21世紀(jì)經(jīng)濟(jì)報(bào)道記者 王俊 北京報(bào)道

近日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)要求》（以下簡(jiǎn)稱(chēng)《要求》）征求意見(jiàn)稿。此前，南財(cái)合規(guī)科技研究院曾發(fā)布“守門(mén)人”個(gè)人信息保護(hù)社會(huì)責(zé)任測(cè)評(píng)報(bào)告，發(fā)現(xiàn)大型互聯(lián)網(wǎng)企業(yè)普遍處于“觀(guān)望”階段，獨(dú)立監(jiān)督機(jī)構(gòu)有待落地?！兑蟆返陌l(fā)布意味著《個(gè)人信息保護(hù)法》第五十八條中對(duì)大型互聯(lián)網(wǎng)企業(yè)要求的“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)”有了具體的標(biāo)準(zhǔn)細(xì)則。

目前該標(biāo)準(zhǔn)在征求意見(jiàn)階段，按照目前的要求，大型互聯(lián)網(wǎng)企業(yè)應(yīng)在六個(gè)月內(nèi)成立個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)，對(duì)本企業(yè)的個(gè)人信息保護(hù)合法合規(guī)情況、履行個(gè)人信息保護(hù)社會(huì)責(zé)任情況等進(jìn)行獨(dú)立監(jiān)督。個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)由七至十五名成員組成，其中外部成員占比不低于三分之二。

監(jiān)督機(jī)構(gòu)除卻對(duì)個(gè)人信息保護(hù)一般事項(xiàng)的監(jiān)督外，還可以對(duì)個(gè)人信息保護(hù)影響評(píng)估監(jiān)督，個(gè)人信息保護(hù)合規(guī)審計(jì)監(jiān)督、個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告監(jiān)督、個(gè)人信息泄露事件監(jiān)督、個(gè)人信息跨境提供監(jiān)督等。

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)如何組建？

《個(gè)人信息保護(hù)法》五十八條針對(duì)大型互聯(lián)網(wǎng)平臺(tái)委以特別義務(wù)，也被成為“守門(mén)人條款”，要求守門(mén)人企業(yè)“應(yīng)當(dāng)按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督”。

此前，南財(cái)合規(guī)科技研究院、21世紀(jì)經(jīng)濟(jì)報(bào)道記者采訪(fǎng)人民大學(xué)教授張新寶，也是該標(biāo)準(zhǔn)起草人時(shí)，他曾解釋?zhuān)?strong>獨(dú)立監(jiān)督機(jī)構(gòu)是大型互聯(lián)網(wǎng)企業(yè)公司治理的重要組成部分，是一個(gè)創(chuàng)新的制度，主要通過(guò)引入外部成員對(duì)企業(yè)的個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督，確保企業(yè)在個(gè)人信息保護(hù)方面合規(guī)運(yùn)行。

根據(jù)《要求》，個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)是大型互聯(lián)網(wǎng)企業(yè)建立的主要由外部成員組成，對(duì)自身個(gè)人信息保護(hù)合法合規(guī)情況、履行個(gè)人信息保護(hù)社會(huì)責(zé)任情況等進(jìn)行獨(dú)立監(jiān)督，并對(duì)提升個(gè)人信息保護(hù)水平提出建議和意見(jiàn)的機(jī)構(gòu)。

大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)由七至十五名成員組成，其中外部成員占比不低于三分之二，內(nèi)部成員不超過(guò)三分之一。

大型互聯(lián)網(wǎng)企業(yè)應(yīng)在六個(gè)月內(nèi)成立個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)。

誰(shuí)能成為個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)成員？

《要求》明確，個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員需要具備個(gè)人信息保護(hù)專(zhuān)業(yè)知識(shí)和技能，不在大型互聯(lián)網(wǎng)企業(yè)擔(dān)任除個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員外的其他職務(wù)，與受聘大型互聯(lián)網(wǎng)企業(yè)及其主要股東不存在可能妨礙其進(jìn)行獨(dú)立客觀(guān)判斷的關(guān)系，對(duì)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督，發(fā)表獨(dú)立客觀(guān)建議、意見(jiàn)的外部專(zhuān)家。

為保持身份和履職的獨(dú)立性，外部成員最近一年內(nèi)不應(yīng)具有下列情形，包括：在大型互聯(lián)網(wǎng)企業(yè)或者其附屬企業(yè)任職，或者其配偶、直系親屬、主要社會(huì)關(guān)系在大型互聯(lián)網(wǎng) 企業(yè)或者其附屬企業(yè)任職； 直接或間接持有大型互聯(lián)網(wǎng)企業(yè)已發(fā)行股份百分之一以上或者是大型互聯(lián)網(wǎng)企業(yè)前十名股東中的自然人股東及其直系親屬；為大型互聯(lián)網(wǎng)企業(yè)或者其附屬企業(yè)提供財(cái)務(wù)、法律等服務(wù)的人員等。

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員應(yīng)熟悉個(gè)人信息保護(hù)、數(shù)據(jù)安全等相關(guān)法律法規(guī)、政策、標(biāo)準(zhǔn)；為個(gè)人信息保護(hù)、數(shù)據(jù)安全等相關(guān)領(lǐng)域法律、技術(shù)資深專(zhuān)家，具備副高級(jí)及以上專(zhuān)業(yè)技術(shù)職稱(chēng)，或者在個(gè)人信息保護(hù)、數(shù)據(jù)安全等相關(guān)領(lǐng)域具有五年以上合規(guī)、測(cè)評(píng)等工作經(jīng)驗(yàn)的資深從業(yè)人員。

