作者:金茂律师事务所 万波 律师 王书玥 律师助理
一、引言
2023年8月24日,国家市监总局与国标委公布了《信息安全技术 大型互联网企业内设个人信息保护监督机构要求(征求意见稿)》(以下简称“《要求意见稿》”)。《要求意见稿》规定了大型互联网企业建立和运行个人信息保护监督机构的要求,包括个人信息保护监督机构的设置、职责、工作规则,以及个人信息保护监督机构的成员等要求,适用于大型互联网企业建立和运行个人信息保护监督机构。
实际上,在《个人信息保护法》第五十八条第一项就规定了相关义务:“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。” 由此看来,《要求意见稿》是对《个人信息保护法》中针对互联网大厂规定的特别义务的进一步细化,便于企业在实操中落实。
二、何谓“大型互联网企业”
根据《要求意见稿》第3.1条的规定,“大型互联网企业”是指:提供重要互联网平台服务、用户数量巨大、业务类型复杂的互联网企业,同时具备较大用户规模、较广业务种类、较多业务范围、较高经济体量和较强影响能力的大型互联网平台。
该条定义沿用了《个人信息保护法》第五十八条的规定,但又增加了“备较大用户规模、较广业务种类、较多业务范围、较高经济体量和较强影响能力”这几个限定词。虽然说起“大型互联网企业”,也就是我们俗称的“互联网大厂”,大家都能想起例如百度、腾讯、阿里巴巴、美团、微博等等,这些大家都耳熟能详的互联网企业当然属于《要求意见稿》所适用的对象,但除了那些知名的互联网企业,仅仅根据《要求意见稿》的该条定义来判断一家互联网企业是否“大型”,还稍显困难。定义中用到的程度副词诸如“较大”“较广”“较多”缺乏比较的对象和具体参考数字,由此则需要参考另一份先前已发布的征求意见稿国标——《互联网平台分类分级指南(征求意见稿)》。
《互联网平台分类分级指南(征求意见稿)》中对于平台分级的规定见下表:
此外,虽然根据《要求意见稿》第1条对于国标适用范围的规定,似乎从字面意思上来看只有“大型平台”受到了规制,但需要注意的是,实际上“大型互联网平台企业”对标的是超级平台经营者与大型平台经营者。根据《要求意见稿》的主要起草人之一张新宝教授的观点,个人信息保护法第58条中承担个人信息保护特别义务、需要设置主要由外部人员组成的独立监督机构的大型互联网平台企业,可对应《分类分级指南》《主体责任指南》中的超级平台经营者和大型平台经营者 。
三、个人信息保护监督机构的构成
根据《要求意见稿》的规定,大型互联网企业应在六个月内成立个人信息保护监督机构(以下简称“监督机构”),监督机构应由七至十五名成员组成,其中外部成员占比不低于三分之二,内部成员不超过三分之一。
(一)外部人员
为保证监督机构中外部成员的有效履职,《要求意见稿》在第5.1条对于“独立性”和“专业性”都提出了详细要求:
在“独立性”方面,《要求意见稿》要求,外部人员在履职过程中不应受大型互联网企业主要股东、实际控制人或者其他与大型互联网企业存在利害关系的单位或个人的影响,最近一年内不应具有下列情形,包括:在大型互联网企业或者其附属企业任职,或者其配偶、直系亲属、主要社会关系在大型互联网企业或者其附属企业任职;直接或间接持有大型互联网企业已发行股份百分之一以上或者是大型互联网企业前十名股东中的自然人股东及其直系亲属;为大型互联网企业或者其附属企业提供财务、法律等服务的人员等。
在“专业性”方面,《要求意见稿》明确,外部成员应熟悉个人信息保护、数据安全等相关法律法规、政策、标准;为个人信息保护、数据安全等相关领域法律、技术资深专家,具备副高级及以上专业技术职称,或者在个人信息保护、数据安全等相关领域具有五年以上合规、测评等工作经验的资深从业人员。
值得注意的是,《要求意见稿》规定,外部人员的任期为每届三年,连任不应超过六年。同时,为确保外部成员有足够的时间和精力有效履行职责,《要求意见稿》还规定,最多在三家大型互联网企业担任外部成员。
(二)内部人员
