21世纪经济报道记者 王俊 北京报道
(资料图片仅供参考)
近日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》(以下简称《要求》)征求意见稿。此前,南财合规科技研究院曾发布“守门人”个人信息保护社会责任测评报告,发现大型互联网企业普遍处于“观望”阶段,独立监督机构有待落地。《要求》的发布意味着《个人信息保护法》第五十八条中对大型互联网企业要求的“成立主要由外部成员组成的独立机构”有了具体的标准细则。
目前该标准在征求意见阶段,按照目前的要求,大型互联网企业应在六个月内成立个人信息保护监督机构,对本企业的个人信息保护合法合规情况、履行个人信息保护社会责任情况等进行独立监督。个人信息保护监督机构应由七至十五名成员组成,其中外部成员占比不低于三分之二。
监督机构除却对个人信息保护一般事项的监督外,还可以对个人信息保护影响评估监督,个人信息保护合规审计监督、个人信息保护社会责任报告监督、个人信息泄露事件监督、个人信息跨境提供监督等。
个人信息保护监督机构如何组建?
《个人信息保护法》五十八条针对大型互联网平台委以特别义务,也被成为“守门人条款”,要求守门人企业“应当按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。
此前,南财合规科技研究院、21世纪经济报道记者采访人民大学教授张新宝,也是该标准起草人时,他曾解释,独立监督机构是大型互联网企业公司治理的重要组成部分,是一个创新的制度,主要通过引入外部成员对企业的个人信息保护情况进行监督,确保企业在个人信息保护方面合规运行。
根据《要求》,个人信息保护监督机构是大型互联网企业建立的主要由外部成员组成,对自身个人信息保护合法合规情况、履行个人信息保护社会责任情况等进行独立监督,并对提升个人信息保护水平提出建议和意见的机构。
大型互联网企业个人信息保护监督机构应由七至十五名成员组成,其中外部成员占比不低于三分之二,内部成员不超过三分之一。
大型互联网企业应在六个月内成立个人信息保护监督机构。
谁能成为个人信息保护监督机构成员?
《要求》明确,个人信息保护监督机构外部成员需要具备个人信息保护专业知识和技能,不在大型互联网企业担任除个人信息保护监督机构外部成员外的其他职务,与受聘大型互联网企业及其主要股东不存在可能妨碍其进行独立客观判断的关系,对大型互联网企业个人信息保护情况进行监督,发表独立客观建议、意见的外部专家。
为保持身份和履职的独立性,外部成员最近一年内不应具有下列情形,包括:在大型互联网企业或者其附属企业任职,或者其配偶、直系亲属、主要社会关系在大型互联网 企业或者其附属企业任职; 直接或间接持有大型互联网企业已发行股份百分之一以上或者是大型互联网企业前十名股东中的自然人股东及其直系亲属;为大型互联网企业或者其附属企业提供财务、法律等服务的人员等。
个人信息保护监督机构外部成员应熟悉个人信息保护、数据安全等相关法律法规、政策、标准;为个人信息保护、数据安全等相关领域法律、技术资深专家,具备副高级及以上专业技术职称,或者在个人信息保护、数据安全等相关领域具有五年以上合规、测评等工作经验的资深从业人员。
并且,在首次受聘大型互联网企业个人信息保护监督机构外部成员前,拟任外部成员应至少参加一次任职培训。受聘后,也需要定期接受专业培训,及时学习了解个人信息保护法律法规、技术与实践发展变化,保持履职专业性。
为了保障外部成员勤勉尽责,《要求》中还提到,外部成员应主动关注有关大型互联网企业特别是个人信息保护事项相关的报道及信息;与大型互联网企业个人信息保护负责人、个人信息保护监督机构秘书等及时充分沟通,确保工 作顺利开展; 每年为大型互联网企业有效工作的时间应不少于十五个工作日。
值得注意的是,为确保外部成员有足够的时间和精力有效履行职责,《要求》规定:最多在三家大型互联网企业担任外部成员。
监督范围有哪些?
监督机构的职权范围都包括哪些?
根据《要求》,监督机构对大型互联网企业个人信息保护基本情况监督,比如个人信息保护内部管理制度和操作规程、个人信息分类分级管理制度、采取的加密、去标识化等安全技术措施等。
也需要对个人信息保护合规制度体系、平台规则、隐私政策进行监督。大型互联网企业在制定个人信息保护合规制度体系、平台规则、隐私政策或对其实质性内容进 行重大修订时,应征求个人信息保护监督机构的意见。并且,收到个人信息保护监督机构改正意见和建议后,应及时予以处理,确有理由不 予处理的,应及时答复个人信息保护监督机构。
除却上述一般事项的监督外,《要求》中还规定了特别事项的监督。
包括个人信息保护影响评估监督,个人信息保护合规审计监督、个人信息保护社会责任报告监督、个人信息泄露事件监督、个人信息跨境提供监督等。
对于个人信息保护影响评估的监督,监督机构的监督事项包括:是否按照法律法规要求对处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息等个人信息处 理活动事先进行个人信息保护影响评估; 是否按照法律法规要求对个人信息的处理目的、处理方式等是否合法、正当、必要,对个人权 益的影响及安全风险,所采取的保护措施是否合法、有效并与风险程度相适应等进行评估等。
如果个人信息保护监督机构确有理由认为大型互联网企业已进行的个人信息保护影响评估未能合理反映个人信息处理活动对个人信息主体权益影响的,应建议大型互联网企业委托社会化第三方服务机构 进行个人信息保护影响评估。
数据跨境是个人信息保护中备受关注的环节,尤其是大型互联网企业数据跨境流通业务较多。
《要求》中提出,监督机构应就大型互联网企业个人信息跨境提供进行监督,发表监督意见,包括:是否符合法律法规要求的向境外提供个人信息的条件;通过国家网信部门安全评估方式跨境提供的,是否依法进行安全评估; 通过与境外接收方签订标准合同方式跨境提供的,是否依法签订标准合同;外国司法或者执法机构要求大型互联网企业提供存储于境内个人信息的,是否向主管机关提交审批,并经主管机关批准后提供。
此外,《要求》还提到,大型互联网企业拟赴境外上市的,个人信息保护监督机构应督促大型互联网企业及时向国家网络安全审查办公室申报网络安全审查,并对其提交的网络安全审查材料进行监督。