国家互联网信息办公室发布《大型网络平台设立个人信息保护监督委员会规定(征求意见稿)》(以下简称《规定》),为大型网络平台设立、运行个人信息保护监督委员会提供了明确的规范指引,本文将从依据与目的、主要内容、配套国标等三方面进行解读。

一、依据与目的

2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)已自2021年11月1日起施行。《个人信息保护法》作为我国网络信息领域的三大支柱性法律之一,是保护公民个人信息权益、规范个人信息处理活动和促进个人信息合理利用的基本法律。《个人信息保护法》有诸多制度创新,其中第58条关于大型网络平台个人信息保护特别义务的规定就是一项全新的个人信息保护法律规范,在世界主要国家已有的个人信息保护立法中没有类似的先例。第58条规定:“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;......”由于《个人信息保护法》的许多规定属于没有先例可循的创新性规定,而且法律条文相对抽象和简略,因此施行这些规定需要相应的配套细则,方能落地实施并取得实效。《个人信息保护法》对国家网信部门的相关职责和权限做出了规定:“国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:(一)制定个人信息保护具体规则、标准”(第62条第1款)。国家网信部门依据《个人信息保护法》和《网络数据安全管理条例》等法律法规制定了一系列实施《个人信息保护法》的规定和规章。此次发布征求意见的《规定》是其中之一。

二、主要内容

《规定》共计31条,分别明确了制定该文件的目的依据、大型网络平台与监督委员会及其成员的概念、监督委员会的设立要求、外部成员的独立性要求与履职条件、外部成员的提名与聘任及报酬、内部成员的任职、成员的任期与辞任及解聘、监督委员会规则和职责、成员职责、监督委员会的定期会议与临时会议、会议举行和延期、会议出席要求、监督意见的作出和记录、监督意见的处理、提出建议、保密要求、(大型网络平台服务提供者)配合履职要求、履职条件保障、委员会信息公开及撤销、信息报送、委员会履职监督、投诉举报、罚则和解释权等内容。

《规定》旨在指导规范大型网络平台设立、运行个人信息保护监督委员会,对个人信息保护情况进行监督,促进大型网络平台个人信息保护合规水平的提升,强化个人信息保护。“大型网络平台”是指在中华人民共和国境内提供重要互联网平台服务、用户数量巨大、业务类型复杂的网络平台,此等平台的清单将由国家网信办会同国家有关部门发布。个人信息保护监督委员会由大型网络平台服务提供者设立,成员一般不少于7人。监督委员会主要由外部成员组成,外部成员不低于三分之二。

《规定》明确,外部成员需要具备个人信息保护专门知识和技能,同时具备相应的独立性要求,具备良好的声誉和个人品德,能够客观、公正、正常(时间上和精力上)履职。外部成员由大型网络平台服务提供者提名,其聘任决定由大型网络平台的董事会或者其授权的董事长、执行董事等高级管理人员作出,外部成员可以获得与其履职工资相适应的报酬,报酬情况应当在相关文件中记载和披露。

《规定》明确了内部成员的任职要求、监督委员会主任、秘书的职责以及成员的任期、辞任与解聘的具体规则。《规定》规定了监督委员会的工作规则和重点监督事项,以及成员的具体职责、定期会议与临时会议规则与成员出席要求;明确了监督意见的作出、记录及其处理;成员有权提出建议,需要遵守保密要求,不得泄露或者非法向他人提供履职过程中知悉的个人信息、商业秘密等。

《规定》明确了大型网络平台服务提供者配合履职要求、提供履职保障的义务;明确了委员会信息公开及撤销制度和信息报送机制,明确了国家网信部门等的监管职责和公众监督举报机制;还明确了依据《个人信息保护法》和《网络数据安全管理条例》的罚则和国家网信部门的解释权。

三、配套国标

今年稍早时候,国家市场监督管理总局、国家标准化管理委员会发布国家标准《数据安全技术 大型互联网企业内设个人信息保护监督机构要求》(GB/T 45404-2025)(以下简称国标),将自今年10月1日起实施。这一国标的编制与发布也旨在落实《个人信息保护法》第58条第1款关于大型互联网平台内设个人信息保护监督机构的要求。中国人民大学等高校和研究机构以及蚂蚁、京东等著名企业参与该国标的编制工作。国标侧重于从技术指标角度对大型互联网平台内部设置个人信息保护监督机构提出要求。本《规定》经过征求意见等环节后得到正式发布,将与配套的国标一起实施,二者相得益彰,共同为设立大型网络平台个人信息保护监督机构提供有力的制度保障和技术规范。(作者:张新宝,中国人民大学法学院吴玉章高级讲席教授