《信息安全技術(shù) 大型互聯(lián)網(wǎng)企業(yè)內(nèi)設個人信息保護監(jiān)督機構(gòu)要求》

ICS35.030

CCSL80

中華人民共和國國家標準

GB/TXXXXX—XXXX

信息安全技術(shù)大型互聯(lián)網(wǎng)企業(yè)內(nèi)設個人

信息保護監(jiān)督機構(gòu)要求

Informationsecuritytechnology－RequirementsforlargeInternetcompaniesinternal

personalinformationprotectionsupervisionagency

(點擊此處添加與國際標準一致性程度的標識)

（征求意見稿）

（本稿完成時間：2023年8月24日）

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

1

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件由全國信息安全標準化技術(shù)委員會（SAC/TC260）提出并歸口。

本文件起草單位：中國人民大學、中國信息通信研究院、北京理工大學、中國電子技術(shù)標準化研究

院、中國網(wǎng)絡空間研究院、國家信息技術(shù)安全研究中心、螞蟻科技集團股份有限公司、淘天有限公司、

貝殼找房（北京）科技有限公司、北京小桔科技有限公司、北京抖音信息服務有限公司、北京京東尚科

信息技術(shù)有限公司、北京百度網(wǎng)訊科技有限公司、華為技術(shù)有限公司、北京小米移動軟件有限公司、北

京微播視界科技有限公司、北京微夢創(chuàng)科網(wǎng)絡技術(shù)有限公司、云從科技集團股份有限公司、啟明星辰信

息技術(shù)集團股份有限公司、浙江大學等。

本文件主要起草人：張新寶、葛鑫、洪延青、陳湉、姚相振、姜偉、王海棠、何波、田申、白曉媛、

李海英、郭建領(lǐng)、孫鐵、許銳、顧偉、李克鵬、石玉珍、張朝、陳一夫、劉艾婧、劉笑岑、李昳婧、倪

萍、鄧婷、黃天寧、張向拓、谷海燕、王磊、范曄、覃瀟霄、衣強、朱雪峰、任奎、劉楠、李軍、楊天

識、白雅喜、趙高華、劉金飛、文龍等。

II

GB/TXXXXX—XXXX

信息安全技術(shù)大型互聯(lián)網(wǎng)企業(yè)內(nèi)設個人信息保護監(jiān)督機構(gòu)要求

1范圍

本文件規(guī)定了大型互聯(lián)網(wǎng)企業(yè)建立和運行個人信息保護監(jiān)督機構(gòu)的要求，包括個人信息保護監(jiān)督

機構(gòu)的設置、職責、工作規(guī)則，以及個人信息保護監(jiān)督機構(gòu)的成員等要求。

本文件適用于大型互聯(lián)網(wǎng)企業(yè)建立和運行個人信息保護監(jiān)督機構(gòu)，也可為監(jiān)管、檢查、評估等活動

提供參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范

3術(shù)語和定義

GB/T25069—2022和GB/T35273—2020界定的以及下列術(shù)語和定義適用于本文件。

3.1

大型互聯(lián)網(wǎng)企業(yè)largeInternetenterprise

提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的互聯(lián)網(wǎng)企業(yè)，同時具備較大用戶規(guī)模、

較廣業(yè)務種類、較多業(yè)務范圍、較高經(jīng)濟體量和較強影響能力的大型互聯(lián)網(wǎng)平臺。

3.2

個人信息保護監(jiān)督機構(gòu)personalinformationprotectionsupervisionagency

大型互聯(lián)網(wǎng)企業(yè)建立的主要由外部成員組成，對自身個人信息保護合法合規(guī)情況、履行個人信息保

護社會責任情況等進行獨立監(jiān)督，并對提升個人信息保護水平提出建議和意見的機構(gòu)。

3.3個人信息保護監(jiān)督機構(gòu)外部成員externalmemberofpersonalinformationprotection

supervisionagency

具備個人信息保護專業(yè)知識和技能，不在大型互聯(lián)網(wǎng)企業(yè)擔任除個人信息保護監(jiān)督機構(gòu)外部成員

外的其他職務，與受聘大型互聯(lián)網(wǎng)企業(yè)及其主要股東不存在可能妨礙其進行獨立客觀判斷的關(guān)系，對大

型互聯(lián)網(wǎng)企業(yè)個人信息保護情況進行監(jiān)督，發(fā)表獨立客觀建議、意見的外部專家。

4個人信息保護監(jiān)督機構(gòu)的設立

4.1成立要求

3

GB/TXXXXX—XXXX

大型互聯(lián)網(wǎng)企業(yè)應在六個月內(nèi)成立個人信息保護監(jiān)督機構(gòu)，對本企業(yè)的個人信息保護合法合規(guī)情

況、履行個人信息保護社會責任情況等進行獨立監(jiān)督。

4.2人員構(gòu)成要求

大型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督機構(gòu)應由七至十五名成員組成，其中外部成員占比不低于三分

