不知道大家有没有这样的经历：不同的APP用户，在搜索同一款产品或者服务的时候，就出现了不同的价格。去年，笔者在某知名的旅游网站上搜索了西昌的X海宾馆，一款售价8000元的手机，搜出来当日房价是988元，用一款售价1000元的手机，同一个宾馆，同一房型，同一日期，价格是288元。基于此，本文将探讨关于类似超大互联网平台在《个人信息保护法》等法律体系中应不应该价格歧视，除此之外还应该承担哪些特殊的责任。

立法逻辑

超大互联网平台特殊规制的必要性

在数字经济时代，超大互联网平台（即《个人信息保护法》第58条界定的 “提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”）已成为个人信息流转的核心枢纽。这类平台凭借用户规模优势（往往覆盖数亿网民）和业务生态复杂性（融合社交、电商、支付、内容分发等多元服务），掌握着海量敏感个人信息，其处理行为直接关系到公共利益与公民基本权益。

从风险防控角度看，超大平台的个人信息处理活动具有显著的 “规模效应风险”：一旦发生数据泄露或滥用，危害范围将远超普通企业，可能引发系统性数据安全事件。如某社交平台曾发生的用户信息泄露事件，导致数千万用户隐私数据外流，凸显了平台规模与风险等级的正相关性。同时，平台凭借数据垄断地位，易产生 “算法黑箱”“强制授权” 等乱象，如指导性案例265号中某科技公司通过 “不授权则无法登录” 的模式强制收集用户画像信息，违背了个人信息处理的自愿原则。

《个人信息保护法》第58条的特殊规定，正是基于 “风险与责任匹配” 原则的制度创新。与普通企业相比，超大平台承担更严格的义务，既回应了数字经济发展对个人信息保护的现实需求，也填补了国际立法空白 —— 正如国家网信办解读指出，该条款在世界主要国家个人信息保护立法中无先例可循，体现了我国数字治理的制度自信。

义务体系

超大互联网平台的四项核心特殊义务

（一）合规制度与独立监督机制义务

《个人信息保护法》第58条第一项要求超大平台 “建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构进行监督”。这一义务通过《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》和国家标准《数据安全技术 大型互联网企业内设个人信息保护监督机构要求》（GB/T45404-2025）进一步细化：监督委员会成员不少于7人，外部成员占比不低于三分之二，且需具备个人信息保护专门知识和独立性。

外部成员的引入是关键创新，其核心价值在于打破平台内部监督的利益绑定。例如，外部成员可独立审查平台数据处理规则、评估算法合规性，避免企业以“内部管理”为由规避监管。同时，配套国标从技术层面明确了监督机构的运行标准，形成“制度 + 技术”的双重保障，确保监督不流于形式。

（二）平台规则制定与生态治理义务

第58条第二项要求平台 “遵循公开、公平、公正原则，制定平台规则，明确平台内经营者的个人信息处理规范”。超大平台作为生态主导者，不仅自身需合规，还需承担对平台内数百万经营者的监管责任。《网络数据安全管理条例》第21条进一步明确，平台需以“清单形式”列明个人信息处理目的、方式和接收方信息，确保规则透明可查。

实践中，这一义务意味着平台不得纵容第三方经营者过度收集信息。如电商平台需明确商家仅能收集“收货地址、联系方式”等必要信息，禁止强制索取身份证号、消费记录等无关数据。若平台未履行监管义务，导致用户信息受损，需根据《个人信息保护法》第69条承担连带责任。

（三）违规主体处置义务

第58条第三项赋予平台“对严重违法处理个人信息的平台内经营者停止提供服务”的权力。这一“平台惩戒权”是行政监管的重要补充：当平台发现入驻商家存在贩卖个人信息、超范围收集敏感数据等严重违法行为时，需及时采取下架、封号等措施，防止危害扩大。

需注意的是，平台行使惩戒权需遵循“比例原则”。根据《网络数据安全管理条例》第20条，平台应建立投诉举报渠道，保障经营者的陈述申辩权，避免“一刀切”式处罚。这种“监管+救济”的平衡设计，既维护了用户权益，也保障了平台生态的健康发展。

（四）社会责任报告与社会监督义务

第58条第四项要求平台“定期发布个人信息保护社会责任报告”。这一义务将平台合规情况置于公众监督之下，报告内容需包括数据安全防护措施、违规处理行为查处情况、用户权益保障成效等核心信息。如蚂蚁集团、京东等参与国标制定的企业，已开始披露年度个人信息保护报告，主动接受社会评估。

社会责任报告制度的价值在于构建“政府监管+社会监督+企业自律”的多元治理体系。通过公开透明的信息披露，既倒逼平台加强合规建设，也为用户选择合规平台提供参考，形成正向激励机制。

实施机制

特殊规定的落地保障

（一）配套法规与标准协同

《个人信息保护法》的特殊规定通过 “法律+行政法规+部门规章+国家标准” 的层级化体系落地：《网络数据安全管理条例》明确了平台的具体操作要求，《大型网络平台设立个人信息保护监督委员会规定》细化了监督机构的运行规则，GB/T 45404-2025 则从技术层面提供了可量化的合规指标。这种 “制度+技术” 的协同模式，解决了法律条文抽象化的问题，确保特殊义务可操作、可评估。

（二）监管执法与司法保障

国家网信部门作为统筹协调机构，通过清单管理明确超大平台范围，并开展专项执法行动。对违反第58条规定的平台，可依据《个人信息保护法》第66条处以最高5000万元罚款或上一年度营业额5%的处罚。司法实践中，指导性案例265号等案例确立了“非必要信息不得强制收集”“自动化决策需保障透明度”等裁判规则，为平台合规提供了明确的司法指引。

（三）行业自律与企业实践

超大平台通过参与国标制定、建立内部合规体系等方式落实特殊义务。如部分平台已设立由法学专家、技术专家组成的外部监督委员会，对数据处理活动进行独立审查；在用户授权环节，优化界面设计，提供“逐项同意”“撤回同意”等便捷功能，保障用户的自主选择权。

实践意义

数字经济时代的治理创新

《个人信息保护法》对超大互联网平台的特殊规制，具有多重时代意义：其一，通过强化平台责任，有效防范了大规模个人信息泄露风险，保障了公民的人格权益；其二，通过规范平台生态治理，遏制了“大数据杀熟”“强制授权”等乱象，维护了市场公平竞争；其三，通过制度创新，为全球数字治理提供了中国方案——既不抑制平台经济发展，又通过合理规制实现了“发展与安全”的平衡。

从长远来看，特殊规定的实施将推动超大平台从 “规模扩张”向“合规提质” 转型。平台需将个人信息保护嵌入业务流程，以合规能力作为核心竞争力，这不仅符合法律要求，更能提升用户信任度，实现企业可持续发展。同时，这种“差异化监管”模式也为中小平台预留了发展空间，避免“一刀切”式监管抑制创新活力。

结语：《个人信息保护法》对超大互联网平台的特殊规定，是我国数字治理体系的重要创新。通过明确四项核心特殊义务、构建多层次实施机制，既回应了个人信息保护的现实需求，也为平台经济的健康发展划定了法治边界。在数字经济持续发展的背景下，超大平台应主动履行特殊义务，将合规要求转化为发展优势，共同构建“安全与发展并重”的数字生态。

（本文作者：盈科周倩律师 来源：微信公众号 盈科北京律所）