并且，在首次受聘大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員前，擬任外部成員應(yīng)至少參加一次任職培訓(xùn)。受聘后，也需要定期接受專(zhuān)業(yè)培訓(xùn)，及時(shí)學(xué)習(xí)了解個(gè)人信息保護(hù)法律法規(guī)、技術(shù)與實(shí)踐發(fā)展變化，保持履職專(zhuān)業(yè)性。

為了保障外部成員勤勉盡責(zé)，《要求》中還提到，外部成員應(yīng)主動(dòng)關(guān)注有關(guān)大型互聯(lián)網(wǎng)企業(yè)特別是個(gè)人信息保護(hù)事項(xiàng)相關(guān)的報(bào)道及信息；與大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)負(fù)責(zé)人、個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)秘書(shū)等及時(shí)充分溝通，確保工 作順利開(kāi)展； 每年為大型互聯(lián)網(wǎng)企業(yè)有效工作的時(shí)間應(yīng)不少于十五個(gè)工作日。

值得注意的是，為確保外部成員有足夠的時(shí)間和精力有效履行職責(zé)，《要求》規(guī)定：最多在三家大型互聯(lián)網(wǎng)企業(yè)擔(dān)任外部成員。

監(jiān)督范圍有哪些？

監(jiān)督機(jī)構(gòu)的職權(quán)范圍都包括哪些？

根據(jù)《要求》，監(jiān)督機(jī)構(gòu)對(duì)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)基本情況監(jiān)督，比如個(gè)人信息保護(hù)內(nèi)部管理制度和操作規(guī)程、個(gè)人信息分類(lèi)分級(jí)管理制度、采取的加密、去標(biāo)識(shí)化等安全技術(shù)措施等。

也需要對(duì)個(gè)人信息保護(hù)合規(guī)制度體系、平臺(tái)規(guī)則、隱私政策進(jìn)行監(jiān)督。大型互聯(lián)網(wǎng)企業(yè)在制定個(gè)人信息保護(hù)合規(guī)制度體系、平臺(tái)規(guī)則、隱私政策或?qū)ζ鋵?shí)質(zhì)性?xún)?nèi)容進(jìn) 行重大修訂時(shí)，應(yīng)征求個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的意見(jiàn)。并且，收到個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)改正意見(jiàn)和建議后，應(yīng)及時(shí)予以處理，確有理由不 予處理的，應(yīng)及時(shí)答復(fù)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)。

除卻上述一般事項(xiàng)的監(jiān)督外，《要求》中還規(guī)定了特別事項(xiàng)的監(jiān)督。

包括個(gè)人信息保護(hù)影響評(píng)估監(jiān)督，個(gè)人信息保護(hù)合規(guī)審計(jì)監(jiān)督、個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告監(jiān)督、個(gè)人信息泄露事件監(jiān)督、個(gè)人信息跨境提供監(jiān)督等。

對(duì)于個(gè)人信息保護(hù)影響評(píng)估的監(jiān)督，監(jiān)督機(jī)構(gòu)的監(jiān)督事項(xiàng)包括：是否按照法律法規(guī)要求對(duì)處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動(dòng)化決策、委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開(kāi)個(gè)人信息、向境外提供個(gè)人信息等個(gè)人信息處 理活動(dòng)事先進(jìn)行個(gè)人信息保護(hù)影響評(píng)估； 是否按照法律法規(guī)要求對(duì)個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要，對(duì)個(gè)人權(quán) 益的影響及安全風(fēng)險(xiǎn)，所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)等進(jìn)行評(píng)估等。

如果個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)確有理由認(rèn)為大型互聯(lián)網(wǎng)企業(yè)已進(jìn)行的個(gè)人信息保護(hù)影響評(píng)估未能合理反映個(gè)人信息處理活動(dòng)對(duì)個(gè)人信息主體權(quán)益影響的，應(yīng)建議大型互聯(lián)網(wǎng)企業(yè)委托社會(huì)化第三方服務(wù)機(jī)構(gòu) 進(jìn)行個(gè)人信息保護(hù)影響評(píng)估。

數(shù)據(jù)跨境是個(gè)人信息保護(hù)中備受關(guān)注的環(huán)節(jié)，尤其是大型互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)跨境流通業(yè)務(wù)較多。

《要求》中提出，監(jiān)督機(jī)構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息跨境提供進(jìn)行監(jiān)督，發(fā)表監(jiān)督意見(jiàn)，包括：是否符合法律法規(guī)要求的向境外提供個(gè)人信息的條件； 通過(guò)國(guó)家網(wǎng)信部門(mén)安全評(píng)估方式跨境提供的，是否依法進(jìn)行安全評(píng)估； 通過(guò)與境外接收方簽訂標(biāo)準(zhǔn)合同方式跨境提供的，是否依法簽訂標(biāo)準(zhǔn)合同； 外國(guó)司法或者執(zhí)法機(jī)構(gòu)要求大型互聯(lián)網(wǎng)企業(yè)提供存儲(chǔ)于境內(nèi)個(gè)人信息的，是否向主管機(jī)關(guān)提交審批，并經(jīng)主管機(jī)關(guān)批準(zhǔn)后提供。

此外，《要求》還提到，大型互聯(lián)網(wǎng)企業(yè)擬赴境外上市的，個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)督促大型互聯(lián)網(wǎng)企業(yè)及時(shí)向國(guó)家網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查，并對(duì)其提交的網(wǎng)絡(luò)安全審查材料進(jìn)行監(jiān)督。

關(guān)鍵詞：