為規(guī)范大型網(wǎng)絡(luò)平臺個人信息處理活動，保護(hù)個人信息合法權(quán)益，促進(jìn)平臺經(jīng)濟(jì)健康發(fā)展，根據(jù)《中華人民共和國個人信息保護(hù)法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律法規(guī)，國家互聯(lián)網(wǎng)信息辦公室、公安部起草了《大型網(wǎng)絡(luò)平臺個人信息保護(hù)規(guī)定（征求意見稿）》，現(xiàn)向社會公開征求意見。公眾可以通過以下途徑和方式提出反饋意見：

1.登錄中國網(wǎng)信網(wǎng)（www.cac.gov.cn），進(jìn)入首頁“網(wǎng)信要聞”查看文稿。

2.登錄公安部官網(wǎng)（www.mps.gov.cn），進(jìn)入首頁“調(diào)查征集”查看文稿。

3.通過電子郵件方式發(fā)送至：shujuju@cac.gov.cn。

4.通過信函方式將意見寄至：北京市海淀區(qū)阜成路15號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)數(shù)據(jù)管理局，郵編100048，并在信封上注明“大型網(wǎng)絡(luò)平臺個人信息保護(hù)規(guī)定征求意見”。

意見反饋截止時間為2025年12月22日。

附件：《大型網(wǎng)絡(luò)平臺個人信息保護(hù)規(guī)定（征求意見稿）》

國家互聯(lián)網(wǎng)信息辦公室 公安部

2025年11月22日

大型網(wǎng)絡(luò)平臺個人信息保護(hù)規(guī)定（征求意見稿）

第一條 為規(guī)范大型網(wǎng)絡(luò)平臺個人信息處理活動，保護(hù)個人信息合法權(quán)益，促進(jìn)個人信息依法合理利用，根據(jù)《中華人民共和國個人信息保護(hù)法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律法規(guī)，制定本規(guī)定。

第二條 在中華人民共和國境內(nèi)建設(shè)、運營的大型網(wǎng)絡(luò)平臺的個人信息保護(hù)，適用本規(guī)定。法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。

第三條 國家網(wǎng)信部門會同國務(wù)院公安部門等有關(guān)部門制定發(fā)布大型網(wǎng)絡(luò)平臺目錄并動態(tài)更新。

對大型網(wǎng)絡(luò)平臺的認(rèn)定，主要考慮以下因素：

（一）注冊用戶5000萬以上或者月活躍用戶1000萬以上；

（二）提供重要網(wǎng)絡(luò)服務(wù)或者經(jīng)營范圍涵蓋多個類型業(yè)務(wù)；

（三）掌握處理的數(shù)據(jù)一旦被泄露、篡改、損毀，對國家安全、經(jīng)濟(jì)運行、國計民生等具有重要影響；

（四）國家網(wǎng)信部門、國務(wù)院公安部門規(guī)定的其他情形。

第四條 提供大型網(wǎng)絡(luò)平臺服務(wù)的網(wǎng)絡(luò)數(shù)據(jù)處理者（以下簡稱大型網(wǎng)絡(luò)平臺服務(wù)提供者）開展個人信息處理活動，應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，遵守法律、法規(guī)，遵守社會公德和倫理，對所處理的個人信息安全承擔(dān)主體責(zé)任，嚴(yán)格保護(hù)敏感個人信息和未成年人個人信息，承擔(dān)社會責(zé)任，不得危害國家安全、公共利益，不得損害個人、組織的合法權(quán)益。

第五條 大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)當(dāng)按照法律法規(guī)有關(guān)規(guī)定指定個人信息保護(hù)負(fù)責(zé)人，并公開個人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式。

個人信息保護(hù)負(fù)責(zé)人應(yīng)當(dāng)由大型網(wǎng)絡(luò)平臺服務(wù)提供者管理層成員擔(dān)任，具有中華人民共和國國籍，無境外永久居留權(quán)或者長期居留許可，具備個人信息保護(hù)專業(yè)知識且從事相關(guān)工作5年以上。個人信息保護(hù)負(fù)責(zé)人可以由網(wǎng)絡(luò)數(shù)據(jù)安全負(fù)責(zé)人兼任。

個人信息保護(hù)負(fù)責(zé)人應(yīng)當(dāng)履行下列職責(zé)：

（一）指導(dǎo)大型網(wǎng)絡(luò)平臺合規(guī)開展個人信息處理活動，落實國家網(wǎng)信部門、國務(wù)院公安部門和有關(guān)主管部門的個人信息保護(hù)監(jiān)管要求，配合有關(guān)部門開展個人信息保護(hù)監(jiān)督檢查；

