21世紀(jì)經(jīng)濟(jì)報道記者 王俊 北京報道

近日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布國家標(biāo)準(zhǔn)《信息安全技術(shù) 大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個人信息保護(hù)監(jiān)督機(jī)構(gòu)要求》（以下簡稱《要求》）征求意見稿。此前，南財合規(guī)科技研究院曾發(fā)布“守門人”個人信息保護(hù)社會責(zé)任測評報告，發(fā)現(xiàn)大型互聯(lián)網(wǎng)企業(yè)普遍處于“觀望”階段，獨立監(jiān)督機(jī)構(gòu)有待落地?！兑蟆返陌l(fā)布意味著《個人信息保護(hù)法》第五十八條中對大型互聯(lián)網(wǎng)企業(yè)要求的“成立主要由外部成員組成的獨立機(jī)構(gòu)”有了具體的標(biāo)準(zhǔn)細(xì)則。

目前該標(biāo)準(zhǔn)在征求意見階段，按照目前的要求，大型互聯(lián)網(wǎng)企業(yè)應(yīng)在六個月內(nèi)成立個人信息保護(hù)監(jiān)督機(jī)構(gòu)，對本企業(yè)的個人信息保護(hù)合法合規(guī)情況、履行個人信息保護(hù)社會責(zé)任情況等進(jìn)行獨立監(jiān)督。個人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)由七至十五名成員組成，其中外部成員占比不低于三分之二。

監(jiān)督機(jī)構(gòu)除卻對個人信息保護(hù)一般事項的監(jiān)督外，還可以對個人信息保護(hù)影響評估監(jiān)督，個人信息保護(hù)合規(guī)審計監(jiān)督、個人信息保護(hù)社會責(zé)任報告監(jiān)督、個人信息泄露事件監(jiān)督、個人信息跨境提供監(jiān)督等。

個人信息保護(hù)監(jiān)督機(jī)構(gòu)如何組建？

《個人信息保護(hù)法》五十八條針對大型互聯(lián)網(wǎng)平臺委以特別義務(wù)，也被成為“守門人條款”，要求守門人企業(yè)“應(yīng)當(dāng)按照國家規(guī)定建立健全個人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨立機(jī)構(gòu)對個人信息保護(hù)情況進(jìn)行監(jiān)督”。

此前，南財合規(guī)科技研究院、21世紀(jì)經(jīng)濟(jì)報道記者采訪人民大學(xué)教授張新寶，也是該標(biāo)準(zhǔn)起草人時，他曾解釋，獨立監(jiān)督機(jī)構(gòu)是大型互聯(lián)網(wǎng)企業(yè)公司治理的重要組成部分，是一個創(chuàng)新的制度，主要通過引入外部成員對企業(yè)的個人信息保護(hù)情況進(jìn)行監(jiān)督，確保企業(yè)在個人信息保護(hù)方面合規(guī)運行。

根據(jù)《要求》，個人信息保護(hù)監(jiān)督機(jī)構(gòu)是大型互聯(lián)網(wǎng)企業(yè)建立的主要由外部成員組成，對自身個人信息保護(hù)合法合規(guī)情況、履行個人信息保護(hù)社會責(zé)任情況等進(jìn)行獨立監(jiān)督，并對提升個人信息保護(hù)水平提出建議和意見的機(jī)構(gòu)。

大型互聯(lián)網(wǎng)企業(yè)個人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)由七至十五名成員組成，其中外部成員占比不低于三分之二，內(nèi)部成員不超過三分之一。

大型互聯(lián)網(wǎng)企業(yè)應(yīng)在六個月內(nèi)成立個人信息保護(hù)監(jiān)督機(jī)構(gòu)。

誰能成為個人信息保護(hù)監(jiān)督機(jī)構(gòu)成員？

《要求》明確，個人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員需要具備個人信息保護(hù)專業(yè)知識和技能，不在大型互聯(lián)網(wǎng)企業(yè)擔(dān)任除個人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員外的其他職務(wù)，與受聘大型互聯(lián)網(wǎng)企業(yè)及其主要股東不存在可能妨礙其進(jìn)行獨立客觀判斷的關(guān)系，對大型互聯(lián)網(wǎng)企業(yè)個人信息保護(hù)情況進(jìn)行監(jiān)督，發(fā)表獨立客觀建議、意見的外部專家。

為保持身份和履職的獨立性，外部成員最近一年內(nèi)不應(yīng)具有下列情形，包括：在大型互聯(lián)網(wǎng)企業(yè)或者其附屬企業(yè)任職，或者其配偶、直系親屬、主要社會關(guān)系在大型互聯(lián)網(wǎng) 企業(yè)或者其附屬企業(yè)任職； 直接或間接持有大型互聯(lián)網(wǎng)企業(yè)已發(fā)行股份百分之一以上或者是大型互聯(lián)網(wǎng)企業(yè)前十名股東中的自然人股東及其直系親屬；為大型互聯(lián)網(wǎng)企業(yè)或者其附屬企業(yè)提供財務(wù)、法律等服務(wù)的人員等。

個人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員應(yīng)熟悉個人信息保護(hù)、數(shù)據(jù)安全等相關(guān)法律法規(guī)、政策、標(biāo)準(zhǔn)；為個人信息保護(hù)、數(shù)據(jù)安全等相關(guān)領(lǐng)域法律、技術(shù)資深專家，具備副高級及以上專業(yè)技術(shù)職稱，或者在個人信息保護(hù)、數(shù)據(jù)安全等相關(guān)領(lǐng)域具有五年以上合規(guī)、測評等工作經(jīng)驗的資深從業(yè)人員。

