一批平台即将成为个人信息的“守门人”。

11月22日，国家互联网信息办公室、公安部发布《大型网络平台个人信息保护规定（征求意见稿）》，明确了大型网络平台的认定标准及应履行的个人信息保护义务。

根据征求意见稿，除阿里、腾讯、蚂蚁、字节跳动、百度、微博、小红书等互联网平台外，DeepSeek、MiniMax、Kimi等快速增长的AI公司，以及OPPO、vivo、荣耀等智能终端厂商，不少用户规模也满足“用户超5千万或月活超1千万”等条件，同样可能进入大型网络平台序列。

“能力越大、责任越大”，这一原则贯穿数字经济监管始终。该征求意见稿与9月发布的《大型网络平台设立个人信息保护监督委员会规定》一脉相承，均可视为个人信息保护法第58条“守门人条款”以及《网络数据安全管理条例》对大型平台规定的配套文件。

配套文件规定，正式版本发布后，将对上述平台的个人信息保护合规产生重要影响。

AI新贵进入大型平台监管范围？

4年前，个人信息保护法正式实施。其中第58条创设“守门人”制度：对提供重要互联网平台服务、拥有大量用户的企业，要求承担更高个人信息保护义务。

2024年9月30日发布的《网络数据安全管理条例》，进一步对大型网络平台提出额外要求。但实践中，“守门人”企业如何搭建制度体系，如何披露个人信息保护社会责任报告等，一直没有明确答案。

今年，随着配套文件陆续进入征求意见阶段，答案似乎逐渐清晰。此次发布的征求意见稿明确提出，大型网络平台认定主要考虑以下因素：

（一）注册用户5000万以上或者月活跃用户1000万以上；

（二）提供重要网络服务或者经营范围涵盖多个业务类型；

（三）掌握处理的数据一旦泄露、篡改、损毁，对国家安全、经济运行、国计民生等有重要影响；

（四）国家网信部门、国务院公安部门规定的其他情形。

根据上述要求，腾讯、蚂蚁、阿里、字节跳动、拼多多、美团、京东、百度、高德、快手、小米、顺丰、滴滴、微博、小红书、中国银行、携程、网易等传统互联网平台自然在列；近几年发展迅猛的AI公司，如DeepSeek、MiniMax、Kimi、360纳米也满足条件；积极布局AI的智能终端厂商，如OPPO、vivo、荣耀，其AI助手月活数均破亿，也进入监管范围。

不过，很多AI公司产品主要是聊天机器人，是否符合涵盖多个业务类型，如何定义“提供重要网络服务”等，一位头部AI公司法务表示：“确实存在很多解释空间和争议”。

征求意见稿提到，国家网信部门会同国务院公安部门等有关部门制定发布大型网络平台目录并动态更新。届时，一切将明确。

明确个人信息保护工作机构

在组织架构方面，征求意见稿明确，大型平台应指定个人信息保护负责人，并公开其联系方式；还要明确个人信息保护工作机构。

这意味着，大型平台需在公司内部组建专门的“个保团队”。职责包括：制定实施内部个人信息保护管理制度、操作规程及个人信息安全事件应急预案；明确专人负责未成年人个人信息保护工作；每年编制发布个人信息保护社会责任报告等。

事实上,关于社会责任报告的落实情况此前已暴露出不足。早在2022年与2023年，21世纪经济报道商业秩序工作室/南财合规科技研究院连续推出《“守门人”个人信息保护社会责任测评报告》，测评选取上述传统大型互联网平台为对象。连续两年测评发现，仍有多家企业未发布专门个人信息保护社会报告。即便将ESG报告、企业总体社会责任报告等对外披露内容都包含在内，总体来看，平台对个人信息保护的年度总结和披露内容仍很简略。

因此，若正式法律文本保留对社会责任报告的明确要求，大型平台如何补齐这一合规短板，还有待观察。

此外，征求意见稿还要求，大型平台应将在中华人民共和国境内运营中收集和产生的个人信息存储在数据中心。

并且，大型平台应按国家有关规定自行或委托第三方专业机构开展个人信息保护合规审计、风险评估等活动，并对发现的问题进行整改。鼓励大型网络平台服务提供者优先选择通过认证的第三方专业机构。

独立监督机构落地困难重重？

上述提到，此次发布的征求意见稿与9月发布的《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》均为个人信息保护法的配套文件。

4年前，个人信息保护法实施时，58条的守门人条款备受关注。其中关键要求是：成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。

此前，国内相关法律法规中未出现类似提法，甚至在隐私保护严格的欧洲，也没有针对企业个人信息保护设立外部独立监督机构的先例。

中国人民大学教授张新宝曾接受21记者采访时解释，独立监督机构是大型互联网企业公司治理的重要部分，是创新制度，主要通过引入外部成员监督企业个人信息保护情况，确保企业合规运行。

不过，大型平台如何设立独立监督机构，如何运行？多年来没有答案。2022年、2023年连续两年测评发现，对于独立监督机构，大部分平台企业选择“按兵不动”，只有少数几家开始探索。

9月发布的规定征求意见稿有明确要求。

在人员配置上，个人信息保护监督委员会成员人数应与大型网络平台业务规模、用户数量等匹配，一般不得少于7人，外部成员占比不低于三分之二。

职责范围方面，监督委员会重点监督：个人信息保护合规制度体系建设情况；平台或产品个人信息保护规则制修订情况；敏感个人信息保护情况；个人信息保护影响评估开展情况；向境外提供个人信息合规情况；利用个人信息进行自动化决策等情况。

并且，监督委员会应建立与大型网络平台用户常态化沟通机制，听取用户意见建议，回应用户关切。至少每三个月召开一次定期会议，审议大型网络平台个人信息保护监督事项，并作出监督意见。

在责任承担方面，监督委员会成员履行职责时发现大型网络平台个人信息处理活动存在风险或违法违规收集处理个人信息等问题，应向监督委员会和大型网络平台服务提供者提出书面建议。监督委员会和大型网络平台服务提供者未处理，或成员对处理结果有异议，成员应向所在地省级网信部门报告。

如果，监督委员会履行职责不到位，导致大型网络平台出现重大个人信息安全事件，或严重违反个人信息保护相关法律法规，省级以上网信部门应要求大型网络平台服务提供者解散监督委员会，重新成立监督委员会。

不过，有业内专家反映，规定征求意见稿对监督委员会要求较高，尤其是该监督委员会主要由外部专家组成，赋予太多责任与义务，可能会降低外部专家积极性，“毕竟外部监督只是辅助”。

（文章来源：21世纪经济报道）

原标题：两部门拟明确“守门人”认定标准，AI新贵们也入围了？

郑重声明：信查查发布此内容旨在传播更多信息，与本站立场无关，不构成投资建议。据此操作，风险自担。