《信息安全技術(shù) 大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)要求》

ICS35.030

CCSL80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個(gè)人

信息保護(hù)監(jiān)督機(jī)構(gòu)要求

Informationsecuritytechnology－RequirementsforlargeInternetcompaniesinternal

personalinformationprotectionsupervisionagency

(點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí))

（征求意見(jiàn)稿）

（本稿完成時(shí)間：2023年8月24日）

在提交反饋意見(jiàn)時(shí)，請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

1

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并歸口。

本文件起草單位：中國(guó)人民大學(xué)、中國(guó)信息通信研究院、北京理工大學(xué)、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究

院、中國(guó)網(wǎng)絡(luò)空間研究院、國(guó)家信息技術(shù)安全研究中心、螞蟻科技集團(tuán)股份有限公司、淘天有限公司、

貝殼找房（北京）科技有限公司、北京小桔科技有限公司、北京抖音信息服務(wù)有限公司、北京京東尚科

信息技術(shù)有限公司、北京百度網(wǎng)訊科技有限公司、華為技術(shù)有限公司、北京小米移動(dòng)軟件有限公司、北

京微播視界科技有限公司、北京微夢(mèng)創(chuàng)科網(wǎng)絡(luò)技術(shù)有限公司、云從科技集團(tuán)股份有限公司、啟明星辰信

息技術(shù)集團(tuán)股份有限公司、浙江大學(xué)等。

本文件主要起草人：張新寶、葛鑫、洪延青、陳湉、姚相振、姜偉、王海棠、何波、田申、白曉媛、

李海英、郭建領(lǐng)、孫鐵、許銳、顧偉、李克鵬、石玉珍、張朝、陳一夫、劉艾婧、劉笑岑、李昳婧、倪

萍、鄧婷、黃天寧、張向拓、谷海燕、王磊、范曄、覃瀟霄、衣強(qiáng)、朱雪峰、任奎、劉楠、李軍、楊天

識(shí)、白雅喜、趙高華、劉金飛、文龍等。

II

GB/TXXXXX—XXXX

信息安全技術(shù)大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)要求

1范圍

本文件規(guī)定了大型互聯(lián)網(wǎng)企業(yè)建立和運(yùn)行個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的要求，包括個(gè)人信息保護(hù)監(jiān)督

機(jī)構(gòu)的設(shè)置、職責(zé)、工作規(guī)則，以及個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的成員等要求。

本文件適用于大型互聯(lián)網(wǎng)企業(yè)建立和運(yùn)行個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)，也可為監(jiān)管、檢查、評(píng)估等活動(dòng)

提供參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)

GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范

3術(shù)語(yǔ)和定義

GB/T25069—2022和GB/T35273—2020界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

大型互聯(lián)網(wǎng)企業(yè)largeInternetenterprise

提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的互聯(lián)網(wǎng)企業(yè)，同時(shí)具備較大用戶規(guī)模、

較廣業(yè)務(wù)種類、較多業(yè)務(wù)范圍、較高經(jīng)濟(jì)體量和較強(qiáng)影響能力的大型互聯(lián)網(wǎng)平臺(tái)。

3.2

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)personalinformationprotectionsupervisionagency

大型互聯(lián)網(wǎng)企業(yè)建立的主要由外部成員組成，對(duì)自身個(gè)人信息保護(hù)合法合規(guī)情況、履行個(gè)人信息保

護(hù)社會(huì)責(zé)任情況等進(jìn)行獨(dú)立監(jiān)督，并對(duì)提升個(gè)人信息保護(hù)水平提出建議和意見(jiàn)的機(jī)構(gòu)。

3.3個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員externalmemberofpersonalinformationprotection

supervisionagency

具備個(gè)人信息保護(hù)專業(yè)知識(shí)和技能，不在大型互聯(lián)網(wǎng)企業(yè)擔(dān)任除個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員

外的其他職務(wù)，與受聘大型互聯(lián)網(wǎng)企業(yè)及其主要股東不存在可能妨礙其進(jìn)行獨(dú)立客觀判斷的關(guān)系，對(duì)大

型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督，發(fā)表獨(dú)立客觀建議、意見(jiàn)的外部專家。

4個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的設(shè)立

4.1成立要求

3

GB/TXXXXX—XXXX

大型互聯(lián)網(wǎng)企業(yè)應(yīng)在六個(gè)月內(nèi)成立個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)，對(duì)本企業(yè)的個(gè)人信息保護(hù)合法合規(guī)情

況、履行個(gè)人信息保護(hù)社會(huì)責(zé)任情況等進(jìn)行獨(dú)立監(jiān)督。

4.2人員構(gòu)成要求

大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)由七至十五名成員組成，其中外部成員占比不低于三分

之二，內(nèi)部成員不超過(guò)三分之一。

4.3主任、副主任及職責(zé)

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)設(shè)主任、副主任各一人，由外部成員擔(dān)任，經(jīng)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)全體

成員過(guò)半數(shù)選舉產(chǎn)生。

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)會(huì)議期間，主任應(yīng)負(fù)責(zé)主持個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)會(huì)議。個(gè)人信息保護(hù)監(jiān)督

機(jī)構(gòu)休會(huì)期間，主任可組織外部成員與大型互聯(lián)網(wǎng)企業(yè)用戶代表、消費(fèi)者代表等開(kāi)展調(diào)研、訪談等活動(dòng)。

