两部门拟明确“守门人”认定标准，AI新贵们也入围了？

21世纪经济报道记者 王俊 章驰

一批平台即将成为你的个人信息“守门人”。

11月22日，国家互联网信息办公室、公安部发布《大型网络平台个人信息保护规定（征求意见稿）》（以下简称“征求意见稿”），明确了对大型网络平台的认定标准，以及应履行的个人信息保护义务。

根据征求意见稿，除却阿里、腾讯、蚂蚁、字节跳动、百度、微博、小红书等互联网平台，DeepSeek、MiniMax、Kimi等迅速增长的AI公司，以及OPPO、vivo、荣耀等智能终端厂商，不少用户规模也满足征求意见稿中的“用户超5千万或月活超1千万”等条件，同样可能进入大型网络平台的序列。

“能力越大、责任越大”，这一原则贯穿了数字经济监管始终。该征求意见稿与9月份发布的《大型网络平台设立个人信息保护监督委员会规定》一脉相承，均可被视为个人信息保护法第58条“守门人条款”以及《网络数据安全管理条例》对大型平台规定的配套文件。

配套文件的规定，待正式版本发布后，将对上述平台的个人信息保护合规带来重要影响。

AI新贵进入大型平台监管射程？

4年前，个人信息保护法正式实施。其中第58条创设了“守门人”制度：对于提供重要互联网平台服务、拥有巨大用户数量的企业，要求承担更高的个人信息保护义务。

2024年9月30日发布的《网络数据安全管理条例》中，进一步对大型网络平台做了额外的要求。但在实践过程中，“守门人”企业应如何搭建制度体系，如何披露个人信息保护社会责任报告等，一直没有明确答案。

今年，随着配套文件陆续进入征求意见阶段，答案似乎逐渐明朗。此次发布的征求意见稿中，明确提出：对大型网络平台的认定，主要考虑以下因素：

（一）注册用户5000万以上或者月活跃用户1000万以上；

（二）提供重要网络服务或者经营范围涵盖多个类型业务；

（三）掌握处理的数据一旦被泄露、篡改、损毁，对国家安全、经济运行、国计民生等具有重要影响；

（四）国家网信部门、国务院公安部门规定的其他情形。

根据上述要求，腾讯、蚂蚁、阿里、字节跳动、拼多多、美团、京东、百度、高德、快手、小米、顺丰、滴滴、微博、小红书、中国银行、携程、网易等传统的互联网平台自然在列；近几年风头正劲的AI公司，比如DeepSeek、MiniMax、Kimi、360纳米也满足上述条件；积极布局AI智能终端厂商们，如OPPO、vivo、荣耀，其AI助手的月活数均破亿，也进入监管射程之内。

不过，很多AI公司的产品主要以聊天机器人为主，是否符合涵盖多个类型业务，又如何定义“提供重要网络服务”等，一位头部AI公司法务向我们坦言：“确实存在很多解释空间和争议”。 

征求意见稿中提到，国家网信部门会同国务院公安部门等有关部门制定发布大型网络平台目录并动态更新。届时，一切将明晰。

明确个人信息保护工作机构

在组织架构方面，征求意见稿中明确，大型平台应该指定个人信息保护负责人，并公开个人信息保护负责人的联系方式；还要明确个人信息保护工作机构。

这意味着，大型平台需要在公司内部组建专门的“个保团队”。职责包括：制定实施内部个人信息保护管理制度、操作规程以及个人信息安全事件应急预案；明确专人负责未成年人个人信息保护工作；以及每年编制发布个人信息保护社会责任报告等。

事实上，关于社会责任报告的落实情况此前已暴露出短板。早在2022年与2023年，21世纪经济报道商业秩序工作室/南财合规科技研究院曾连续推出《“守门人”个人信息保护社会责任测评报告》，测评选取了上述传统的大型互联网平台为对象。连续两年的测评发现，仍有多家企业并未发布专门个人信息保护社会报告。即便将ESG报告、企业总体社会责任报告等对外披露的内容都囊括在内，总体来看，平台对个人信息保护的年度总结和披露内容仍非常简略。（详情见：重磅：南财发布“守门人”个人信息保护社会责任测评报告2.0）

因此，如若正式法律文本中保留对社会责任报告的明确要求，大型平台如何补齐这一合规短板，还有待观察。

此外，征求意见稿还要求，大型平台应该在中华人民共和国境内运营中收集和产生的个人信息存储在数据中心。

并且，大型平台应当按照国家有关规定自行或者委托第三方专业机构开展个人信息保护合规审计、风险评估等活动，并对发现的问题进行整改。鼓励大型网络平台服务提供者优先选择通过认证的第三方专业机构。

独立监督机构落地困难重重？

上述提到，此次发布的征求意见稿与9月份发布的《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》（以下简称规定征求意见稿）均为个人信息保护法的配套文件。

4年前，个人信息保护法实施时，58条的守门人条款作为明星条款备受关注。其中最关键的一项要求则是： 成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。

此前，国内相关法律法规中尚未出现过类似提法，甚至在隐私保护最为严格的欧洲，都未有过针对企业个人信息保护设立外部独立监督机构的先例。

中国人民大学教授张新宝曾在接受21记者采访时解释，独立监督机构是大型互联网企业公司治理的重要组成部分，是一个创新的制度，主要通过引入外部成员对企业的个人信息保护情况进行监督，确保企业在个人信息保护方面合规运行。

不过，大型平台如何设立独立监督机构，又如何运行？多年来没有解法。我们在2022年、2023年连续两年测评中发现，对于独立监督机构，大部分平台企业选择了“按兵不动”，只有少数几家开始探索。（详情见《个人信息保护法》颁布一年后 中国互联网大厂仍难以进入“守门人”角色？）

9月份发布的规定征求意见稿中做了明确的要求。

在人员配置上，个人信息保护监督委员会成员人数应与大型网络平台业务规模、用户数量等相匹配，一般不得少于7人，外部成员占比不低于三分之二。

职责范围方面，监督委员会重点监督：个人信息保护合规制度体系建设情况；平台或产品个人信息保护规则制修订情况；敏感个人信息保护情况；个人信息保护影响评估开展情况；向境外提供个人信息合规情况；利用个人信息进行自动化决策等情况等。

并且，监督委员会应当建立与大型网络平台用户常态化沟通机制，听取用户意见建议，回应用户关切。至少每三个月召开一次定期会议，就大型网络平台个人信息保护监督事项进行审议，并作出监督意见。

在责任承担方面，监督委员会成员在履行职责过程中发现大型网络平台个人信息处理活动存在风险或违法违规收集处理个人信息等问题的，应当向监督委员会和大型网络平台服务提供者提出书面建议。监督委员会和大型网络平台服务提供者未处理的，或成员对处理结果有异议的，成员应当向所在地省级网信部门报告。

如果，监督委员会履行职责不到位，导致大型网络平台出现重大个人信息安全事件的，或严重违反个人信息保护相关法律法规的，省级以上网信部门应当要求大型网络平台服务提供者解散监督委员会，重新成立监督委员会。

不过，有业内专家反映，规定征求意见稿中对监督委员会的要求较高，尤其是该监督委员会主要由外部专家组成，课以太多的责任与义务，可能会损伤外部专家的积极性，“毕竟外部监督只是打辅助的”。