对于监督机构的内部人员,根据《要求意见稿》的规定,可以是企业的董事、监事、高级管理人员,也可以是企业的个人信息保护负责人、个人信息保护合规人员、个人信息保护技术或业务人员,还可以是企业聘请的合规、技术、业务人员等等。其任期、履职方面的要求与外部成员保持一致。
四、个人信息保护监督机构的职责
(一)一般事项
根据《要求意见稿》第6.1条的规定,监督机构对大型互联网企业个人信息保护的基本情况进行监督:例如个人信息保护内部管理制度和操作规程;个人信息分类分级管理制度;采取的加密、去标识化等安全技术措施;个人信息处理的操作权限相关规则;对从业人员进行的安全教育和培训等。
同时,还需要对于个人信息保护合规制度体系、平台规则、隐私政策进行监督:例如大型互联网企业在制定个人信息保护合规制度体系、平台规则、隐私政策或对其实质性内容进行重大修订时,应征求监督机构的意见;监督机构认为大型互联网企业相关事项存在违法违规处理个人信息或者违反合法、正当、必要、诚信、公开、透明原则处理个人信息的情形,应向大型互联网企业提出改正意见和建议;大型互联网企业收到监督机构改正意见和建议后,应及时予以处理,确有理由不予处理的,应及时答复监督机构。
(二)特别事项
此外,《要求意见稿》在第6.2条规定了监督机构需进行监督的特别事项,包括:个人信息保护影响评估、个人信息保护合规审计、个人信息保护社会责任报告、个人信息泄露事件、个人信息跨境等。
1. 个人信息保护影响评估监督
对于企业开展的个人信息保护影响评估,监督机构应针对例如敏感个人信息的处理方式、委托处理、对外提供、评估报告保存等方面,从是否合法合规的角度发表监督意见。
同时,在监督机构认为其他个人信息处理活动可能对个人权益有重大影响时,有权书面建议个人信息保护负责人开展个人信息保护影响评估活动。
2. 个人信息保护合规审计监督
监督机构应就大型互联网企业是否定期对其处理个人信息遵守法律、行政法规的情况开展合规审计进行监督,发表监督意见。
此外,在监督机构确有理由认为大型互联网企业已进行的合规审计未能如实反映其个人信息处理活动遵守法律、行政法规的情况时,有义务建议大型互联网企业委托社会化第三方服务机构进行合规审计。
3. 个人信息保护社会责任报告监督
在大型互联网企业应在公开发布社会责任报告前,需要听取监督机构的意见,如果监督机构或外部成员就社会责任报告的实质性内容发表反对意见,则企业应将有关情况进行披露并说明不予采纳的理由。
4. 个人信息泄露事件监督
针对大型互联网企业的个人信息保护应急预案的制定及实施,监督机构应监督如下几个方面:(1)是否按照法律法规、国家标准的要求制定个人信息安全事件应急预案;(2)是否定期组织内部相关人员进行应急响应培训和应急演练;(3)内部相关人员是否掌握岗位职责和应急处置策略与规程;(3)是否根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。
5. 个人信息泄露事件监督
在发生个人信息泄露、篡改、丢失的个人信息泄露事件时,监督机构应从“是否立即采取补救措施”、“是否按照法律法规的要求及时通知履行个人信息保护职责的部门和个人”这两个方面进行监督,而在企业未履行上述义务且未及时改正时,外部成员有义务向省级以上网信部门报告。
6. 个人信息跨境监督
监督机构应就大型互联网企业个人信息跨境提供进行监督,发表监督意见,包括:是否符合法律法规要求的向境外提供个人信息的条件;通过国家网信部门安全评估方式跨境提供的,是否依法进行安全评估;通过与境外接收方签订标准合同方式跨境提供的,是否依法签订标准合同;外国司法或者执法机构要求大型互联网企业提供存储于境内个人信息的,是否向主管机关提交审批,并经主管机关批准后提供。
五、小结
根据张新宝教授的观点,独立监督机构的职责定位主要是对大型互联网平台企业的个人信息处理行为进行自我规制的再监督 。对于大型互联网企业而言,由于其广泛的影响力和市场占比,因此需要承担更多的义务。在其位,谋其职。相信随着更多的细化技术标准或规范性文件的出台,互联网企业对于其实现个人信息处理的进一步合规化管理,将会有更清晰的方向标与路标。