您的位置:首页 >资讯>冬季养生

互联网大厂个人信息保护监督机构将有细化标准 或须六个月内完成组建

21世纪经济报道记者 王俊 北京报道


【资料图】

近日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》(以下简称《要求》)征求意见稿。此前,南财合规科技研究院曾发布“守门人”个人信息保护社会责任测评报告,发现大型互联网企业普遍处于“观望”阶段,独立监督机构有待落地。《要求》的发布意味着《个人信息保护法》第五十八条中对大型互联网企业要求的“成立主要由外部成员组成的独立机构”有了具体的标准细则。

目前该标准在征求意见阶段,按照目前的要求,大型互联网企业应在六个月内成立个人信息保护监督机构,对本企业的个人信息保护合法合规情况、履行个人信息保护社会责任情况等进行独立监督。个人信息保护监督机构应由七至十五名成员组成,其中外部成员占比不低于三分之二。

监督机构除却对个人信息保护一般事项的监督外,还可以对个人信息保护影响评估监督,个人信息保护合规审计监督、个人信息保护社会责任报告监督、个人信息泄露事件监督、个人信息跨境提供监督等。

个人信息保护监督机构如何组建?

《个人信息保护法》五十八条针对大型互联网平台委以特别义务,也被成为“守门人条款”,要求守门人企业“应当按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。

此前,南财合规科技研究院、21世纪经济报道记者采访人民大学教授张新宝,也是该标准起草人时,他曾解释,独立监督机构是大型互联网企业公司治理的重要组成部分,是一个创新的制度,主要通过引入外部成员对企业的个人信息保护情况进行监督,确保企业在个人信息保护方面合规运行。

根据《要求》,个人信息保护监督机构是大型互联网企业建立的主要由外部成员组成,对自身个人信息保护合法合规情况、履行个人信息保护社会责任情况等进行独立监督,并对提升个人信息保护水平提出建议和意见的机构。

大型互联网企业个人信息保护监督机构应由七至十五名成员组成,其中外部成员占比不低于三分之二,内部成员不超过三分之一。

大型互联网企业应在六个月内成立个人信息保护监督机构。

谁能成为个人信息保护监督机构成员?

《要求》明确,个人信息保护监督机构外部成员需要具备个人信息保护专业知识和技能,不在大型互联网企业担任除个人信息保护监督机构外部成员外的其他职务,与受聘大型互联网企业及其主要股东不存在可能妨碍其进行独立客观判断的关系,对大型互联网企业个人信息保护情况进行监督,发表独立客观建议、意见的外部专家。

为保持身份和履职的独立性,外部成员最近一年内不应具有下列情形,包括:在大型互联网企业或者其附属企业任职,或者其配偶、直系亲属、主要社会关系在大型互联网 企业或者其附属企业任职; 直接或间接持有大型互联网企业已发行股份百分之一以上或者是大型互联网企业前十名股东中的自然人股东及其直系亲属;为大型互联网企业或者其附属企业提供财务、法律等服务的人员等。

个人信息保护监督机构外部成员应熟悉个人信息保护、数据安全等相关法律法规、政策、标准;为个人信息保护、数据安全等相关领域法律、技术资深专家,具备副高级及以上专业技术职称,或者在个人信息保护、数据安全等相关领域具有五年以上合规、测评等工作经验的资深从业人员。

并且,在首次受聘大型互联网企业个人信息保护监督机构外部成员前,拟任外部成员应至少参加一次任职培训。受聘后,也需要定期接受专业培训,及时学习了解个人信息保护法律法规、技术与实践发展变化,保持履职专业性。

为了保障外部成员勤勉尽责,《要求》中还提到,外部成员应主动关注有关大型互联网企业特别是个人信息保护事项相关的报道及信息;与大型互联网企业个人信息保护负责人、个人信息保护监督机构秘书等及时充分沟通,确保工 作顺利开展; 每年为大型互联网企业有效工作的时间应不少于十五个工作日。

值得注意的是,为确保外部成员有足够的时间和精力有效履行职责,《要求》规定:最多在三家大型互联网企业担任外部成员。

监督范围有哪些?

监督机构的职权范围都包括哪些?

