您现在的位置是:首页 > 教育 >正文
互联网大厂个人信息保护监督机构将有细化标准 或须六个月内完成组建
发布时间:2023-08-27 16:16傅言蓉来源:
21世纪经济报道记者 王俊 北京报道
近日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》(以下简称《要求》)征求意见稿。此前,南财合规科技研究院曾发布“守门人”个人信息保护社会责任测评报告,发现大型互联网企业普遍处于“观望”阶段,独立监督机构有待落地。《要求》的发布意味着《个人信息保护法》第五十八条中对大型互联网企业要求的“成立主要由外部成员组成的独立机构”有了具体的标准细则。
目前该标准在征求意见阶段,按照目前的要求,大型互联网企业应在六个月内成立个人信息保护监督机构,对本企业的个人信息保护合法合规情况、履行个人信息保护社会责任情况等进行独立监督。个人信息保护监督机构应由七至十五名成员组成,其中外部成员占比不低于三分之二。
监督机构除却对个人信息保护一般事项的监督外,还可以对个人信息保护影响评估监督,个人信息保护合规审计监督、个人信息保护社会责任报告监督、个人信息泄露事件监督、个人信息跨境提供监督等。
个人信息保护监督机构如何组建?
《个人信息保护法》五十八条针对大型互联网平台委以特别义务,也被成为“守门人条款”,要求守门人企业“应当按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。
此前,南财合规科技研究院、21世纪经济报道记者采访人民大学教授张新宝,也是该标准起草人时,他曾解释,独立监督机构是大型互联网企业公司治理的重要组成部分,是一个创新的制度,主要通过引入外部成员对企业的个人信息保护情况进行监督,确保企业在个人信息保护方面合规运行。
根据《要求》,个人信息保护监督机构是大型互联网企业建立的主要由外部成员组成,对自身个人信息保护合法合规情况、履行个人信息保护社会责任情况等进行独立监督,并对提升个人信息保护水平提出建议和意见的机构。
大型互联网企业个人信息保护监督机构应由七至十五名成员组成,其中外部成员占比不低于三分之二,内部成员不超过三分之一。
大型互联网企业应在六个月内成立个人信息保护监督机构。
谁能成为个人信息保护监督机构成员?
《要求》明确,个人信息保护监督机构外部成员需要具备个人信息保护专业知识和技能,不在大型互联网企业担任除个人信息保护监督机构外部成员外的其他职务,与受聘大型互联网企业及其主要股东不存在可能妨碍其进行独立客观判断的关系,对大型互联网企业个人信息保护情况进行监督,发表独立客观建议、意见的外部专家。
为保持身份和履职的独立性,外部成员最近一年内不应具有下列情形,包括:在大型互联网企业或者其附属企业任职,或者其配偶、直系亲属、主要社会关系在大型互联网 企业或者其附属企业任职; 直接或间接持有大型互联网企业已发行股份百分之一以上或者是大型互联网企业前十名股东中的自然人股东及其直系亲属;为大型互联网企业或者其附属企业提供财务、法律等服务的人员等。
个人信息保护监督机构外部成员应熟悉个人信息保护、数据安全等相关法律法规、政策、标准;为个人信息保护、数据安全等相关领域法律、技术资深专家,具备副高级及以上专业技术职称,或者在个人信息保护、数据安全等相关领域具有五年以上合规、测评等工作经验的资深从业人员。
并且,在首次受聘大型互联网企业个人信息保护监督机构外部成员前,拟任外部成员应至少参加一次任职培训。受聘后,也需要定期接受专业培训,及时学习了解个人信息保护法律法规、技术与实践发展变化,保持履职专业性。
为了保障外部成员勤勉尽责,《要求》中还提到,外部成员应主动关注有关大型互联网企业特别是个人信息保护事项相关的报道及信息;与大型互联网企业个人信息保护负责人、个人信息保护监督机构秘书等及时充分沟通,确保工 作顺利开展; 每年为大型互联网企业有效工作的时间应不少于十五个工作日。
值得注意的是,为确保外部成员有足够的时间和精力有效履行职责,《要求》规定:最多在三家大型互联网企业担任外部成员。
监督范围有哪些?
监督机构的职权范围都包括哪些?