（二）參與大型網(wǎng)絡(luò)平臺個人信息處理事項相關(guān)決策，并對個人信息處理事項具有否決權(quán)；

（三）負(fù)責(zé)對個人信息處理活動以及采取的保護(hù)措施等進(jìn)行監(jiān)督，發(fā)現(xiàn)大型網(wǎng)絡(luò)平臺個人信息處理活動存在較大安全風(fēng)險或者存在違法違規(guī)情形的，應(yīng)當(dāng)立即采取措施，并向國家網(wǎng)信部門和有關(guān)主管部門報告，涉嫌違法犯罪的應(yīng)當(dāng)向公安機關(guān)報案；

（四）組織制定專門的未成年人個人信息處理規(guī)則。

個人信息保護(hù)負(fù)責(zé)人可以直接向國家網(wǎng)信部門、有關(guān)主管部門報告大型網(wǎng)絡(luò)平臺服務(wù)提供者的個人信息保護(hù)有關(guān)情況。

第六條 大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)當(dāng)明確個人信息保護(hù)工作機構(gòu)，在個人信息保護(hù)負(fù)責(zé)人領(lǐng)導(dǎo)下開展個人信息保護(hù)相關(guān)工作，包括但不限于：

（一）制定實施內(nèi)部個人信息保護(hù)管理制度、操作規(guī)程以及個人信息安全事件應(yīng)急預(yù)案，合理確定個人信息處理的操作權(quán)限，對大型網(wǎng)絡(luò)平臺的個人信息處理活動進(jìn)行安全管理；

（二）組織開展個人信息安全風(fēng)險監(jiān)測、風(fēng)險評估、合規(guī)審計、影響評估、應(yīng)急演練、宣傳教育培訓(xùn)等活動，及時處置個人信息安全風(fēng)險和事件；

（三）明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護(hù)個人信息的義務(wù)，并對其個人信息處理活動和履行個人信息保護(hù)義務(wù)情況進(jìn)行監(jiān)督；

（四）明確專人負(fù)責(zé)未成年人個人信息保護(hù)工作；

（五）受理并處理個人信息保護(hù)投訴、舉報；

（六）每年編制發(fā)布大型網(wǎng)絡(luò)平臺服務(wù)提供者個人信息保護(hù)社會責(zé)任報告。

鼓勵大型網(wǎng)絡(luò)平臺服務(wù)提供者設(shè)立專門的個人信息保護(hù)工作機構(gòu)。

第七條 大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)當(dāng)為個人信息保護(hù)負(fù)責(zé)人、個人信息保護(hù)工作機構(gòu)履行職責(zé)提供必要支持。

第八條 大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)當(dāng)及時向國家網(wǎng)信部門報送下列信息：

（一）個人信息保護(hù)負(fù)責(zé)人基本信息；

（二）個人信息保護(hù)工作機構(gòu)基本信息；

（三）保障個人信息保護(hù)負(fù)責(zé)人和個人信息保護(hù)工作機構(gòu)履職的措施。

個人信息保護(hù)負(fù)責(zé)人、個人信息保護(hù)工作機構(gòu)等發(fā)生變化的，大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)當(dāng)在20個工作日內(nèi)報送變更信息。

國家網(wǎng)信部門將大型網(wǎng)絡(luò)平臺服務(wù)提供者信息向國務(wù)院公安部門和有關(guān)主管部門共享。

第九條 大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)當(dāng)將在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息存儲在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)符合國家數(shù)據(jù)出境安全管理有關(guān)規(guī)定。

大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)當(dāng)按照國家有關(guān)規(guī)定，健全個人信息出境安全相關(guān)技術(shù)和管理措施，及時防范、處置個人信息違法違規(guī)出境安全風(fēng)險和威脅。

第十條 大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)當(dāng)將在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息存儲在符合下列條件的數(shù)據(jù)中心：

（一）設(shè)立在中華人民共和國境內(nèi)；

（二）主要負(fù)責(zé)人具有中華人民共和國國籍，無境外永久居留權(quán)或者長期居留許可；

（三）安全性符合國家有關(guān)標(biāo)準(zhǔn)要求。

第十一條 數(shù)據(jù)中心應(yīng)當(dāng)協(xié)助大型網(wǎng)絡(luò)平臺服務(wù)提供者履行個人信息保護(hù)義務(wù)，包括但不限于：

（一）建立健全內(nèi)部個人信息管理制度和操作規(guī)程；

（二）發(fā)現(xiàn)系統(tǒng)、網(wǎng)絡(luò)產(chǎn)品和服務(wù)等存在影響大型網(wǎng)絡(luò)平臺服務(wù)提供者履行個人信息保護(hù)義務(wù)的安全缺陷、漏洞等風(fēng)險的，應(yīng)當(dāng)立即采取補救措施，按照規(guī)定向有關(guān)主管部門報告，并通報大型網(wǎng)絡(luò)平臺服務(wù)提供者個人信息保護(hù)負(fù)責(zé)人；

