中國兩部門發文，DeepSeek、Kimi、豆包等或將入圍

一批平台即將成為你的個人資訊“守門人”。

11月22日，中國國家網際網路資訊辦公室、公安部發佈《大型網路平台個人資訊保護規定（徵求意見稿）》（以下簡稱“徵求意見稿”），明確了對大型網路平台的認定標準，以及應履行的個人資訊保護義務。

根據徵求意見稿，除卻阿里、騰訊、螞蟻、字節跳動、百度、微博、小紅書等網際網路平台，DeepSeek、MiniMax、Kimi等迅速增長的AI公司，以及OPPO、vivo、榮耀等智能終端廠商，不少使用者規模也滿足徵求意見稿中的“使用者超5千萬或月活超1千萬”等條件，同樣可能進入大型網路平台的序列。

“能力越大、責任越大”，這一原則貫穿了數字經濟監管始終。該徵求意見稿與9月份發佈的《大型網路平台設立個人資訊保護監督委員會規定》一脈相承，均可被視為個人資訊保護法第58條“守門人條款”以及《網路資料安全管理條例》對大型平台規定的配套檔案。

配套檔案的規定，待正式版本發佈後，將對上述平台的個人資訊保護合規帶來重要影響。

AI新貴進入大型平台監管射程？

4年前，個人資訊保護法正式實施。其中第58條創設了“守門人”制度：對於提供重要網際網路平台服務、擁有巨大使用者數量的企業，要求承擔更高的個人資訊保護義務。

2024年9月30日發佈的《網路資料安全管理條例》中，進一步對大型網路平台做了額外的要求。但在實踐過程中，“守門人”企業應如何搭建制度體系，如何披露個人資訊保護社會責任報告等，一直沒有明確答案。

今年，隨著配套檔案陸續進入徵求意見階段，答案似乎逐漸明朗。此次發佈的徵求意見稿中，明確提出：對大型網路平台的認定，主要考慮以下因素：

（一）註冊使用者5000萬以上或者月活躍使用者1000萬以上；

（二）提供重要網路服務或者經營範圍涵蓋多個類型業務；

（三）掌握處理的資料一旦被洩露、篡改、損毀，對國家安全、經濟運行、國計民生等具有重要影響；

（四）中國國家網信部門、國務院公安部門規定的其他情形。

根據上述要求，騰訊、螞蟻、阿里、字節跳動、拼多多、美團、京東、百度、高德、快手、小米、順豐、滴滴、微博、小紅書、中國銀行、攜程、網易等傳統的網際網路平台自然在列；近幾年風頭正勁的AI公司，比如DeepSeek、MiniMax、Kimi、360奈米也滿足上述條件；積極佈局AI智能終端廠商們，如OPPO、vivo、榮耀，其AI助手的月活數均破億，也進入監管射程之內。

不過，很多AI公司的產品主要以聊天機器人為主，是否符合涵蓋多個類型業務，又如何定義“提供重要網路服務”等，一位頭部AI公司法務向我們坦言：“確實存在很多解釋空間和爭議”。

徵求意見稿中提到，國家網信部門會同國務院公安部門等有關部門制定發佈大型網路平台目錄並動態更新。屆時，一切將明晰。

明確個人資訊保護工作機構

在組織架構方面，徵求意見稿中明確，大型平台應該指定個人資訊保護負責人，並公開個人資訊保護負責人的聯絡方式；還要明確個人資訊保護工作機構。

這意味著，大型平台需要在公司內部組建專門的“個保團隊”。職責包括：制定實施內部個人資訊保護管理制度、操作規程以及個人資訊安全事件應急預案；明確專人負責未成年人個人資訊保護工作；以及每年編制發佈個人資訊保護社會責任報告等。