主任不能履行職務(wù)或者不履行職務(wù)，應(yīng)由副主任代為履行。

4.4秘書(shū)的任命及職責(zé)

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)設(shè)秘書(shū)一人，由內(nèi)部成員擔(dān)任，經(jīng)大型互聯(lián)網(wǎng)企業(yè)任命產(chǎn)生。

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)會(huì)議期間，秘書(shū)應(yīng)負(fù)責(zé)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的會(huì)議的籌備、召集、文件保

管、信息披露等事宜。個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)休會(huì)期間，秘書(shū)應(yīng)負(fù)責(zé)與外部成員的日常聯(lián)系，為外部成

員履行職責(zé)提供必要協(xié)助。

5個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)成員

5.1外部成員的任職要求

5.1.1獨(dú)立性要求

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員應(yīng)保持身份和履職的獨(dú)立性，在履職過(guò)程中不應(yīng)受大型互聯(lián)網(wǎng)企

業(yè)主要股東、實(shí)際控制人或者其他與大型互聯(lián)網(wǎng)企業(yè)存在利害關(guān)系的單位或個(gè)人的影響，最近一年內(nèi)不

應(yīng)具有下列情形：

a)在大型互聯(lián)網(wǎng)企業(yè)或者其附屬企業(yè)任職，或者其配偶、直系親屬、主要社會(huì)關(guān)系在大型互聯(lián)網(wǎng)

企業(yè)或者其附屬企業(yè)任職；

b)直接或間接持有大型互聯(lián)網(wǎng)企業(yè)已發(fā)行股份百分之一以上或者是大型互聯(lián)網(wǎng)企業(yè)前十名股東

中的自然人股東及其直系親屬；

c)在直接或間接持有大型互聯(lián)網(wǎng)企業(yè)股份百分之五以上的股東單位或者在大型互聯(lián)網(wǎng)企業(yè)前五

名股東單位任職的人員及其直系親屬；

d)為大型互聯(lián)網(wǎng)企業(yè)或者其附屬企業(yè)提供財(cái)務(wù)、法律等服務(wù)的人員；

e)國(guó)家網(wǎng)信部門(mén)認(rèn)定的其他可能影響外部成員獨(dú)立性的情形。

外部成員應(yīng)保持身份和履職的獨(dú)立性，發(fā)生對(duì)身份獨(dú)立性構(gòu)成影響的情形，外部成員應(yīng)及時(shí)通知大

型互聯(lián)網(wǎng)企業(yè)并消除情形，發(fā)生對(duì)身份獨(dú)立性構(gòu)成影響的情形時(shí)，外部成員應(yīng)及時(shí)通知個(gè)人信息保護(hù)監(jiān)

督機(jī)構(gòu)秘書(shū)并消除情形，無(wú)法符合獨(dú)立性要求的，應(yīng)提出辭職。

5.1.2專業(yè)性要求

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員應(yīng)具備與履行職責(zé)相適應(yīng)的專業(yè)水平：

a)熟悉個(gè)人信息保護(hù)、數(shù)據(jù)安全等相關(guān)法律法規(guī)、政策、標(biāo)準(zhǔn)；

4

GB/TXXXXX—XXXX

b)為個(gè)人信息保護(hù)、數(shù)據(jù)安全等相關(guān)領(lǐng)域法律、技術(shù)資深專家，具備副高級(jí)及以上專業(yè)技術(shù)職稱，

或者在個(gè)人信息保護(hù)、數(shù)據(jù)安全等相關(guān)領(lǐng)域具有五年以上合規(guī)、測(cè)評(píng)等工作經(jīng)驗(yàn)的資深從業(yè)人

員。

在首次受聘大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員前，擬任外部成員應(yīng)至少參加一次任

職培訓(xùn)。受聘大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員后，外部成員應(yīng)定期接受專業(yè)培訓(xùn)，及時(shí)

學(xué)習(xí)了解個(gè)人信息保護(hù)法律法規(guī)、技術(shù)與實(shí)踐發(fā)展變化，保持履職專業(yè)性。

5.1.3職業(yè)道德要求

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員應(yīng)具備履行職責(zé)相適應(yīng)的職業(yè)道德水平：

a)政治可靠，具有較高的政治素質(zhì)；

b)遵紀(jì)守法，能夠客觀獨(dú)立、公平公正、廉潔地履行職責(zé)；

c)曾因犯罪受過(guò)刑事處罰、曾被開(kāi)除公職或者受到監(jiān)管部門(mén)懲戒和處罰的，不應(yīng)擔(dān)任個(gè)人信息保

護(hù)監(jiān)督機(jī)構(gòu)外部成員。

5.2外部成員的提名與任免

5.2.1外部成員的提名

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員應(yīng)由大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)負(fù)責(zé)人組織提名事宜：

a)個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)通過(guò)公開(kāi)征集和定向邀請(qǐng)的方式提名個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員；

b)個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)充分了解被提名人職業(yè)、學(xué)歷、職稱、詳細(xì)的工作經(jīng)歷、全部兼職等情

況，并在提名前征得被提名人的同意，被提名人應(yīng)如實(shí)提供相應(yīng)證明材料；

c)個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)對(duì)被提名人擔(dān)任個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員的資格和獨(dú)立性進(jìn)行