之二，內(nèi)部成員不超過三分之一。

4.3主任、副主任及職責

個人信息保護監(jiān)督機構(gòu)應設主任、副主任各一人，由外部成員擔任，經(jīng)個人信息保護監(jiān)督機構(gòu)全體

成員過半數(shù)選舉產(chǎn)生。

個人信息保護監(jiān)督機構(gòu)會議期間，主任應負責主持個人信息保護監(jiān)督機構(gòu)會議。個人信息保護監(jiān)督

機構(gòu)休會期間，主任可組織外部成員與大型互聯(lián)網(wǎng)企業(yè)用戶代表、消費者代表等開展調(diào)研、訪談等活動。

主任不能履行職務或者不履行職務，應由副主任代為履行。

4.4秘書的任命及職責

個人信息保護監(jiān)督機構(gòu)應設秘書一人，由內(nèi)部成員擔任，經(jīng)大型互聯(lián)網(wǎng)企業(yè)任命產(chǎn)生。

個人信息保護監(jiān)督機構(gòu)會議期間，秘書應負責個人信息保護監(jiān)督機構(gòu)的會議的籌備、召集、文件保

管、信息披露等事宜。個人信息保護監(jiān)督機構(gòu)休會期間，秘書應負責與外部成員的日常聯(lián)系，為外部成

員履行職責提供必要協(xié)助。

5個人信息保護監(jiān)督機構(gòu)成員

5.1外部成員的任職要求

5.1.1獨立性要求

個人信息保護監(jiān)督機構(gòu)外部成員應保持身份和履職的獨立性，在履職過程中不應受大型互聯(lián)網(wǎng)企

業(yè)主要股東、實際控制人或者其他與大型互聯(lián)網(wǎng)企業(yè)存在利害關(guān)系的單位或個人的影響，最近一年內(nèi)不

應具有下列情形：

a)在大型互聯(lián)網(wǎng)企業(yè)或者其附屬企業(yè)任職，或者其配偶、直系親屬、主要社會關(guān)系在大型互聯(lián)網(wǎng)

企業(yè)或者其附屬企業(yè)任職；

b)直接或間接持有大型互聯(lián)網(wǎng)企業(yè)已發(fā)行股份百分之一以上或者是大型互聯(lián)網(wǎng)企業(yè)前十名股東

中的自然人股東及其直系親屬；

c)在直接或間接持有大型互聯(lián)網(wǎng)企業(yè)股份百分之五以上的股東單位或者在大型互聯(lián)網(wǎng)企業(yè)前五

名股東單位任職的人員及其直系親屬；

d)為大型互聯(lián)網(wǎng)企業(yè)或者其附屬企業(yè)提供財務、法律等服務的人員；

e)國家網(wǎng)信部門認定的其他可能影響外部成員獨立性的情形。

外部成員應保持身份和履職的獨立性，發(fā)生對身份獨立性構(gòu)成影響的情形，外部成員應及時通知大

型互聯(lián)網(wǎng)企業(yè)并消除情形，發(fā)生對身份獨立性構(gòu)成影響的情形時，外部成員應及時通知個人信息保護監(jiān)

督機構(gòu)秘書并消除情形，無法符合獨立性要求的，應提出辭職。

5.1.2專業(yè)性要求

個人信息保護監(jiān)督機構(gòu)外部成員應具備與履行職責相適應的專業(yè)水平：

a)熟悉個人信息保護、數(shù)據(jù)安全等相關(guān)法律法規(guī)、政策、標準；

4

GB/TXXXXX—XXXX

b)為個人信息保護、數(shù)據(jù)安全等相關(guān)領(lǐng)域法律、技術(shù)資深專家，具備副高級及以上專業(yè)技術(shù)職稱，

或者在個人信息保護、數(shù)據(jù)安全等相關(guān)領(lǐng)域具有五年以上合規(guī)、測評等工作經(jīng)驗的資深從業(yè)人

員。

在首次受聘大型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督機構(gòu)外部成員前，擬任外部成員應至少參加一次任

職培訓。受聘大型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督機構(gòu)外部成員后，外部成員應定期接受專業(yè)培訓，及時

