《信息安全技術(shù) 大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個人信息保護監(jiān)督機構(gòu)要求》編制說明

國家標(biāo)準(zhǔn)征求意見稿材料

一、工作簡況

1.1任務(wù)來源

根據(jù)國家標(biāo)準(zhǔn)化管理委員會2023年下達的國家標(biāo)準(zhǔn)制修訂計劃，《信息安

全技術(shù)大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個人信息保護監(jiān)督機構(gòu)要求》由中國人民大學(xué)負責(zé)

承辦，計劃號：20230793-T-469，標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口管

理。

1.2制定背景

2021年8月，我國《個人信息保護法》正式頒布，并于2021年11月正式

實施。其中，第58條被業(yè)界視為我國“互聯(lián)網(wǎng)守門人”條款備受關(guān)注。該條第

一項要求提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處

理者，應(yīng)當(dāng)按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部

成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督。

2022年3月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布《關(guān)于發(fā)布2022年度網(wǎng)

絡(luò)安全國家標(biāo)準(zhǔn)需求的通知》，將本標(biāo)準(zhǔn)納入2022年網(wǎng)絡(luò)安全國家安全標(biāo)準(zhǔn)需

求項目。

2022年10月，全國信息安全技術(shù)標(biāo)準(zhǔn)化委員會發(fā)布《關(guān)于2022年網(wǎng)絡(luò)安

全國家標(biāo)準(zhǔn)項目立項的通知》，明確本標(biāo)準(zhǔn)由中國人民大學(xué)作為項目牽頭單位負

責(zé)標(biāo)準(zhǔn)編制工作。

1.3起草過程

1.3.1草案階段

1、2022年3月，中國人民大學(xué)牽頭組建標(biāo)準(zhǔn)前期研究工作小組，小組對大

型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督機構(gòu)相關(guān)立法、實踐等進行詳細調(diào)研，形成相應(yīng)

標(biāo)準(zhǔn)草案，并準(zhǔn)備申報材料。

2、2022年4月、2022年7月，中國人民大學(xué)標(biāo)準(zhǔn)編制組在全國信息安全

標(biāo)準(zhǔn)化技術(shù)委員會進行標(biāo)準(zhǔn)申報匯報。

3、2022年10月，全國信息安全技術(shù)標(biāo)準(zhǔn)化委員會發(fā)布《關(guān)于2022年網(wǎng)絡(luò)

安全國家標(biāo)準(zhǔn)項目立項的通知》，同意本標(biāo)準(zhǔn)由中國人民大學(xué)作為項目牽頭單位

負責(zé)標(biāo)準(zhǔn)編制工作。

4、2022年11月-12月，中國人民大學(xué)對外公開征集標(biāo)準(zhǔn)參編單位，正式

1

國家標(biāo)準(zhǔn)征求意見稿材料

成立標(biāo)準(zhǔn)編制組，召開第一次工作組組內(nèi)會議，并就標(biāo)準(zhǔn)草案內(nèi)容向標(biāo)準(zhǔn)編制組

內(nèi)部征求意見，對標(biāo)準(zhǔn)內(nèi)容進行更新完善。

5、2022年12月，標(biāo)準(zhǔn)編制組在2022年標(biāo)準(zhǔn)周WG7工作組上進行匯報。經(jīng)

與會成員單位投票，建議該標(biāo)準(zhǔn)轉(zhuǎn)為征求意見稿。

1.3.2征求意見稿階段

6、2023年4月，標(biāo)準(zhǔn)編制組召開編制組全體會議，就標(biāo)準(zhǔn)內(nèi)容和文本進行

研討、完善。

7、2023年6月，標(biāo)準(zhǔn)編制組在2023年第一次標(biāo)準(zhǔn)周WG7工作組上進行匯

報。

8、2023年6月，參加征求意見稿專家審查會，根據(jù)專家意見進行修改。

9、2023年8月，標(biāo)準(zhǔn)編制組組織專家研討會，根據(jù)專家意見進行修改。

10、2023年8月，參加征求意見稿專家審查會，經(jīng)評審專家投票一致通過，

同意該標(biāo)準(zhǔn)面向社會發(fā)起公開征求意見。

二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)