根据《要求》,监督机构对大型互联网企业个人信息保护基本情况监督,比如个人信息保护内部管理制度和操作规程、个人信息分类分级管理制度、采取的加密、去标识化等安全技术措施等。

也需要对个人信息保护合规制度体系、平台规则、隐私政策进行监督。大型互联网企业在制定个人信息保护合规制度体系、平台规则、隐私政策或对其实质性内容进 行重大修订时,应征求个人信息保护监督机构的意见。并且,收到个人信息保护监督机构改正意见和建议后,应及时予以处理,确有理由不 予处理的,应及时答复个人信息保护监督机构。

除却上述一般事项的监督外,《要求》中还规定了特别事项的监督。

包括个人信息保护影响评估监督,个人信息保护合规审计监督、个人信息保护社会责任报告监督、个人信息泄露事件监督、个人信息跨境提供监督等。

对于个人信息保护影响评估的监督,监督机构的监督事项包括:是否按照法律法规要求对处理敏感个人信息、利用个人信息进行自动化决策委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息等个人信息处 理活动事先进行个人信息保护影响评估; 是否按照法律法规要求对个人信息的处理目的、处理方式等是否合法、正当、必要,对个人权 益的影响及安全风险,所采取的保护措施是否合法、有效并与风险程度相适应等进行评估等。

如果个人信息保护监督机构确有理由认为大型互联网企业已进行的个人信息保护影响评估未能合理反映个人信息处理活动对个人信息主体权益影响的,应建议大型互联网企业委托社会化第三方服务机构 进行个人信息保护影响评估。

数据跨境是个人信息保护中备受关注的环节,尤其是大型互联网企业数据跨境流通业务较多。

《要求》中提出,监督机构应就大型互联网企业个人信息跨境提供进行监督,发表监督意见,包括:是否符合法律法规要求的向境外提供个人信息的条件;通过国家网信部门安全评估方式跨境提供的,是否依法进行安全评估; 通过与境外接收方签订标准合同方式跨境提供的,是否依法签订标准合同;外国司法或者执法机构要求大型互联网企业提供存储于境内个人信息的,是否向主管机关提交审批,并经主管机关批准后提供

此外,《要求》还提到,大型互联网企业拟赴境外上市的,个人信息保护监督机构应督促大型互联网企业及时向国家网络安全审查办公室申报网络安全审查,并对其提交的网络安全审查材料进行监督。

关键词:

相关的文章>>

标签:
21世纪经济报道记者王俊北京报道近日,全国信息安全标准化技术委员会发[ 查看全文 ]
标签:
沧州市气象台2023年08月27日16时44分发布大风蓝色预警信号:预计明天白[ 查看全文 ]
标签:
智通财经APP讯,海顺新材(300501)(300501 SZ)发布2023年半年度报告,报[ 查看全文 ]
标签:
智通财经APP讯,维尔利(300190)(300190 SZ)发布2023年半年度报告,公司[ 查看全文 ]
标签:
1、总体来说,骐达的油耗并不高。2、当这款车型加92号汽油的时候,这款[ 查看全文 ]
标签:
当地时间8月27日,西班牙海上救援部门报告称,过去数小时内共计有3艘载[ 查看全文 ]
标签:
为落实证监会近期发布的活跃资本市场、提振投资者信心的一揽子政策安排[ 查看全文 ]
标签:
8月27日,在2023世界清洁能源装备大会清洁能源新品发布会上,13家企业[ 查看全文 ]
标签:
据知情人士称,3M公司即将就缺陷耳塞问题达成一项55亿美元的和解协议。[ 查看全文 ]
标签:
选择60岁以上老人保险时,需要考虑以下几个要点:保险类型、保险金额、[ 查看全文 ]
标签:
核心阅读近日,重庆广阳岛获评“国家生态环境科普基地”。拥有优美风景[ 查看全文 ]
标签:
缺盐几乎是不可能的8月24日福岛第一核电站核污染水排放入海受此影响,[ 查看全文 ]
标签:
昨天(27日)有网友爆料称济南火车站附近的天桥上发生一起交通事故视频[ 查看全文 ]
标签:
8月28日“心之所往向善而行”阿拉善盟2023年“遇见醉美金秋”文旅系列[ 查看全文 ]
标签:
浮空秘境角色强度排行究竟有哪些?好的角色往往都是越难获取,但是这也[ 查看全文 ]
标签:
​时间之钥映日湖湖底闯关解密攻略。映日湖湖底闯关怎么过正确密码是什[ 查看全文 ]
标签:
格隆汇8月22日丨亿都(国际控股)(00259 HK)公告,8月22日耗资67 5万港元[ 查看全文 ]
标签:
1、幼儿数学入门好课程,快心算是幼儿升入小学口算笔算过关的最佳方法[ 查看全文 ]
标签:
格隆汇8月22日丨有投资者向亿帆医药002019002019SZ提问美国FDA现场检查[ 查看全文 ]
标签:
0471房产来为大家解答以上的问题。win10教育版升级专业版后字有点虚这[ 查看全文 ]

热门标签

热门搜索:

春季养生 健康问答 资讯

资讯

更多
  • 河北省沧州市发布...

  • 海顺新材(300501.S...

  • 维尔利(300190.SZ)...

  • 西班牙海上救援部...

  • 证监会:将投资者...

  • 险象环生!天桥上4...

图说健康

更多

体育健身

更多