說(shuō)明。

個(gè)人信息保護(hù)負(fù)責(zé)人提名外部成員時(shí)，宜考慮整體人員構(gòu)成多元專業(yè)背景構(gòu)成，充分吸納具備個(gè)人

信息保護(hù)、數(shù)據(jù)安全等法律、技術(shù)、合規(guī)、測(cè)評(píng)等不同知識(shí)結(jié)構(gòu)與實(shí)踐經(jīng)驗(yàn)的專家。

5.2.2外部成員的任命

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員應(yīng)由大型互聯(lián)網(wǎng)企業(yè)董事會(huì)或經(jīng)董事會(huì)授權(quán)的董事長(zhǎng)、執(zhí)行董事

決定并任命：

a)董事會(huì)或經(jīng)董事會(huì)授權(quán)的董事長(zhǎng)、執(zhí)行董事應(yīng)聽(tīng)取個(gè)人信息保護(hù)負(fù)責(zé)人就被提名人情況的說(shuō)

明；

b)董事會(huì)或經(jīng)董事會(huì)授權(quán)的董事長(zhǎng)、執(zhí)行董事應(yīng)通過(guò)表決方式?jīng)Q定是否任命個(gè)人信息保護(hù)監(jiān)督

機(jī)構(gòu)外部成員；

c)董事會(huì)或經(jīng)董事會(huì)授權(quán)的董事長(zhǎng)、執(zhí)行董事決定不任命個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員的，應(yīng)

書(shū)面說(shuō)明異議意見(jiàn)。

5.2.3外部成員的任期

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員實(shí)行任期制，每屆任期三年。外部成員任期屆滿，可連任，但連任

時(shí)間不應(yīng)超過(guò)六年。

5.2.4外部成員的辭任

5

GB/TXXXXX—XXXX

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員在任期內(nèi)可向大型互聯(lián)網(wǎng)企業(yè)提交書(shū)面辭職報(bào)告，自愿辭去職務(wù)。

因辭職導(dǎo)致個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)成員低于法定人數(shù)或者外部成員低于法定比例要求的，在大型互聯(lián)

網(wǎng)企業(yè)補(bǔ)任出新的外部成員前，提出辭任的外部成員仍應(yīng)履行外部成員職責(zé)。

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員不再滿足任職資格專業(yè)性、獨(dú)立性或職業(yè)道德要求的，應(yīng)在出現(xiàn)相

應(yīng)情形后十五日內(nèi)通知大型互聯(lián)網(wǎng)企業(yè)，辭去外部成員職務(wù)。

5.2.5外部成員的免職

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員在任期屆滿前，出現(xiàn)下列情形的，應(yīng)由大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保

護(hù)負(fù)責(zé)人提請(qǐng)董事會(huì)或經(jīng)董事會(huì)授權(quán)的董事長(zhǎng)、執(zhí)行董事免除其職務(wù)：

a)連續(xù)三次未親自出席監(jiān)督機(jī)構(gòu)會(huì)議的；

b)出現(xiàn)不符合獨(dú)立性條件要求的情形的；

c)出現(xiàn)違反職業(yè)道德條件要求的情形的；

d)出現(xiàn)其他不適宜繼續(xù)履行外部成員職責(zé)的情形。

因免除個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員職務(wù)導(dǎo)致個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)成員低于法定人數(shù)的或者

外部成員低于法定比例要求的，大型互聯(lián)網(wǎng)企業(yè)應(yīng)盡快補(bǔ)充任命外部成員，以確保外部成員人數(shù)達(dá)到法

定要求。

5.3外部成員的履職要求

5.3.1外部成員勤勉盡責(zé)要求

個(gè)人信息保護(hù)外部監(jiān)督機(jī)構(gòu)外部成員應(yīng)依法履行監(jiān)督職責(zé)，勤勉盡責(zé)地開(kāi)展工作：

a)主動(dòng)關(guān)注有關(guān)大型互聯(lián)網(wǎng)企業(yè)特別是個(gè)人信息保護(hù)事項(xiàng)相關(guān)的報(bào)道及信息；

b)通過(guò)多種渠道與大型互聯(lián)網(wǎng)企業(yè)用戶代表、消費(fèi)者代表開(kāi)展調(diào)研、訪談等活動(dòng)；

c)與大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)負(fù)責(zé)人、個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)秘書(shū)等及時(shí)充分溝通，確保工

作順利開(kāi)展；

d)每年為大型互聯(lián)網(wǎng)企業(yè)有效工作的時(shí)間應(yīng)不少于十五個(gè)工作日；

注：外部成員有效工作時(shí)間應(yīng)包括出席個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)會(huì)議、與個(gè)人信息保護(hù)負(fù)責(zé)人及個(gè)人信息保護(hù)監(jiān)督機(jī)

構(gòu)秘書(shū)等進(jìn)行工作討論、對(duì)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)事項(xiàng)提出建議和意見(jiàn)等；

e)確保有足夠的時(shí)間和精力有效履行職責(zé)，最多在三家大型互聯(lián)網(wǎng)企業(yè)擔(dān)任外部成員。

5.3.2工作記錄與述職報(bào)告要求

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員應(yīng)就其年度履行職責(zé)的情況形成工作記錄，包括但不限于參加個(gè)

