2023年8月25日，全国信息安全标准化技术委员会发布《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》征求意见稿（以下简称《要求》），从个人信息保护监督机构的设置、职责及工作规则等方面指导大型互联网企业落实《个人信息保护法》（以下简称《个保法》）“互联网守门人”条款中的相关要求。本文将梳理大型互联网企业在个人信息保护方面的特殊合规义务，结合《要求》的主要内容进行分析，以期为相关企业开展个人信息保护工作提供参考。

《要求》第3.1条规定，大型互联网企业是指提供重要互联网平台服务、用户数据巨大、业务类型复杂的互联网企业，同时具备较大用户规模、较广业务种类、 较多业务范围、较高经济体量和较强限制能力的互联网平台。

这一定义沿用了《个保法》第58条^[1]和《互联网平台分类分级指南（征求意见稿）》（以下简称《分类分级指南》）第3.4条^[2]中的相关表述，从用户规模、主营业务、经济体量等方面进行规定。其中，“用户数量巨大”和“业务类型复杂”这两个要素可以对标《分类分级指南》中“较大用户规模”和“主营业务”的具体分级标准进行判断。而对于“提供重要互联网平台服务”这一要素的理解，从立法演变的过程来看，《个保法》将二审稿草案中“基础性互联网平台服务”修改为“重要互联网平台服务”，拓宽了该条款的适用范围，至少可以囊括移动终端操作系统、应用软件的分发平台等；从相关法律制度来看，参考《网络数据安全管理条例（征求意见稿）》规定，“大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者”，企业可以从用户规模、处理的个人信息数量和种类以及市场影响三方面来判断是否属于“重要互联网平台服务”提供者。此外，《分类分级指南》对互联网平台的“经济体量”和“限制能力”也提出了具体的量化指标，企业可参照下表进行判断。

国际上，大型互联网企业受到欧盟《数据市场法》（Digital Markets Act，DMA）中“守门人”制度的规制。对于“守门人”企业的判断标准，DMA第三条第二款从市场规模、活跃用户、稳固的市场地位三个角度给出了具体的判断标准。

大型互联网企业拥有大量的个人信息和复杂的商业模式，不仅对用户个人信息安全掌握绝对的控制能力，还拥有很强的技术实力。《个保法》第58条针对大型互联网企业这一重要主体，为其设定了四项特殊的合规义务。

（一）建立合规制度体系，设立独立监督机构

《个保法》第58条第1项规定，大型互联网企业应当按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。该规定旨在引入社会多方力量，通过自律和他律相结合来进行有效监督，但在实践中对于如何设立独立监督机构还存在一定的困惑，本次《要求》的发布回应了公众的关切，为大型互联网企业设立个人信息保护监督机构提供了落地指引，其主要内容请详见下文第三部分。

（二）基于“三公”原则制定平台规则

根据《个保法》第58条第2项规定，大型互联网企业应当遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。这一规定强调了大型互联网企业作为互联网平台对平台内产品或服务提供者实施的个人信息处理活动负有的监督管理义务。

同时，《互联网平台落实主体责任指南（征求意见稿）》（以下简称《主体责任指南》）还对大型互联网企业的平台责任作了进一步的规定。值得注意的是，《要求》中大型互联网企业的概念对应的是《主体责任指南》中的“超大型平台”，因此大型互联网企业在提供服务时应当履行公平竞争义务和平等治理义务。在使用平台数据时，大型互联网企业应当与平台内经营者公平竞争，无正当理由不得使用平台服务形成的非公开数据，并且规定大型互联网企业不得在平台内经营者或用户访问、注册、登录、获取其所需的平台服务时进行捆绑服务。此外，大型互联网企业提供相关产品或服务时应平等对待平台自身（或关联企业）和平台内经营者，不实施自我优待。

（三）违法违规行为的处置责任

《个保法》第58条第3项规定，对于严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，大型互联网企业应当停止向其提供服务。大型互联网企业是连接商业用户和终端用户的重要渠道，是互联网治理领域的关键，要求其及时处理严重违法违规行为有利于节省监管成本，提高治理效能。大型互联网企业可以参照《网络信息内容生态治理规定》中平台管理的有关规定，建立健全平台监管规则，完善用户管理、资格审核等机制，对于违法违规行为及时处理。

