張新寶

中華人民共和國(guó)個(gè)人信息保護(hù)法（以下簡(jiǎn)稱個(gè)人信息保護(hù)法）第58條為大型互聯(lián)網(wǎng)平臺(tái)企業(yè)特別設(shè)置了行政法上的第三方義務(wù)，規(guī)范了大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的個(gè)人信息處理活動(dòng)，促進(jìn)了其在互聯(lián)網(wǎng)治理特別是個(gè)人信息保護(hù)方面發(fā)揮積極作用；以此抓住了互聯(lián)網(wǎng)生態(tài)處理個(gè)人信息的關(guān)鍵環(huán)節(jié)，起到了提綱挈領(lǐng)、綱舉目張的效果；由此貫徹了“推動(dòng)形成政府、企業(yè)、相關(guān)社會(huì)組織、公眾共同參與個(gè)人信息保護(hù)的良好環(huán)境”（個(gè)人信息保護(hù)法第11條）的個(gè)人信息保護(hù)與網(wǎng)絡(luò)治理思路，契合了習(xí)近平總書(shū)記在一系列重要講話中強(qiáng)調(diào)的系統(tǒng)治理理念、思想和方略。

個(gè)人信息保護(hù)法第58條貫徹了網(wǎng)絡(luò)治理特別是個(gè)人信息保護(hù)的全新理念，在強(qiáng)化大型互聯(lián)網(wǎng)平臺(tái)企業(yè)個(gè)人信息保護(hù)義務(wù)的大框架下規(guī)定了多項(xiàng)特別義務(wù)，包括成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督、制定基于“三公原則”的平臺(tái)規(guī)則、違法違規(guī)產(chǎn)品和服務(wù)的下架義務(wù)、社會(huì)責(zé)任規(guī)則等。法律公布和施行以來(lái)，學(xué)界和實(shí)務(wù)界積極研究和探索該條文的正確理解和適用，國(guó)家有關(guān)部門也在起草有關(guān)規(guī)范性文件和國(guó)家標(biāo)準(zhǔn)以實(shí)施這條法律。

就該條第1款第1項(xiàng)關(guān)于“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督”而言，目前在理論與實(shí)踐上還有諸多爭(zhēng)議：第一，個(gè)人信息保護(hù)法第58條第1款第1項(xiàng)的規(guī)定適用于哪些個(gè)人信息處理者？法律條文作出了定性規(guī)定，即適用于“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者”。但是，條文缺乏定量的標(biāo)準(zhǔn)。第二，個(gè)人信息保護(hù)法第58條第1款第1項(xiàng)規(guī)定的“主要由外部成員組成的獨(dú)立機(jī)構(gòu)”具有何種法律性質(zhì)，由哪些人員構(gòu)成？它是大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的外部機(jī)構(gòu)還是大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的內(nèi)部機(jī)構(gòu)？如果是內(nèi)部機(jī)構(gòu)，其獨(dú)立性又如何得到保證？第三，在確定“主要由外部成員組成的獨(dú)立機(jī)構(gòu)”的法律性質(zhì)前提下，此等機(jī)構(gòu)承擔(dān)哪些職責(zé)以及如何進(jìn)行運(yùn)作？本文將從個(gè)人信息保護(hù)法第58條的形成過(guò)程入手，重點(diǎn)研討上述三個(gè)方面的問(wèn)題，以期為該條款（尤其是第1款第1項(xiàng)）的正確理解和實(shí)施提供一些可操作的意見(jiàn)和建議。