學習了解個人信息保護法律法規(guī)、技術(shù)與實踐發(fā)展變化，保持履職專業(yè)性。

5.1.3職業(yè)道德要求

個人信息保護監(jiān)督機構(gòu)外部成員應具備履行職責相適應的職業(yè)道德水平：

a)政治可靠，具有較高的政治素質(zhì)；

b)遵紀守法，能夠客觀獨立、公平公正、廉潔地履行職責；

c)曾因犯罪受過刑事處罰、曾被開除公職或者受到監(jiān)管部門懲戒和處罰的，不應擔任個人信息保

護監(jiān)督機構(gòu)外部成員。

5.2外部成員的提名與任免

5.2.1外部成員的提名

個人信息保護監(jiān)督機構(gòu)外部成員應由大型互聯(lián)網(wǎng)企業(yè)個人信息保護負責人組織提名事宜：

a)個人信息保護負責人應通過公開征集和定向邀請的方式提名個人信息保護監(jiān)督機構(gòu)外部成員；

b)個人信息保護負責人應充分了解被提名人職業(yè)、學歷、職稱、詳細的工作經(jīng)歷、全部兼職等情

況，并在提名前征得被提名人的同意，被提名人應如實提供相應證明材料；

c)個人信息保護負責人應對被提名人擔任個人信息保護監(jiān)督機構(gòu)外部成員的資格和獨立性進行

說明。

個人信息保護負責人提名外部成員時，宜考慮整體人員構(gòu)成多元專業(yè)背景構(gòu)成，充分吸納具備個人

信息保護、數(shù)據(jù)安全等法律、技術(shù)、合規(guī)、測評等不同知識結(jié)構(gòu)與實踐經(jīng)驗的專家。

5.2.2外部成員的任命

個人信息保護監(jiān)督機構(gòu)外部成員應由大型互聯(lián)網(wǎng)企業(yè)董事會或經(jīng)董事會授權(quán)的董事長、執(zhí)行董事

決定并任命：

a)董事會或經(jīng)董事會授權(quán)的董事長、執(zhí)行董事應聽取個人信息保護負責人就被提名人情況的說

明；

b)董事會或經(jīng)董事會授權(quán)的董事長、執(zhí)行董事應通過表決方式?jīng)Q定是否任命個人信息保護監(jiān)督

機構(gòu)外部成員；

c)董事會或經(jīng)董事會授權(quán)的董事長、執(zhí)行董事決定不任命個人信息保護監(jiān)督機構(gòu)外部成員的，應

書面說明異議意見。

5.2.3外部成員的任期

個人信息保護監(jiān)督機構(gòu)外部成員實行任期制，每屆任期三年。外部成員任期屆滿，可連任，但連任

時間不應超過六年。

5.2.4外部成員的辭任

5

GB/TXXXXX—XXXX

個人信息保護監(jiān)督機構(gòu)外部成員在任期內(nèi)可向大型互聯(lián)網(wǎng)企業(yè)提交書面辭職報告，自愿辭去職務。

因辭職導致個人信息保護監(jiān)督機構(gòu)成員低于法定人數(shù)或者外部成員低于法定比例要求的，在大型互聯(lián)