（四）定期发布个人信息保护社会责任报告

《个保法》第58条第4项规定，大型互联网平台应当定期发布个人信息保护社会责任报告，接受社会监督。中国网络安全产业联盟（CCIA）于2022年12月30日发布的《数据安全和个人信息保护社会责任指南》对社会责任报告的内容作出了较为详尽的规定，指导大型互联网企业从组织治理和内部管理、合规性和价值体现、公平运行与竞争、消费者权益保护以及公益参与情况等方面进行披露。此外，《个人信息保护合规审计管理办法（征求意见稿）》同样强调了大型互联网企业的社会责任，并明确社会责任报告应包括个人信息保护能力建设情况、个人信息保护措施和成效、个人行使权利的申请受理情况、独立监督机构履职情况等内容。

目前，平安消费金融有限公司、腾讯、中兴、华为、Vivo等企业遵循上述框架，陆续发布《数据安全和个人信息保护社会责任报告》和《隐私保护白皮书》，向社会披露其个人信息保护社会责任的履行情况，并就数据全生命周期的保护措施和数据跨境保护规则进行了说明。

《要求》共包括七个部分，除去范围、规范性引用文件、术语和定义等说明性条款外，《要求》内容的核心部分为：

（一）个人信息保护监督机构的设立

根据《要求》规定，大型互联网企业应在六个月内成立个人信息保护监督机构，然而该期限的起算时点尚未明晰，且《要求》作为推荐性国家标准，不具有强制执行效力，因此对于该要求的具体落实还有待进一步规定。

此外，《要求》明确个人信息保护监督机构应由七至十五名成员组成，其中外部成员占比不得低于三分之二，并且机构的主任和副主任均应由外部成员担任，经全体成员过半数选举产生。个人信息保护监督机构还应设秘书一人，由内部成员担任，负责会议的筹备、召集、文件保管等事宜。

（二）个人信息保护监督机构成员

1. 外部成员要求

为保障个人信息保护监督机构的独立性，《要求》明确了利益冲突禁止和人员约束等规则，要求外部成员近一年内不得具有下列情形：在大型互联网企业或其附属企业任职；直接或间接持有大型互联网企业已发行股份百分之一以上；为大型互联网企业或者其附属企业提供财务、法律等服务的人员等。此外，《要求》还从专业技术职称、工作年限、专业培训等方面对外部成员的专业性提出了具体要求。

在外部成员的提名和任免方面，《要求》规定个人信息保护负责人应通过公开征集和定向邀请的方式提名外部成员，并在提名前征得被提名人同意，强调个人信息保护负责人提名外部成员时应着重考虑整体人员专业背景的多元性。个人信息保护监督机构对外部成员实行任期制，每届任期三年，可连任，但连任时间不应超过六年。当外部成员出现不符合独立性条件要求、职业道德条件要求等情形时，个人信息保护负责人可提请董事会或经董事会授权的董事长、执行董事免除外部成员的职务。

为保障外部成员的勤勉尽责，《要求》规定外部成员应主动关注大型互联网企业个人信息保护事项相关的信息，并与个人信息保护负责人及时充分沟通，要求外部成员每年为大型互联网企业有效工作的时间不少于十五个工作日。同时，为确保有足够的时间和精力履行职责，最多在三家大型互联网企业担任外部成员。

2. 内部成员要求

《要求》规定大型互联网企业应当结合个人信息保护相关业务、合规等需求，明确其内部成员任职资格和任命程序。对内部成员的勤勉尽责义务、任期、履行工作等要求，可参照外部成员相关履职要求进行规范。

（三）个人信息保护监督机构职责

1. 一般事项监督

2. 特别事项监督

（1）个人信息保护影响评估监督

根据《要求》第6.2.1条规定，个人信息保护监督机构应对大型互联网企业进行的下列事项进行监督，发表监督意见：

a) 是否按照法律法规要求对处理敏感个人信息、利用个人信息进行自动化决策、委托处理、提供、公开、向境外提供个人信息等个人信息处理活动进行个人信息保护影响评估；

b) 是否按照法律法规要求对个人信息的处理目的、处理方式等是否合法、正当、必要，对所采取的保护措施与风险程度相适应等进行评估；

c) 是否记录并保存个人信息保护影响评估报告、处理情况等内容。

（2）个人信息保护合规审计监督

《要求》规定个人信息保护监督机构应当对企业是否定期开展合规审计进行监督，发表监督意见。机构确有理由认为大型互联网企业已进行的合规审计未能如实反映其个人信息处理活动合规情况的，应建议大型互联网企业委托社会化第三方服务机构进行合规审计。

