国家标准《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》（征求意见稿）编制说明.docx

国家标准征求意见稿材料 PAGE PAGE 1 一、工作简况 1.1 任务来源 根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》由中国人民大学负责承办，计划号T-469，标准由全国信息安全标准化技术委员会归口管理。 1.2 制定背景 2021年8月，我国《个人信息保护法》正式颁布，并于2021年11月正式实施。其中，第58条被业界视为我国“互联网守门人”条款备受关注。该条第一项要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。 2022年3月，全国信息安全标准化技术委员会发布《关于发布2022年度网络安全国家标准需求的通知》，将本标准纳入2022年网络安全国家安全标准需求项目。 2022年10月，全国信息安全技术标准化委员会发布《关于2022年网络安全国家标准项目立项的通知》，明确本标准由中国人民大学作为项目牵头单位负责标准编制工作。 1.3 起草过程 1.3.1 草案阶段 1、2022年3月，中国人民大学牵头组建标准前期研究工作小组，小组对大型互联网企业个人信息保护监督机构相关立法、实践等进行详细调研，形成相应标准草案，并准备申报材料。 2、2022年4月、2022年7月，中国人民大学标准编制组在全国信息安全标准化技术委员会进行标准申报汇报。 3、2022年10月，全国信息安全技术标准化委员会发布《关于2022年网络安全国家标准项目立项的通知》，同意本标准由中国人民大学作为项目牵头单位负责标准编制工作。 4、2022年11月-12月，中国人民大学对外公开征集标准参编单位，正式成立标准编制组，召开第一次工作组组内会议，并就标准草案内容向标准编制组内部征求意见，对标准内容进行更新完善。 5、2022年12月，标准编制组在2022年标准周WG7工作组上进行汇报。经与会成员单位投票，建议该标准转为征求意见稿。 1.3.2 征求意见稿阶段 6、2023年4月，标准编制组召开编制组全体会议，就标准内容和文本进行研讨、完善。 7、2023年6月，标准编制组在2023年第一次标准周WG7工作组上进行汇报。 8、2023年6月，参加征求意见稿专家审查会，根据专家意见进行修改。 9、2023年8月，标准编制组组织专家研讨会，根据专家意见进行修改。 10、2023年8月，参加征求意见稿专家审查会，经评审专家投票一致通过，同意该标准面向社会发起公开征求意见。 二、标准编制原则、主要内容及其确定依据 2.1 标准编制原则 本标准的编制遵循以下原则： (1) 先进性：标准反映当前《个人信息保护法》等必威体育精装版法律要求以及个人信息保护的先进技术水平； (2) 开放性：标准的编制、评审与使用具有开放性； (3) 适应性：标准结合我国国情； (4) 简明性：标准易于理解、实现和应用； (5) 中立性：公正、中立，不与任何利益攸关方发生关联； (6) 一致性：术语与国内外标准所用术语最大程度保持一致。 本标准提供大型互联网企业建立个人信息保护监督机构的人员选择、人员资质、人员约束、运行规则等要求，用于指导大型互联网企业建立和运行个人信息保护监督机构，促进大型互联网企业个人信息保护监督机构规范、尽责履职，切实发挥个人信息保护监督机构在大型互联网企业个人信息保护工作中的作用。 2.2 主要内容及其确定依据 该标准为国家推荐性标准，主要包括大型互联网企业范围、个人信息保护监督机构的成立要求、个人信息保护监督机构外部成员任职资格、提名与任命程序、个人信息保护监督机构及成员职责、个人信息保护监督机构工作方式、议事方式等内容。具体来说，包括： 其一，结合国内外大型互联网企业立法及监管要求，明确《个人信息保护法》第五十八条所规定的“重要互联网平台服务”“用户数量巨大”“业务类型复杂”三个限定条件的具体内涵和可操作性的标准，以及动态调整的规则。 其二，结合国内外数据保护官、独立董事等制度经验，明确大型互联网企业内设个人信息保护监督机构的成员任职资格、提名与人名程序。个人信息保护监督机构主要由外部成员组成，参考独立董事等任职资格，明确外部成员任职资格，包括政治性、独立性、专业性要求，及其提名与任命程序。此外，个人信息保护监督机构还包括大型互联网企业内部成员，需要结合大型互联网企业个人信息保护相关业务、合规等需求，明确内部成员任职资格、任命程序等。 其三，结合大型互联网企业个人信息保护合规义务等，明确大型互联网企业内设个人信息保护监督机构的运行机制。个人信息保护监督机构的运行机制关系到其能否切实发挥监督作用，结合《个人信息保护法》《数据安全法》等法