洪延青教授解读《大型网络平台个人信息保护规定（征求意见稿）》

主要观点总结

《大型网络平台个人信息保护规定（征求意见稿）》旨在帮助大型网络平台提升个人信息保护能力。该规定从识别平台、专职负责人、数据中心能力、数据跨境流动及第三方数据中心托管等方面构建了个人信息保护框架。本文分析了该征求意见稿的五个关键制度设计的科学性和必要性，并与欧盟、美国的监管实践进行比较论证。

关键观点总结

关键观点1: 大型平台认定：采用双重标准识别具有系统性影响和高风险的平台。

通过明确的用户数量阈值和服务性质来精准识别大型平台。与国际监管实践一致，提高监管透明度与可预测性，确保监管资源的有效配置。

关键观点2: 个人信息保护负责人制度及专门机构：责任落实与组织保障。

设立个人信息保护负责人，负责重大决策、制度建设、风险评估及投诉处理。配备专门机构并提供组织保障。符合国际监管趋势，将合规要求转化为平台企业内部的执行能力和可操作性。

关键观点3: 数据中心能力建设与主动报告义务：夯实基础设施合规与可监管性。

强调大型平台在技术和基础设施上的安全管理能力。结合主动报告义务，落实《个人信息保护法》要求。与国际实践相结合，确保合规能力的可见性、可考核性和可操作性。

关键观点4: 数据可携：用户赋权与平台互通。

保障用户便捷地转移个人信息，确保用户权利的落实具备可操作性。与国际监管经验相符，数据可携权已成为现代监管的关键工具，有效改善市场进入条件，增强用户对个人信息的控制力和选择权。

关键观点5: 托底机制：第三方数据中心存储的外部保障。

当平台出现重大安全风险时，监管机关有权要求将个人信息转移至第三方数据中心存储和管理。这种托底机制是应对高风险场景的结构性风险管控与应急保障措施，强调个人信息保护的连续性与韧性。