一、理念與條文形成

（一）設(shè)置大型互聯(lián)網(wǎng)平臺(tái)企業(yè)個(gè)人信息保護(hù)特別義務(wù)的理念

大型互聯(lián)網(wǎng)平臺(tái)企業(yè)，是指控制著商業(yè)用戶（個(gè)人信息處理者）觸達(dá)終端用戶（個(gè)人信息主體）的主要渠道、用戶規(guī)模大、計(jì)算能力強(qiáng)且產(chǎn)業(yè)覆蓋面廣的互聯(lián)網(wǎng)平臺(tái)經(jīng)營(yíng)者。在信息產(chǎn)業(yè)界，也將大型互聯(lián)網(wǎng)平臺(tái)企業(yè)稱為互聯(lián)網(wǎng)“頭部企業(yè)”。治理大型互聯(lián)網(wǎng)平臺(tái)企業(yè)包括對(duì)其個(gè)人信息處理活動(dòng)的監(jiān)督，是互聯(lián)網(wǎng)治理的關(guān)鍵和核心環(huán)節(jié)。為大型互聯(lián)網(wǎng)平臺(tái)企業(yè)施加個(gè)人信息保護(hù)特別義務(wù)是構(gòu)建治理主體多元、工具多樣的社會(huì)治理網(wǎng)絡(luò)的必然要求。政府從“守夜人”角色向管理和服務(wù)職能定位的轉(zhuǎn)型極大地?cái)U(kuò)張了國(guó)家任務(wù)，但在因科技發(fā)展、金融創(chuàng)新而使得分工逐漸細(xì)化、內(nèi)容日趨復(fù)雜的行政事務(wù)領(lǐng)域，政府喪失了固有的信息、資源和能力優(yōu)勢(shì)，于是不得不向私人主體尋求合作以克服政府失靈。在這種合作治理網(wǎng)絡(luò)中，多元主體通過(guò)共享、動(dòng)員和聚合分散的資源，協(xié)調(diào)利益和行動(dòng)，實(shí)現(xiàn)行政任務(wù)。

個(gè)人信息處理的治理本屬行政機(jī)關(guān)的職責(zé)。但是，一則由于行政資源短缺，執(zhí)法活動(dòng)難以全面覆蓋數(shù)量龐大的全部個(gè)人信息處理者；二則由于評(píng)估指標(biāo)僵化，行政監(jiān)管無(wú)法應(yīng)對(duì)日新月異的技術(shù)發(fā)展與不斷變化的個(gè)人信息權(quán)益侵害方式；三則由于日常規(guī)制缺位，專項(xiàng)整治不宜成為常態(tài)化的規(guī)制工具。由此，行政機(jī)關(guān)亟需創(chuàng)新治理模式，在治理節(jié)點(diǎn)中引入新的主體，在治理方式中運(yùn)用新的工具。

互聯(lián)網(wǎng)生態(tài)系統(tǒng)中存在一些特殊的主體，它們要么定義著移動(dòng)App運(yùn)行時(shí)所需調(diào)用的各種系統(tǒng)權(quán)限，并為之提供特定技術(shù)資源，要么是移動(dòng)App的主要分發(fā)渠道，或作為觸達(dá)用戶的主要載體。相較于行政機(jī)關(guān)，這些控制了技術(shù)環(huán)境和運(yùn)營(yíng)環(huán)境的“守門人”（也即大型互聯(lián)網(wǎng)平臺(tái)企業(yè)或頭部企業(yè)），包括移動(dòng)終端操作系統(tǒng)、應(yīng)用程序分發(fā)平臺(tái)和平臺(tái)型App，更有技術(shù)能力規(guī)制中小型移動(dòng)App。例如，操作系統(tǒng)可以根據(jù)個(gè)人信息的不同風(fēng)險(xiǎn)等級(jí)設(shè)置默認(rèn)的移動(dòng)App可以獲取的操作系統(tǒng)權(quán)限，或在較高風(fēng)險(xiǎn)情況下給予用戶提示。