網(wǎng)企業(yè)補任出新的外部成員前，提出辭任的外部成員仍應履行外部成員職責。

個人信息保護監(jiān)督機構(gòu)外部成員不再滿足任職資格專業(yè)性、獨立性或職業(yè)道德要求的，應在出現(xiàn)相

應情形后十五日內(nèi)通知大型互聯(lián)網(wǎng)企業(yè)，辭去外部成員職務。

5.2.5外部成員的免職

個人信息保護監(jiān)督機構(gòu)外部成員在任期屆滿前，出現(xiàn)下列情形的，應由大型互聯(lián)網(wǎng)企業(yè)個人信息保

護負責人提請董事會或經(jīng)董事會授權(quán)的董事長、執(zhí)行董事免除其職務：

a)連續(xù)三次未親自出席監(jiān)督機構(gòu)會議的；

b)出現(xiàn)不符合獨立性條件要求的情形的；

c)出現(xiàn)違反職業(yè)道德條件要求的情形的；

d)出現(xiàn)其他不適宜繼續(xù)履行外部成員職責的情形。

因免除個人信息保護監(jiān)督機構(gòu)外部成員職務導致個人信息保護監(jiān)督機構(gòu)成員低于法定人數(shù)的或者

外部成員低于法定比例要求的，大型互聯(lián)網(wǎng)企業(yè)應盡快補充任命外部成員，以確保外部成員人數(shù)達到法

定要求。

5.3外部成員的履職要求

5.3.1外部成員勤勉盡責要求

個人信息保護外部監(jiān)督機構(gòu)外部成員應依法履行監(jiān)督職責，勤勉盡責地開展工作：

a)主動關(guān)注有關(guān)大型互聯(lián)網(wǎng)企業(yè)特別是個人信息保護事項相關(guān)的報道及信息；

b)通過多種渠道與大型互聯(lián)網(wǎng)企業(yè)用戶代表、消費者代表開展調(diào)研、訪談等活動；

c)與大型互聯(lián)網(wǎng)企業(yè)個人信息保護負責人、個人信息保護監(jiān)督機構(gòu)秘書等及時充分溝通，確保工

作順利開展；

d)每年為大型互聯(lián)網(wǎng)企業(yè)有效工作的時間應不少于十五個工作日；

注：外部成員有效工作時間應包括出席個人信息保護監(jiān)督機構(gòu)會議、與個人信息保護負責人及個人信息保護監(jiān)督機

構(gòu)秘書等進行工作討論、對大型互聯(lián)網(wǎng)企業(yè)個人信息保護事項提出建議和意見等；

e)確保有足夠的時間和精力有效履行職責，最多在三家大型互聯(lián)網(wǎng)企業(yè)擔任外部成員。

5.3.2工作記錄與述職報告要求

個人信息保護監(jiān)督機構(gòu)外部成員應就其年度履行職責的情況形成工作記錄，包括但不限于參加個

人信息保護監(jiān)督機構(gòu)會議、與個人信息保護負責人及個人信息保護監(jiān)督機構(gòu)秘書等進行工作討論、對

大型互聯(lián)網(wǎng)企業(yè)個人信息保護事項提出建議和意見等內(nèi)容。

個人信息保護監(jiān)督機構(gòu)外部成員應向大型互聯(lián)網(wǎng)企業(yè)提交年度述職報告，對其履行職責的情況進

行說明，由本人簽字確認后提交個人信息保護監(jiān)督機構(gòu)秘書存檔保管。

5.3.3外部成員保密要求

個人信息保護監(jiān)督機構(gòu)外部成員應對履職過程中所知悉的大型互聯(lián)網(wǎng)企業(yè)相關(guān)信息予以保密，非

因履職需要或者經(jīng)大型互聯(lián)網(wǎng)企業(yè)同意，不應向他人披露。

在多家大型互聯(lián)網(wǎng)企業(yè)擔任個人信息保護監(jiān)督機構(gòu)外部成員的，未經(jīng)大型互聯(lián)網(wǎng)企業(yè)同意，不應

披露或分享不同大型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督機構(gòu)履職過程中所知悉的信息。

5.4內(nèi)部成員的人選與任期

6

GB/TXXXXX—XXXX

5.4.1內(nèi)部成員的人選

個人信息保護監(jiān)督機構(gòu)內(nèi)部成員應由大型互聯(lián)網(wǎng)企業(yè)董事會或經(jīng)董事會授權(quán)的董事長、執(zhí)行董事

從下列人員中選任：

a)大型互聯(lián)網(wǎng)企業(yè)董事、監(jiān)事、高級管理人員；

b)大型互聯(lián)網(wǎng)企業(yè)個人信息保護負責人；

c)大型互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)人員；

d)大型互聯(lián)網(wǎng)企業(yè)個人信息保護技術(shù)或業(yè)務人員；

e)大型互聯(lián)網(wǎng)企業(yè)聘請的合規(guī)、技術(shù)、業(yè)務人員等；

因違法違規(guī)處理個人信息受到行政處罰、刑事處罰未滿五年的，或者負責業(yè)務近三年內(nèi)發(fā)生過重大

風險事件的，不應擔任個人信息保護監(jiān)督機構(gòu)內(nèi)部成員。

5.4.2內(nèi)部成員的任期

為保障個人信息保護監(jiān)督機構(gòu)履行職責的連續(xù)性，個人信息保護監(jiān)督機構(gòu)內(nèi)部成員任期宜與個人

信息保護監(jiān)督機構(gòu)外部成員任期相同：

a)個人信息保護監(jiān)督機構(gòu)內(nèi)部成員任期屆滿，由大型互聯(lián)網(wǎng)企業(yè)董事會或經(jīng)董事會授權(quán)的董事

長、執(zhí)行董事決定是否連任；

b)個人信息保護監(jiān)督機構(gòu)內(nèi)部成員因離職、調(diào)崗等，不適宜繼續(xù)擔任個人信息保護監(jiān)督機構(gòu)內(nèi)部

成員的，大型互聯(lián)網(wǎng)企業(yè)應在十五日內(nèi)補任新的內(nèi)部成員。

為保障個人信息保護監(jiān)督機構(gòu)履行職責的便利性，大型互聯(lián)網(wǎng)企業(yè)可設置1名非固定內(nèi)部成員，根

據(jù)個人信息保護監(jiān)督機構(gòu)需要靈活選任。

5.5內(nèi)部成員的履職要求

個人信息保護監(jiān)督機構(gòu)內(nèi)部成員應勤勉盡責地履行監(jiān)督職責，履職工作時間、工作記錄、述職報告

等要求，宜參考外部成員相關(guān)履職要求。

6個人信息保護監(jiān)督機構(gòu)職責

6.1一般事項監(jiān)督

6.1.1個人信息保護基本情況監(jiān)督

個人信息保護監(jiān)督機構(gòu)應就大型互聯(lián)網(wǎng)企業(yè)履行個人信息保護義務、保護個人在個人信息處理活

動中的權(quán)利情況進行監(jiān)督，要求個人信息保護負責人或其指定的其他個人信息保護相關(guān)負責人員對大

型互聯(lián)網(wǎng)企業(yè)個人信息保護相關(guān)事項作出說明和解釋：

a)個人信息保護內(nèi)部管理制度和操作規(guī)程；

b)個人信息分類分級管理制度；

c)采取的加密、去標識化等安全技術(shù)措施；

d)個人信息處理的操作權(quán)限相關(guān)規(guī)則；

e)對從業(yè)人員進行的安全教育和培訓；

f)其他與個人信息保護相關(guān)但不涉及商業(yè)秘密的事項。

6.1.2個人信息保護合規(guī)制度體系、平臺規(guī)則、隱私政策監(jiān)督

7

GB/TXXXXX—XXXX

個人信息保護監(jiān)督機構(gòu)應就大型互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)制度體系、平臺規(guī)則、隱私政策等、