2.1標(biāo)準(zhǔn)編制原則

本標(biāo)準(zhǔn)的編制遵循以下原則：

(1)先進性：標(biāo)準(zhǔn)反映當(dāng)前《個人信息保護法》等最新法律要求以及個人

信息保護的先進技術(shù)水平；

(2)開放性：標(biāo)準(zhǔn)的編制、評審與使用具有開放性；

(3)適應(yīng)性：標(biāo)準(zhǔn)結(jié)合我國國情；

(4)簡明性：標(biāo)準(zhǔn)易于理解、實現(xiàn)和應(yīng)用；

(5)中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)；

(6)一致性：術(shù)語與國內(nèi)外標(biāo)準(zhǔn)所用術(shù)語最大程度保持一致。

本標(biāo)準(zhǔn)提供大型互聯(lián)網(wǎng)企業(yè)建立個人信息保護監(jiān)督機構(gòu)的人員選擇、人員

資質(zhì)、人員約束、運行規(guī)則等要求，用于指導(dǎo)大型互聯(lián)網(wǎng)企業(yè)建立和運行個人信

息保護監(jiān)督機構(gòu)，促進大型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督機構(gòu)規(guī)范、盡責(zé)履職，

切實發(fā)揮個人信息保護監(jiān)督機構(gòu)在大型互聯(lián)網(wǎng)企業(yè)個人信息保護工作中的作用。

2.2主要內(nèi)容及其確定依據(jù)

該標(biāo)準(zhǔn)為國家推薦性標(biāo)準(zhǔn)，主要包括大型互聯(lián)網(wǎng)企業(yè)范圍、個人信息保護

2

國家標(biāo)準(zhǔn)征求意見稿材料

監(jiān)督機構(gòu)的成立要求、個人信息保護監(jiān)督機構(gòu)外部成員任職資格、提名與任命程

序、個人信息保護監(jiān)督機構(gòu)及成員職責(zé)、個人信息保護監(jiān)督機構(gòu)工作方式、議事

方式等內(nèi)容。具體來說，包括：

其一，結(jié)合國內(nèi)外大型互聯(lián)網(wǎng)企業(yè)立法及監(jiān)管要求，明確《個人信息保護

法》第五十八條所規(guī)定的“重要互聯(lián)網(wǎng)平臺服務(wù)”“用戶數(shù)量巨大”“業(yè)務(wù)類型

復(fù)雜”三個限定條件的具體內(nèi)涵和可操作性的標(biāo)準(zhǔn)，以及動態(tài)調(diào)整的規(guī)則。

其二，結(jié)合國內(nèi)外數(shù)據(jù)保護官、獨立董事等制度經(jīng)驗，明確大型互聯(lián)網(wǎng)企

業(yè)內(nèi)設(shè)個人信息保護監(jiān)督機構(gòu)的成員任職資格、提名與人名程序。個人信息保護

監(jiān)督機構(gòu)主要由外部成員組成，參考獨立董事等任職資格，明確外部成員任職資

格，包括政治性、獨立性、專業(yè)性要求，及其提名與任命程序。此外，個人信息

保護監(jiān)督機構(gòu)還包括大型互聯(lián)網(wǎng)企業(yè)內(nèi)部成員，需要結(jié)合大型互聯(lián)網(wǎng)企業(yè)個人信

息保護相關(guān)業(yè)務(wù)、合規(guī)等需求，明確內(nèi)部成員任職資格、任命程序等。

其三，結(jié)合大型互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)義務(wù)等，明確大型互聯(lián)網(wǎng)企

業(yè)內(nèi)設(shè)個人信息保護監(jiān)督機構(gòu)的運行機制。個人信息保護監(jiān)督機構(gòu)的運行機制關(guān)

系到其能否切實發(fā)揮監(jiān)督作用，結(jié)合《個人信息保護法》《數(shù)據(jù)安全法》等法律

法規(guī)中所明確的大型互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)義務(wù)內(nèi)容，明確外部監(jiān)督機構(gòu)

監(jiān)督事項、監(jiān)督職權(quán)、監(jiān)督方式，并通過表決方式的不同配比，平衡個人信息保

護監(jiān)督機構(gòu)監(jiān)督強度與大型互聯(lián)網(wǎng)企業(yè)決策效率。

其四，結(jié)合獨立董事等制度經(jīng)驗，明確大型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督

機構(gòu)獨立性保障、利益沖突禁止、人員約束等規(guī)則要求。大型互聯(lián)網(wǎng)企業(yè)個人信

息保護監(jiān)督機構(gòu)主要由外部成員組成并負有監(jiān)督職責(zé)，在明確外部成員和個人信

息保護監(jiān)督機構(gòu)獨立性要求的同時，還應(yīng)當(dāng)通過規(guī)范約束大型互聯(lián)網(wǎng)企業(yè)避免其

干涉?zhèn)€人信息保護監(jiān)督機構(gòu)或外部成員獨立履職，從而提供獨立性保障機制。

2.3修訂前后技術(shù)內(nèi)容的對比[適用于國家標(biāo)準(zhǔn)修訂項目]

