21世紀經(jīng)濟報道記者 王俊 北京報道

近日，全國信息安全標準化技術(shù)委員會發(fā)布國家標準《信息安全技術(shù) 大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個人信息保護監(jiān)督機構(gòu)要求》（以下簡稱《要求》）征求意見稿。此前，南財合規(guī)科技研究院曾發(fā)布“守門人”個人信息保護社會責任測評報告，發(fā)現(xiàn)大型互聯(lián)網(wǎng)企業(yè)普遍處于“觀望”階段，獨立監(jiān)督機構(gòu)有待落地。《要求》的發(fā)布意味著《個人信息保護法》第五十八條中對大型互聯(lián)網(wǎng)企業(yè)要求的“成立主要由外部成員組成的獨立機構(gòu)”有了具體的標準細則。

目前該標準在征求意見階段，按照目前的要求，大型互聯(lián)網(wǎng)企業(yè)應(yīng)在六個月內(nèi)成立個人信息保護監(jiān)督機構(gòu)，對本企業(yè)的個人信息保護合法合規(guī)情況、履行個人信息保護社會責任情況等進行獨立監(jiān)督。個人信息保護監(jiān)督機構(gòu)應(yīng)由七至十五名成員組成，其中外部成員占比不低于三分之二。

監(jiān)督機構(gòu)除卻對個人信息保護一般事項的監(jiān)督外，還可以對個人信息保護影響評估監(jiān)督，個人信息保護合規(guī)審計監(jiān)督、個人信息保護社會責任報告監(jiān)督、個人信息泄露事件監(jiān)督、個人信息跨境提供監(jiān)督等。

個人信息保護監(jiān)督機構(gòu)如何組建？

《個人信息保護法》五十八條針對大型互聯(lián)網(wǎng)平臺委以特別義務(wù)，也被成為“守門人條款”，要求守門人企業(yè)“應(yīng)當按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督”。

此前，南財合規(guī)科技研究院、21世紀經(jīng)濟報道記者采訪人民大學(xué)教授張新寶，也是該標準起草人時，他曾解釋，獨立監(jiān)督機構(gòu)是大型互聯(lián)網(wǎng)企業(yè)公司治理的重要組成部分，是一個創(chuàng)新的制度，主要通過引入外部成員對企業(yè)的個人信息保護情況進行監(jiān)督，確保企業(yè)在個人信息保護方面合規(guī)運行。

根據(jù)《要求》，個人信息保護監(jiān)督機構(gòu)是大型互聯(lián)網(wǎng)企業(yè)建立的主要由外部成員組成，對自身個人信息保護合法合規(guī)情況、履行個人信息保護社會責任情況等進行獨立監(jiān)督，并對提升個人信息保護水平提出建議和意見的機構(gòu)。

大型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督機構(gòu)應(yīng)由七至十五名成員組成，其中外部成員占比不低于三分之二，內(nèi)部成員不超過三分之一。

大型互聯(lián)網(wǎng)企業(yè)應(yīng)在六個月內(nèi)成立個人信息保護監(jiān)督機構(gòu)。

誰能成為個人信息保護監(jiān)督機構(gòu)成員？

《要求》明確，個人信息保護監(jiān)督機構(gòu)外部成員需要具備個人信息保護專業(yè)知識和技能，不在大型互聯(lián)網(wǎng)企業(yè)擔任除個人信息保護監(jiān)督機構(gòu)外部成員外的其他職務(wù)，與受聘大型互聯(lián)網(wǎng)企業(yè)及其主要股東不存在可能妨礙其進行獨立客觀判斷的關(guān)系，對大型互聯(lián)網(wǎng)企業(yè)個人信息保護情況進行監(jiān)督，發(fā)表獨立客觀建議、意見的外部專家。

為保持身份和履職的獨立性，外部成員最近一年內(nèi)不應(yīng)具有下列情形，包括：在大型互聯(lián)網(wǎng)企業(yè)或者其附屬企業(yè)任職，或者其配偶、直系親屬、主要社會關(guān)系在大型互聯(lián)網(wǎng) 企業(yè)或者其附屬企業(yè)任職； 直接或間接持有大型互聯(lián)網(wǎng)企業(yè)已發(fā)行股份百分之一以上或者是大型互聯(lián)網(wǎng)企業(yè)前十名股東中的自然人股東及其直系親屬；為大型互聯(lián)網(wǎng)企業(yè)或者其附屬企業(yè)提供財務(wù)、法律等服務(wù)的人員等。

個人信息保護監(jiān)督機構(gòu)外部成員應(yīng)熟悉個人信息保護、數(shù)據(jù)安全等相關(guān)法律法規(guī)、政策、標準；為個人信息保護、數(shù)據(jù)安全等相關(guān)領(lǐng)域法律、技術(shù)資深專家，具備副高級及以上專業(yè)技術(shù)職稱，或者在個人信息保護、數(shù)據(jù)安全等相關(guān)領(lǐng)域具有五年以上合規(guī)、測評等工作經(jīng)驗的資深從業(yè)人員。

