谁来监督大厂收集信息?外部机构如何发挥作用?新国标拟解答
如果问互联网时代下,谁是广大用户个人信息的重要收集者?答案一定少不了以BAT为首的巨头互联网企业。不少观点认为,正因他们对互联网生态环境有着巨大影响和控制力,这些“守门人”企业应当承担起更多责任。
为此,《个人信息保护法》规定,大型个人信息处理者应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,目前腾讯、携程已率先进行落实。尽管已有实践,如何保障这一监督机构的独立性、如何有效发挥其作用仍是学界、企业探索的难题。
近日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》征求意见稿,试图解答上述问题。意见反馈截止时间为10月24日前。其中规定,监督机构应由七至十五名成员组成,其中外部成员占比不低于三分之二,内部成员不超过三分之一。本人或其配偶、直系亲属、主要社会关系在大型互联网企业或者其附属企业任职的不得担任外部成员。
外部成员不低于⅔,本人及直系亲属不得在该企业任职
征求意见稿就大型互联网企业建立和运行个人信息保护监督机构(下称“监督机构”)作出要求,包括该机构的设置、职责、工作规则以及成员配置等。参与起草的包括高校、研究院、企业等数十家单位。
《个人信息保护法》规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。
征求意见稿首先对其基本职责、人员构成作出细化:监督机构每六个月应至少召开一次会议,对该企业的个人信息保护合法合规情况、履行个人信息保护社会责任情况等进行独立监督。监督机构应由七至十五名成员组成,其中外部成员占比不低于三分之二,内部成员不超过三分之一。外部成员每届任期三年,连任时间不应超过六年。监督机构应设主任、副主任各一人,由外部成员担任。
2021年,中国人民大学法学院教授张新宝曾提出对企业设立监督机构的看法:“当企业与外部独立机构的利益一致时,此机构可以独立行使职权。双方利益不一致时,尤其是个人信息保护工作影响到受监督企业的盈利能力时,独立机构便很难独立活动。”
为了解决独立性这一重要问题,征求意见稿规定,监督机构外部成员最多在三家大型互联网企业担任该职位,在履职过程中不应受大型互联网企业主要股东、实际控制人或者其他与大型互联网企业存在利害关系的单位或个人的影响,最近一年内不应具有下述情形。
具体而言,包括在大型互联网企业或者其附属企业任职,或者其配偶、直系亲属、主要社会关系在大型互联网企业或者其附属企业任职;直接或间接持有大型互联网企业已发行股份百分之一以上或者是大型互联网企业前十名股东中的自然人股东及其直系亲属;在直接或间接持有大型互联网企业股份百分之五以上的股东单位或者在大型互联网企业前五名股东单位任职的人员及其直系亲属;为大型互联网企业或者其附属企业提供财务、法律等服务的人员等。
在专业性、职业道德要求方面,外部成员应具备副高级及以上专业技术职称,或为在个人信息保护、数据安全等相关领域具有五年以上合规、测评等工作经验的资深从业人员。曾因犯罪受过刑事处罚、曾被开除公职或者受到监管部门惩戒和处罚的,不应担任。另外,外部成员每年为大型互联网企业有效工作的时间应不少于十五个工作日。
值得一提的是,征求意见稿还明确,大型互联网企业应为监督机构履行职责提供所必需的工作条件和协助,包括承担监督机构及外部成员履职过程中支出的合理费用。
企业拒不采取补救措施,外部成员应报告网信部门
为响应《个人信息保护法》这一要求,已有企业率先进行实践。
经梳理,目前公开招募“个人信息保护外部监督委员会/专家团”成员的有腾讯、携程,招募人数分别为15人和9人。携程方面曾向南都记者透露,其专家团成员由资深旅游行业专家、法学教授、律师、媒体代表等担任。运行机制为携程不时向专家团汇报个人信息保护方面的工作进展,专家团通过邮件或在微信工作群直接提出意见;携程收到后展开调查,第一时间反馈调查结果或解决方案。
如今,企业落实该规定时有了更明确的参考依据。征求意见稿规定,监督机构可要求大型互联网企业个人信息保护负责人或其指定的其他个人信息保护相关负责人员对相关事项作出说明和解释,包括个人信息分类分级管理制度;采取的加密、去标识化等安全技术措施;个人信息处理的操作权限相关规则等。
同时,监督机构应在部分情形下对大型互联网企业发表监督意见,比如企业在制定个人信息保护合规制度体系、平台规则、隐私政策或对其实质性内容进行重大修订时。监督机构认为企业相关事项存在违法违规处理个人信息或者违反合法、正当、必要等原则处理个人信息的情形时,应提出改正意见和建议;企业收到改正意见后应及时处理,不予处理时需及时答复。
除了上述一般事项监督,由于《个人信息保护法》对“守门人”企业有更高的合规要求,监督机构还需对部分特别事项进行监督。
征求意见稿明确,监督机构应就大型互联网企业个人信息保护影响评估事项发表监督意见。具体包括是否按照法律法规要求对处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息等个人信息处理活动事先进行个人信息保护影响评估;是否按照法律法规要求对个人信息的处理目的、处理方式等是否合法、正当、必要,对个人权益的影响及安全风险,所采取的保护措施是否合法、有效并与风险程度相适应等进行评估。
建立个人信息保护应急预案是每个企业的“必修课”,有利于在突发个人信息安全事件时,最大程度地减轻损失。监督机构对应急预案的制定及实施进行监督时,应关注企业是否定期组织内部相关人员进行应急响应培训和应急演练;内部相关人员是否掌握岗位职责和应急处置策略与规程;是否根据相关法律法规变化情况以及事件处置情况,及时更新应急预案等。
大型互联网企业发生或可能发生个人信息泄露、篡改、丢失情形时,监督机构应了解其是否立即采取补救措施,是否按照法律法规的要求及时通知履行个人信息保护职责的部门和个人。如果企业未做到这些,监督机构应立即建议其履行告知义务。企业未及时改正的,外部成员应向省级以上网信部门报告。
另外,征求意见稿还提到,监督机构应就大型互联网企业发布社会责任报告发表监督意见,企业需披露并说明不予采纳监督机构反对意见的理由。监督机构认为大型互联网企业已进行的合规审计未能如实反映相关情况时,应建议其委托社会化第三方服务机构进行合规审计。
采写:南都记者 樊文扬