根据《个人信息保护合规审计管理办法（征求意见稿）》，处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计。除常规审计内容外，大型互联网企业还应当对平台规则的合法合规性、平台内产品或者服务提供者的个人信息处理活动进行监督。个人信息保护监督机构也应对大型互联网企业开展的上述工作进行监督并发表监督意见。

（3）个人信息保护社会责任报告监督

《要求》规定，大型互联网企业应在发布社会责任报告前，听取个人信息保护监督机构的意见，如机构就社会责任报告实质性内容发表反对意见，大型互联网企业应将有关情况进行披露并说明不予采纳的理由。

（4）个人信息安全事件应急预案监督

对于大型互联网企业个人信息保护应急预案的制定和实施，个人信息保护监督机构应重点关注以下情形：应急预案是否符合法律法规、国家标准的要求；企业是否定期组织应急响应培训和应急演练；内部相关人员是否掌握应急处置策略与规程；企业是否及时更新应急预案等。

（5）个人信息泄露事件监督

当大型互联网企业发生或可能发生个人信息泄露、篡改、丢失情形时，个人信息保护监督机构应当监督企业是否立即采取补救措施，并按规定及时通知履行个人信息保护职责的部门和个人。若大型互联网企业未采取补救措施或及时通知有关部门和个人，个人信息保护监督机构应立即建议大型互联网企业履行告知义务，大型互联网企业未及时改正的，外部成员应向省级以上网信部门报告。

（6）个人信息跨境提供监督

《要求》第6.2.6条规定，个人信息保护监督机构应当就大型互联网企业向境外提供个人信息的必要性、是否符合法律法规要求的跨境条件、是否依法进行安全评估或签订标准合同等情形进行监督。同时，大型互联网企业拟赴境外上市的，个人信息保护监督机构应督促企业及时向国家网络安全审查办公室申报网络安全审查，并对其提交的网络安全审查材料进行监督。

（四）个人信息保护监督机构的工作机制

为切实保障个人信息保护监督机构发挥独立监督作用，《要求》对会议召集、会议形式、会议资料、会议主持等方面作出了详细的规定，并针对不同会议内容设定不同配比的表决方式，以平衡企业决策效率和安全监督强度。

《要求》规定个人信息保护监督机构每六个月应至少召开一次会议，原则上应以现场召开的方式进行。过半数成员出席方可举行个人信息保护监督机构会议，外部成员无法亲自出席的，应事先审阅会议材料，形成明确的意见，书面委托其他外部成员代为出席。对于会议表决方面，实行一人一票制，就一般事项、合规制度体系、平台规则、隐私政策的监督意见，应经参会全体成员半数以上通过；对于个人信息保护影响评估、合规审计、社会责任报告、个人信息泄露事件的监督意见，应当经参会全体成员三分之二以上通过。

除个人信息保护监督机构的会议安排外，《要求》对外部成员的履职作了进一步规定，强调外部成员的工作留痕和资料保管义务，要求其就大型互联网企业个人信息保护相关事项进行的问询、讨论等形成书面文件并保存。

此外，个人信息保护监督机构的履职独立性保障和履职条件保障也在《要求》中得以明确，《要求》规定个人信息保护监督机构履行监督职责时，大型互联网企业有关人员无正当理由不得拒绝、阻碍或隐瞒。大型互联网企业还应当为独立监督机构履行职责提供所必需的工作条件和协助，包括但不限于指定专人负责与外部成员日常联系、提供真实准确的资料、承担机构及外部成员履职过程中支出的合理费用等。

[1]《个保法》第58条规定“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：...”

[2]《分级指南》第3.4条规定“大型平台指同时具备较大用户规模、较广业务种类、较多业务范围、较高经济体量和较强限制能力的平台。”

作者：吴丹君律师团队

首发：微信公众号“大数据法律研究”