國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)要求》（征求意見(jiàn)稿）編制說(shuō)明

國(guó)家標(biāo)準(zhǔn)征求意見(jiàn)稿材料一、工作簡(jiǎn)況1.1任務(wù)來(lái)源根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2023年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，《信息安全技術(shù)大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)要求》由中國(guó)人民大學(xué)負(fù)責(zé)承辦，計(jì)劃號(hào)：20230793-T-469，標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理。1.2制定背景2021年8月，我國(guó)《個(gè)人信息保護(hù)法》正式頒布，并于2021年11月正式實(shí)施。其中，第58條被業(yè)界視為我國(guó)“互聯(lián)網(wǎng)守門(mén)人”條款備受關(guān)注。該條第一項(xiàng)要求提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶(hù)數(shù)量巨大、業(yè)務(wù)類(lèi)型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。2022年3月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《關(guān)于發(fā)布2022年度網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)需求的通知》，將本標(biāo)準(zhǔn)納入2022年網(wǎng)絡(luò)安全國(guó)家安全標(biāo)準(zhǔn)需求項(xiàng)目。2022年10月，全國(guó)信息安全技術(shù)標(biāo)準(zhǔn)化委員會(huì)發(fā)布《關(guān)于2022年網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)項(xiàng)目立項(xiàng)的通知》，明確本標(biāo)準(zhǔn)由中國(guó)人民大學(xué)作為項(xiàng)目牽頭單位負(fù)責(zé)標(biāo)準(zhǔn)編制工作。1.3起草過(guò)程1.3.1草案階段1、2022年3月，中國(guó)人民大學(xué)牽頭組建標(biāo)準(zhǔn)前期研究工作小組，小組對(duì)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)相關(guān)立法、實(shí)踐等進(jìn)行詳細(xì)調(diào)研，形成相應(yīng)標(biāo)準(zhǔn)草案，并準(zhǔn)備申報(bào)材料。2、2022年4月、2022年7月，中國(guó)人民大學(xué)標(biāo)準(zhǔn)編制組在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)進(jìn)行標(biāo)準(zhǔn)申報(bào)匯報(bào)。3、2022年10月，全國(guó)信息安全技術(shù)標(biāo)準(zhǔn)化委員會(huì)發(fā)布《關(guān)于2022年網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)項(xiàng)目立項(xiàng)的通知》，同意本標(biāo)準(zhǔn)由中國(guó)人民大學(xué)作為項(xiàng)目牽頭單位負(fù)責(zé)標(biāo)準(zhǔn)編制工作。4、2022年11月-12月，中國(guó)人民大學(xué)對(duì)外公開(kāi)征集標(biāo)準(zhǔn)參編單位，正式成立標(biāo)準(zhǔn)編制組，召開(kāi)第一次工作組組內(nèi)會(huì)議，并就標(biāo)準(zhǔn)草案內(nèi)容向標(biāo)準(zhǔn)編制組內(nèi)部征求意見(jiàn)，對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行更新完善。5、2022年12月，標(biāo)準(zhǔn)編制組在2022年標(biāo)準(zhǔn)周WG7工作組上進(jìn)行匯報(bào)。經(jīng)與會(huì)成員單位投票，建議該標(biāo)準(zhǔn)轉(zhuǎn)為征求意見(jiàn)稿。1.3.2征求意見(jiàn)稿階段6、2023年4月，標(biāo)準(zhǔn)編制組召開(kāi)編制組全體會(huì)議，就標(biāo)準(zhǔn)內(nèi)容和文本進(jìn)行研討、完善。7、2023年6月，標(biāo)準(zhǔn)編制組在2023年第一次標(biāo)準(zhǔn)周WG7工作組上進(jìn)行匯報(bào)。8、2023年6月，參加征求意見(jiàn)稿專(zhuān)家審查會(huì)，根據(jù)專(zhuān)家意見(jiàn)進(jìn)行修改。9、2023年8月，標(biāo)準(zhǔn)編制組組織專(zhuān)家研討會(huì)，根據(jù)專(zhuān)家意見(jiàn)進(jìn)行修改。10、2023年8月，參加征求意見(jiàn)稿專(zhuān)家審查會(huì)，經(jīng)評(píng)審專(zhuān)家投票一致通過(guò)，同意該標(biāo)準(zhǔn)面向社會(huì)發(fā)起公開(kāi)征求意見(jiàn)。