在新的治理工具上，可以采取如下措施：第一，賦予大型互聯(lián)網(wǎng)平臺(tái)企業(yè)行政法上的第三方義務(wù)。有關(guān)由私人主體承擔(dān)違法行為發(fā)現(xiàn)、阻止工作的法律規(guī)定，我國(guó)法律不乏其例。如根據(jù)民法典第1194條—第1197條，網(wǎng)絡(luò)服務(wù)提供者有權(quán)“采取刪除、屏蔽、斷開(kāi)鏈接等必要措施”阻止網(wǎng)絡(luò)用戶的侵權(quán)行為。這些私人主體通常在管理、技術(shù)方面處于更加優(yōu)越的地位（如前文所述），其管理行為更符合成本收益分析。與行政機(jī)關(guān)逐一審查、要求移動(dòng)App逐一整改同質(zhì)性問(wèn)題所付出的成本相比，監(jiān)管少數(shù)大型互聯(lián)網(wǎng)平臺(tái)企業(yè)、要求其一次性解決更為經(jīng)濟(jì)，由此行政機(jī)關(guān)更有時(shí)間與精力去攻克無(wú)法經(jīng)由大型互聯(lián)網(wǎng)平臺(tái)企業(yè)一體規(guī)制的異質(zhì)性難題。可見(jiàn)，抓住互聯(lián)網(wǎng)生態(tài)個(gè)人信息處理的關(guān)鍵環(huán)節(jié)，可以有效緩解有限的行政資源與多點(diǎn)爆發(fā)的違法行為之間的矛盾，起到事半功倍的效果。

第二，大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的自我規(guī)制義務(wù)。傳統(tǒng)命令—控制式的政府高權(quán)主義規(guī)制模式在個(gè)人信息治理上往往存在障礙。政府既無(wú)法為每個(gè)企業(yè)量體裁衣，確定精細(xì)的行為守則，也無(wú)法深入企業(yè)內(nèi)部實(shí)時(shí)監(jiān)督個(gè)人信息處理活動(dòng)。更加包容的手段為行政機(jī)關(guān)設(shè)定規(guī)制目標(biāo)，企業(yè)自行設(shè)定規(guī)則、不斷調(diào)適并推進(jìn)內(nèi)部守法。在該規(guī)制理念之下，政府僅需就企業(yè)自我規(guī)制行為加以管制，從而達(dá)至集權(quán)與“放松規(guī)制”的折中。企業(yè)的自我規(guī)制意味著企業(yè)在作出決策時(shí)需適度考量利益相關(guān)者訴求，包括個(gè)人信息主體的個(gè)人信息權(quán)益受到保護(hù)的訴求和商業(yè)用戶受到公平、公正對(duì)待的訴求，由此推動(dòng)了公司社會(huì)責(zé)任與公司治理的進(jìn)一步融合。

對(duì)大型互聯(lián)網(wǎng)平臺(tái)企業(yè)施加個(gè)人信息保護(hù)特別義務(wù)，也是義務(wù)與風(fēng)險(xiǎn)相一致原則的體現(xiàn)。我國(guó)對(duì)個(gè)人信息保護(hù)所采取的“基于風(fēng)險(xiǎn)的進(jìn)路”理論源于歐盟1995年的數(shù)據(jù)保護(hù)指令，目的在于為不同的個(gè)人信息處理活動(dòng)依其風(fēng)險(xiǎn)程度配置不同的義務(wù)負(fù)擔(dān)，以實(shí)現(xiàn)個(gè)人信息的動(dòng)態(tài)、多層次、可擴(kuò)展的保護(hù)。否則，統(tǒng)一的標(biāo)準(zhǔn)要么讓小型企業(yè)因合規(guī)成本高昂而對(duì)個(gè)人信息的利用望而卻步，要么無(wú)法完全約束大型企業(yè)的個(gè)人信息處理活動(dòng)而使得個(gè)人信息權(quán)益的保護(hù)不足。就比較法而言，《數(shù)字服務(wù)法（草案）》同樣為具有不同用戶規(guī)模的中介服務(wù)提供者設(shè)定不同的義務(wù)。

