法规制定背景与适用范围 - 国家互联网信息办公室与公安部联合起草《大型网络平台个人信息保护规定（征求意见稿）》，旨在规范大型网络平台个人信息处理活动，保护个人信息合法权益，并促进平台经济健康发展 [1][5] - 规定适用于在中华人民共和国境内建设、运营的大型网络平台，其认定标准包括注册用户5000万以上或月活跃用户1000万以上、提供重要网络服务或跨业务类型经营、其数据处理安全对国家安全经济运行等具有重要影响等情形 [6] 大型网络平台的责任主体与人员要求 - 大型网络平台服务提供者需指定由管理层成员担任的个人信息保护负责人，该负责人须具备中国国籍、无境外永久居留权、具备5年以上相关工作经验，并可兼任网络数据安全负责人 [6] - 个人信息保护负责人职责包括指导合规处理活动、参与相关决策并拥有否决权、监督处理活动并报告风险、以及组织制定未成年人个人信息处理规则 [7] - 平台需设立个人信息保护工作机构，负责制定内部管理制度、进行安全监测与风险评估、监督平台内产品服务提供者、处理投诉举报及编制年度社会责任报告 [7] 数据存储与跨境传输规范 - 大型网络平台在境内运营中收集和产生的个人信息必须存储在境内，确需出境的需符合国家数据出境安全管理规定，并健全相关技术和管理措施 [9] - 存储个人信息的数据中心须设立在中国境内，其主要负责人须为中国国籍且无境外永久居留权，且安全性需符合国家标准 [9] - 数据中心需协助平台履行个人信息保护义务，包括建立内部制度、报告安全缺陷、通报安全事件并执行主管部门要求 [11] 个人权利保障与数据转移机制 - 平台须为个人提供行使查阅、复制、更正、删除、限制处理、注销账号、撤回同意等权利的便捷途径 [10] - 个人请求转移个人信息至指定处理者时，平台应在30个工作日内以通用机器可读格式完成转移，并可因操作复杂等原因合理延长30个工作日 [10] - 支持平台通过应用程序接口等标准化技术提供安全转移途径，并可对重复转移行为收取必要成本费用 [11] 合规审计与第三方机构监管 - 平台需按国家规定自行或委托第三方专业机构开展个人信息保护合规审计与风险评估，并对发现问题进行整改，鼓励优先选择通过认证的机构 [15] - 受委托的第三方专业机构须注册在中国境内，发现平台存在重大安全风险或违法违规情形时，可直接向网信部门等报告或向公安机关报案 [16] - 若平台出现严重影响个人权益、发生导致100万人以上个人信息或10万人以上敏感信息泄露的安全事件等情形，主管部门可要求其委托第三方机构进行审计 [17] 鼓励措施与法律责任 - 鼓励平台应用国家网络身份认证公共服务、使用数据标签标识技术、通过个人信息保护认证以及参与国际标准制定以提高保护水平 [18][19] - 任何组织和个人有权对平台及第三方数据中心的违规活动进行投诉举报，收到部门应在15个工作日内处理并告知结果 [20] - 网信部门、公安机关等发现平台、第三方机构或数据中心未履行保护责任的将依法追究责任，构成犯罪的追究刑事责任 [21]