人信息保護(hù)監(jiān)督機(jī)構(gòu)會(huì)議、與個(gè)人信息保護(hù)負(fù)責(zé)人及個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)秘書(shū)等進(jìn)行工作討論、對(duì)

大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)事項(xiàng)提出建議和意見(jiàn)等內(nèi)容。

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員應(yīng)向大型互聯(lián)網(wǎng)企業(yè)提交年度述職報(bào)告，對(duì)其履行職責(zé)的情況進(jìn)

行說(shuō)明，由本人簽字確認(rèn)后提交個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)秘書(shū)存檔保管。

5.3.3外部成員保密要求

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員應(yīng)對(duì)履職過(guò)程中所知悉的大型互聯(lián)網(wǎng)企業(yè)相關(guān)信息予以保密，非

因履職需要或者經(jīng)大型互聯(lián)網(wǎng)企業(yè)同意，不應(yīng)向他人披露。

在多家大型互聯(lián)網(wǎng)企業(yè)擔(dān)任個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員的，未經(jīng)大型互聯(lián)網(wǎng)企業(yè)同意，不應(yīng)

披露或分享不同大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)履職過(guò)程中所知悉的信息。

5.4內(nèi)部成員的人選與任期

6

GB/TXXXXX—XXXX

5.4.1內(nèi)部成員的人選

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)內(nèi)部成員應(yīng)由大型互聯(lián)網(wǎng)企業(yè)董事會(huì)或經(jīng)董事會(huì)授權(quán)的董事長(zhǎng)、執(zhí)行董事

從下列人員中選任：

a)大型互聯(lián)網(wǎng)企業(yè)董事、監(jiān)事、高級(jí)管理人員；

b)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)負(fù)責(zé)人；

c)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)合規(guī)人員；

d)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)技術(shù)或業(yè)務(wù)人員；

e)大型互聯(lián)網(wǎng)企業(yè)聘請(qǐng)的合規(guī)、技術(shù)、業(yè)務(wù)人員等；

因違法違規(guī)處理個(gè)人信息受到行政處罰、刑事處罰未滿五年的，或者負(fù)責(zé)業(yè)務(wù)近三年內(nèi)發(fā)生過(guò)重大

風(fēng)險(xiǎn)事件的，不應(yīng)擔(dān)任個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)內(nèi)部成員。

5.4.2內(nèi)部成員的任期

為保障個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)履行職責(zé)的連續(xù)性，個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)內(nèi)部成員任期宜與個(gè)人

信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員任期相同：

a)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)內(nèi)部成員任期屆滿，由大型互聯(lián)網(wǎng)企業(yè)董事會(huì)或經(jīng)董事會(huì)授權(quán)的董事

長(zhǎng)、執(zhí)行董事決定是否連任；

b)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)內(nèi)部成員因離職、調(diào)崗等，不適宜繼續(xù)擔(dān)任個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)內(nèi)部

成員的，大型互聯(lián)網(wǎng)企業(yè)應(yīng)在十五日內(nèi)補(bǔ)任新的內(nèi)部成員。

為保障個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)履行職責(zé)的便利性，大型互聯(lián)網(wǎng)企業(yè)可設(shè)置1名非固定內(nèi)部成員，根

據(jù)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)需要靈活選任。

5.5內(nèi)部成員的履職要求

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)內(nèi)部成員應(yīng)勤勉盡責(zé)地履行監(jiān)督職責(zé)，履職工作時(shí)間、工作記錄、述職報(bào)告

等要求，宜參考外部成員相關(guān)履職要求。

6個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)職責(zé)

6.1一般事項(xiàng)監(jiān)督

6.1.1個(gè)人信息保護(hù)基本情況監(jiān)督

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)履行個(gè)人信息保護(hù)義務(wù)、保護(hù)個(gè)人在個(gè)人信息處理活

動(dòng)中的權(quán)利情況進(jìn)行監(jiān)督，要求個(gè)人信息保護(hù)負(fù)責(zé)人或其指定的其他個(gè)人信息保護(hù)相關(guān)負(fù)責(zé)人員對(duì)大

型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)相關(guān)事項(xiàng)作出說(shuō)明和解釋：

a)個(gè)人信息保護(hù)內(nèi)部管理制度和操作規(guī)程；

b)個(gè)人信息分類分級(jí)管理制度；

c)采取的加密、去標(biāo)識(shí)化等安全技術(shù)措施；

d)個(gè)人信息處理的操作權(quán)限相關(guān)規(guī)則；

e)對(duì)從業(yè)人員進(jìn)行的安全教育和培訓(xùn)；

f)其他與個(gè)人信息保護(hù)相關(guān)但不涉及商業(yè)秘密的事項(xiàng)。

6.1.2個(gè)人信息保護(hù)合規(guī)制度體系、平臺(tái)規(guī)則、隱私政策監(jiān)督

7

GB/TXXXXX—XXXX

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)合規(guī)制度體系、平臺(tái)規(guī)則、隱私政策等、

進(jìn)行監(jiān)督，發(fā)表監(jiān)督意見(jiàn)：

a)大型互聯(lián)網(wǎng)企業(yè)在制定個(gè)人信息保護(hù)合規(guī)制度體系、平臺(tái)規(guī)則、隱私政策或?qū)ζ鋵?shí)質(zhì)性內(nèi)容進(jìn)