在個(gè)人信息類型上，處理敏感個(gè)人信息較一般個(gè)人信息需負(fù)有更高的告知、同意與安全防范管理標(biāo)準(zhǔn)；在個(gè)人信息規(guī)模上，達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人；在個(gè)人信息處理方式上，利用個(gè)人信息進(jìn)行自動(dòng)化決策或?qū)嵤┢渌麑?duì)個(gè)人權(quán)益帶來(lái)更大風(fēng)險(xiǎn)的處理活動(dòng)時(shí)，應(yīng)當(dāng)進(jìn)行強(qiáng)制性的事前個(gè)人信息保護(hù)影響評(píng)估。那么，對(duì)于大型平臺(tái)，其用戶規(guī)模較大、數(shù)據(jù)類型豐富，容易成為人為惡意攻擊的對(duì)象；個(gè)人信息利用方式更為多元，海量數(shù)據(jù)的沉淀大大提升了數(shù)據(jù)挖掘的價(jià)值，二次利用、數(shù)據(jù)融合等現(xiàn)象明顯，而且非自用數(shù)據(jù)的交易、自用數(shù)據(jù)的API接口傳輸也會(huì)帶來(lái)第三方關(guān)聯(lián)風(fēng)險(xiǎn)；個(gè)人信息處理技術(shù)更為前沿，技術(shù)風(fēng)險(xiǎn)的隱蔽性、應(yīng)用層的弱解釋性等問(wèn)題突出。故此，有必要向大型平臺(tái)施加與其處理活動(dòng)相稱的較重義務(wù)。

（二）個(gè)人信息保護(hù)法第58條的形成

在個(gè)人信息保護(hù)法起草過(guò)程中，其一審稿草案并未包含大型互聯(lián)網(wǎng)平臺(tái)企業(yè)個(gè)人信息保護(hù)特別義務(wù)的條款。全國(guó)人大常委會(huì)就該一審稿草案廣泛征求社會(huì)意見(jiàn)，有關(guān)部門、專家踴躍建言，指出應(yīng)當(dāng)強(qiáng)化超大型互聯(lián)網(wǎng)平臺(tái)的個(gè)人信息保護(hù)義務(wù)，并加強(qiáng)監(jiān)督。筆者于2021年1月初積極向立法部門提出立法建議得到有關(guān)領(lǐng)導(dǎo)批示，并在《比較法研究》上發(fā)表《互聯(lián)網(wǎng)生態(tài)“守門人”個(gè)人信息保護(hù)特別義務(wù)設(shè)置研究》一文，形成一定的學(xué)術(shù)影響力。全國(guó)人大憲法和法律委員會(huì)經(jīng)研究，建議增加一條規(guī)定：提供基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)履行下列義務(wù)：（一）成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)，對(duì)個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督；（二）對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；（三）定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。這一方案被《個(gè)人信息保護(hù)法（二次審議稿）》第57條采納并被提交給全國(guó)人大常委會(huì)進(jìn)行審議。

針對(duì)前述《個(gè)人信息保護(hù)法（二次審議稿）》第57條的內(nèi)容，有的部門、專家提出，大型互聯(lián)網(wǎng)企業(yè)制定有關(guān)個(gè)人信息保護(hù)的平臺(tái)規(guī)則時(shí)，應(yīng)當(dāng)公平合理地對(duì)待平臺(tái)內(nèi)經(jīng)營(yíng)者。全國(guó)人大憲法和法律委員會(huì)經(jīng)研究，建議對(duì)草案二次審議稿作以下修改：增加規(guī)定，即大型互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)遵循公開(kāi)、公平、公正的原則，制定有關(guān)個(gè)人信息保護(hù)的平臺(tái)規(guī)則。如此，大型互聯(lián)網(wǎng)平臺(tái)企業(yè)不僅僅以協(xié)助行政機(jī)關(guān)完成行政任務(wù)的輔助性角色出現(xiàn)，如在商業(yè)用戶嚴(yán)重違反法律、行政法律的情形下停止提供服務(wù)，還能發(fā)揮更加能動(dòng)的作用，利用合同進(jìn)行私人規(guī)制。可見(jiàn)，立法者巧妙通過(guò)合同、自我規(guī)制等多元治理工具之間的功能性耦合，來(lái)達(dá)到規(guī)制眾多中小型個(gè)人信息處理者的目標(biāo)。

