大型网络平台认定标准 - 注册用户需达到5000万以上或月活跃用户达到1000万以上 [1][6] - 需提供重要网络服务或经营范围涵盖多个类型业务 [1][7] - 掌握处理的数据一旦泄露、篡改、损毁将对国家安全、经济运行、国计民生等产生重要影响 [1][7] 个人信息处理基本原则 - 个人信息处理活动需遵循合法、正当、必要和诚信原则 [1][4] - 需严格保护敏感个人信息和未成年人个人信息 [1][4] - 对所处理的个人信息安全承担主体责任并承担社会责任 [1][4] 个人信息保护负责人要求 - 负责人需由公司管理层成员担任且具备中华人民共和国国籍 [2][5] - 负责人需无境外永久居留权或长期居留许可 [2][5] - 负责人需具备个人信息保护专业知识且从事相关工作5年以上 [2][5] 数据存储与出境规定 - 在境内运营中收集和产生的个人信息需存储在境内 [2][9] - 确需向境外提供个人信息需符合国家数据出境安全管理规定 [2][9] - 存储个人信息的数据中心需设立在境内且主要负责人需为中国国籍并无境外居留权 [10][12] 个人信息保护机构职责 - 需明确个人信息保护工作机构并制定内部管理制度和操作规程 [6] - 需组织开展个人信息安全风险监测、风险评估和合规审计等活动 [6] - 每年需编制发布公司个人信息保护社会责任报告 [6] 个人信息权利保障 - 需为个人行使查阅、复制、更正、删除等权利提供便捷方法和途径 [14] - 个人请求转移个人信息时需在30个工作日内通过通用格式进行转移 [14] - 因操作复杂等原因可再延长30个工作日处理转移请求 [14][15] 合规审计与风险处置 - 需自行或委托第三方专业机构开展个人信息保护合规审计和风险评估 [16] - 若发生导致100万人以上个人信息或10万人以上敏感个人信息泄露的安全事件需委托第三方审计 [16] - 发现公司无能力保障个人信息安全时主管部门可要求将数据存储在符合规定的第三方数据中心 [17] 监管与法律责任 - 网信部门、公安机关发现公司未履行保护责任时将依法追究责任 [2][18] - 收到个人信息保护投诉、举报的部门需在15个工作日内依法处理 [18] - 构成犯罪的将依法追究刑事责任 [2][18]