行重大修訂時(shí)，應(yīng)征求個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的意見(jiàn)；

b)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)認(rèn)為大型互聯(lián)網(wǎng)企業(yè)相關(guān)事項(xiàng)存在違法違規(guī)處理個(gè)人信息或者違反合

法、正當(dāng)、必要、誠(chéng)信、公開(kāi)、透明原則處理個(gè)人信息的情形，應(yīng)向大型互聯(lián)網(wǎng)企業(yè)提出改正

意見(jiàn)和建議；

c)大型互聯(lián)網(wǎng)企業(yè)收到個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)改正意見(jiàn)和建議后，應(yīng)及時(shí)予以處理，確有理由不

予處理的，應(yīng)及時(shí)答復(fù)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)。

6.2特別事項(xiàng)監(jiān)督

6.2.1個(gè)人信息保護(hù)影響評(píng)估監(jiān)督

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)影響評(píng)估事項(xiàng)進(jìn)行監(jiān)督，發(fā)表監(jiān)督意見(jiàn)：

a)是否按照法律法規(guī)要求對(duì)處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動(dòng)化決策、委托處理個(gè)人信

息、向其他個(gè)人信息處理者提供個(gè)人信息、公開(kāi)個(gè)人信息、向境外提供個(gè)人信息等個(gè)人信息處

理活動(dòng)事先進(jìn)行個(gè)人信息保護(hù)影響評(píng)估；

b)是否按照法律法規(guī)要求對(duì)個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要，對(duì)個(gè)人權(quán)

益的影響及安全風(fēng)險(xiǎn)，所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)等進(jìn)行評(píng)估；

c)是否按照法律法規(guī)要求對(duì)個(gè)人信息保護(hù)影響評(píng)估報(bào)告、處理情況等進(jìn)行記錄并保存。

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)確有理由認(rèn)為大型互聯(lián)網(wǎng)企業(yè)已進(jìn)行的個(gè)人信息保護(hù)影響評(píng)估未能合理反

映個(gè)人信息處理活動(dòng)對(duì)個(gè)人信息主體權(quán)益影響的，應(yīng)建議大型互聯(lián)網(wǎng)企業(yè)委托社會(huì)化第三方服務(wù)機(jī)構(gòu)

進(jìn)行個(gè)人信息保護(hù)影響評(píng)估。

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)認(rèn)為其他個(gè)人信息處理活動(dòng)可能對(duì)個(gè)人權(quán)益有重大影響，應(yīng)書(shū)面建議個(gè)人

信息保護(hù)負(fù)責(zé)人開(kāi)展個(gè)人信息保護(hù)影響評(píng)估活動(dòng)。

6.2.2個(gè)人信息保護(hù)合規(guī)審計(jì)監(jiān)督

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)是否定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情

況開(kāi)展合規(guī)審計(jì)進(jìn)行監(jiān)督，發(fā)表監(jiān)督意見(jiàn)。

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)確有理由認(rèn)為大型互聯(lián)網(wǎng)企業(yè)已進(jìn)行的合規(guī)審計(jì)未能如實(shí)反映其個(gè)人信息

處理活動(dòng)遵守法律、行政法規(guī)的情況，應(yīng)建議大型互聯(lián)網(wǎng)企業(yè)委托社會(huì)化第三方服務(wù)機(jī)構(gòu)進(jìn)行合規(guī)審計(jì)。

6.2.3個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告監(jiān)督

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)發(fā)布社會(huì)責(zé)任報(bào)告進(jìn)行監(jiān)督，發(fā)表監(jiān)督意見(jiàn)。

大型互聯(lián)網(wǎng)企業(yè)應(yīng)在公開(kāi)發(fā)布社會(huì)責(zé)任報(bào)告前，聽(tīng)取個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的意見(jiàn)，如個(gè)人信息保

護(hù)監(jiān)督機(jī)構(gòu)或外部成員就社會(huì)責(zé)任報(bào)告實(shí)質(zhì)性內(nèi)容發(fā)表反對(duì)意見(jiàn)，大型互聯(lián)網(wǎng)企業(yè)應(yīng)將有關(guān)情況進(jìn)行

披露并說(shuō)明不予采納的理由。

6.2.4個(gè)人信息安全事件應(yīng)急預(yù)案監(jiān)督

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)應(yīng)急預(yù)案的制定及實(shí)施進(jìn)行監(jiān)督，發(fā)表

監(jiān)督意見(jiàn)：

a)是否按照法律法規(guī)、國(guó)家標(biāo)準(zhǔn)的要求制定個(gè)人信息安全事件應(yīng)急預(yù)案；

b)是否定期組織內(nèi)部相關(guān)人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練；

8

GB/TXXXXX—XXXX

c)內(nèi)部相關(guān)人員是否掌握崗位職責(zé)和應(yīng)急處置策略與規(guī)程；

d)是否根據(jù)相關(guān)法律法規(guī)變化情況，以及事件處置情況，及時(shí)更新應(yīng)急預(yù)案。

6.2.5個(gè)人信息泄露事件監(jiān)督

大型互聯(lián)網(wǎng)企業(yè)發(fā)生或可能發(fā)生個(gè)人信息泄露、篡改、丟失情形時(shí)，個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)就如

