互联网大厂个人信息保护监督机构将有细化标准 或须六个月内完成组建
21世纪经济报道记者 王俊 北京报道
近日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》(以下简称《要求》)征求意见稿。此前,南财合规科技研究院曾发布“守门人”个人信息保护社会责任测评报告,发现大型互联网企业普遍处于“观望”阶段,独立监督机构有待落地。《要求》的发布意味着《个人信息保护法》第五十八条中对大型互联网企业要求的“成立主要由外部成员组成的独立机构”有了具体的标准细则。
目前该标准在征求意见阶段,按照目前的要求,大型互联网企业应在六个月内成立个人信息保护监督机构,对本企业的个人信息保护合法合规情况、履行个人信息保护社会责任情况等进行独立监督。个人信息保护监督机构应由七至十五名成员组成,其中外部成员占比不低于三分之二。
(资料图片仅供参考)
监督机构除却对个人信息保护一般事项的监督外,还可以对个人信息保护影响评估监督,个人信息保护合规审计监督、个人信息保护社会责任报告监督、个人信息泄露事件监督、个人信息跨境提供监督等。
个人信息保护监督机构如何组建?
《个人信息保护法》五十八条针对大型互联网平台委以特别义务,也被成为“守门人条款”,要求守门人企业“应当按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。
此前,南财合规科技研究院、21世纪经济报道记者采访人民大学教授张新宝,也是该标准起草人时,他曾解释,独立监督机构是大型互联网企业公司治理的重要组成部分,是一个创新的制度,主要通过引入外部成员对企业的个人信息保护情况进行监督,确保企业在个人信息保护方面合规运行。
根据《要求》,个人信息保护监督机构是大型互联网企业建立的主要由外部成员组成,对自身个人信息保护合法合规情况、履行个人信息保护社会责任情况等进行独立监督,并对提升个人信息保护水平提出建议和意见的机构。
大型互联网企业个人信息保护监督机构应由七至十五名成员组成,其中外部成员占比不低于三分之二,内部成员不超过三分之一。
大型互联网企业应在六个月内成立个人信息保护监督机构。
谁能成为个人信息保护监督机构成员?
《要求》明确,个人信息保护监督机构外部成员需要具备个人信息保护专业知识和技能,不在大型互联网企业担任除个人信息保护监督机构外部成员外的其他职务,与受聘大型互联网企业及其主要股东不存在可能妨碍其进行独立客观判断的关系,对大型互联网企业个人信息保护情况进行监督,发表独立客观建议、意见的外部专家。
为保持身份和履职的独立性,外部成员最近一年内不应具有下列情形,包括:在大型互联网企业或者其附属企业任职,或者其配偶、直系亲属、主要社会关系在大型互联网 企业或者其附属企业任职; 直接或间接持有大型互联网企业已发行股份百分之一以上或者是大型互联网企业前十名股东中的自然人股东及其直系亲属;为大型互联网企业或者其附属企业提供财务、法律等服务的人员等。
个人信息保护监督机构外部成员应熟悉个人信息保护、数据安全等相关法律法规、政策、标准;为个人信息保护、数据安全等相关领域法律、技术资深专家,具备副高级及以上专业技术职称,或者在个人信息保护、数据安全等相关领域具有五年以上合规、测评等工作经验的资深从业人员。
并且,在首次受聘大型互联网企业个人信息保护监督机构外部成员前,拟任外部成员应至少参加一次任职培训。受聘后,也需要定期接受专业培训,及时学习了解个人信息保护法律法规、技术与实践发展变化,保持履职专业性。
为了保障外部成员勤勉尽责,《要求》中还提到,外部成员应主动关注有关大型互联网企业特别是个人信息保护事项相关的报道及信息;与大型互联网企业个人信息保护负责人、个人信息保护监督机构秘书等及时充分沟通,确保工 作顺利开展; 每年为大型互联网企业有效工作的时间应不少于十五个工作日。
值得注意的是,为确保外部成员有足够的时间和精力有效履行职责,《要求》规定:最多在三家大型互联网企业担任外部成员。
监督范围有哪些?
监督机构的职权范围都包括哪些?