（三）發(fā)生個人信息安全事件時，應(yīng)當(dāng)立即通報大型網(wǎng)絡(luò)平臺服務(wù)提供者個人信息保護(hù)負(fù)責(zé)人，及時啟動應(yīng)急處置預(yù)案，采取措施防止危害擴大，消除安全隱患，并按照規(guī)定向國家網(wǎng)信部門、有關(guān)主管部門報告；

（四）及時執(zhí)行國家網(wǎng)信部門、國務(wù)院公安部門和有關(guān)主管部門個人信息安全保護(hù)有關(guān)要求。

第十二條 大型網(wǎng)絡(luò)平臺服務(wù)提供者委托符合本規(guī)定第十條要求的第三方數(shù)據(jù)中心存儲個人信息的，應(yīng)當(dāng)與其簽訂合同，約定存儲地點、規(guī)模、種類等，明確履行本規(guī)定第十一條安全要求和下列職責(zé)：

（一）嚴(yán)格依照法律法規(guī)的規(guī)定和合同約定，履行個人信息保護(hù)義務(wù)，提供安全、穩(wěn)定、持續(xù)的服務(wù)，并接受大型網(wǎng)絡(luò)平臺服務(wù)提供者個人信息保護(hù)負(fù)責(zé)人、個人信息保護(hù)監(jiān)督委員會等的監(jiān)督；

（二）為大型網(wǎng)絡(luò)平臺服務(wù)提供者處理個人信息提供便利措施；

（三）協(xié)助大型網(wǎng)絡(luò)平臺服務(wù)提供者對個人信息處理活動進(jìn)行安全管理。

第十三條 大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)當(dāng)向國家網(wǎng)信部門等有關(guān)部門報送存儲個人信息的數(shù)據(jù)中心的基本信息，包括管理團(tuán)隊和管理架構(gòu)、內(nèi)部個人信息保護(hù)管理制度、采取的安全措施、與第三方數(shù)據(jù)中心簽署的合同文本等。上述信息發(fā)生變化的，應(yīng)當(dāng)自變化之日起10個工作日內(nèi)報送變更信息。

第十四條 大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)當(dāng)為個人行使查閱、復(fù)制、更正、補充、刪除、限制處理其個人信息，或者注銷賬號、撤回同意等權(quán)利提供便捷的方法和途徑。

個人請求將其個人信息轉(zhuǎn)移至其指定的個人信息處理者的，大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)當(dāng)在接到個人請求后30個工作日內(nèi)將個人信息通過通用、機器可讀的格式進(jìn)行轉(zhuǎn)移，并以郵件、電話、短信等方式告知個人處理結(jié)果，不符合法律、行政法規(guī)規(guī)定條件的，應(yīng)當(dāng)向個人說明原因。因請求數(shù)量、操作復(fù)雜等原因需要延長處理期限的，應(yīng)當(dāng)向個人說明延期原因，可以在合理、必要的情況下再延長30個工作日。法律、行政法規(guī)、部門規(guī)章另有規(guī)定的，從其規(guī)定。

支持大型網(wǎng)絡(luò)平臺服務(wù)提供者通過應(yīng)用程序接口或者其他標(biāo)準(zhǔn)化技術(shù)方式提供轉(zhuǎn)移途徑，采取身份驗證、加密傳輸?shù)劝踩胧┍Ｕ蟼€人信息轉(zhuǎn)移安全。

個人重復(fù)轉(zhuǎn)移個人信息的，大型網(wǎng)絡(luò)平臺服務(wù)提供者可以根據(jù)轉(zhuǎn)移個人信息的成本收取必要費用。

第十五條 大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)當(dāng)按照國家有關(guān)規(guī)定自行或者委托第三方專業(yè)機構(gòu)開展個人信息保護(hù)合規(guī)審計、風(fēng)險評估等活動，并對發(fā)現(xiàn)的問題進(jìn)行整改。鼓勵大型網(wǎng)絡(luò)平臺服務(wù)提供者優(yōu)先選擇通過認(rèn)證的第三方專業(yè)機構(gòu)。專業(yè)機構(gòu)的認(rèn)證按照《中華人民共和國認(rèn)證認(rèn)可條例》的有關(guān)規(guī)定執(zhí)行。