在法律草案的討論過(guò)程中，全國(guó)人大有的常委委員提出，應(yīng)當(dāng)要求大型互聯(lián)網(wǎng)平臺(tái)建立個(gè)人信息保護(hù)合規(guī)體系，加強(qiáng)內(nèi)部合規(guī)管理。全國(guó)人大憲法和法律委員會(huì)經(jīng)研究，建議在草案三次審議稿第58條（即二次審議稿的第57條）中增加規(guī)定，大型互聯(lián)網(wǎng)平臺(tái)應(yīng)當(dāng)“按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系”。這有機(jī)結(jié)合了自我規(guī)制與由獨(dú)立監(jiān)督機(jī)構(gòu)（相對(duì)獨(dú)立與外部性）、社會(huì)監(jiān)督和行政機(jī)關(guān)形成的外在約束。

從極具創(chuàng)新性與富有中國(guó)特色的個(gè)人信息保護(hù)法第58條的立法形成過(guò)程可以看出，有關(guān)個(gè)人信息保護(hù)立法工作的推進(jìn)過(guò)程是國(guó)家就應(yīng)當(dāng)如何合理配置利益相關(guān)主體的權(quán)利和義務(wù)以實(shí)現(xiàn)“三方平衡”的認(rèn)識(shí)不斷深入的過(guò)程，也是國(guó)家立法就應(yīng)當(dāng)如何構(gòu)建社會(huì)治理網(wǎng)絡(luò)，選取合適的治理主體與治理工具的理解不斷深入的過(guò)程。立法部門集思廣益，積極借鑒了歐盟數(shù)字市場(chǎng)法（草案）與數(shù)字服務(wù)法（草案）的經(jīng)驗(yàn)，將大型互聯(lián)網(wǎng)平臺(tái)企業(yè)作為規(guī)制的重點(diǎn)之一，貫徹了科學(xué)立法、民主立法的理念。

二、獨(dú)立監(jiān)督機(jī)構(gòu)的適用對(duì)象

“獨(dú)立監(jiān)督機(jī)構(gòu)”，是指根據(jù)個(gè)人信息保護(hù)法第58條的規(guī)定成立的主要由外部成員組成的獨(dú)立機(jī)構(gòu)，其職責(zé)是對(duì)相關(guān)個(gè)人信息處理者的個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。獨(dú)立監(jiān)督機(jī)構(gòu)的適用對(duì)象，是指哪些個(gè)人信息處理者應(yīng)當(dāng)依法成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)監(jiān)督其個(gè)人信息保護(hù)情況。

依據(jù)個(gè)人信息保護(hù)法第58條第1款的規(guī)定，應(yīng)當(dāng)承擔(dān)個(gè)人信息保護(hù)特別義務(wù)的個(gè)人信息處理者為“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者”。這樣的個(gè)人信息處理者通常不是個(gè)人而是企業(yè)；通常不是一般規(guī)模的企業(yè)而是大型企業(yè)；通常不是傳統(tǒng)企業(yè)，而是大型互聯(lián)網(wǎng)平臺(tái)企業(yè)。因此，獨(dú)立監(jiān)督機(jī)構(gòu)的適用對(duì)象，可以被界定為大型互聯(lián)網(wǎng)平臺(tái)企業(yè)。以下是對(duì)這一結(jié)論的具體論證：