進行監(jiān)督，發(fā)表監(jiān)督意見：

a)大型互聯(lián)網(wǎng)企業(yè)在制定個人信息保護合規(guī)制度體系、平臺規(guī)則、隱私政策或?qū)ζ鋵嵸|(zhì)性內(nèi)容進

行重大修訂時，應征求個人信息保護監(jiān)督機構(gòu)的意見；

b)個人信息保護監(jiān)督機構(gòu)認為大型互聯(lián)網(wǎng)企業(yè)相關(guān)事項存在違法違規(guī)處理個人信息或者違反合

法、正當、必要、誠信、公開、透明原則處理個人信息的情形，應向大型互聯(lián)網(wǎng)企業(yè)提出改正

意見和建議；

c)大型互聯(lián)網(wǎng)企業(yè)收到個人信息保護監(jiān)督機構(gòu)改正意見和建議后，應及時予以處理，確有理由不

予處理的，應及時答復個人信息保護監(jiān)督機構(gòu)。

6.2特別事項監(jiān)督

6.2.1個人信息保護影響評估監(jiān)督

個人信息保護監(jiān)督機構(gòu)應就大型互聯(lián)網(wǎng)企業(yè)個人信息保護影響評估事項進行監(jiān)督，發(fā)表監(jiān)督意見：

a)是否按照法律法規(guī)要求對處理敏感個人信息、利用個人信息進行自動化決策、委托處理個人信

息、向其他個人信息處理者提供個人信息、公開個人信息、向境外提供個人信息等個人信息處

理活動事先進行個人信息保護影響評估；

b)是否按照法律法規(guī)要求對個人信息的處理目的、處理方式等是否合法、正當、必要，對個人權(quán)

益的影響及安全風險，所采取的保護措施是否合法、有效并與風險程度相適應等進行評估；

c)是否按照法律法規(guī)要求對個人信息保護影響評估報告、處理情況等進行記錄并保存。

個人信息保護監(jiān)督機構(gòu)確有理由認為大型互聯(lián)網(wǎng)企業(yè)已進行的個人信息保護影響評估未能合理反

映個人信息處理活動對個人信息主體權(quán)益影響的，應建議大型互聯(lián)網(wǎng)企業(yè)委托社會化第三方服務機構(gòu)

進行個人信息保護影響評估。

個人信息保護監(jiān)督機構(gòu)認為其他個人信息處理活動可能對個人權(quán)益有重大影響，應書面建議個人

信息保護負責人開展個人信息保護影響評估活動。

6.2.2個人信息保護合規(guī)審計監(jiān)督

個人信息保護監(jiān)督機構(gòu)應就大型互聯(lián)網(wǎng)企業(yè)是否定期對其處理個人信息遵守法律、行政法規(guī)的情

況開展合規(guī)審計進行監(jiān)督，發(fā)表監(jiān)督意見。

個人信息保護監(jiān)督機構(gòu)確有理由認為大型互聯(lián)網(wǎng)企業(yè)已進行的合規(guī)審計未能如實反映其個人信息

處理活動遵守法律、行政法規(guī)的情況，應建議大型互聯(lián)網(wǎng)企業(yè)委托社會化第三方服務機構(gòu)進行合規(guī)審計。

6.2.3個人信息保護社會責任報告監(jiān)督

個人信息保護監(jiān)督機構(gòu)應就大型互聯(lián)網(wǎng)企業(yè)發(fā)布社會責任報告進行監(jiān)督，發(fā)表監(jiān)督意見。

大型互聯(lián)網(wǎng)企業(yè)應在公開發(fā)布社會責任報告前，聽取個人信息保護監(jiān)督機構(gòu)的意見，如個人信息保

護監(jiān)督機構(gòu)或外部成員就社會責任報告實質(zhì)性內(nèi)容發(fā)表反對意見，大型互聯(lián)網(wǎng)企業(yè)應將有關(guān)情況進行

