监管政策核心内容 - 国家网信办与公安部发布《大型网络平台个人信息保护规定（征求意见稿）》，明确了大型网络平台的认定标准及其应履行的个人信息保护义务[1] - 该规定是个人信息保护法第58条“守门人条款”以及《网络数据安全管理条例》的配套文件，与9月发布的《大型网络平台设立个人信息保护监督委员会规定》一脉相承[1][3] - 正式版本发布后，将对相关平台的个人信息保护合规带来重要影响[1] 大型网络平台认定标准 - 认定标准包括：注册用户5000万以上或月活跃用户1000万以上；提供重要网络服务或经营范围涵盖多个类型业务；掌握处理的数据一旦泄露、篡改、损毁对国家安全、经济运行等具有重要影响；国家网信部门、公安部规定的其他情形[5] - 除阿里、腾讯、蚂蚁、字节跳动、百度等传统互联网平台外，DeepSeek、MiniMax、Kimi等AI公司以及OPPO、vivo、荣耀等智能终端厂商也因用户规模满足条件而可能被纳入监管范围[1][3] - 具体平台月活数据：微信141.1（千万）、抖音100（千万）、支付言95.3（千万）、高德地图94.7（千万）、小米74.2（千万）、快手73.1（千万）、华为73（千万）、拼多多72（千万）、百度APP70.4（千万）等[6] - AI平台月活数据：豆包17.2（千万）、OPPO小布助手14.8（千万）、DeepSeek14.45（千万）、vivo蓝心小V4.3（千万）、荣耀YOYO3.7（千万）、Kimi2.5（千万）等[6][7] 平台组织架构要求 - 大型平台需指定个人信息保护负责人并公开联系方式，明确个人信息保护工作机构[9] - 个保团队职责包括制定内部管理制度、操作规程、安全事件应急预案，设专人负责未成年人信息保护，以及每年编制发布个人信息保护社会责任报告[9] - 此前测评显示多家企业未发布专门个人信息保护社会报告，现有披露内容较为简略，平台需补齐这一合规短板[9] 数据存储与合规审计要求 - 大型平台需将在境内运营中收集和产生的个人信息存储在境内数据中心[10] - 平台应按国家规定自行或委托第三方开展个人信息保护合规审计、风险评估等活动，并对发现问题进行整改，鼓励选择通过认证的第三方机构[10] 独立监督机构设置 - 个人信息保护法要求成立主要由外部成员组成的独立机构对个人信息保护情况进行监督，此为创新制度[12] - 9月规定征求意见稿要求监督委员会成员一般不少于7人，外部成员占比不低于三分之二[13] - 监督委员会职责包括监督合规制度体系建设、平台规则制修订、敏感信息保护、影响评估开展、跨境提供信息合规等情况[13] - 委员会应建立与用户常态化沟通机制，至少每三个月召开一次定期会议审议监督事项[14] - 成员发现风险或违法违规问题应提出书面建议，未处理或对结果有异议的可向省级网信部门报告[14] - 委员会履职不到位导致重大安全事件或严重违法违规的，省级以上网信部门可要求解散并重新成立监督委员会[14]

政策背景与核心内容 - 国家网信办与公安部发布《大型网络平台个人信息保护规定（征求意见稿）》，明确大型平台认定标准及个人信息保护义务[1] - 该规定与9月发布的《大型网络平台设立个人信息保护监督委员会规定》均为个人信息保护法第58条“守门人条款”的配套文件[1][13] - 大型平台认定标准包括：注册用户超5000万或月活跃用户超1000万、提供重要网络服务或跨多业务、数据处理影响国家安全经济运行等[5] 受监管平台范围 - 传统互联网平台如腾讯、阿里、字节跳动、百度、微博、小红书等均在列[1][3] - AI新贵公司如DeepSeek（月活1445万）、MiniMax、Kimi（月活250万）等因用户规模达标进入监管序列[1][3][6] - 智能终端厂商如OPPO（小布助手月活1480万）、vivo（蓝心小V月活430万）、荣耀（YOYO月活370万）也满足条件[1][3][6] - 部分平台月活数据：微信1411万、抖音1000万、淘宝1000万、支付宝953万、高德地图947万[4][6] 组织架构要求 - 要求大型平台指定个人信息保护负责人并公开联系方式[10] - 需组建专门个人信息保护团队，职责包括制定管理制度、操作规程、安全事件应急预案[10] - 需明确专人负责未成年人个人信息保护工作，并每年编制发布个人信息保护社会责任报告[10] 独立监督机构要求 - 要求设立个人信息保护监督委员会，外部成员占比不低于三分之二，总人数一般不少于7人[14] - 监督委员会需重点监督合规制度、敏感信息保护、跨境数据传输、自动化决策等情况[14] - 应建立用户沟通机制，至少每三个月召开定期会议并作出监督意见[14] - 如委员会履职不到位导致重大安全事件，网信部门可要求解散并重新成立[15] 数据存储与合规审计 - 要求在中国境内运营中收集产生的个人信息存储在境内数据中心[11] - 需按国家规定自行或委托第三方开展个人信息保护合规审计、风险评估并整改问题[11] - 鼓励优先选择通过认证的第三方专业机构进行相关审计评估工作[11]

政策背景与核心内容 - 国家网信办与公安部发布《大型网络平台个人信息保护规定（征求意见稿）》，明确大型平台的认定标准及个人信息保护义务 [1] - 该规定是《个人信息保护法》第58条“守门人条款”及《网络数据安全管理条例》的配套文件，与9月发布的监督委员会规定一脉相承 [1] - 正式版本发布后，将对满足条件的平台企业的个人信息保护合规产生重要影响 [2] 大型网络平台认定标准 - 主要认定因素包括：注册用户5000万以上或月活跃用户1000万以上 [3] - 提供重要网络服务或经营范围涵盖多个类型业务 [9] - 掌握处理的数据一旦泄露、篡改、损毁，对国家安全、经济运行等具有重要影响 [9] - 除传统互联网巨头（如腾讯、阿里、字节跳动等）外，DeepSeek、MiniMax、Kimi等AI新贵以及OPPO、vivo、荣耀等智能终端厂商（其AI助手月活均破亿）也可能被纳入监管范围 [1][3] 平台组织架构与合规要求 - 要求大型平台指定个人信息保护负责人并公开联系方式，明确个人信息保护工作机构 [6] - 需组建专门团队负责制定内部管理制度、操作规程、安全事件应急预案，并设专人负责未成年人信息保护 [6] - 要求大型平台每年编制发布个人信息保护社会责任报告，但此前测评显示多数企业未发布专门报告或披露内容简略 [6] - 平台在中华人民共和国境内运营中收集和产生的个人信息应存储在境内数据中心 [7] - 需按国家规定自行或委托第三方开展个人信息保护合规审计、风险评估等活动，并鼓励优先选择通过认证的第三方机构 [7] 独立监督机构设置 - 要求成立主要由外部成员组成的独立机构（个人信息保护监督委员会）对个人信息保护情况进行监督 [8] - 委员会成员人数应与业务规模匹配，一般不少于7人，外部成员占比不低于三分之二 [10] - 职责包括监督合规制度体系建设、平台规则修订、敏感信息保护、数据出境合规、自动化决策等多项内容 [10] - 应建立与用户常态化沟通机制，至少每三个月召开一次定期会议并作出监督意见 [11] - 若委员会履职不到位导致重大安全事件，省级以上网信部门可要求平台解散并重新成立监督委员会 [11]