文章总结： 国家网信办和公安部联合发布《大型网络平台个人信息保护规定（征求意见稿）》，针对注册用户超5000万或月活超1000万的大型平台，要求设立个人信息保护负责人和专门保护机构，境内存储个人信息，规范数据出境，保障用户权利，强化未成年人信息保护。文章分析了规定的内容要点，指出数据中心义务一致性和制度一致性问题，并认为此规定将为网络安全行业带来增量市场机会，包括个人信息保护机制建设、数据存储、日常保护和合规服务等方面。 综合评分： 85 文章分类： 政策法规,数据安全,网络安全,安全建设,应用安全

【国内网安政策简评】《大型网络平台个人信息保护规定（征求意见稿）》学习思考

网络安全罗盘

2025年12月15日 17:02 北京

主要内容概览

近日，国家互联网信息办公室、公安部联合发布《大型网络平台个人信息保护规定（征求意见稿）》，明确注册用户超5000万或月活超1000万的平台纳入监管，要求设立由管理层担任、具备资质的个人信息保护负责人，建立专门保护机构境内存储个人信息，规范数据出境，保障用户权利，并强化对未成年人信息保护和平台社会责任，违规将依法追责。

（图源：国家互联网信息办公室）

文件链接：

https://www.cac.gov.cn/2025-11/22/c_1765543463511624.htm

绿盟简评

（一）背景回顾

随着数字化战略的推进实施，大型网络平台成为我国经济社会发展不可或缺的重要角色。

我国发布的多部相关政策法规，均将大型网平台纳入相关的制度规范视野，如网络安全审查制度、国家网络身份认证制度、国家数据资源调查制度、网络数据和个人信息保护制度等等。此前国家网信办还对设立“大型网络平台个人信息保护监督委员会”开展了专项公开征求意见工作。

《大型网络平台个人信息保护规定（征求意见稿）》（以下简称《征求意见稿》）的发布，将大型网络平台作为一类独立管理对象，对其个人信息保护问题进行集中规定和规范。

（二）内容要点解析

《征求意见稿》对大型网络平台个人信息保护的规定可以归纳为四个方面。

一是保护负责人和保护机构。关于大型网络平台设立个人信息保护负责人和保护机构的规定，是对《个人信息保护法》有关规定的细化和拓展；且与此前网信办发布的《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》相比，此处的保护机构主要是平台运营方的内设机构，不涉及外部成员的参与。

二是数据的存储。《征求意见稿》对于大型网络平台数据存储主要规定了境内存储、数据中心相关职责义务（如协助平台保护个人信息并接受平台监督，对风险的补救、上报和通报，以及对事件的处置、上报等）、数据中心信息的报备等。

三是重点合规义务。《征求意见稿》对大型网络平台应履行个人信息保护合规审计、风险评估活动的形式进行了明确，并对依照监管要求需委托第三方机构进行合规审计和风险评估的情形做出规定。

此外，《征求意见稿》还明确了平台应为个人行使各项个人信息权利提供保障、鼓励平台应用国家网络身份认证服务等个人信息保护制度和机制等。

（三）完善思考

一是关于数据中心义务的一致性问题。从《征求意见稿》对于大型网络平台个人信息数据存储的规定来看，包括平台自有数据中心和第三方数据中心两种类型。并且《征求意见稿》对第三方数据中心应当按合同履行的服务连续性、为平台提供便利措施和安全管理等义务进行了单独强调（第十二条）。而对于自建数据中心的安全义务并未规定，是否需有必要参照第三方数据中心要求执行？

二是关于制度一致性问题。《征求意见稿》在第十二条规定了第三方数据中心应接受网络平台方相关机构的监督，其中出现了“个人信息保护监督委员会”。但该委员会前文并未明确，且其依据文件目前也并未见正式发布，其存续与否、建设模式、职责、人员构成等可能有待进一步说明。

（四）行业影响思考

大型网络平台个人信息保护制度的体系化完善，对于网络安全行业或将带来一定的增量市场机会。

一是在个人信息保护机制建设方面：包括个人信息保护咨询、教育培训、人员实训等服务。二是在数据存储方面：包括个人信息数据分类分级、可信数据空间建设应用等。三是在日常保护方面：个人信息安全事件监测预警、事件应急处置等。四是在合规方面：包括个人信息保护影响评估、人信息合规审计、风险评估等。

查看原文：《【国内网安政策简评】《大型网络平台个人信息保护规定（征求意见稿）》学习思考》