并且，在首次受聘大型互聯(lián)網(wǎng)企業(yè)個人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員前，擬任外部成員應(yīng)至少參加一次任職培訓(xùn)。受聘后，也需要定期接受專業(yè)培訓(xùn)，及時學(xué)習(xí)了解個人信息保護(hù)法律法規(guī)、技術(shù)與實踐發(fā)展變化，保持履職專業(yè)性。

為了保障外部成員勤勉盡責(zé)，《要求》中還提到，外部成員應(yīng)主動關(guān)注有關(guān)大型互聯(lián)網(wǎng)企業(yè)特別是個人信息保護(hù)事項相關(guān)的報道及信息；與大型互聯(lián)網(wǎng)企業(yè)個人信息保護(hù)負(fù)責(zé)人、個人信息保護(hù)監(jiān)督機(jī)構(gòu)秘書等及時充分溝通，確保工 作順利開展； 每年為大型互聯(lián)網(wǎng)企業(yè)有效工作的時間應(yīng)不少于十五個工作日。

值得注意的是，為確保外部成員有足夠的時間和精力有效履行職責(zé)，《要求》規(guī)定：最多在三家大型互聯(lián)網(wǎng)企業(yè)擔(dān)任外部成員。

監(jiān)督范圍有哪些？

監(jiān)督機(jī)構(gòu)的職權(quán)范圍都包括哪些？

根據(jù)《要求》，監(jiān)督機(jī)構(gòu)對大型互聯(lián)網(wǎng)企業(yè)個人信息保護(hù)基本情況監(jiān)督，比如個人信息保護(hù)內(nèi)部管理制度和操作規(guī)程、個人信息分類分級管理制度、采取的加密、去標(biāo)識化等安全技術(shù)措施等。

也需要對個人信息保護(hù)合規(guī)制度體系、平臺規(guī)則、隱私政策進(jìn)行監(jiān)督。大型互聯(lián)網(wǎng)企業(yè)在制定個人信息保護(hù)合規(guī)制度體系、平臺規(guī)則、隱私政策或?qū)ζ鋵嵸|(zhì)性內(nèi)容進(jìn) 行重大修訂時，應(yīng)征求個人信息保護(hù)監(jiān)督機(jī)構(gòu)的意見。并且，收到個人信息保護(hù)監(jiān)督機(jī)構(gòu)改正意見和建議后，應(yīng)及時予以處理，確有理由不 予處理的，應(yīng)及時答復(fù)個人信息保護(hù)監(jiān)督機(jī)構(gòu)。

除卻上述一般事項的監(jiān)督外，《要求》中還規(guī)定了特別事項的監(jiān)督。

包括個人信息保護(hù)影響評估監(jiān)督，個人信息保護(hù)合規(guī)審計監(jiān)督、個人信息保護(hù)社會責(zé)任報告監(jiān)督、個人信息泄露事件監(jiān)督、個人信息跨境提供監(jiān)督等。

對于個人信息保護(hù)影響評估的監(jiān)督，監(jiān)督機(jī)構(gòu)的監(jiān)督事項包括：是否按照法律法規(guī)要求對處理敏感個人信息、利用個人信息進(jìn)行自動化決策、委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息、向境外提供個人信息等個人信息處 理活動事先進(jìn)行個人信息保護(hù)影響評估； 是否按照法律法規(guī)要求對個人信息的處理目的、處理方式等是否合法、正當(dāng)、必要，對個人權(quán) 益的影響及安全風(fēng)險，所采取的保護(hù)措施是否合法、有效并與風(fēng)險程度相適應(yīng)等進(jìn)行評估等。

如果個人信息保護(hù)監(jiān)督機(jī)構(gòu)確有理由認(rèn)為大型互聯(lián)網(wǎng)企業(yè)已進(jìn)行的個人信息保護(hù)影響評估未能合理反映個人信息處理活動對個人信息主體權(quán)益影響的，應(yīng)建議大型互聯(lián)網(wǎng)企業(yè)委托社會化第三方服務(wù)機(jī)構(gòu) 進(jìn)行個人信息保護(hù)影響評估。

數(shù)據(jù)跨境是個人信息保護(hù)中備受關(guān)注的環(huán)節(jié)，尤其是大型互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)跨境流通業(yè)務(wù)較多。

《要求》中提出，監(jiān)督機(jī)構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)個人信息跨境提供進(jìn)行監(jiān)督，發(fā)表監(jiān)督意見，包括：是否符合法律法規(guī)要求的向境外提供個人信息的條件； 通過國家網(wǎng)信部門安全評估方式跨境提供的，是否依法進(jìn)行安全評估； 通過與境外接收方簽訂標(biāo)準(zhǔn)合同方式跨境提供的，是否依法簽訂標(biāo)準(zhǔn)合同； 外國司法或者執(zhí)法機(jī)構(gòu)要求大型互聯(lián)網(wǎng)企業(yè)提供存儲于境內(nèi)個人信息的，是否向主管機(jī)關(guān)提交審批，并經(jīng)主管機(jī)關(guān)批準(zhǔn)后提供。

此外，《要求》還提到，大型互聯(lián)網(wǎng)企業(yè)擬赴境外上市的，個人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)督促大型互聯(lián)網(wǎng)企業(yè)及時向國家網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查，并對其提交的網(wǎng)絡(luò)安全審查材料進(jìn)行監(jiān)督。

關(guān)鍵詞：