披露并說明不予采納的理由。

6.2.4個人信息安全事件應急預案監(jiān)督

個人信息保護監(jiān)督機構(gòu)應就大型互聯(lián)網(wǎng)企業(yè)個人信息保護應急預案的制定及實施進行監(jiān)督，發(fā)表

監(jiān)督意見：

a)是否按照法律法規(guī)、國家標準的要求制定個人信息安全事件應急預案；

b)是否定期組織內(nèi)部相關(guān)人員進行應急響應培訓和應急演練；

8

GB/TXXXXX—XXXX

c)內(nèi)部相關(guān)人員是否掌握崗位職責和應急處置策略與規(guī)程；

d)是否根據(jù)相關(guān)法律法規(guī)變化情況，以及事件處置情況，及時更新應急預案。

6.2.5個人信息泄露事件監(jiān)督

大型互聯(lián)網(wǎng)企業(yè)發(fā)生或可能發(fā)生個人信息泄露、篡改、丟失情形時，個人信息保護監(jiān)督機構(gòu)應就如

下事項進行監(jiān)督：

a)是否立即采取補救措施；

b)是否按照法律法規(guī)的要求及時通知履行個人信息保護職責的部門和個人。

大型互聯(lián)網(wǎng)企業(yè)發(fā)生或可能發(fā)生個人信息泄露、篡改、丟失，但未立即采取補救措施或未按照法律

法規(guī)的要求及時通知履行個人信息保護職責的部門和個人時，個人信息保護監(jiān)督機構(gòu)應立即建議大型

互聯(lián)網(wǎng)企業(yè)履行告知義務，大型互聯(lián)網(wǎng)企業(yè)未及時改正的，外部成員應向省級以上網(wǎng)信部門報告。

6.2.6個人信息跨境提供監(jiān)督

個人信息保護監(jiān)督機構(gòu)應就大型互聯(lián)網(wǎng)企業(yè)個人信息跨境提供進行監(jiān)督，發(fā)表監(jiān)督意見：

a)是否確實具備向中華人民共和國境外提供個人信息的必要性；

b)是否符合法律法規(guī)要求的向境外提供個人信息的條件；

c)通過國家網(wǎng)信部門安全評估方式跨境提供的，是否依法進行安全評估；

d)通過與境外接收方簽訂標準合同方式跨境提供的，是否依法簽訂標準合同；

e)外國司法或者執(zhí)法機構(gòu)要求大型互聯(lián)網(wǎng)企業(yè)提供存儲于境內(nèi)個人信息的，是否向主管機關(guān)提

交審批，并經(jīng)主管機關(guān)批準后提供。

大型互聯(lián)網(wǎng)企業(yè)擬赴境外上市的，個人信息保護監(jiān)督機構(gòu)應督促大型互聯(lián)網(wǎng)企業(yè)及時向國家網(wǎng)絡

安全審查辦公室申報網(wǎng)絡安全審查，并對其提交的網(wǎng)絡安全審查材料進行監(jiān)督。

6.3提出建議和意見

個人信息保護監(jiān)督機構(gòu)可就下列事項提出建議和意見：

a)大型互聯(lián)網(wǎng)企業(yè)個人信息保護負責人的履職情況；

b)大型互聯(lián)網(wǎng)企業(yè)個人信息保護相關(guān)的董事會議案；

c)大型互聯(lián)網(wǎng)企業(yè)個人信息保護負責人所咨詢的個人信息保護相關(guān)事項；

d)社會公眾反應強烈的大型互聯(lián)網(wǎng)企業(yè)個人信息保護問題。

7個人信息保護監(jiān)督機構(gòu)工作機制

7.1一般要求

7.1.1會議的召集

個人信息保護監(jiān)督機構(gòu)每六個月應至少召開一次會議，由個人信息保護監(jiān)督機構(gòu)秘書召集。

秘書應于會議召開十五日前通知全體成員會議召開的時間、地點和審議的事項。

7.1.2會議形式

個人信息保護監(jiān)督機構(gòu)會議應以現(xiàn)場召開的方式進行。

對成員之間交流討論必要性不大的事項或者臨時會議時間緊急難以召開現(xiàn)場會議的，可采取電話

或視頻會議等方式進行通訊表決，并保留錄音、錄像。

注：6.2中個人信息保護特別監(jiān)督事項不宜采取通訊表決方式召開會議，緊急情況除外。

9

GB/TXXXXX—XXXX

7.1.3會議資料的提供與了解

個人信息保護監(jiān)督機構(gòu)秘書應在通知全體成員會議審議事項時，一并提供會議審議事項所需的相

關(guān)材料。

個人信息保護監(jiān)督機構(gòu)成員應在會前充分知悉會議審議事項，了解審議事項相關(guān)知識。

7.1.4會議資料的補充或說明

個人信息保護監(jiān)督機構(gòu)外部成員認為個人信息保護監(jiān)督機構(gòu)會議審議事項內(nèi)容不明確、不具體或

有關(guān)材料不充分的，應在收到會議資料之日起五日內(nèi)敦促大型互聯(lián)網(wǎng)企業(yè)補充資料或作出進一步說明，

個人信息保護監(jiān)督機構(gòu)秘書應就相關(guān)事宜提供協(xié)助。

個人信息保護監(jiān)督機構(gòu)外部成員可建議審議事項相關(guān)的大型互聯(lián)網(wǎng)企業(yè)高級管理人員、業(yè)務負責

人、外聘中介機構(gòu)人員、用戶代表、消費者代表等列席個人信息保護監(jiān)督機構(gòu)會議，答復審議事項相關(guān)