二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)2.1標(biāo)準(zhǔn)編制原則本標(biāo)準(zhǔn)的編制遵循以下原則：(1)先進(jìn)性：標(biāo)準(zhǔn)反映當(dāng)前《個(gè)人信息保護(hù)法》等最新法律要求以及個(gè)人信息保護(hù)的先進(jìn)技術(shù)水平；(2)開(kāi)放性：標(biāo)準(zhǔn)的編制、評(píng)審與使用具有開(kāi)放性；(3)適應(yīng)性：標(biāo)準(zhǔn)結(jié)合我國(guó)國(guó)情；(4)簡(jiǎn)明性：標(biāo)準(zhǔn)易于理解、實(shí)現(xiàn)和應(yīng)用；(5)中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)；(6)一致性：術(shù)語(yǔ)與國(guó)內(nèi)外標(biāo)準(zhǔn)所用術(shù)語(yǔ)最大程度保持一致。本標(biāo)準(zhǔn)提供大型互聯(lián)網(wǎng)企業(yè)建立個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的人員選擇、人員資質(zhì)、人員約束、運(yùn)行規(guī)則等要求，用于指導(dǎo)大型互聯(lián)網(wǎng)企業(yè)建立和運(yùn)行個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)，促進(jìn)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)規(guī)范、盡責(zé)履職，切實(shí)發(fā)揮個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)在大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)工作中的作用。2.2主要內(nèi)容及其確定依據(jù)該標(biāo)準(zhǔn)為國(guó)家推薦性標(biāo)準(zhǔn)，主要包括大型互聯(lián)網(wǎng)企業(yè)范圍、個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的成立要求、個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)外部成員任職資格、提名與任命程序、個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)及成員職責(zé)、個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)工作方式、議事方式等內(nèi)容。具體來(lái)說(shuō)，包括：其一，結(jié)合國(guó)內(nèi)外大型互聯(lián)網(wǎng)企業(yè)立法及監(jiān)管要求，明確《個(gè)人信息保護(hù)法》第五十八條所規(guī)定的“重要互聯(lián)網(wǎng)平臺(tái)服務(wù)”“用戶(hù)數(shù)量巨大”“業(yè)務(wù)類(lèi)型復(fù)雜”三個(gè)限定條件的具體內(nèi)涵和可操作性的標(biāo)準(zhǔn)，以及動(dòng)態(tài)調(diào)整的規(guī)則。其二，結(jié)合國(guó)內(nèi)外數(shù)據(jù)保護(hù)官、獨(dú)立董事等制度經(jīng)驗(yàn)，明確大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的成員任職資格、提名與人名程序。個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)主要由外部成員組成，參考獨(dú)立董事等任職資格，明確外部成員任職資格，包括政治性、獨(dú)立性、專(zhuān)業(yè)性要求，及其提名與任命程序。此外，個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)還包括大型互聯(lián)網(wǎng)企業(yè)內(nèi)部成員，需要結(jié)合大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)相關(guān)業(yè)務(wù)、合規(guī)等需求，明確內(nèi)部成員任職資格、任命程序等。其三，結(jié)合大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)合規(guī)義務(wù)等，明確大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的運(yùn)行機(jī)制。個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的運(yùn)行機(jī)制關(guān)系到其能否切實(shí)發(fā)揮監(jiān)督作用，結(jié)合《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等法律法規(guī)中所明確的大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)合規(guī)義務(wù)內(nèi)容，明確外部監(jiān)督機(jī)構(gòu)監(jiān)督事項(xiàng)、監(jiān)督職權(quán)、監(jiān)督方式，并通過(guò)表決方式的不同配比，平衡個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)監(jiān)督強(qiáng)度與大型互聯(lián)網(wǎng)企業(yè)決策效率。其四，結(jié)合獨(dú)立董事等制度經(jīng)驗(yàn)，明確大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)獨(dú)立性保障、利益沖突禁止、人員約束等規(guī)則要求。大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)主要由外部成員組成并負(fù)有監(jiān)督職責(zé)，在明確外部成員和個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)獨(dú)立性要求的同時(shí)，還應(yīng)當(dāng)通過(guò)規(guī)范約束大型互聯(lián)網(wǎng)企業(yè)避免其干涉?zhèn)€人信息保護(hù)監(jiān)督機(jī)構(gòu)或外部成員獨(dú)立履職，從而提供獨(dú)立性保障機(jī)制。