下事項(xiàng)進(jìn)行監(jiān)督：

a)是否立即采取補(bǔ)救措施；

b)是否按照法律法規(guī)的要求及時(shí)通知履行個(gè)人信息保護(hù)職責(zé)的部門(mén)和個(gè)人。

大型互聯(lián)網(wǎng)企業(yè)發(fā)生或可能發(fā)生個(gè)人信息泄露、篡改、丟失，但未立即采取補(bǔ)救措施或未按照法律

法規(guī)的要求及時(shí)通知履行個(gè)人信息保護(hù)職責(zé)的部門(mén)和個(gè)人時(shí)，個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)立即建議大型

互聯(lián)網(wǎng)企業(yè)履行告知義務(wù)，大型互聯(lián)網(wǎng)企業(yè)未及時(shí)改正的，外部成員應(yīng)向省級(jí)以上網(wǎng)信部門(mén)報(bào)告。

6.2.6個(gè)人信息跨境提供監(jiān)督

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息跨境提供進(jìn)行監(jiān)督，發(fā)表監(jiān)督意見(jiàn)：

a)是否確實(shí)具備向中華人民共和國(guó)境外提供個(gè)人信息的必要性；

b)是否符合法律法規(guī)要求的向境外提供個(gè)人信息的條件；

c)通過(guò)國(guó)家網(wǎng)信部門(mén)安全評(píng)估方式跨境提供的，是否依法進(jìn)行安全評(píng)估；

d)通過(guò)與境外接收方簽訂標(biāo)準(zhǔn)合同方式跨境提供的，是否依法簽訂標(biāo)準(zhǔn)合同；

e)外國(guó)司法或者執(zhí)法機(jī)構(gòu)要求大型互聯(lián)網(wǎng)企業(yè)提供存儲(chǔ)于境內(nèi)個(gè)人信息的，是否向主管機(jī)關(guān)提

交審批，并經(jīng)主管機(jī)關(guān)批準(zhǔn)后提供。

大型互聯(lián)網(wǎng)企業(yè)擬赴境外上市的，個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)督促大型互聯(lián)網(wǎng)企業(yè)及時(shí)向國(guó)家網(wǎng)絡(luò)

安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查，并對(duì)其提交的網(wǎng)絡(luò)安全審查材料進(jìn)行監(jiān)督。

6.3提出建議和意見(jiàn)

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)可就下列事項(xiàng)提出建議和意見(jiàn)：

a)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)負(fù)責(zé)人的履職情況；

b)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)相關(guān)的董事會(huì)議案；

c)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)負(fù)責(zé)人所咨詢的個(gè)人信息保護(hù)相關(guān)事項(xiàng)；

d)社會(huì)公眾反應(yīng)強(qiáng)烈的大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)問(wèn)題。

7個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)工作機(jī)制

7.1一般要求

7.1.1會(huì)議的召集

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)每六個(gè)月應(yīng)至少召開(kāi)一次會(huì)議，由個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)秘書(shū)召集。

秘書(shū)應(yīng)于會(huì)議召開(kāi)十五日前通知全體成員會(huì)議召開(kāi)的時(shí)間、地點(diǎn)和審議的事項(xiàng)。

7.1.2會(huì)議形式

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)會(huì)議應(yīng)以現(xiàn)場(chǎng)召開(kāi)的方式進(jìn)行。

對(duì)成員之間交流討論必要性不大的事項(xiàng)或者臨時(shí)會(huì)議時(shí)間緊急難以召開(kāi)現(xiàn)場(chǎng)會(huì)議的，可采取電話

或視頻會(huì)議等方式進(jìn)行通訊表決，并保留錄音、錄像。

注：6.2中個(gè)人信息保護(hù)特別監(jiān)督事項(xiàng)不宜采取通訊表決方式召開(kāi)會(huì)議，緊急情況除外。

9

GB/TXXXXX—XXXX

7.1.3會(huì)議資料的提供與了解

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)秘書(shū)應(yīng)在通知全體成員會(huì)議審議事項(xiàng)時(shí)，一并提供會(huì)議審議事項(xiàng)所需的相

關(guān)材料。

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)成員應(yīng)在會(huì)前充分知悉會(huì)議審議事項(xiàng)，了解審議事項(xiàng)相關(guān)知識(shí)。

7.1.4會(huì)議資料的補(bǔ)充或說(shuō)明

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員認(rèn)為個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)會(huì)議審議事項(xiàng)內(nèi)容不明確、不具體或

有關(guān)材料不充分的，應(yīng)在收到會(huì)議資料之日起五日內(nèi)敦促大型互聯(lián)網(wǎng)企業(yè)補(bǔ)充資料或作出進(jìn)一步說(shuō)明，

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)秘書(shū)應(yīng)就相關(guān)事宜提供協(xié)助。

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員可建議審議事項(xiàng)相關(guān)的大型互聯(lián)網(wǎng)企業(yè)高級(jí)管理人員、業(yè)務(wù)負(fù)責(zé)

人、外聘中介機(jī)構(gòu)人員、用戶代表、消費(fèi)者代表等列席個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)會(huì)議，答復(fù)審議事項(xiàng)相關(guān)

問(wèn)詢。

7.1.5會(huì)議出席

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)會(huì)議應(yīng)有過(guò)半數(shù)的成員出席方可舉行。無(wú)特別原因，個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)