問詢。

7.1.5會議出席

個人信息保護監(jiān)督機構(gòu)會議應有過半數(shù)的成員出席方可舉行。無特別原因，個人信息保護監(jiān)督機構(gòu)

成員應親自出席會議。

外部成員無法親自出席的，應事先審閱會議材料，形成明確的意見，書面委托該大型互聯(lián)網(wǎng)企業(yè)個

人信息保護監(jiān)督機構(gòu)其他外部成員代為出席。一名外部成員在一次個人信息保護監(jiān)督機構(gòu)會議上僅可

接受一名外部成員的委托。委托書應一事一授，載明委托人和受托人的姓名，對受托人的授權(quán)范圍，委

托人對審議事項表決意向的指示，不應為空白委托書或全權(quán)委托書。

內(nèi)部成員無法親自出席的，應參照外部成員委托出席會議要求，委托其他內(nèi)部成員代為出席，但個

人信息保護監(jiān)督機構(gòu)工作規(guī)則另有規(guī)定的除外。

7.1.6會議主持

個人信息保護監(jiān)督機構(gòu)會議由主任主持，主任不能履行職務或者不履行職務的，由副主任主持。副

主任不能履行職務或者不履行職務的，由半數(shù)以上成員共同推舉一名外部成員主持。

7.1.7會議表決

個人信息保護監(jiān)督機構(gòu)通過表決方式議事，實行一人一票，成員應就決議事項投出贊成、反對或棄

權(quán)票：

a)就大型互聯(lián)網(wǎng)企業(yè)個人信息保護一般事項、個人信息保護合規(guī)制度體系、平臺規(guī)則、隱私政策的

監(jiān)督意見作出決議，應經(jīng)參會全體成員二分之一以上通過；

b)個就大型互聯(lián)網(wǎng)企業(yè)個人信息保護影響評估、個人信息合規(guī)審計、個人信息保護社會責任報告、

個人信息泄露事件的監(jiān)督意見，應經(jīng)參會全體成員三分之二以上通過。

對表決事項投反對或棄權(quán)票的外部成員，應獨立、客觀、審慎地發(fā)表獨立意見，包括反對意見及理

由、棄權(quán)意見及理由、無法發(fā)表意見及其障礙等，并在會議記錄中載明。

7.1.8會議記錄

個人信息保護監(jiān)督機構(gòu)會議應就會議審議事項、外部成員發(fā)表意見等作成會議記錄和決議記錄，

出席會議的成員應在記錄上簽名。個人信息保護監(jiān)督機構(gòu)秘書應將會議記錄和決議記錄上報董事會或

經(jīng)董事會授權(quán)的董事長、執(zhí)行董事。

10

GB/TXXXXX—XXXX

外部成員有權(quán)督促大型互聯(lián)網(wǎng)企業(yè)制作個人信息保護監(jiān)督機構(gòu)會議記錄，代表其本人和委托其代

為出席的會議的外部成員對會議記錄和決議記錄簽名確認，對會議記錄或決議記錄有不同意見的，應

在簽字時作出書面說明。

7.1.9資料保管

外部成員在履行職責過程中，就大型互聯(lián)網(wǎng)企業(yè)個人信息保護相關(guān)事項進行的問詢、調(diào)研、討論

等均應形成書面文件，與大型互聯(lián)網(wǎng)企業(yè)之間的各種來往信函、傳真、電子郵件等資料均應保存。

注：外部成員與大型互聯(lián)網(wǎng)企業(yè)工作人員之間的工作通話應在事后進行要點記錄，形成書面文件保存。

7.2臨時會議

個人信息保護監(jiān)督機構(gòu)主席、三分之一以上個人信息保護監(jiān)督機構(gòu)成員可向個人信息保護監(jiān)督機

構(gòu)秘書提議召開臨時會議，秘書應自接到提議后五日內(nèi)通知全體成員會議召開的時間、

地點和審議的事項，應在接到提議后十五日內(nèi)完成會議的召集。

7.3延期開會與審議

三分之一以上外部成員認為會議審議事項資料不充分或不具體時，可聯(lián)名向個人信息保護監(jiān)督機

構(gòu)秘書提議延期召開個人信息保護監(jiān)督機構(gòu)會議或延期審議相關(guān)事項。

7.4暫緩表決

三分之一以上外部成員認為審議議題不明確、不具體，或者因會議材料不充分等事由導致其無法對

決議事項作出判斷時，應提議會議對該事項暫緩表決，并說明該事項表決所應滿足的明確要求。

7.5履職獨立性保障

個人信息保護監(jiān)督機構(gòu)及其成員履行監(jiān)督職責時，大型互聯(lián)網(wǎng)企業(yè)有關(guān)人員應積極配合，無正當理

