国家互联网信息办公室、公安部起草了《大型网络平台个人信息保护规定（征求意见稿）》（以下简称《征求意见稿》）并于2025年11月22日发布，标志自2021年8月20日《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第五十八条规定的“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的个人信息保护义务（即俗称的“‘守门人’条款”）即将迎来细则落地的崭新阶段。

随着信息化、网络化、数字化进程的不断深入，大型网络平台已经深入到个人生活的方方面面，深刻影响着当代人的衣食住行，甚至社会稳定、国家安全。人们一边享受着大型网络平台带来的便利，一边也担心这些凭借规模效应掌握着准公权力的平台会否滥用权力作恶，例如超范围收集使用个人信息、大数据杀熟、二选一、捆绑销售等。作为新时代生产要素的数据，尤其是个人数据，则是防范平台作恶的重要切入点。

从《个人信息保护法》开始，关于大型网络平台如何履行与其权力相适应的社会责任的规则不断细化，《网络数据安全管理条例》（以下简称《网数条例》）明确提出“大型网络平台”的概念并定义了其认定标准，《数据安全技术 大型互联网企业内设个人信息保护监督机构要求》《数据安全技术 数据安全和个人信息保护社会责任指南》为大型网络平台设置监督机构和如何履行社会责任提供了操作指南。现在，《大型网络平台个人信息保护规定（征求意见稿）》将更为全面且不失细节地督促大型网络平台落实个人信息保护责任，为创造公平、向善的网络环境奠定更为扎实的基础。

通过上表可以看到，《个人信息保护法》里存在三个适用条件：（一）重要互联网平台服务；（二）用户数量巨大；（三）业务类型复杂。在《网数条例》中，用户数量巨大具化为“注册用户5000万以上或者月活跃用户1000万以上”，不再提及重要互联网平台服务的概念，而是以“网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响”进行替代，同时保留了业务类型复杂的条件。《征求意见稿》沿袭了《网数条例》关于用户数量巨大的标准，将重要服务和业务类型复杂并列为“提供重要网络服务或者经营范围涵盖多个类型业务”，将《网数条例》中关于数据处理活动的认定维度调整为数据类型维度，即“掌握处理的数据一旦被泄露、篡改、损毁，对国家安全、经济运行、国计民生等具有重要影响”，并且增加了“国家网信部门、国务院公安部门规定的其他情形”作为兜底。

值得注意的是，《征求意见稿》提出了“大型网络平台目录”的概念，对于明确谁是大型网络平台有至关重要的作用。与此同时，认定考虑因素的表述也带来了新的疑问。《个人信息保护法》和《网数条例》的表述一般均理解为应当同时满足的并列条件，而如果《征求意见稿》也按照并列条件理解，则“国家网信部门、国务院公安部门规定的其他情形”将使得认定条件变得更为不确定。如果该条件是为了防范遗漏又会导致认定逻辑不再是并列条件而是或有条件。具体如何理解需要关注正式生效文本以及后续有关机关的解释及实践。

《征求意见稿》第二十一条规定，“网信部门、公安机关和有关主管部门发现大型网络平台服务提供者、第三方专业机构或者数据中心未履行个人信息保护责任的，依法追究责任；构成犯罪的，依法追究刑事责任。”该等规定不包含具体罚则，因此，仍应从《个人信息保护法》等法律中寻找法律后果。《个人信息保护法》第六十六条的规定即主要依据：

“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

“有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”

本次《征求意见稿》有一个月的意见反馈期间，目前网络平台运营者可以基于自己的情况以及对于《征求意见稿》的理解充分反馈意见。

在表达意见的同时，网络平台运营者可以同步开展如下工作，以便正式规定发布生效后及时履行相应义务，确立自己的合规优势，控制合规风险：

（一）判断自己是否构成大型网络平台

因为相关要求是针对大型网络平台的，所以是否构成大型网络平台是所有工作的起点。

（二）评估个人信息保护义务履行情况

在确定自身为大型网络平台或者可能被认定为大型网络平台的基础上，可以参照《征求意见稿》规定的保护原则、组织架构、出境合规、数据中心要求、个人行权保障、合规审计、风险评估、网络安全等级保护与关键信息基础设施保护等要求进行检视评估，评估自身是否存在合规差距，例如是否设置相应组织架构（包括负责人），是否履行数据出境合规义务，是否选择了适当的数据中心存储数据，是否具有个人行使权利保障的相关渠道和机制，是否开展合规审计、风险评估工作，是否完成网络安全定级、备案、测评工作等。

（三）就合规差距制定合规计划

针对评估发现的差距，制定合规计划，例如发起负责人任命流程、制度修改完善流程、接洽适当的数据中心、专业机构为后续数据存储、合规审计、风险评估、定级测评等工作做准备。