第十六條 受大型網(wǎng)絡(luò)平臺服務(wù)提供者委托開展個人信息保護(hù)合規(guī)審計、風(fēng)險評估等活動的第三方專業(yè)機構(gòu)，應(yīng)當(dāng)注冊在中華人民共和國境內(nèi)，發(fā)現(xiàn)大型網(wǎng)絡(luò)平臺服務(wù)提供者的個人信息處理活動存在較大安全風(fēng)險或者存在違法違規(guī)情形的，可以直接向國家網(wǎng)信部門和有關(guān)主管部門報告；涉嫌違法犯罪的應(yīng)當(dāng)向公安機關(guān)報案。

第十七條 大型網(wǎng)絡(luò)平臺服務(wù)提供者有以下情形之一的，國家網(wǎng)信部門、國務(wù)院公安部門和有關(guān)主管部門可以要求其委托第三方專業(yè)機構(gòu)對其個人信息處理活動開展合規(guī)審計、風(fēng)險評估等活動：

（一）個人信息處理活動存在嚴(yán)重影響個人權(quán)益或者嚴(yán)重缺乏安全措施等情形的；

（二）多次出現(xiàn)個人信息違規(guī)出境等違法違規(guī)情形的；

（三）個人信息處理活動可能侵害眾多個人權(quán)益的；

（四）發(fā)生個人信息安全事件，導(dǎo)致100萬人以上個人信息或者10萬人以上敏感個人信息泄露、篡改、丟失、毀損的；

（五）法律法規(guī)和有關(guān)主管部門規(guī)定的其他情形。

大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)當(dāng)配合第三方專業(yè)機構(gòu)履行職責(zé)，為第三方專業(yè)機構(gòu)開展工作提供必要保障，包括為第三方專業(yè)機構(gòu)指定人員提供必要的訪問大型網(wǎng)絡(luò)平臺網(wǎng)絡(luò)數(shù)據(jù)設(shè)施、系統(tǒng)及操作日志記錄權(quán)限等。

發(fā)現(xiàn)大型網(wǎng)絡(luò)平臺服務(wù)提供者無能力保障個人信息安全的，國家網(wǎng)信部門、國務(wù)院公安部門和有關(guān)主管部門可以要求大型網(wǎng)絡(luò)平臺服務(wù)提供者通過簽訂合同等方式將個人信息存儲在符合本規(guī)定要求的第三方數(shù)據(jù)中心。

第十八條 鼓勵大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)用國家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)、使用數(shù)據(jù)標(biāo)簽標(biāo)識技術(shù)、通過個人信息保護(hù)認(rèn)證等，提高個人信息保護(hù)水平。

第十九條 鼓勵大型網(wǎng)絡(luò)平臺服務(wù)提供者開展個人信息保護(hù)相關(guān)技術(shù)、產(chǎn)品、服務(wù)創(chuàng)新，積極參與個人信息保護(hù)相關(guān)國際標(biāo)準(zhǔn)和規(guī)則制定，推動與其他國家、地區(qū)之間的個人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)協(xié)調(diào)互認(rèn)。

第二十條 任何組織和個人有權(quán)對大型網(wǎng)絡(luò)平臺服務(wù)提供者、第三方數(shù)據(jù)中心違反本規(guī)定的活動，向履行個人信息保護(hù)職責(zé)的部門進(jìn)行投訴、舉報。收到投訴、舉報的部門應(yīng)當(dāng)在15個工作日內(nèi)依法處理，并將處理結(jié)果告知投訴、舉報人。

履行個人信息保護(hù)職責(zé)的部門應(yīng)當(dāng)加強信息共享，協(xié)同開展相關(guān)工作。

第二十一條 網(wǎng)信部門、公安機關(guān)和有關(guān)主管部門發(fā)現(xiàn)大型網(wǎng)絡(luò)平臺服務(wù)提供者、第三方專業(yè)機構(gòu)或者數(shù)據(jù)中心未履行個人信息保護(hù)責(zé)任的，依法追究責(zé)任；構(gòu)成犯罪的，依法追究刑事責(zé)任。

第二十二條 國家網(wǎng)信部門、國務(wù)院公安部門和有關(guān)主管部門、第三方數(shù)據(jù)中心、第三方專業(yè)機構(gòu)的工作人員應(yīng)當(dāng)對工作過程中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務(wù)信息等依法予以保密，不得泄露或者非法向他人提供。

第二十三條 開展涉及國家秘密、工作秘密的個人信息處理活動，適用《中華人民共和國保守國家秘密法》等法律、行政法規(guī)的規(guī)定。

大型網(wǎng)絡(luò)平臺應(yīng)當(dāng)落實網(wǎng)絡(luò)安全等級保護(hù)有關(guān)要求，屬于關(guān)鍵信息基礎(chǔ)設(shè)施的大型網(wǎng)絡(luò)平臺，還應(yīng)當(dāng)遵守國家關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施安全的有關(guān)規(guī)定。

第二十四條 本規(guī)定自X年X月X日起施行。