由不應拒絕、阻礙或隱瞞，不應干預其獨立履行監(jiān)督職責。

個人信息保護監(jiān)督機構(gòu)外部成員依法履行監(jiān)督職責遭遇阻礙時，可向大型互聯(lián)網(wǎng)企業(yè)董事會或經(jīng)

董事會授權(quán)的董事長、執(zhí)行董事說明情況，要求個人信息保護負責人或個人信息保護監(jiān)督機構(gòu)秘書予以

配合，并將遭遇阻礙的事實、具體情形和解決狀況計入工作記錄。

7.6履職條件保障

大型互聯(lián)網(wǎng)企業(yè)應為其履行職責提供所必需的工作條件和協(xié)助，保障個人信息保護監(jiān)督機構(gòu)及外

部成員有效履行職責：

a)指定專人負責與個人信息保護監(jiān)督機構(gòu)外部成員的日常聯(lián)系，及時響應個人信息保護監(jiān)督機構(gòu)

及外部成員的意見和建議；

b)為個人信息保護監(jiān)督機構(gòu)及外部成員履行職責提供協(xié)助，如介紹情況、提供材料等，定期通報個

人信息保護情況，必要時應組織實地考察；

c)應保障個人信息保護監(jiān)督機構(gòu)及外部成員享有必要的知情權(quán)，為其提供真實、準確、完整的資料，

外部成員認為資料不充分的，有權(quán)要求補充；

d)承擔個人信息保護監(jiān)督機構(gòu)及外部成員履職過程中支出的合理費用。

7.7工作規(guī)則制定

大型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督機構(gòu)應制定個人信息保護監(jiān)督機構(gòu)工作規(guī)則，經(jīng)全體成員三分

之二以上同意通過，由大型互聯(lián)網(wǎng)企業(yè)董事會批準。

11

GB/TXXXXX—XXXX

參考文獻

[1]國家市場監(jiān)督管理總局關(guān)于對《互聯(lián)網(wǎng)平臺分類分級指南（征求意見稿）》《互聯(lián)網(wǎng)平臺落

實主體責任指南（征求意見稿）》公開征求意見的公告（2021年10月29日國家市場監(jiān)督管理總局發(fā)

布）

[2]中國上市公司協(xié)會發(fā)布《上市公司獨立董事履職指引》（修訂版）及《獨立董事促進上市公

司內(nèi)部控制工作指引》（2020年8月12日中國上市公司協(xié)會）

12

GB/TXXXXX—XXXX

目次

前言..............................................................................II

1范圍............................................................................3

2規(guī)范性引用文件..................................................................3

3術(shù)語和定義......................................................................3

4個人信息保護監(jiān)督機構(gòu)的設立.......................................................3

4.1成立要求......................................................................3

4.2人員構(gòu)成要求................................................................4

4.3主任、副主任及職責...........................................................4

4.4秘書的任命及職責.............................................................4

5個人信息保護監(jiān)督機構(gòu)成員.........................................................4

5.1外部成員的任職要求...........................................................4

5.2外部成員的提名與任免.........................................................5

5.3外部成員的履職要求...........................................................6

5.4內(nèi)部成員的人選與任期.........................................................6

5.5內(nèi)部成員的履職要求...........................................................7

6個人信息保護監(jiān)督機構(gòu)職責.........................................................7

6.1一般事項監(jiān)督................................................................7

6.2特別事項監(jiān)督................................................................8

6.3提出建議和意見...............................................................9

7個人信息保護監(jiān)督機構(gòu)工作機制.....................................................9

7.1一般要求....................................................................9

7.2臨時會議....................................................................11

7.3延期開會與審議...............................................................11

7.4暫緩表決....................................................................11

7.5履職獨立性保障...............................................................11

7.6履職條件保障................................................................11

7.7工作規(guī)則制定................................................................11

參考文獻..........................................................................12

I

GB/TXXXXX—XXXX

信息安全技術(shù)大型互聯(lián)網(wǎng)企業(yè)內(nèi)設個人信息保護監(jiān)督機構(gòu)要求

1范圍

本文件規(guī)定了大型互聯(lián)網(wǎng)企業(yè)建立和運行個人信息保護監(jiān)督機構(gòu)的要求，包括個人信息保護監(jiān)督

機構(gòu)的設置、職責、工作規(guī)則，以及個人信息保護監(jiān)督機構(gòu)的成員等要求。

本文件適用于大型互聯(lián)網(wǎng)企業(yè)建立和運行個人信息保護監(jiān)督機構(gòu)，也可為監(jiān)管、檢查、評估等活動

提供參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范

3術(shù)語和定義

GB/T25069—2022和GB/T35273—2020界定的以及下列術(shù)語和定義適用于本文件。

3.1

大型互聯(lián)網(wǎng)企業(yè)largeInternetenterprise

提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量