如何根據(jù)第58條的三個(gè)定性標(biāo)準(zhǔn)具體確定特殊義務(wù)主體的范圍，除了通過(guò)實(shí)質(zhì)論證向該類主體施加監(jiān)管平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者（商業(yè)用戶）個(gè)人信息處理活動(dòng)的第三方義務(wù)和強(qiáng)化其內(nèi)部合規(guī)、外部監(jiān)督的合理性以外，缺乏其他可操作的定量標(biāo)準(zhǔn)。不過(guò)我國(guó)《互聯(lián)網(wǎng)平臺(tái)分類分級(jí)指南（征求意見(jiàn)稿）》（以下簡(jiǎn)稱《分類分級(jí)指南》）根據(jù)平臺(tái)的用戶規(guī)模、業(yè)務(wù)種類、經(jīng)濟(jì)體量和限制能力（平臺(tái)具有的限制或阻礙商戶接觸消費(fèi)者的能力）的差異，將互聯(lián)網(wǎng)平臺(tái)分為超級(jí)平臺(tái)、大型平臺(tái)和中小平臺(tái)等三級(jí)。由此產(chǎn)生這樣兩個(gè)問(wèn)題：第一，個(gè)人信息保護(hù)法第58條與《分類分級(jí)指南》對(duì)平臺(tái)進(jìn)行類型化區(qū)分的不同標(biāo)準(zhǔn)之間有何關(guān)系；第二，如何利用《分類分級(jí)指南》的具體規(guī)定來(lái)理解和實(shí)施個(gè)人信息保護(hù)法第58條的規(guī)定，確定獨(dú)立監(jiān)督機(jī)構(gòu)的適用對(duì)象。

1.細(xì)化“大型互聯(lián)網(wǎng)平臺(tái)企業(yè)”的認(rèn)定標(biāo)準(zhǔn)

《分類分級(jí)指南》的分級(jí)標(biāo)準(zhǔn)實(shí)則是個(gè)人信息保護(hù)法第58條的特別義務(wù)主體三要素之細(xì)化，其經(jīng)濟(jì)體量、用戶規(guī)模和業(yè)務(wù)種類的量化指標(biāo)為認(rèn)定獨(dú)立監(jiān)督機(jī)構(gòu)的適用對(duì)象指明了方向，有利于提高法律適用的確定性。

在判斷標(biāo)準(zhǔn)中，兩者均有用戶規(guī)模與業(yè)務(wù)種類兩項(xiàng)，僅就“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)”和“經(jīng)濟(jì)體量”“限制能力”存在區(qū)別。但從法律解釋的角度來(lái)看，“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)”可與“經(jīng)濟(jì)體量”“限制能力”相對(duì)應(yīng)?！疤峁┲匾ヂ?lián)網(wǎng)平臺(tái)服務(wù)”在二審稿草案中的表述為“提供基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)服務(wù)”。作此修改的原因在于：其一，互聯(lián)網(wǎng)平臺(tái)處于網(wǎng)絡(luò)結(jié)構(gòu)中的應(yīng)用層和服務(wù)層，相較于網(wǎng)絡(luò)基礎(chǔ)服務(wù)提供商（如寬帶服務(wù)），其對(duì)信息傳輸?shù)目刂屏^弱，能否被視為提供了基礎(chǔ)性服務(wù)有待商榷。其二，即便在互聯(lián)網(wǎng)平臺(tái)中，不同的平臺(tái)有著不同的功能和服務(wù)類型，其中最重要、最基本的系統(tǒng)軟件當(dāng)屬控制其他軟件運(yùn)行的技術(shù)環(huán)境的操作系統(tǒng)，但將特殊義務(wù)主體限縮至此未免過(guò)于狹隘。故在理解“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)”時(shí)，應(yīng)強(qiáng)調(diào)平臺(tái)在連接終端用戶和商業(yè)用戶方面的關(guān)鍵地位，以及其在推動(dòng)經(jīng)濟(jì)發(fā)展、保障民生、維護(hù)國(guó)家安全等方面的重要作用。如此界定與《分類分級(jí)指南》中的“經(jīng)濟(jì)體量”“限制能力”相印證。就該要件而言，“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)”的主體至少可以囊括操作系統(tǒng)，控制軟件被下載和分發(fā)的主要節(jié)點(diǎn)的應(yīng)用商店，為終端用戶和商業(yè)用戶提供交互環(huán)境的小程序平臺(tái)（如微信、支付寶等）和網(wǎng)絡(luò)銷售類、生活服務(wù)類等促成多邊交易的中介平臺(tái)（如淘寶、京東）。