根据《要求》,监督机构对大型互联网企业个人信息保护基本情况监督,比如个人信息保护内部管理制度和操作规程、个人信息分类分级管理制度、采取的加密、去标识化等安全技术措施等。
也需要对个人信息保护合规制度体系、平台规则、隐私政策进行监督。大型互联网企业在制定个人信息保护合规制度体系、平台规则、隐私政策或对其实质性内容进 行重大修订时,应征求个人信息保护监督机构的意见。并且,收到个人信息保护监督机构改正意见和建议后,应及时予以处理,确有理由不 予处理的,应及时答复个人信息保护监督机构。
除却上述一般事项的监督外,《要求》中还规定了特别事项的监督。
包括个人信息保护影响评估监督,个人信息保护合规审计监督、个人信息保护社会责任报告监督、个人信息泄露事件监督、个人信息跨境提供监督等。
对于个人信息保护影响评估的监督,监督机构的监督事项包括:是否按照法律法规要求对处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息等个人信息处 理活动事先进行个人信息保护影响评估; 是否按照法律法规要求对个人信息的处理目的、处理方式等是否合法、正当、必要,对个人权 益的影响及安全风险,所采取的保护措施是否合法、有效并与风险程度相适应等进行评估等。
如果个人信息保护监督机构确有理由认为大型互联网企业已进行的个人信息保护影响评估未能合理反映个人信息处理活动对个人信息主体权益影响的,应建议大型互联网企业委托社会化第三方服务机构 进行个人信息保护影响评估。
数据跨境是个人信息保护中备受关注的环节,尤其是大型互联网企业数据跨境流通业务较多。
《要求》中提出,监督机构应就大型互联网企业个人信息跨境提供进行监督,发表监督意见,包括:是否符合法律法规要求的向境外提供个人信息的条件;通过国家网信部门安全评估方式跨境提供的,是否依法进行安全评估; 通过与境外接收方签订标准合同方式跨境提供的,是否依法签订标准合同;外国司法或者执法机构要求大型互联网企业提供存储于境内个人信息的,是否向主管机关提交审批,并经主管机关批准后提供。
此外,《要求》还提到,大型互联网企业拟赴境外上市的,个人信息保护监督机构应督促大型互联网企业及时向国家网络安全审查办公室申报网络安全审查,并对其提交的网络安全审查材料进行监督。
标签:
猜你喜欢
- 互联网大厂个人信息保护监督机构将有细化标准 或须六个月内完成组建
- 老字号品牌盈利暴增近590%,吸引19家机构关注!
- 消息称三星XR设备遭遇苹果Vision Pro冲击,推迟至明年6月生产
- 日本超市也停买,日企崩溃:自己人也这样?中国渔民直播间遭网暴,主播反击:我哪里在害人?网友晒单,退货日妆产品,多公司回应
- 日本水产品价格暴跌 部分产地鲍鱼价格较去年同期降价30%
- 成都车展方寸之争:头部新能源车企受热捧,传统车企展台显冷清
- 净利下滑,股价跌停!“瓜子大王”洽洽食品百亿目标恐无望
- 《武林外传》剧方诉浙江卫视《我们的客栈》节目侵权
- 公募基金代销“三巨头”最新数据出炉,基金销售“一哥”要变?
- 担保、增持、奖金都成了“借款”,腾邦集团原高管陷连环诉讼
最新文章
- 互联网大厂个人信息保护监督机构将有细化标准 或须六个月内完成组建
- 老字号品牌盈利暴增近590%,吸引19家机构关注!
- 消息称三星XR设备遭遇苹果Vision Pro冲击,推迟至明年6月生产
- 日本超市也停买,日企崩溃:自己人也这样?中国渔民直播间遭网暴,主播反击:我哪里在害人?网友晒单,退货日妆产品,多公司回应
- 日本水产品价格暴跌 部分产地鲍鱼价格较去年同期降价30%
- 成都车展方寸之争:头部新能源车企受热捧,传统车企展台显冷清
- 净利下滑,股价跌停!“瓜子大王”洽洽食品百亿目标恐无望
- 《武林外传》剧方诉浙江卫视《我们的客栈》节目侵权
- 公募基金代销“三巨头”最新数据出炉,基金销售“一哥”要变?
- 担保、增持、奖金都成了“借款”,腾邦集团原高管陷连环诉讼
- 三年虚增营收超3亿,罗普特收“罚单”,股价距高点跌超70%
- 基金销售三巨头业绩曝光!
- 太意外!招行业绩都下滑了,地产不良贷款率大增
- 国创医药闯关创业板:收购的山东中泰去年已实现盈利
- 一年数百会议服务活动、几万次拜访推介 冲刺IPO的国创医药回应:推广服务商活动是否受医药反腐影响
- 细数9家银行的年报,帮你避开深陷房地产泥潭的股份制银行
- 上市前后连续财务造假!罗普特收1625万元罚单,股价4个月“腰斩”
- 涉及超6万亿收入的增值税法将二审,有六大变化
- 极端天气发生后,对GDP有哪些影响?怎样减小损失?
- 证监会、三大交易所齐发声!
- 日本民众举行集会 要求停止福岛第一核电站核污染水排海
- 中国工商银行湖北省分行党委委员、副行长邱世杰接受审查调查
- 龙芯中科交出尴尬中报,大股东忙套现,增持加回购有用吗?
- 2023暑期档总票房破200亿!这三部影片暂列前三位