成員應(yīng)親自出席會(huì)議。

外部成員無(wú)法親自出席的，應(yīng)事先審閱會(huì)議材料，形成明確的意見(jiàn)，書(shū)面委托該大型互聯(lián)網(wǎng)企業(yè)個(gè)

人信息保護(hù)監(jiān)督機(jī)構(gòu)其他外部成員代為出席。一名外部成員在一次個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)會(huì)議上僅可

接受一名外部成員的委托。委托書(shū)應(yīng)一事一授，載明委托人和受托人的姓名，對(duì)受托人的授權(quán)范圍，委

托人對(duì)審議事項(xiàng)表決意向的指示，不應(yīng)為空白委托書(shū)或全權(quán)委托書(shū)。

內(nèi)部成員無(wú)法親自出席的，應(yīng)參照外部成員委托出席會(huì)議要求，委托其他內(nèi)部成員代為出席，但個(gè)

人信息保護(hù)監(jiān)督機(jī)構(gòu)工作規(guī)則另有規(guī)定的除外。

7.1.6會(huì)議主持

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)會(huì)議由主任主持，主任不能履行職務(wù)或者不履行職務(wù)的，由副主任主持。副

主任不能履行職務(wù)或者不履行職務(wù)的，由半數(shù)以上成員共同推舉一名外部成員主持。

7.1.7會(huì)議表決

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)通過(guò)表決方式議事，實(shí)行一人一票，成員應(yīng)就決議事項(xiàng)投出贊成、反對(duì)或棄

權(quán)票：

a)就大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)一般事項(xiàng)、個(gè)人信息保護(hù)合規(guī)制度體系、平臺(tái)規(guī)則、隱私政策的

監(jiān)督意見(jiàn)作出決議，應(yīng)經(jīng)參會(huì)全體成員二分之一以上通過(guò)；

b)個(gè)就大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)影響評(píng)估、個(gè)人信息合規(guī)審計(jì)、個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告、

個(gè)人信息泄露事件的監(jiān)督意見(jiàn)，應(yīng)經(jīng)參會(huì)全體成員三分之二以上通過(guò)。

對(duì)表決事項(xiàng)投反對(duì)或棄權(quán)票的外部成員，應(yīng)獨(dú)立、客觀、審慎地發(fā)表獨(dú)立意見(jiàn)，包括反對(duì)意見(jiàn)及理

由、棄權(quán)意見(jiàn)及理由、無(wú)法發(fā)表意見(jiàn)及其障礙等，并在會(huì)議記錄中載明。

7.1.8會(huì)議記錄

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)會(huì)議應(yīng)就會(huì)議審議事項(xiàng)、外部成員發(fā)表意見(jiàn)等作成會(huì)議記錄和決議記錄，

出席會(huì)議的成員應(yīng)在記錄上簽名。個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)秘書(shū)應(yīng)將會(huì)議記錄和決議記錄上報(bào)董事會(huì)或

經(jīng)董事會(huì)授權(quán)的董事長(zhǎng)、執(zhí)行董事。

10

GB/TXXXXX—XXXX

外部成員有權(quán)督促大型互聯(lián)網(wǎng)企業(yè)制作個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)會(huì)議記錄，代表其本人和委托其代

為出席的會(huì)議的外部成員對(duì)會(huì)議記錄和決議記錄簽名確認(rèn)，對(duì)會(huì)議記錄或決議記錄有不同意見(jiàn)的，應(yīng)

在簽字時(shí)作出書(shū)面說(shuō)明。

7.1.9資料保管

外部成員在履行職責(zé)過(guò)程中，就大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)相關(guān)事項(xiàng)進(jìn)行的問(wèn)詢、調(diào)研、討論

等均應(yīng)形成書(shū)面文件，與大型互聯(lián)網(wǎng)企業(yè)之間的各種來(lái)往信函、傳真、電子郵件等資料均應(yīng)保存。

注：外部成員與大型互聯(lián)網(wǎng)企業(yè)工作人員之間的工作通話應(yīng)在事后進(jìn)行要點(diǎn)記錄，形成書(shū)面文件保存。

7.2臨時(shí)會(huì)議

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)主席、三分之一以上個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)成員可向個(gè)人信息保護(hù)監(jiān)督機(jī)

構(gòu)秘書(shū)提議召開(kāi)臨時(shí)會(huì)議，秘書(shū)應(yīng)自接到提議后五日內(nèi)通知全體成員會(huì)議召開(kāi)的時(shí)間、

地點(diǎn)和審議的事項(xiàng)，應(yīng)在接到提議后十五日內(nèi)完成會(huì)議的召集。

7.3延期開(kāi)會(huì)與審議

三分之一以上外部成員認(rèn)為會(huì)議審議事項(xiàng)資料不充分或不具體時(shí)，可聯(lián)名向個(gè)人信息保護(hù)監(jiān)督機(jī)

構(gòu)秘書(shū)提議延期召開(kāi)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)會(huì)議或延期審議相關(guān)事項(xiàng)。

7.4暫緩表決

三分之一以上外部成員認(rèn)為審議議題不明確、不具體，或者因會(huì)議材料不充分等事由導(dǎo)致其無(wú)法對(duì)

