国家标准《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》（征求意见稿）编制说明

国家标准征求意见稿材料一、工作简况1.1任务来源根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术大型互联网企业内设个人信息保护监督机构要求》由中国人民大学负责承办，计划号：20230793-T-469，标准由全国信息安全标准化技术委员会归口管理。1.2制定背景2021年8月，我国《个人信息保护法》正式颁布，并于2021年11月正式实施。其中，第58条被业界视为我国“互联网守门人”条款备受关注。该条第一项要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。2022年3月，全国信息安全标准化技术委员会发布《关于发布2022年度网络安全国家标准需求的通知》，将本标准纳入2022年网络安全国家安全标准需求项目。2022年10月，全国信息安全技术标准化委员会发布《关于2022年网络安全国家标准项目立项的通知》，明确本标准由中国人民大学作为项目牵头单位负责标准编制工作。1.3起草过程1.3.1草案阶段1、2022年3月，中国人民大学牵头组建标准前期研究工作小组，小组对大型互联网企业个人信息保护监督机构相关立法、实践等进行详细调研，形成相应标准草案，并准备申报材料。2、2022年4月、2022年7月，中国人民大学标准编制组在全国信息安全标准化技术委员会进行标准申报汇报。3、2022年10月，全国信息安全技术标准化委员会发布《关于2022年网络安全国家标准项目立项的通知》，同意本标准由中国人民大学作为项目牵头单位负责标准编制工作。4、2022年11月-12月，中国人民大学对外公开征集标准参编单位，正式成立标准编制组，召开第一次工作组组内会议，并就标准草案内容向标准编制组内部征求意见，对标准内容进行更新完善。5、2022年12月，标准编制组在2022年标准周WG7工作组上进行汇报。经与会成员单位投票，建议该标准转为征求意见稿。1.3.2征求意见稿阶段6、2023年4月，标准编制组召开编制组全体会议，就标准内容和文本进行研讨、完善。7、2023年6月，标准编制组在2023年第一次标准周WG7工作组上进行汇报。8、2023年6月，参加征求意见稿专家审查会，根据专家意见进行修改。9、2023年8月，标准编制组组织专家研讨会，根据专家意见进行修改。10、2023年8月，参加征求意见稿专家审查会，经评审专家投票一致通过，同意该标准面向社会发起公开征求意见。二、标准编制原则、主要内容及其确定依据2.1标准编制原则本标准的编制遵循以下原则：(1)先进性：标准反映当前《个人信息保护法》等最新法律要求以及个人信息保护的先进技术水平；(2)开放性：标准的编制、评审与使用具有开放性；(3)适应性：标准结合我国国情；(4)简明性：标准易于理解、实现和应用；(5)中立性：公正、中立，不与任何利益攸关方发生关联；(6)一致性：术语与国内外标准所用术语最大程度保持一致。本标准提供大型互联网企业建立个人信息保护监督机构的人员选择、人员资质、人员约束、运行规则等要求，用于指导大型互联网企业建立和运行个人信息保护监督机构，促进大型互联网企业个人信息保护监督机构规范、尽责履职，切实发挥个人信息保护监督机构在大型互联网企业个人信息保护工作中的作用。2.2主要内容及其确定依据该标准为国家推荐性标准，主要包括大型互联网企业范围、个人信息保护监督机构的成立要求、个人信息保护监督机构外部成员任职资格、提名与任命程序、个人信息保护监督机构及成员职责、个人信息保护监督机构工作方式、议事方式等内容。具体来说，包括：其一，结合国内外大型互联网企业立法及监管要求，明确《个人信息保护法》第五十八条所规定的“重要互联网平台服务”“用户数量巨大”“业务类型复杂”三个限定条件的具体内涵和可操作性的标准，以及动态调整的规则。其二，结合国内外数据保护官、独立董事等制度经验，明确大型互联网企业内设个人信息保护监督机构的成员任职资格、提名与人名程序。个人信息保护监督机构主要由外部成员组成，参考独立董事等任职资格，明确外部成员任职资格，包括政治性、独立性、专业性要求，及其提名与任命程序。此外，个人信息保护监督机构还包括大型互联网企业内部成员，需要结合大型互联网企业个人信息保护相关业务、合规等需求，明确内部成员任职资格、任命程序等。其三，结合大型互联网企业个人信息保护合规义务等，明确大型互联网企业内设个人信息保护监督机构的运行机制。个人信息保护监督机构的运行机制关系到其能否切实发挥监督作用，结合《个人信息保护法》《数据安全法》等法律法规中所明确的大型互联网企业个人信息保护合规义务内容，明确外部监督机构监督事项、监督职权、监督方式，并通过表决方式的不同配比，平衡个人信息保护监督机构监督强度与大型互联网企业决策效率。其四，结合独立董事等制度经验，明确大型互联网企业个人信息保护监督机构独立性保障、利益冲突禁止、人员约束等规则要求。大型互联网企业个人信息保护监督机构主要由外部成员组成并负有监督职责，在明确外部成员和个人信息保护监督机构独立性要求的同时，还应当通过规范约束大型互联网企业避免其干涉个人信息保护监督机构或外部成员独立履职，从而提供独立性保障机制。2.3修订前后技术内容的对比[适用于国家标准修订项目]不适用。三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效益和生态效益3.1试验验证的分析、综述报告本标准在编制人员和编制过程，充分吸纳国内大型互联网企业参与，参编单位极使用标准进行了试验应用。同时，结合《个人信息保护法》等法律法规、《信息安全技术个人信息安全规范》（GB/T35273-2020）个人信息保护相关国家标准要求，在试验应用过程中对大型互联网企业个人信息保护监督机构建立要求等进行探索，最后将实施经验转化为标准的具体内容，以增加标准的实用性。3.2技术经济论证无。3.3预期的经济效益、社会效益和生态效益本标准支撑《个人信息保护法》等法律法规落地实施，对于支撑法律法规落地实施、指导大型互联网企业合规实践、切实保障用户权益，均具有重大意义。通过国家标准的方式为大型互联网企业建立个人信息保护监督机构提供细化指引，明确内设个人信息保护监督机构的适用企业范围、设立规则、运行规则等重点内容，切实发挥个人信息保护监督机构的功能，提升大型互联网企业个人信息保护监管水平，实现良性渐进发展。四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、样机的有关数据对比情况无。五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外标准，并说明未采用国际标准的原因本标准为《个人信息保护法》等法律法规的落地实施提供支撑，为我国原创性制度要求，暂无可采国际标准。六、与有关法律、行政法规及相关标准的关系本标准与现行法律、法规以及国家标准不存在冲突与矛盾。本标准为《个人信息保护法》等法律法规的落地实施提供支撑，建议与国家标准《信息安全技术个人信息安全规范》（GB/T35273-2020）《信息安全技术个人信息安全影响评估指南》（GB/T39335-2020）配套使用。七、重大分歧意见的处理经过和依据无。八、涉及专利的有关说明无。九、实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期的建议等措施建议本标准适用于大型互联网企业建立和运行个人信息保护监督机构提供参考，也适用于主管监管部门、第三方评估机构等组织对大型互联网企业建立个人信息保护监督机构的情况进行监督、管理。本标准为《个人信息保护法》等法律法规的落地实施提供支撑，建议与国家标准《信息安全技术个人信息安全规范》（GB/T35273-2020）《信息安全技术个人信息安全影响评估指南》（GB/T39335-2020）配套使用。十、其他应当说明的事项无。国家标准《信息