正式实施的《个人隐私信息保护法》（以下简称“《个保法》”）慢慢的变成了各类个人信息处理者的基本行为规范。为帮助企业更好地了解《个保法》的合规要求，TalkingData法务合规部特别撰写了系列文章，解析重点议题与对应法条，并对企业实践情况做调研，供相关从业者参考。

  在加强平台治理的背景下，2021年11月1日正式实施的《个保法》引入了“守门人”的概念，为个人信息处理者界定了一个新的类别，即提供重要网络站点平台服务、用户数量巨大、业务类型复杂的个人信息处理者（以下此类主体简称为“超大型网络站点平台”）。本篇文章将结合《个保法》、《网络站点平台分类分级指南（征求意见稿）》（以下简称“《分类分级指南》”）、《网络站点平台落实主体责任指南（征求意见稿）》（以下简称“《责任指南》”）的内容，对超大型网络站点平台所应履行的义务进行深入解读。

  依据平台的连接对象和基本功能，《分类分级指南》将平台分为了网络销售类、生活服务类、社交娱乐类、信息资讯类、金融服务类、计算应用类这6类平台。

  新闻门户类、搜索引擎类、用户内容生成（UGC）类、视听资讯类、新闻机构类。

  融资，提供支付结算的功能，提供网络贷款服务、金融理财服务、金融资讯和证券投资服务等。

  网络计算，包括应用在手机上、操作系统上，进行信息管理和云计算，提供网络服务等。

  智能终端类、操作系统类、手机app（App）应用商店类、信息管理类、云计算类、网络服务类、工业互联网类。

  综合考虑到用户规模、业务种类、经济体量以及限制能力，《分类分级指南》将平台分为超级平台、大型平台、中小平台三级。

  《个保法》指出此类主体是提供重要网络站点平台服务、用户数量巨大、业务类型复杂的个人信息处理者。服务类型、用户数量、业务类型都是重要的评估要素，但是《个保法》对此并不进行细化规范，而作为《个人隐私信息保护法》立法者之一的张新宝教授曾指出“守门人”企业是“控制关键环节，有资源赋予其他个人隐私信息处理者处理个人信息能力的互联网运营者”，包括App分发平台（例如谷歌、苹果等）、移动终端操作系统（例如iOS、Android等）、搭载大量第三方小程序的大型平台App（例如微信、支付宝等）。

  《分类分级指南》在此思路的基础上对相关要素进一步细化，从用户规模、业务种类、经济体量以及限制能力四个维度进行判断，上述的超级平台和大型平台可被视为超大型网络站点平台。虽然用户规模和经济体量有明确的数字标准，但是业务种类和限制能力则需要综合评估。尤其是针对大型平台的业务种类标准，何谓“表现突出”的主营业务并没有规定，平台可以借鉴业务营收等相对客观的要素进行自我评定，但是因为缺乏明确的界定可能在适用时会有一定的模糊性。

  结合《个保法》、《分类分级指南》、《责任指南》，现针对超大型网络站点平台的特殊合规要求总结如下：

  建立健全个人隐私信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人隐私信息保护情况做监督。

  遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或服务提供者处理个人隐私信息的规范和保护个人隐私信息的义务。

  对严重违反法律、行政法规处理个人隐私信息的平台内的产品或服务提供者，停止提供服务。

  定期委托第三方独立机构对责任遵守情况做审计，并发布书面审计报告。报告应包括以下内容：超大型平台的名称、地址和联系方式；开展审计活动的机构组织的名称和地址；审计主要结论；实现合规的操作建议。

  建立内容审核或广告推荐审核的内部机制、定期发布风险评估报告、以及其他必要措施。

  至少每年进行一次风险评估。重点考察内容审核系统、广告定向推荐系统、内容推荐与分发系统、平台安全稳定运营系统，以及对下述风险可能会产生影响的各项因素。主要风险：（1）传播非法内容风险；（2）侵害消费者合法权益风险；（3）不能正常提供平台服务，导致社会正常生活秩序、公共利益、国家安全受到侵害风险。

