我国个人信息保护工作有望迈入“落地”新阶段。11月22日，国家网信办、公安部发布《大型网络平台个人信息保护规定（征求意见稿）》（下称《征求意见稿》），并向社会公开征求意见，意见反馈截止时间为12月22日。南都N视频记者梳理发现，该规定的亮点包括首次明确“大型网络平台”认定标准，设立个人信息保护负责人制度，以及进一步细化《个人信息保护法》赋予个人的数据可携带权具体服务标准。

首先，如何定义“大型网络平台”？《征求意见稿》提出，主要考虑的因素包括：注册用户5000万以上或者月活跃用户1000万以上；提供重要网络服务或者经营范围涵盖多个类型业务；掌握处理的数据一旦被泄露、篡改、损毁，对国家安全、经济运行、国计民生等具有重要影响；国家网信部门、国务院公安部门规定的其他情形。

北京理工大学法学院教授洪延青撰文提到，《征求意见稿》通过上述“双重标准”，即明确的用户数量阈值和服务性质，精准识别具有系统性影响和高风险的平台。这一方式兼顾了可操作性和风险精准度，避免了监管的泛化与资源浪费。同时，该识别机制与国际监管实践高度一致，不仅提高了监管透明度与可预测性，也确保了监管资源的有效配置，实现了公共利益保护和风险精准管理的有机统一。

《征求意见稿》的一大亮点是明确个人信息保护负责人制度及专门机构权责。大型网络平台服务提供者应当按照法律法规有关规定指定个人信息保护负责人，该负责人应当无境外永久居留权或者长期居留许可，具备个人信息保护专业知识且从事相关工作5年以上。平台需公开个人信息保护负责人的联系方式。

个人信息保护负责人的职责包括，参与大型网络平台个人信息处理事项相关决策，并对个人信息处理事项具有否决权；负责对个人信息处理活动以及采取的保护措施等进行监督，发现大型网络平台个人信息处理活动存在较大安全风险或者存在违法违规情形的，应当立即采取措施，并向国家网信部门和有关主管部门报告，涉嫌违法犯罪的应当向公安机关报案等。

《征求意见稿》还提出，大型网络平台服务提供者应当明确个人信息保护工作机构，在个人信息保护负责人领导下开展个人信息保护相关工作，其中包括进一步落实《个人信息保护法》的多项要求。比如明确专人负责未成年人个人信息保护工作，每年编制发布大型网络平台服务提供者个人信息保护社会责任报告等。

此外，该工作机构还需制定实施内部个人信息保护管理制度、操作规程以及个人信息安全事件应急预案，合理确定个人信息处理的操作权限，对大型网络平台的个人信息处理活动进行安全管理；组织开展个人信息安全风险监测、风险评估、合规审计、影响评估、应急演练、宣传教育培训等活动，及时处置个人信息安全风险和事件等。

中国人民大学法学院教授、未来法治研究院执行院长张吉豫指出，大型网络平台往往业务繁多复杂，个人信息处理环节众多且分散，要求设立专门团队，有助于明确责任，实现专人专管，精准施策。

她指出，一方面，上述做法有利于激励平台更加积极地落实合规要求，建设个人信息保护的技术措施和管理措施，切实提升保护能力；另一方面，由专门团队每年编制发布个人信息保护社会责任报告，细化了《个人信息保护法》对于社会责任报告制度的规定，有助于加强平台个人信息保护实践的透明度等，形成企业自律、社会监督、政府监管的协同治理格局。

我国《个人信息保护法》确立了数据可携带权，规定个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。此前这一规定基本停留在原则层面，《征求意见稿》则提出了具体的操作指引。

具体而言，个人请求将其个人信息转移至其指定的个人信息处理者的，大型网络平台服务提供者应当在接到个人请求后30个工作日内将个人信息通过通用、机器可读的格式进行转移，并以邮件、电话、短信等方式告知个人处理结果，不符合法律、行政法规规定条件的，应当向个人说明原因。因请求数量、操作复杂等原因需要延长处理期限的，可以再延长30个工作日。个人重复转移个人信息的，大型网络平台服务提供者可以根据转移个人信息的成本收取必要费用。

洪延青认为，上述规定对转移请求设定了明确的受理时限和服务标准，确保用户权利的落实具备明确的可操作性和可核查性。这种安排增强了用户对个人信息的自主控制力，降低了用户对特定平台的依赖程度。

值得注意的是，《征求意见稿》还引入了第三方数据中心“托底机制”。当发现大型网络平台服务提供者无能力保障个人信息安全的，国家网信部门、国务院公安部门和有关主管部门可以要求大型网络平台服务提供者通过签订合同等方式将个人信息存储在符合本规定要求的第三方数据中心。对此，洪延青指出，这一安排旨在提供关键时刻的结构性矫正与应急接管能力，有效防范因平台技术或管理能力不足而引发的个人信息安全风险扩散和失控。

由于大型网络平台掌握着海量个人信息，应对其安全管理能力提出更高要求。在个人信息的存储方面，《征求意见稿》提出，大型网络平台服务提供者应当将在中华人民共和国境内运营中收集和产生的个人信息存储在境内。确需向境外提供的，应当符合国家数据出境安全管理有关规定。

采写：南都N视频记者 樊文扬

编辑：黄莉玲