《个人信息保护法》第五十八条针对大型网络平台设定个人信息保护特别义务,要求其成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。近日,国家互联网信息办公室发布了《大型网络平台设立个人信息保护监督委员会规定(征求意见稿)》(以下简称《规定》),在《个人信息保护法》第五十八条制度框架基础上,细化大型网络平台个人信息保护监督委员会制度设计,明确了大型网络平台设立、运行个人信息保护监督委员会相关重点事项,推动大型网络平台充分履行个人信息保护义务,发展和完善我国个人信息保护制度供给,也为全球大型网络平台治理提供中国方案。

一、《规定》助推制度落地意义重大

(一)为大型网络平台充分履行个人信息保护义务提供具体指引

《个人信息保护法》实施以来,已经有部分大型网络平台尝试筹备个人信息保护监督委员会,但在执行过程中缺少细化规则的指导,致使制度落地面临一定挑战。《规定》在《个人信息保护法》原则性要求的基础上,系统性构建监督委员会制度落地方案,明确监督委员会的设立机制与运行规则等事项,增强上位法制度的可操作性和执行力,为大型网络平台充分履行个人信息保护特别义务提供具体指引,促进法律有效实施。

(二)为人民群众强化个人信息权益保护探索创新路径

网络平台以连接为基本属性,通过技术将人和商品、服务、信息、娱乐、资金以及算力等连接起来。在个人信息处理方面,网络平台既是平台内个人信息处理活动的技术服务提供者,也是平台内个人信息处理规则的设定者,对平台内个人信息处理活动具备强大的控制力和支配力,构成网络空间个人信息保护的关键主体和关键环节。《规定》积极探索个人信息保护的创新机制,引入外部监督提升大型网络平台个人信息保护工作的合规度与透明度,完善内部治理结构,实现大型网络平台个人信息保护工作关口前移,并通过建立监督委员会与用户常态化沟通机制,回应群众关切,切实强化个人信息权益保护。

(三)为全球大型网络平台监管治理实践贡献中国方案

大型网络平台监管治理在全球范围内受到广泛关注。近年来,以欧盟《数字市场法》为引领,欧盟、美国、德国、日本等国家或地区纷纷提出大型互联网平台针对性监管要求,旨在通过反垄断监管遏制大型互联网平台不良市场影响力。《个人信息保护法》第五十八条规定大型网络平台个人信息保护特别义务,在全球范围内首次尝试将大型网络平台监管与个人信息保护联动解决。《规定》细化和完善监督委员会制度落地方案,不仅是贯彻落实上位法的制度要求,也为全球大型网络平台监管治理实践贡献中国方案。

二、《规定》坚持守正创新内容丰富

《规定》共计31条,不仅明确了大型网络平台设立、运行个人信息保护监督委员会的一般规定,也进一步细化了个人信息保护监督委员会的人员构成、监督职责、外部成员独立性与其他履职条件等方面的具体要求,极大地充实和完善我国个人信息保护监督委员会制度设计。

(一)明确大型网络平台认定机制,践行包容审慎监管

平台经济自身特点决定了适用《个人信息保护法》第五十八条的大型网络平台范围有限,如何认定大型网络平台是该制度落地的首要问题。《规定》践行包容审慎监管理念,将采用国家网信部门会同国务院有关部门制定发布清单的方式认定大型网络平台,并允许已设立监督委员会的大型网络平台认为自身不再满足相关条件时,可以向所在地省级网信部门申请撤销监督委员会。认定清单结合申请撤销模式兼顾确定性与灵活性,既能够增强大型网络平台义务履行的确定性,也能够根据国内网络平台整体发展规模、业态演变以及特定网络平台自身发展情况等进行适时调整,稳中有序推动大型网络平台开展个人信息保护外部监督工作。

(二)明确监督委员会运行规则,保障监督作用发挥

保障监督委员会独立行使个人信息保护监督职责、切实发挥监督作用,是该制度有效落地的目标追求。《规定》从监督委员会成员任命、监督职责、监督意见等事项作出重点规定,为监督委员会有效履职提供制度保障。《规定》明确监督委员会成员应当由大型网络平台服务提供者董事会等决策机构或其授权的董事长、执行董事等高级管理人员作出任命,保障监督委员会履职不受大型网络平台执行层不当干扰。《规定》也详细说明监督委员会重点监督事项范围,明确监督委员会履职依据与职责边界。《规定》明确监督委员会通过会议方式审议监督事项,以全体成员多数表决方式作出监督意见,同时要求大型网络平台在规定时限内处理相应监督意见,对大型网络平台未予处理且答复理由不成立的情形,赋予监督委员会向所在地省级网信部门报告的权力,确保监督意见能够得到回应与落实。此外,《规定》也明确大型网络平台相关人员应当配合监督委员会履职并提供履职所需的工作条件和协助。

(三)明确外部成员履职条件,强调独立专业履职

主要由外部成员组成是监督委员会不同于大型网络平台自身个人信息保护机构的特点所在,明确外部成员的履职条件是保障监督委员会履职水平的必然要求。《规定》首先参考独立董事等制度,从任职、持股、提供服务等方面对外部成员的独立性作出重点规范,要求其保持身份和履职的独立性。同时,《规定》还强调外部成员应当具备履行职责相应的专业素质,要求其熟悉个人信息保护、数据安全相关法律法规、国家标准等,具有个人信息保护相关工作经验。此外,《规定》也从个人声誉、品德、身体素质等方面综合考量外部成员履职条件。

(四)明确成员履职制衡约束,防范监督职责滥用

《规定》从多个维度对监督委员会及其成员履职进行制衡约束,防范可能因不履职不尽责造成的负面影响。《规定》禁止外部成员在履职报酬之外,从大型网络平台服务提供者或与其有利害关系的单位和人员取得其他利益,避免不当利益输送影响外部成员履职的独立性。《规定》也明确监督委员会及其成员在履职过程中不得干预大型网络平台正常运营,要求其对履行职责过程中知悉的相关信息予以保密。《规定》还明确了解散监督委员会、解聘监督委员会成员的具体情形,督促监督委员会及其成员严格依法勤勉尽责。

三、《规定》推动我国大型网络平台个人信息保护治理再上新台阶

大型网络平台一直以来是网络空间个人信息保护的关键主体和关键环节,《规定》贯彻落实《个人信息保护法》《网络数据安全管理条例》等上位法要求,进一步细化大型网络平台个人信息保护监督委员会设立与运行各环节具体要求,构建科学合理、相互衔接的规则体系,将更好发挥法治的引领、规范、保障作用,推动大型网络平台切实落地个人信息保护监督委员会制度,必将对提升我国大型网络平台个人信息保护水平发挥重要作用。(作者:魏亮,中国信息通信研究院副院长