21世紀經濟報道記者 王俊 北京報道

近日，全國信息安全標準化技術委員會發布國家標準《信息安全技術 大型互聯網企業內設個人信息保護監督機構要求》（以下簡稱《要求》）征求意見稿。此前，南財合規科技研究院曾發布“守門人”個人信息保護社會責任測評報告，發現大型互聯網企業普遍處于“觀望”階段，獨立監督機構有待落地。《要求》的發布意味著《個人信息保護法》第五十八條中對大型互聯網企業要求的“成立主要由外部成員組成的獨立機構”有了具體的標準細則。

目前該標準在征求意見階段，按照目前的要求，大型互聯網企業應在六個月內成立個人信息保護監督機構，對本企業的個人信息保護合法合規情況、履行個人信息保護社會責任情況等進行獨立監督。個人信息保護監督機構應由七至十五名成員組成，其中外部成員占比不低于三分之二。

監督機構除卻對個人信息保護一般事項的監督外，還可以對個人信息保護影響評估監督，個人信息保護合規審計監督、個人信息保護社會責任報告監督、個人信息泄露事件監督、個人信息跨境提供監督等。

個人信息保護監督機構如何組建？

《個人信息保護法》五十八條針對大型互聯網平臺委以特別義務，也被成為“守門人條款”，要求守門人企業“應當按照國家規定建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督”。

此前，南財合規科技研究院、21世紀經濟報道記者采訪人民大學教授張新寶，也是該標準起草人時，他曾解釋，獨立監督機構是大型互聯網企業公司治理的重要組成部分，是一個創新的制度，主要通過引入外部成員對企業的個人信息保護情況進行監督，確保企業在個人信息保護方面合規運行。

根據《要求》，個人信息保護監督機構是大型互聯網企業建立的主要由外部成員組成，對自身個人信息保護合法合規情況、履行個人信息保護社會責任情況等進行獨立監督，并對提升個人信息保護水平提出建議和意見的機構。

大型互聯網企業個人信息保護監督機構應由七至十五名成員組成，其中外部成員占比不低于三分之二，內部成員不超過三分之一。

大型互聯網企業應在六個月內成立個人信息保護監督機構。

誰能成為個人信息保護監督機構成員？

《要求》明確，個人信息保護監督機構外部成員需要具備個人信息保護專業知識和技能，不在大型互聯網企業擔任除個人信息保護監督機構外部成員外的其他職務，與受聘大型互聯網企業及其主要股東不存在可能妨礙其進行獨立客觀判斷的關系，對大型互聯網企業個人信息保護情況進行監督，發表獨立客觀建議、意見的外部專家。

為保持身份和履職的獨立性，外部成員最近一年內不應具有下列情形，包括：在大型互聯網企業或者其附屬企業任職，或者其配偶、直系親屬、主要社會關系在大型互聯網 企業或者其附屬企業任職； 直接或間接持有大型互聯網企業已發行股份百分之一以上或者是大型互聯網企業前十名股東中的自然人股東及其直系親屬；為大型互聯網企業或者其附屬企業提供財務、法律等服務的人員等。

個人信息保護監督機構外部成員應熟悉個人信息保護、數據安全等相關法律法規、政策、標準；為個人信息保護、數據安全等相關領域法律、技術資深專家，具備副高級及以上專業技術職稱，或者在個人信息保護、數據安全等相關領域具有五年以上合規、測評等工作經驗的資深從業人員。

并且，在首次受聘大型互聯網企業個人信息保護監督機構外部成員前，擬任外部成員應至少參加一次任職培訓。受聘后，也需要定期接受專業培訓，及時學習了解個人信息保護法律法規、技術與實踐發展變化，保持履職專業性。

為了保障外部成員勤勉盡責，《要求》中還提到，外部成員應主動關注有關大型互聯網企業特別是個人信息保護事項相關的報道及信息；與大型互聯網企業個人信息保護負責人、個人信息保護監督機構秘書等及時充分溝通，確保工 作順利開展； 每年為大型互聯網企業有效工作的時間應不少于十五個工作日。

值得注意的是，為確保外部成員有足夠的時間和精力有效履行職責，《要求》規定：最多在三家大型互聯網企業擔任外部成員。

監督范圍有哪些？

監督機構的職權范圍都包括哪些？

根據《要求》，監督機構對大型互聯網企業個人信息保護基本情況監督，比如個人信息保護內部管理制度和操作規程、個人信息分類分級管理制度、采取的加密、去標識化等安全技術措施等。

也需要對個人信息保護合規制度體系、平臺規則、隱私政策進行監督。大型互聯網企業在制定個人信息保護合規制度體系、平臺規則、隱私政策或對其實質性內容進 行重大修訂時，應征求個人信息保護監督機構的意見。并且，收到個人信息保護監督機構改正意見和建議后，應及時予以處理，確有理由不 予處理的，應及時答復個人信息保護監督機構。

除卻上述一般事項的監督外，《要求》中還規定了特別事項的監督。

包括個人信息保護影響評估監督，個人信息保護合規審計監督、個人信息保護社會責任報告監督、個人信息泄露事件監督、個人信息跨境提供監督等。

對于個人信息保護影響評估的監督，監督機構的監督事項包括：是否按照法律法規要求對處理敏感個人信息、利用個人信息進行自動化決策、委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息、向境外提供個人信息等個人信息處 理活動事先進行個人信息保護影響評估； 是否按照法律法規要求對個人信息的處理目的、處理方式等是否合法、正當、必要，對個人權 益的影響及安全風險，所采取的保護措施是否合法、有效并與風險程度相適應等進行評估等。

如果個人信息保護監督機構確有理由認為大型互聯網企業已進行的個人信息保護影響評估未能合理反映個人信息處理活動對個人信息主體權益影響的，應建議大型互聯網企業委托社會化第三方服務機構 進行個人信息保護影響評估。

數據跨境是個人信息保護中備受關注的環節，尤其是大型互聯網企業數據跨境流通業務較多。

《要求》中提出，監督機構應就大型互聯網企業個人信息跨境提供進行監督，發表監督意見，包括：是否符合法律法規要求的向境外提供個人信息的條件； 通過國家網信部門安全評估方式跨境提供的，是否依法進行安全評估； 通過與境外接收方簽訂標準合同方式跨境提供的，是否依法簽訂標準合同； 外國司法或者執法機構要求大型互聯網企業提供存儲于境內個人信息的，是否向主管機關提交審批，并經主管機關批準后提供。

此外，《要求》還提到，大型互聯網企業擬赴境外上市的，個人信息保護監督機構應督促大型互聯網企業及時向國家網絡安全審查辦公室申報網絡安全審查，并對其提交的網絡安全審查材料進行監督。

關鍵詞：