Expert Interpretation: Improving the System of Enterprise Personal Information Protection Supervision Committees to Build a Multi-Stakeholder Co-governance Personal Information Protection Governance System

《个人信息保护法》明确规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。这是一项极具远见和智慧的制度创新。近日，国家互联网信息办公室发布了《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》（以下简称《规定》），标志着上述法律规定的具体细化，对于构建多元共治的个人信息保护治理体系，全面提升我国个人信息保护水平具有重要意义。<br> 一、《规定》旨在矫正日益严重的数字权力失衡问题，具有十分的必要性<br> 从理论逻辑看，这是打破平台“运动员”与“裁判员”双重角色冲突的迫切需要。平台既是个人信息的处理者（运动员），又是自身行为合规性的审查者（裁判员）。这种自我监督模式存在着先天性的利益冲突。当平台商业利益与用户个人信息权益发生冲突时，内部机构很难保持真正的独立性和中立性。因此，需要通过引入外部力量，打破平台自我监督的封闭性，在组织架构上植入一个制衡“数字权力”的楔子，将一部分“裁判权”从平台手中让渡出来，交由一个利益无关的第三方行使，从而在结构上确保监督的客观性和有效性，矫正失衡的权力关系。<br> 从现实挑战看，这是应对大型网络平台个人信息保护复杂性和高风险的迫切需要。大型网络平台利用算法进行自动化决策“黑箱”，普通用户甚至监管机构都难以洞察。一旦大型网络平台发生数据泄露、滥用等安全事件，其影响不仅是个体的权益受损，还有可能引发群体性、系统性的社会风险，威胁国家安全和公共利益。同时，个体用户面对平台侵权时，面临着举证难、成本高、效果差的维权困境。因此，需要由法律、技术、公共管理等领域的外部专家组成的独立监督机构，深入平台的技术底层和业务流程，以“吹哨人”和“质检员”的身份，对高风险处理活动进行评估和预警，有效弥补政府在监管专业性和渗透力上的不足。<br> 从长远发展看，这是夯实数字经济健康发展所需的社会信任基石的迫切需要。信任是经济发展的基础。如果用户因担心数据被滥用而拒绝分享数据、谨慎使用服务，整个数字生态的创新和繁荣将成为无源之水。独立监督机构的核心作用，正是“信任”。通过持续透明专业的监督工作，可以向用户和社会传递出该平台在个人信息保护方面值得信赖的强烈信号。这种由第三方背书的信任，比平台自身的任何承诺都更有分量。此外，独立监督确保了数据利用的合法合规边界，为数据安全有序流动提供了制度保障。<br> 二、《规定》充分汲取现代企业管理正反两方面经验，具有突出的创新性<br> 《规定》借鉴了公司监事会、审计委员会以及上市公司独立董事制度的思路，同时在深刻洞察数字时代平台权力本质的基础上，进行了制度创新。<br> 在治理主体上，传统的公司治理，如董事会、监事会或审计委员会，其成员均由股东大会选举或委派，代表的是股东和公司的利益。其监督是内向型的，目标是公司利益最大化。而《规定》中的监督委员会，外部成员占比不低于三分之二，代表的是公共利益、用户权益和社会价值。这意味着，大型网络平台的行为已不能仅对股东负责，更必须对社会负责。这是一种将“社会监督”制度化、内嵌化的开创性尝试。<br> 在监督目标上，监事会或审计委员会的核心目标是监督公司财务、董事和高管的职务行为，以保障公司财产安全和股东经济利益，重点关注的是资本增值。而《规定》中的监督委员会，其目标单一且外向：对个人信息保护情况进行监督，督促大型网络平台个人信息保护合规水平提升，保护个人信息权益，重点关注的是权利保障。这种目标差异决定了二者在基因上的本质不同。<br> 在监督内容上，监事会或审计委员会监督范围涵盖财务、合规、履职等多方面，是综合性监督。而《规定》中的监督委员会，聚焦于“个人信息保护”专业领域，监督内容包括个人信息保护合规制度体系建设、平台或产品个人信息保护规则修订、敏感个人信息保护、个人信息保护影响评估开展等情况，这是深度专业化的监督模式。<br> 在监督程序上，监事会或审计委员会的监督多为周期性的，如审议季度报告、年度报告，事后审查多于事中介入。而《规定》中的监督委员会，其监督是常态化的、嵌入业务流程的，可列席大型网络平台个人信息保护工作有关会议，发现存在风险或违法违规收集处理个人信息等问题的，向大型网络平台服务提供者提出书面建议等。这是一种事前事中预防性与持续跟踪性相结合的监督，从全流程防范风险。<br> 三、《规定》有效破解外部独立监督机构的固有难题，具有鲜明的针对性<br> 《规定》吸取当前企业监事会、审计委员会以及上市公司独立董事制度存在的“独立性”侵蚀、“专业性”不足、“执行力”软弱等不足之处，进行了有针对性的规定。<br> 一是确保独立性。真正意义上的独立性是监督机构有效运作的核心前提。如果成员与大型网络平台有利益关系，很可能出现“人情委员”，难以发挥实质监督作用。为此，《规定》给出明确要求，如外部成员在受聘期间，本人或者直系亲属不得在受聘大型网络平台服务提供者或者其子公司、分公司、控制企业任职，不得直接或间接持有受聘大型网络平台服务提供者已发行股份百分之一以上，等等。<br> 二是确保专业性。大型网络平台的个人信息处理活动往往具有高度技术性和隐蔽性，涉及复杂的算法决策和数据流转，如果缺乏专业技术背景就难以实施有效监督。为此，《规定》要求担任监督委员会外部成员应当具备履行职责的专业素质，熟悉个人信息保护、数据安全相关法律法规、国家标准，从事个人信息保护相关工作不少于3年等。在外部成员提名时，应当充分了解被提名人的职业、学历、职称、工作经历、兼职情况等。<br> 三是确保执行性。成立主要由外部成员组成的独立机构意味着可观的合规成本，包括成员报酬、机构运营成本、系统改造费用等，平台可能对监督机构的工作不完全配合。为此，《规定》明确要求，监督委员会及其成员履行职责过程中，平台服务提供者有关组织、人员应当积极配合，不得恶意拒绝、阻碍或者隐瞒，不得干预其独立履行职责。同时要求为其提供履行职责所需的工作条件和协助。<br> 四是确保权威性。监督机构即使发现了问题，但如果缺乏足够的权威性和约束力，其建议和意见可能被平台搁置或忽视。为此，《规定》明确监督委员会应当定期召开会议，就平台个人信息保护监督事项进行审议，做出监督意见。平台服务提供者要在规定时限内处理监督意见，确有理由不予处理的，应当答复。监督委员会认为答复理由不成立的，可以向所在地省级网信部门报告。同时，国家网信部门牵头对全国平台落实《规定》要求情况进行监督检查。<br> 五是确保保密性。企业的数据处理流程、算法逻辑、商业模式等都可能在与监督机构的交流中被披露，如何平衡透明度要求与商业秘密保护是一大难题。为此，《规定》要求监督委员会及其成员在履行职责过程中，知悉的个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供。<br> 总之，一个成功的监督机制应当既能有效约束平台权力、保障个人信息权益，又不窒息创新活力；既能保持独立性和权威性，又能与内部治理有效协同；既能发现和纠正问题，又能促进企业合规文化的内生成长。这种平衡与协同是设立大型网络平台个人信息保护监督委员会的深层智慧所在，也是我国个人信息保护体系走向成熟的重要标志。（作者：王志成，中央网信办数据与技术保障中心副主任）