將用戶規(guī)模與業(yè)務(wù)種類納入平臺(tái)分級(jí)與個(gè)人信息保護(hù)義務(wù)強(qiáng)度的區(qū)分標(biāo)準(zhǔn)同樣具備充分的理?yè)?jù)。首先，在用戶規(guī)模方面，當(dāng)平臺(tái)直接處理個(gè)人信息時(shí)，個(gè)人信息處理活動(dòng)所帶來(lái)的系統(tǒng)性風(fēng)險(xiǎn)、對(duì)社會(huì)公共利益產(chǎn)生的可能影響往往與用戶規(guī)模呈正相關(guān)關(guān)系。一方面，算法歧視、個(gè)人信息泄露極易侵害個(gè)人基本權(quán)利和民事權(quán)利，進(jìn)而引發(fā)群體性事件，減損公眾對(duì)互聯(lián)網(wǎng)公司的社會(huì)信任；另一方面，不當(dāng)使用類型豐富、數(shù)量巨大、主體多元的數(shù)據(jù)集會(huì)對(duì)社會(huì)利益和國(guó)家安全造成威脅。例如，臉書(shū)公司將用戶的個(gè)人信息與劍橋公司共享，對(duì)用戶進(jìn)行政治畫像，干涉、操控大選走勢(shì)。

當(dāng)商業(yè)用戶處理個(gè)人信息時(shí)，根據(jù)平臺(tái)與商業(yè)用戶之間的不同關(guān)系，可將平臺(tái)分為兩類：第一類為小程序平臺(tái)如微信、電商平臺(tái)如淘寶，此時(shí)商業(yè)用戶所處理的個(gè)人信息主要來(lái)源于平臺(tái)的共享。比如，小程序在接口調(diào)用、權(quán)限獲取和管理、消息推送等方面皆受限于小程序平臺(tái)，小程序只能獲取小程序平臺(tái)已經(jīng)從手機(jī)系統(tǒng)獲取的權(quán)限。無(wú)論是處理用戶信息、設(shè)備信息還是地理位置信息，小程序需要向平臺(tái)申請(qǐng)，而平臺(tái)則有權(quán)對(duì)相關(guān)接口進(jìn)行保護(hù)。又如，《淘寶網(wǎng)隱私政策》（2022年4月2日版）第3條指出：“我們不會(huì)與淘寶網(wǎng)服務(wù)提供者以外的公司、組織和個(gè)人共享您的信息，但以下情況除外：……3、為訂立、履行您作為一方當(dāng)事人的合同所必需的情況下的共享……”并在個(gè)人信息共享清單中列舉了與店鋪商家共享的個(gè)人信息類型和提供方式?？梢?jiàn)，平臺(tái)是否允許商業(yè)用戶訪問(wèn)數(shù)據(jù)、允許商業(yè)用戶訪問(wèn)哪些數(shù)據(jù)，是平臺(tái)基于自主決策進(jìn)行的個(gè)人信息共享活動(dòng)，該層次的控制和管理本質(zhì)上屬于平臺(tái)對(duì)終端用戶履行本位的個(gè)人信息保護(hù)義務(wù)，而非第三方義務(wù)，于是用戶規(guī)模在平臺(tái)分級(jí)中的作用便與上段無(wú)異。第二類平臺(tái)如操作系統(tǒng)和應(yīng)用商城，與商業(yè)用戶并沒(méi)有數(shù)據(jù)來(lái)源上的從屬關(guān)系，但存在技術(shù)上的鉗制關(guān)系（小程序平臺(tái)和電商平臺(tái)同樣具有該特性）。這些平臺(tái)所具有的終端用戶和商業(yè)用戶規(guī)模越大，行政機(jī)關(guān)監(jiān)管平臺(tái)的成本與平臺(tái)通過(guò)代碼、技術(shù)研發(fā)規(guī)制商業(yè)用戶的成本之和相較于行政機(jī)關(guān)逐一監(jiān)管商業(yè)用戶的成本越低，經(jīng)濟(jì)效益越顯著，故而越具有由其履行行政法上第三方義務(wù)的經(jīng)濟(jì)合理性。