  在与平台内经营者开展公平竞争时，无正当理由，不使用平台内经营者及其用户在使用平台服务时产生或提供的非公开数据。

  遵守公平和非歧视原则，提供相关这类的产品或服务时，平等对待平台自身（或关联企业）和平台内经营者，不实施自我优待。

  在符合安全以及相关主体权益保障的前提下，推动其提供的服务与其他平台经营者提供的服务具有互操作性。没有正当合理的理由，应当为合乎条件的其他经营者和用户获取其提供的服务提供便利。

  《个保法》首次提出了小型个人信息处理者的概念，并精确指出会对此类主体制定专门的个人隐私信息保护规则、标准。为了尽最大可能避免个人隐私信息保护立法对小企业造成不合理的合规负担，《个保法》提出了区别于超大型平台处理者的分类监管构想，后续可能会出台相关规范来减轻小企业的部分义务。此监管思路可能是借鉴了美国的立法，因为美国《加州消费者隐私法案》就规定其只适用于年营收额达到2500万美元、或者处理个人隐私信息达到5万条、或者出售个人隐私信息带来50%年营收额的大型公司，而并非所有公司。

  《个保法》对于超大型网络站点平台提出了建立完整个人隐私信息保护合规制度体系，成立主要由外部成员组成的独立监督机构；制定公开、公平、公正的平台规则；停止对平台内违法违规的产品或服务提供者提供服务；定期发布个人隐私信息保护社会责任报告，这四项特殊的合规义务。

  针对建立外部监督机构的要求，很多企业慢慢的开始响应并发布了招聘启示。组成监督机构的外部成员应是属于不会影响公平、公正的独立人员，可能包括从事有关规定法律研究的法学教授、合规律师、技术专家等。例如携程就在其公众号上发布了“个人隐私信息保护外部监督专家团”招募公告，腾讯也发布了成立“个人隐私信息保护外部监督委员会”的招募公告，明确了招募条件、招募方式、招募目的、人员构成、报名方式等信息（具体截图如下）。

  针对定期发布个人隐私信息社会责任报告的要求，经过调研工信部“524”行动中所提到的39家企业，从公司官网等官方渠道以及新闻新闻媒体报道中发现超过30%的企业已发布了涉及数据安全和个人隐私信息保护相关联的内容的社会责任报告。鉴于今年11月《个保法》才正式生效，同时很多企业还没有发布今年的社会责任报告，相信相关的超大型网络站点平台会在未来发布的社会责任报告中会增加个人隐私信息保护的相关联的内容来满足合规性要求。

  约10%的企业还会公开发布漏洞处理标准、安全测试标准等专门的技术安全准则规范，例如BOSS直聘（具体截图如下）：

  约10%的企业还会特别发布专门的数据安全与隐私保护报告，详细阐述相关安全保护的方法。例如阿里云在2021年10月专门发布了《阿里云数据安全和隐私保护白皮书》，详细的介绍了阿里云的基础设施建设、数据风险、云上数据保护工具、如何管理云上数据、业务数据的权利和义务、如何保护个人隐私数据、遵守数据安全和隐私法规的情况，并附上了阿里云数据隐私保护框架图（具体截图如下）。

  随着平台经济的蓬勃发展，大数据杀熟、数据泄露等安全问题日渐凸显。因此，《个保法》为个人信息处理者界定了一个新的类别，即提供重要网络站点平台服务、用户数量巨大、业务类型复杂的个人信息处理者，并对此类主体提出了更严格的合规义务。TalkingData也会在严格遵守《个保法》的相关规定的基础上积极地推进个人隐私信息保护工作，完善企业内部的合规体系。

  本文版权归属于TalkingData法务合规部，解读内容和调研数据仅供一般参考，不应视为针对特定事件的意见，任何依据本文全部或部分内容做出的判断或决定以及因此造成的法律后果，TalkingData法务合规部不承担任何责任。