事實上，關於社會責任報告的落實情況此前已暴露出短板。早在2022年與2023年，21世紀經濟報導商業秩序工作室/南財合規科技研究院曾連續推出《“守門人”個人資訊保護社會責任測評報告》，測評選取了上述傳統的大型網際網路平台為對象。連續兩年的測評發現，仍有多家企業並未發佈專門個人資訊保護社會報告。即便將ESG報告、企業總體社會責任報告等對外披露的內容都囊括在內，總體來看，平台對個人資訊保護的年度總結和披露內容仍非常簡略。（詳情見：重磅：南財發佈“守門人”個人資訊保護社會責任測評報告2.0）

因此，如若正式法律文字中保留對社會責任報告的明確要求，大型平台如何補齊這一合規短板，還有待觀察。

此外，徵求意見稿還要求，大型平台應該在中華人民共和國境內營運中收集和產生的個人資訊儲存在資料中心。

並且，大型平台應當按照國家有關規定自行或者委託第三方專業機構開展個人資訊保護合規審計、風險評估等活動，並對發現的問題進行整改。鼓勵大型網路平台服務提供者優先選擇通過認證的第三方專業機構。

獨立監督機構落地困難重重？

上述提到，此次發佈的徵求意見稿與9月份發佈的《大型網路平台設立個人資訊保護監督委員會規定（徵求意見稿）》（以下簡稱規定徵求意見稿）均為個人資訊保護法的配套檔案。

4年前，個人資訊保護法實施時，58條的守門人條款作為明星條款備受關注。其中最關鍵的一項要求則是： 成立主要由外部成員組成的獨立機構對個人資訊保護情況進行監督。

此前，國內相關法律法規中尚未出現過類似提法，甚至在隱私保護最為嚴格的歐洲，都未有過針對企業個人資訊保護設立外部獨立監督機構的先例。

中國人民大學教授張新寶曾在接受21記者採訪時解釋，獨立監督機構是大型網際網路企業公司治理的重要組成部分，是一個創新的制度，主要通過引入外部成員對企業的個人資訊保護情況進行監督，確保企業在個人資訊保護方面合規運行。

不過，大型平台如何設立獨立監督機構，又如何運行？多年來沒有解法。我們在2022年、2023年連續兩年測評中發現，對於獨立監督機構，大部分平台企業選擇了“按兵不動”，只有少數幾家開始探索。（詳情見《個人資訊保護法》頒布一年後 中國網際網路大廠仍難以進入“守門人”角色？）

9月份發佈的規定徵求意見稿中做了明確的要求。

在人員配置上，個人資訊保護監督委員會成員人數應與大型網路平台業務規模、使用者數量等相匹配，一般不得少於7人，外部成員佔比不低於三分之二。

職責範圍方面，監督委員會重點監督：個人資訊保護合規制度體系建設情況；平台或產品個人資訊保護規則制修訂情況；敏感個人資訊保護情況；個人資訊保護影響評估開展情況；向境外提供個人資訊合規情況；利用個人資訊進行自動化決策等情況等。

並且，監督委員會應當建立與大型網路平台使用者常態化溝通機制，聽取使用者意見建議，回應使用者關切。至少每三個月召開一次定期會議，就大型網路平台個人資訊保護監督事項進行審議，並作出監督意見。

在責任承擔方面，監督委員會成員在履行職責過程中發現大型網路平台個人資訊處理活動存在風險或違法違規收集處理個人資訊等問題的，應當向監督委員會和大型網路平台服務提供者提出書面建議。監督委員會和大型網路平台服務提供者未處理的，或成員對處理結果有異議的，成員應當向所在地省級網信部門報告。

如果，監督委員會履行職責不到位，導致大型網路平台出現重大個人資訊安全事件的，或嚴重違反個人資訊保護相關法律法規的，省級以上網信部門應當要求大型網路平台服務提供者解散監督委員會，重新成立監督委員會。

不過，有業內專家反映，規定徵求意見稿中對監督委員會的要求較高，尤其是該監督委員會主要由外部專家組成，課以太多的責任與義務，可能會損傷外部專家的積極性，“畢竟外部監督只是打輔助的”。 (21世紀經濟報導)