涉及國家秘密、工作秘密的個人信息處理活動，適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。

  大型網絡平臺應當落實網絡安全等級保護有關要求，屬于關鍵信息基礎設施的大型網絡平臺，還應當遵守國家關于關鍵信息基礎設施安全的有關規定。

  第二十四條 本規定自X年X月X日起施行。