当前，不少互联网巨头企业掌握大量个人信息，对互联网生态环境有巨大的影响和控制力。业内人士认为，互联网巨头等大型个人信息处理者应受到更加严格的规范，在个人信息保护方面应当承担更多的法律义务。

个人信息保护法对大型和小型个人信息处理者进行区分。对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，特别规定了其需要履行的义务，如建立健全个人信息保护合规制度体系，定期发布个人信息保护社会责任报告，接受社会监督等。而信息量较少、处理活动简单、技术水平较低的小型企业则由国家网信部门为其制定数据处理的相关规则。

“互联网巨头等大型个人信息处理者需履行‘守门人’角色，并承担更多责任。”刘权表示，这一举措充分体现我国法律制定对于“因材施教”的考量：针对大型企业，充分发挥其主体责任，重点加强对其个人信息处理活动的监管；对于小型企业，需考虑其强化个人信息保护和负担合规成本之间的平衡，避免较高的合规成本成为其创新发展的阻碍。

对外经贸大学数字经济与法律创新研究中心执行主任许可认为，下一步相关部门需要进一步划分大型和小型个人信息处理者标准，在降低要求、豁免部分责任等方面对小型个人信息处理者作出专门规则设计，这为制定个人信息保护法相关配套性立法留足了空间。

个人信息保护法设立个人信息可携权，对大型平台的“数据垄断”现象亮剑。许可表示，个人信息可携权代表着用户有权依照自己意愿将其个人数据从一个平台转移到另一个平台。从个人权益的角度出发，在某些场景下个人信息可携带是必需的，例如医疗健康、教育等行业，数据和信息的合理、有序流动为普通民众带来了便捷。

杨婕也指出，当前，具有先发市场地位的大型平台通过在市场早期积累的大量用户个人信息，逐步形成了不可撼动的行业地位。可携权的设立，强化了用户自主权，能够有效破除个人信息流通障碍，以用户权益为出发点，形成“用户主导型”个人信息跨平台流通，起到防止个人信息锁定、降低市场准入门槛以及增强平台之间竞争的效果。