法规出台背景与目的 - 国家互联网信息办公室与公安部联合起草《大型网络平台个人信息保护规定（征求意见稿）》，旨在规范大型网络平台个人信息处理活动，保护个人信息合法权益，促进平台经济健康发展 [1] - 规定依据《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《网络数据安全管理条例》等法律法规制定 [4] 大型网络平台认定标准 - 大型网络平台的认定主要考虑注册用户5000万以上或月活跃用户1000万以上 [6] - 其他考量因素包括提供重要网络服务、经营范围涵盖多类型业务、数据处理活动对国家安全经济运行等有重要影响，以及网信部门和公安部门规定的其他情形 [7] - 国家网信部门会同国务院公安部门等有关部门制定并动态更新大型网络平台目录 [5] 平台主体责任与合规要求 - 大型网络平台服务提供者需遵循合法、正当、必要和诚信原则，对个人信息安全承担主体责任，严格保护敏感个人信息和未成年人个人信息 [4] - 必须指定由管理层成员担任的个人信息保护负责人，该负责人需具备中华人民共和国国籍，无境外永久居留权，具备5年以上相关工作经验 [6] - 平台需明确个人信息保护工作机构，负责制定内部管理制度、进行安全风险监测、监督平台内产品提供者、处理投诉举报，并每年编制发布个人信息保护社会责任报告 [8] 个人信息处理与存储规范 - 在中华人民共和国境内运营中收集和产生的个人信息应存储在境内，确需出境的需符合国家数据出境安全管理规定 [9] - 个人信息存储的数据中心需设立在境内，主要负责人需具有中国国籍且无境外永久居留权，安全性需符合国家标准 [10] - 平台需为个人行使查阅、复制、更正、删除、转移个人信息等权利提供便捷途径，个人信息转移请求需在30个工作日内处理，特殊情况可延长至60个工作日 [14] 监督审计与执法机制 - 平台需自行或委托第三方专业机构开展个人信息保护合规审计和风险评估，并对发现的问题进行整改 [15] - 第三方专业机构需注册在境内，发现平台存在重大安全风险或违法违规情形时，可直接向网信部门和有关主管部门报告 [16] - 若发生导致100万人以上个人信息或10万人以上敏感个人信息泄露、篡改、丢失等安全事件，主管部门可要求平台委托第三方进行合规审计 [17] - 网信部门、公安机关和有关主管部门对未履行保护责任的平台、第三方机构或数据中心依法追究责任，构成犯罪的追究刑事责任 [21]