其他
个保法二审稿拟规定:增设独立机构监督超大平台处理个人信息
据新华社消息,4月26日,个人信息保护法草案二审稿(下称“草案二审稿”)提请十三届全国人大常委会第二十八次会议审议。
草案二审稿拟强化对超大互联网平台的个人信息保护义务,引入由外部成员组成的独立机构对个人信息活动进行监督。专家表示,此举可让企业切实地负起保护个人信息的责任,并确保企业处理个人信息的透明性。
文|尤一炜 孙朝 樊文扬
独立机构不对个人信息处理者负责
目前,互联网服务已深入人们的日常生活,涉及餐饮、购物、出行、理财等等。这些服务平台在为海量用户提供便捷服务的同时,也收集、存储了大量的个人信息,给个人信息安全带来诸多隐患。草案二审稿规定,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。“具有上述特征的个人信息处理者与国际上对‘守门人’企业(用户量超大的企业)的规定有异曲同工之处。”中国社科院法学研究所副所长周汉华表示,上述规定和最近强化反垄断调查、加大对“守门人”企业的监管力度的趋势是相符的。对外经济贸易大学数字经济与法律创新研究中心执行主任许可介绍,“基础性服务”在欧盟一般指基础网络服务,类似国内提供网络传输和网络接入等纯粹的管道服务或缓存服务的机构。但“国内应该会(把概念)扩得更大一些”,除了通讯类,社交等类别的网络服务平台也会被纳入。在欧盟,用户量超过4500万的科技公司可能被认定为“守门人”企业。许可表示,由于发展体量不同,无论是基础服务,还是用户数量,国内与欧盟对“守门人”的认定标准都将不一样,“这取决于后续的实施细则”。如何理解“外部成员”?许可认为,可类比上市公司的独立监事、外部董事等“和公司无关的人”。中国信息安全研究院副院长左晓栋也强调,独立机构的人员和个人信息处理者不能有隶属关系,独立机构不对个人信息处理者负责。设置独立机构可提升企业处理个人信息的透明度