不適用。

三、試驗驗證的分析、綜述報告，技術(shù)經(jīng)濟論證，預(yù)期的經(jīng)濟效益、社會

效益和生態(tài)效益

3.1試驗驗證的分析、綜述報告

本標(biāo)準(zhǔn)在編制人員和編制過程，充分吸納國內(nèi)大型互聯(lián)網(wǎng)企業(yè)參與，參編單

位極使用標(biāo)準(zhǔn)進行了試驗應(yīng)用。同時，結(jié)合《個人信息保護法》等法律法規(guī)、《信

3

國家標(biāo)準(zhǔn)征求意見稿材料

息安全技術(shù)個人信息安全規(guī)范》（GB/T35273-2020）個人信息保護相關(guān)國家標(biāo)

準(zhǔn)要求，在試驗應(yīng)用過程中對大型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督機構(gòu)建立要求等

進行探索，最后將實施經(jīng)驗轉(zhuǎn)化為標(biāo)準(zhǔn)的具體內(nèi)容，以增加標(biāo)準(zhǔn)的實用性。

3.2技術(shù)經(jīng)濟論證

無。

3.3預(yù)期的經(jīng)濟效益、社會效益和生態(tài)效益

本標(biāo)準(zhǔn)支撐《個人信息保護法》等法律法規(guī)落地實施，對于支撐法律法規(guī)落

地實施、指導(dǎo)大型互聯(lián)網(wǎng)企業(yè)合規(guī)實踐、切實保障用戶權(quán)益，均具有重大意義。

通過國家標(biāo)準(zhǔn)的方式為大型互聯(lián)網(wǎng)企業(yè)建立個人信息保護監(jiān)督機構(gòu)提供細化指

引，明確內(nèi)設(shè)個人信息保護監(jiān)督機構(gòu)的適用企業(yè)范圍、設(shè)立規(guī)則、運行規(guī)則等重

點內(nèi)容，切實發(fā)揮個人信息保護監(jiān)督機構(gòu)的功能，提升大型互聯(lián)網(wǎng)企業(yè)個人信息

保護監(jiān)管水平，實現(xiàn)良性漸進發(fā)展。

四、與國際、國外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的對比情況，或者與測試的國外樣品、

樣機的有關(guān)數(shù)據(jù)對比情況

無。

五、以國際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國際國外

標(biāo)準(zhǔn)，并說明未采用國際標(biāo)準(zhǔn)的原因

本標(biāo)準(zhǔn)為《個人信息保護法》等法律法規(guī)的落地實施提供支撐，為我國原創(chuàng)

性制度要求，暫無可采國際標(biāo)準(zhǔn)。

六、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)的關(guān)系

本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)不存在沖突與矛盾。

本標(biāo)準(zhǔn)為《個人信息保護法》等法律法規(guī)的落地實施提供支撐，建議與國家

標(biāo)準(zhǔn)《信息安全技術(shù)個人信息安全規(guī)范》（GB/T35273-2020）《信息安全技術(shù)

個人信息安全影響評估指南》（GB/T39335-2020）配套使用。

七、重大分歧意見的處理經(jīng)過和依據(jù)

無。

八、涉及專利的有關(guān)說明

無。

九、實施國家標(biāo)準(zhǔn)的要求，以及組織措施、技術(shù)措施、過渡期和實施日期

的建議等措施建議

4

國家標(biāo)準(zhǔn)征求意見稿材料

本標(biāo)準(zhǔn)適用于大型互聯(lián)網(wǎng)企業(yè)建立和運行個人信息保護監(jiān)督機構(gòu)提供參考，

也適用于主管監(jiān)管部門、第三方評估機構(gòu)等組織對大型互聯(lián)網(wǎng)企業(yè)建立個人信息

保護監(jiān)督機構(gòu)的情況進行監(jiān)督、管理。

本標(biāo)準(zhǔn)為《個人信息保護法》等法律法規(guī)的落地實施提供支撐，建議與國家

標(biāo)準(zhǔn)《信息安全技術(shù)個人信息安全規(guī)范》（GB/T35273-2020）《信息安全技術(shù)

個人信息安全影響評估指南》（GB/T39335-2020）配套使用。

十、其他