并且，在首次受聘大型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督機構(gòu)外部成員前，擬任外部成員應(yīng)至少參加一次任職培訓(xùn)。受聘后，也需要定期接受專業(yè)培訓(xùn)，及時學(xué)習(xí)了解個人信息保護法律法規(guī)、技術(shù)與實踐發(fā)展變化，保持履職專業(yè)性。

為了保障外部成員勤勉盡責，《要求》中還提到，外部成員應(yīng)主動關(guān)注有關(guān)大型互聯(lián)網(wǎng)企業(yè)特別是個人信息保護事項相關(guān)的報道及信息；與大型互聯(lián)網(wǎng)企業(yè)個人信息保護負責人、個人信息保護監(jiān)督機構(gòu)秘書等及時充分溝通，確保工 作順利開展； 每年為大型互聯(lián)網(wǎng)企業(yè)有效工作的時間應(yīng)不少于十五個工作日。

值得注意的是，為確保外部成員有足夠的時間和精力有效履行職責，《要求》規(guī)定：最多在三家大型互聯(lián)網(wǎng)企業(yè)擔任外部成員。

監(jiān)督范圍有哪些？

監(jiān)督機構(gòu)的職權(quán)范圍都包括哪些？

根據(jù)《要求》，監(jiān)督機構(gòu)對大型互聯(lián)網(wǎng)企業(yè)個人信息保護基本情況監(jiān)督，比如個人信息保護內(nèi)部管理制度和操作規(guī)程、個人信息分類分級管理制度、采取的加密、去標識化等安全技術(shù)措施等。

也需要對個人信息保護合規(guī)制度體系、平臺規(guī)則、隱私政策進行監(jiān)督。大型互聯(lián)網(wǎng)企業(yè)在制定個人信息保護合規(guī)制度體系、平臺規(guī)則、隱私政策或?qū)ζ鋵嵸|(zhì)性內(nèi)容進 行重大修訂時，應(yīng)征求個人信息保護監(jiān)督機構(gòu)的意見。并且，收到個人信息保護監(jiān)督機構(gòu)改正意見和建議后，應(yīng)及時予以處理，確有理由不 予處理的，應(yīng)及時答復(fù)個人信息保護監(jiān)督機構(gòu)。

除卻上述一般事項的監(jiān)督外，《要求》中還規(guī)定了特別事項的監(jiān)督。

包括個人信息保護影響評估監(jiān)督，個人信息保護合規(guī)審計監(jiān)督、個人信息保護社會責任報告監(jiān)督、個人信息泄露事件監(jiān)督、個人信息跨境提供監(jiān)督等。

對于個人信息保護影響評估的監(jiān)督，監(jiān)督機構(gòu)的監(jiān)督事項包括：是否按照法律法規(guī)要求對處理敏感個人信息、利用個人信息進行自動化決策、委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息、向境外提供個人信息等個人信息處 理活動事先進行個人信息保護影響評估； 是否按照法律法規(guī)要求對個人信息的處理目的、處理方式等是否合法、正當、必要，對個人權(quán) 益的影響及安全風險，所采取的保護措施是否合法、有效并與風險程度相適應(yīng)等進行評估等。

如果個人信息保護監(jiān)督機構(gòu)確有理由認為大型互聯(lián)網(wǎng)企業(yè)已進行的個人信息保護影響評估未能合理反映個人信息處理活動對個人信息主體權(quán)益影響的，應(yīng)建議大型互聯(lián)網(wǎng)企業(yè)委托社會化第三方服務(wù)機構(gòu) 進行個人信息保護影響評估。

數(shù)據(jù)跨境是個人信息保護中備受關(guān)注的環(huán)節(jié)，尤其是大型互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)跨境流通業(yè)務(wù)較多。

《要求》中提出，監(jiān)督機構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)個人信息跨境提供進行監(jiān)督，發(fā)表監(jiān)督意見，包括：是否符合法律法規(guī)要求的向境外提供個人信息的條件； 通過國家網(wǎng)信部門安全評估方式跨境提供的，是否依法進行安全評估； 通過與境外接收方簽訂標準合同方式跨境提供的，是否依法簽訂標準合同； 外國司法或者執(zhí)法機構(gòu)要求大型互聯(lián)網(wǎng)企業(yè)提供存儲于境內(nèi)個人信息的，是否向主管機關(guān)提交審批，并經(jīng)主管機關(guān)批準后提供。

此外，《要求》還提到，大型互聯(lián)網(wǎng)企業(yè)擬赴境外上市的，個人信息保護監(jiān)督機構(gòu)應(yīng)督促大型互聯(lián)網(wǎng)企業(yè)及時向國家網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查，并對其提交的網(wǎng)絡(luò)安全審查材料進行監(jiān)督。

關(guān)鍵詞：