根据《要求》,监督机构对大型互联网企业个人信息保护基本情况监督,比如个人信息保护内部管理制度和操作规程、个人信息分类分级管理制度、采取的加密、去标识化等安全技术措施等。
也需要对个人信息保护合规制度体系、平台规则、隐私政策进行监督。大型互联网企业在制定个人信息保护合规制度体系、平台规则、隐私政策或对其实质性内容进 行重大修订时,应征求个人信息保护监督机构的意见。并且,收到个人信息保护监督机构改正意见和建议后,应及时予以处理,确有理由不 予处理的,应及时答复个人信息保护监督机构。
除却上述一般事项的监督外,《要求》中还规定了特别事项的监督。
包括个人信息保护影响评估监督,个人信息保护合规审计监督、个人信息保护社会责任报告监督、个人信息泄露事件监督、个人信息跨境提供监督等。
对于个人信息保护影响评估的监督,监督机构的监督事项包括:是否按照法律法规要求对处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息等个人信息处 理活动事先进行个人信息保护影响评估; 是否按照法律法规要求对个人信息的处理目的、处理方式等是否合法、正当、必要,对个人权 益的影响及安全风险,所采取的保护措施是否合法、有效并与风险程度相适应等进行评估等。
如果个人信息保护监督机构确有理由认为大型互联网企业已进行的个人信息保护影响评估未能合理反映个人信息处理活动对个人信息主体权益影响的,应建议大型互联网企业委托社会化第三方服务机构 进行个人信息保护影响评估。
数据跨境是个人信息保护中备受关注的环节,尤其是大型互联网企业数据跨境流通业务较多。
《要求》中提出,监督机构应就大型互联网企业个人信息跨境提供进行监督,发表监督意见,包括:是否符合法律法规要求的向境外提供个人信息的条件;通过国家网信部门安全评估方式跨境提供的,是否依法进行安全评估; 通过与境外接收方签订标准合同方式跨境提供的,是否依法签订标准合同;外国司法或者执法机构要求大型互联网企业提供存储于境内个人信息的,是否向主管机关提交审批,并经主管机关批准后提供。
此外,《要求》还提到,大型互联网企业拟赴境外上市的,个人信息保护监督机构应督促大型互联网企业及时向国家网络安全审查办公室申报网络安全审查,并对其提交的网络安全审查材料进行监督。
标签:
为您推荐
- 违建拆除现场突发 连云港东海县通报
- 一油轮失火致2人遇难
- 斑马ERP上线TikTok美国站
- 昆明高中教师工资(昆明高中)
- 天通股份:8月23日融券卖出10.13万股,融资融券余额10.66亿元
- 即将发布的比亚迪秦混动量产版新谍照
- 招商局置地:上半年实现收入98.14亿元
- 杏璞霜是药吗(杏璞霜药店有卖吗)
- 卡塔尔主权财富基金向信实零售投资10亿美元
- 吃啥解酒快(喝酒前吃什么可以解酒)
- 从陪练到国家队!25岁的他上演最强逆袭
- 涨停复盘:日本核废水排放,盐业股、水产股、核污染防治板块持续发酵,环保、净水概念走强,太平洋跌停原因找到了?
- 北方长龙08月23日主力大幅流出
- 钉钉用 AI 捅破商业化的天花板
- 猴子老師(人與自然的關係),課程裡面的自我反省
- 赵丽颖过去鲜为人知,她曾是“登台佳人”“陪睡”的老戏骨?
- 【开盘】A股三大股指集体小幅低开,券商、环保板块回调
- 西藏在广州推介资源:从中国G219西藏段开始
- 突破!海南男子沙滩排球队首次在世界大赛上获得第4名
- 南昌大学广西录取分数线 南昌大学广西招生人数多少
- 聚氨酯纤维是什么面料
- 封面有数丨多地餐厅“七夕”线上订座量翻倍,传统节日助消费持续升温
- 僵硬的意思是啥(僵硬的意思)
- 星空华文股价持续大跌 浙江广电回应《中国好声音》争议:将进一步调查核实
- 众信旅游(002707):出境游强势复苏 提质增效打开成长空间
- 梦幻西游单机版好玩吗(梦幻西游单机版哪个好玩)
- AIGC 施展“物理魔法”,3D视觉突破“精度极限”
- 青少年航天创新大赛总决赛举行
- 行走中国湿地城市|银川阅海:水风清、鸟翩跹,且以诗意赋山“海”
- 费县一中是重点高中吗 费县一中
- 正式出伏,降雨持续!云南这些地区有大雨、局地暴雨……
- 大臣杀皇帝睡皇后,还做了半年的皇帝,临死前留下一句话流传千古
- 网络知名柴犬Cheems去世,网友:原来用的表情包是它
- 2021款weyvv5怎么样_wey vv5怎么样
- 涿州受灾书企在上海书展,“上海书展是一个特别温暖的地方”
- 用心用情为民解忧 “浦江经验”不断丰富和发展
- 二阶逆矩阵公式口诀_二阶矩阵的逆矩阵公式
- 四十年经验的师傅告诉您,铁路道岔用电永磁吸盘的五个特点
- 106股获北向资金连续5日以上增持 厦门银行获连续增持天数最多
- 当地时间8月19日,乌克兰国防部长列兹尼科夫表示他已准备好辞职