決議事項(xiàng)作出判斷時(shí)，應(yīng)提議會(huì)議對(duì)該事項(xiàng)暫緩表決，并說(shuō)明該事項(xiàng)表決所應(yīng)滿足的明確要求。

7.5履職獨(dú)立性保障

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)及其成員履行監(jiān)督職責(zé)時(shí)，大型互聯(lián)網(wǎng)企業(yè)有關(guān)人員應(yīng)積極配合，無(wú)正當(dāng)理

由不應(yīng)拒絕、阻礙或隱瞞，不應(yīng)干預(yù)其獨(dú)立履行監(jiān)督職責(zé)。

個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員依法履行監(jiān)督職責(zé)遭遇阻礙時(shí)，可向大型互聯(lián)網(wǎng)企業(yè)董事會(huì)或經(jīng)

董事會(huì)授權(quán)的董事長(zhǎng)、執(zhí)行董事說(shuō)明情況，要求個(gè)人信息保護(hù)負(fù)責(zé)人或個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)秘書(shū)予以

配合，并將遭遇阻礙的事實(shí)、具體情形和解決狀況計(jì)入工作記錄。

7.6履職條件保障

大型互聯(lián)網(wǎng)企業(yè)應(yīng)為其履行職責(zé)提供所必需的工作條件和協(xié)助，保障個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)及外

部成員有效履行職責(zé)：

a)指定專人負(fù)責(zé)與個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員的日常聯(lián)系，及時(shí)響應(yīng)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)

及外部成員的意見(jiàn)和建議；

b)為個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)及外部成員履行職責(zé)提供協(xié)助，如介紹情況、提供材料等，定期通報(bào)個(gè)

人信息保護(hù)情況，必要時(shí)應(yīng)組織實(shí)地考察；

c)應(yīng)保障個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)及外部成員享有必要的知情權(quán)，為其提供真實(shí)、準(zhǔn)確、完整的資料，

外部成員認(rèn)為資料不充分的，有權(quán)要求補(bǔ)充；

d)承擔(dān)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)及外部成員履職過(guò)程中支出的合理費(fèi)用。

7.7工作規(guī)則制定

大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)制定個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)工作規(guī)則，經(jīng)全體成員三分

之二以上同意通過(guò)，由大型互聯(lián)網(wǎng)企業(yè)董事會(huì)批準(zhǔn)。

11

GB/TXXXXX—XXXX

參考文獻(xiàn)

[1]國(guó)家市場(chǎng)監(jiān)督管理總局關(guān)于對(duì)《互聯(lián)網(wǎng)平臺(tái)分類分級(jí)指南（征求意見(jiàn)稿）》《互聯(lián)網(wǎng)平臺(tái)落

實(shí)主體責(zé)任指南（征求意見(jiàn)稿）》公開(kāi)征求意見(jiàn)的公告（2021年10月29日國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)

布）

[2]中國(guó)上市公司協(xié)會(huì)發(fā)布《上市公司獨(dú)立董事履職指引》（修訂版）及《獨(dú)立董事促進(jìn)上市公

司內(nèi)部控制工作指引》（2020年8月12日中國(guó)上市公司協(xié)會(huì)）

12

GB/TXXXXX—XXXX

目次

前言..............................................................................II

1范圍............................................................................3

2規(guī)范性引用文件..................................................................3

3術(shù)語(yǔ)和定義......................................................................3

4個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的設(shè)立.......................................................3

4.1成立要求......................................................................3

4.2人員構(gòu)成要求................................................................4

4.3主任、副主任及職責(zé)...........................................................4

4.4秘書(shū)的任命及職責(zé).............................................................4

5個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)成員.........................................................4

5.1外部成員的任職要求...........................................................4

5.2外部成員的提名與任免.........................................................5

5.3外部成員的履職要求...........................................................6

5.4內(nèi)部成員的人選與任期.........................................................6

5.5內(nèi)部成員的履職要求...........................................................7

6個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)職責(zé).........................................................7

6.1一般事項(xiàng)監(jiān)督................................................................7

6.2特別事項(xiàng)監(jiān)督................................................................8

6.3提出建議和意見(jiàn)...............................................................9

7個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)工作機(jī)制.....................................................9

7.1一般要求....................................................................9

7.2臨時(shí)會(huì)議....................................................................11

7.3延期開(kāi)會(huì)與審議...............................................................11

7.4暫緩表決....................................................................11

7.5履職獨(dú)立性保障...............................................................11

7.6履職條件保障................................................................11

7.7工作規(guī)則制定................................................................11

參考文獻(xiàn)..........................................................................12

I

GB/TXXXXX—XXXX

信息安全技術(shù)大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)要求

1范圍

本文件規(guī)定了大型互聯(lián)網(wǎng)企業(yè)建立和運(yùn)行個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的要求，包括個(gè)人信息保護(hù)監(jiān)督

機(jī)構(gòu)的設(shè)置、職責(zé)、工作規(guī)則，以及個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的成員等要求。

本文件適用于大型互聯(lián)網(wǎng)企業(yè)建立和運(yùn)行個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)，也可為監(jiān)管、檢查、評(píng)估等活動(dòng)

提供參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)

GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范

3術(shù)語(yǔ)和定義

GB/T25069—2022和GB/T35273—2020界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

大型互聯(lián)網(wǎng)企業(yè)largeInternetenterprise

提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量