2.3修訂前后技術(shù)內(nèi)容的對(duì)比[適用于國(guó)家標(biāo)準(zhǔn)修訂項(xiàng)目]不適用。三、試驗(yàn)驗(yàn)證的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效益、社會(huì)效益和生態(tài)效益3.1試驗(yàn)驗(yàn)證的分析、綜述報(bào)告本標(biāo)準(zhǔn)在編制人員和編制過(guò)程，充分吸納國(guó)內(nèi)大型互聯(lián)網(wǎng)企業(yè)參與，參編單位極使用標(biāo)準(zhǔn)進(jìn)行了試驗(yàn)應(yīng)用。同時(shí)，結(jié)合《個(gè)人信息保護(hù)法》等法律法規(guī)、《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T35273-2020）個(gè)人信息保護(hù)相關(guān)國(guó)家標(biāo)準(zhǔn)要求，在試驗(yàn)應(yīng)用過(guò)程中對(duì)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)建立要求等進(jìn)行探索，最后將實(shí)施經(jīng)驗(yàn)轉(zhuǎn)化為標(biāo)準(zhǔn)的具體內(nèi)容，以增加標(biāo)準(zhǔn)的實(shí)用性。3.2技術(shù)經(jīng)濟(jì)論證無(wú)。3.3預(yù)期的經(jīng)濟(jì)效益、社會(huì)效益和生態(tài)效益本標(biāo)準(zhǔn)支撐《個(gè)人信息保護(hù)法》等法律法規(guī)落地實(shí)施，對(duì)于支撐法律法規(guī)落地實(shí)施、指導(dǎo)大型互聯(lián)網(wǎng)企業(yè)合規(guī)實(shí)踐、切實(shí)保障用戶(hù)權(quán)益，均具有重大意義。通過(guò)國(guó)家標(biāo)準(zhǔn)的方式為大型互聯(lián)網(wǎng)企業(yè)建立個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)提供細(xì)化指引，明確內(nèi)設(shè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的適用企業(yè)范圍、設(shè)立規(guī)則、運(yùn)行規(guī)則等重點(diǎn)內(nèi)容，切實(shí)發(fā)揮個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的功能，提升大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)監(jiān)管水平，實(shí)現(xiàn)良性漸進(jìn)發(fā)展。四、與國(guó)際、國(guó)外同類(lèi)標(biāo)準(zhǔn)技術(shù)內(nèi)容的對(duì)比情況，或者與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況無(wú)。五、以國(guó)際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國(guó)際國(guó)外標(biāo)準(zhǔn)，并說(shuō)明未采用國(guó)際標(biāo)準(zhǔn)的原因本標(biāo)準(zhǔn)為《個(gè)人信息保護(hù)法》等法律法規(guī)的落地實(shí)施提供支撐，為我國(guó)原創(chuàng)性制度要求，暫無(wú)可采國(guó)際標(biāo)準(zhǔn)。六、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國(guó)家標(biāo)準(zhǔn)不存在沖突與矛盾。本標(biāo)準(zhǔn)為《個(gè)人信息保護(hù)法》等法律法規(guī)的落地實(shí)施提供支撐，建議與國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T35273-2020）《信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》（GB/T39335-2020）配套使用。七、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)無(wú)。八、涉及專(zhuān)利的有關(guān)說(shuō)明無(wú)。九、實(shí)施國(guó)家標(biāo)準(zhǔn)的要求，以及組織措施、技術(shù)措施、過(guò)渡期和實(shí)施日期的建議等措施建議本標(biāo)準(zhǔn)適用于大型互聯(lián)網(wǎng)企業(yè)建立和運(yùn)行個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)提供參考，也適用于主管監(jiān)管部門(mén)、第三方評(píng)估機(jī)構(gòu)等組織對(duì)大型互聯(lián)網(wǎng)企業(yè)建立個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的情況進(jìn)行監(jiān)督、管理。本標(biāo)準(zhǔn)為《個(gè)人信息保護(hù)法》等法律法規(guī)的落地實(shí)施提供支撐，建議與國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T35273-2020）《信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》（GB/T39335-2020）配套使用。十、其他應(yīng)當(dāng)說(shuō)明的事項(xiàng)無(wú)。國(guó)家標(biāo)準(zhǔn)《信息