独立监督互联网巨头，能做到吗？

本文字数：3029，阅读时长约8分钟

即将实施的《个人信息保护法》要求，互联网巨头应当成立独立机构对个人信息保护情况进行监督。目前，仅有腾讯宣布将于近期成立“个人信息保护外部监督委员会”，其他企业尚未披露相关举措。

文 | 《财经》E法 张剑  殷继

编辑 |  鲁伟

11月1日，备受关注的《个人信息保护法》将正式实施。作为中国第一部个人信息保护方面的专门法律，《个人信息保护法》共8章74条，对个人信息处理规则、个人在个人信息处理活动中的权利、履行个人信息保护职责的部门等方面作了全面规定，为信息安全筑起严密的“防护墙”。

《个人信息保护法》的“亮点”之一是，对个人信息处理者的义务作出了严格且详细的规定。《个人信息保护法》第58条规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。

《财经》E法注意到，10月15日，腾讯率先宣布，将于近期成立“个人信息保护外部监督委员会”（下称“腾讯监督委员会”），并公开招募委员会成员。该委员会是腾讯隐私保护工作的第三方独立监督机构，工作内容包括但不限于：结合相关法律法规要求，独立评议腾讯公司及各产品隐私保护相关工作、提出指导和修改意见等。

作为国内首家宣布成立独立机构对个人信息保护情况进行监督的互联网巨头企业，腾讯监督委员会的独立性如何体现，以及能否真正做到独立行使职权广受关注。

《个人信息保护法》第58条规定独立机构的成员“主要由外部成员组成”，外部成员的准入资质如何确定？独立机构的独立性如何体现？独立机构具体如何开展监督，有哪些监督权限？

01

独立性如何体现？

即将成立的腾讯监督委员会，其首批成员暂定为15人，计划将涵盖法学与技术专家、行业协会代表等个人信息保护领域的专业人士，以及律师、媒体和其他公众。

针对“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”的意义，北京师范大学刑事法律科学研究院网络法治国际中心执行主任吴沈括提出：首先，这将对互联网企业的业务经营理念和合规风控体系的建设有较大影响，将提高企业业务流程的透明度；其次，由于外部力量的参与和介入，有助于提高互联网企业在产品和服务的设计过程中对于各方利益诉求的事先考虑及平衡；此外，对消费者而言，外部监督的存在对用户权益的维护，尤其是在维权渠道的畅通性有更好助力。

作为互联网头部企业，腾讯成立监督委员会无疑具有示范效应。外界关注的是，独立机构的独立性能否实现，以及该如何去实现？

清华大学法学院副院长程啸、对外经济贸易大学数字经济与法律创新研究中心执行主任许可等专家曾提出，基础性互联网平台服务提供的产品被认为具有公共产品的性质，因此需要履行更多的社会责任，在平台治理和个人信息保护上要有更多外部的、独立的监督。《个人信息保护法》确立的 “独立机构”，类似于上市公司设立独立董事，独立机构的成员和个人信息处理者不能有隶属关系，独立机构不对个人信息处理者负责。

但也有学者对于“独立性”的实现表示出谨慎态度。中国人民大学法学院教授张新宝表示，上市公司均已设置独立董事或外部董事，但从实际运行过程中看，独立董事或外部董事真正独立行使职权的情况并不乐观。张新宝认为，互联网企业自行招募组建独立机构监督企业个人信息保护工作，在双方利益一致时，独立行使职权可以实现。但双方出现利益不一致的情况并不可能完全避免，如果外部独立机构在个人信息保护工作上作出的决定影响到企业的盈利，这一机构似乎将很难独立开展活动。

张新宝认为，独立机构运行所需要的资金，如果全部来源于企业，其独立性将很大程度上受制于企业。只有独立机构不受制于企业，独立监督作用才能发挥和实现。

程啸表示，针对《个人信息保护法》第58条规定的具体落地，监管部门可能会颁布相应的细则和规定，对参与独立机构外部成员的任职资格、义务规范和法律责任等作出详细要求。

吴沈括则建议，此类独立机构一旦开始运转，应充分负起责任，通过定期发布专项报告等形式对外披露有关企业在个人信息保护方面的信息，提高中立性和透明度，让互联网企业接受更广泛的外部社会监督。

02

如何落地？

但在执法层面，国外已有针对“守门人”企业建立此类机构的案例。欧盟《数字市场法案》规定，使用核心平台服务的月活跃终端用户数超过4500万的企业，被称为“守门人”企业。美国《终止平台垄断法案》要求，美国境内的在线平台月活跃人数达5000万，可以被视为“守门人”企业。

如果借鉴上述标准，国内几大互联网巨头自然应被视为“守门人“企业。中国社科院法学研究所副所长周汉华对此就曾表示，“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”与国际上对“守门人”企业的规定有异曲同工之处。

2019年7月，美国联邦贸易委员会（FTC）在其网站上公布了与“守门人”企业Facebook达成和解令的通告。

这一和解令要求Facebook成立一个独立于本公司董事会的隐私委员会——委员会必须是独立的，由独立的外部提名委员会任命，委员会成员只能经Facebook董事绝大多数协商一致后方可解雇。隐私委员会将选拔合规官、隐私评估员。Facebook首席执行官扎克伯格和指定的合规官要向FTC提交关于公司在隐私政策方面是如何遵守和解令的季度证明、年度证明。任何虚假证明都将受到个人民事和刑事处罚。

除了Facebook平台自身，上述和解令所授权的隐私保护计划还将涵盖Facebook旗下的WhatsApp和Instagram。Facebook在美国监管部门要求下，成立了相对独立的隐私保护机构，在成员选拔、监督运行机制等方面也有了更详尽的安排。

Facebook成立的隐私保护机构，为国内企业提供了可供借鉴的经验。

金杜律师事务所合伙人宁宣凤对《财经》E法表示，成立个人信息保护独立监督机构，是《个人信息保护法》独创的个人信息保护领域的独立监督机构机制。但《个人信息保护法》第58条没有规定独立机构的任免程序、成员门槛、报酬、负责机制等。从解决方案来看，反垄断领域经营者集中的监督受托人机制对理解该制度有较大的参考价值。

2020年12月1日实施的《经营者集中审查暂行规定》第四章规定，对于附加限制性条件批准的经营者集中，市场监管总局可以通过监督受托人对义务人履行限制性条件的行为进行监督检查。经营者集中监督受托人由义务人委托并支付报酬，对义务人进行督查，但该监督受托人的指派需经市场监管总局评估确定，且受托人对市场监管总局负责。

宁宣凤提出，《个人信息保护法》第58条规定的个人信息独立监督机构与经营者集中的监督受托人有较大的相似性。因此，中国在经营者集中领域已积累的成熟的监督受托人制度经验，可以为该条款的实施提供宝贵的实践支持。

10月19日-10月22日，《财经》E法就成立个人信息保护独立机构的问题，先后询问了阿里巴巴、字节跳动、京东、滴滴出行等国内互联网企业，这些企业有的表示已关注到相关信息，但尚无具体实施计划，有的未对此询问作出回应。