其次，在業(yè)務(wù)種類方面，具有全行業(yè)賦能效應(yīng)的平臺(tái)之公共性通常比僅具有單一行業(yè)賦能效應(yīng)的平臺(tái)的公共性更強(qiáng)，更應(yīng)承擔(dān)公共管理職能并受到更嚴(yán)格的管制。

綜上所述，認(rèn)定個(gè)人信息保護(hù)法第58條的適用對(duì)象即大型互聯(lián)網(wǎng)平臺(tái)企業(yè)時(shí)，可以參考《分類分級(jí)指南》關(guān)于平臺(tái)分級(jí)的標(biāo)準(zhǔn)，包括其中的超級(jí)平臺(tái)經(jīng)營(yíng)者、大型平臺(tái)經(jīng)營(yíng)者。

2.“大型互聯(lián)網(wǎng)平臺(tái)企業(yè)”對(duì)標(biāo)超級(jí)平臺(tái)經(jīng)營(yíng)者與大型平臺(tái)經(jīng)營(yíng)者

個(gè)人信息保護(hù)法第58條的適用對(duì)象即大型互聯(lián)網(wǎng)平臺(tái)企業(yè)應(yīng)當(dāng)對(duì)標(biāo)《分類分級(jí)指南》中的超級(jí)平臺(tái)經(jīng)營(yíng)者與大型平臺(tái)經(jīng)營(yíng)者。

第一，個(gè)人信息保護(hù)法第58條的適用對(duì)象包括超級(jí)平臺(tái)經(jīng)營(yíng)者與大型平臺(tái)經(jīng)營(yíng)者，而不僅僅是超級(jí)平臺(tái)經(jīng)營(yíng)者，符合我國(guó)市場(chǎng)的實(shí)際情況。《分類分級(jí)指南》指出超級(jí)平臺(tái)經(jīng)營(yíng)者的上年底市值（估值）不低于10000億元人民幣，大型平臺(tái)經(jīng)營(yíng)者的上年底市值（估值）不低于1000億元人民幣。根據(jù)中國(guó)信通院發(fā)布的《2021年四季度我國(guó)互聯(lián)網(wǎng)上市企業(yè)運(yùn)行情況》，2021年度僅騰訊控股（35885.3億元人民幣）、阿里巴巴（21082.8億元人民幣）和美團(tuán)-W （11306.5億元人民幣）三家互聯(lián)網(wǎng)企業(yè)的市值為萬(wàn)億元級(jí)，數(shù)量極少。如若個(gè)人信息保護(hù)法第58條以超級(jí)平臺(tái)經(jīng)營(yíng)者為規(guī)制對(duì)象，行政機(jī)關(guān)通過(guò)指派專員的方式進(jìn)行重點(diǎn)監(jiān)管即可，而無(wú)需借助具有普遍約束力的法律，在公司治理中引入外部監(jiān)督機(jī)構(gòu)?；诒M可能有效規(guī)制眾多中小型個(gè)人信息處理者的考量，有必要適當(dāng)放低經(jīng)濟(jì)體量門檻，容納更多的互聯(lián)網(wǎng)平臺(tái)企業(yè)。

第二，將個(gè)人信息保護(hù)法第58條中的大型互聯(lián)網(wǎng)平臺(tái)企業(yè)解釋為超級(jí)平臺(tái)經(jīng)營(yíng)者、大型平臺(tái)經(jīng)營(yíng)者與《互聯(lián)網(wǎng)平臺(tái)落實(shí)主體責(zé)任指南（征求意見(jiàn)稿）》（以下簡(jiǎn)稱《主體責(zé)任指南》）規(guī)制的主體范圍相契合。需指出的是，該指南統(tǒng)合消費(fèi)者權(quán)益保護(hù)、反不正當(dāng)競(jìng)爭(zhēng)、反壟斷、個(gè)人信息保護(hù)、網(wǎng)絡(luò)用戶和內(nèi)容監(jiān)管、知識(shí)產(chǎn)權(quán)保護(hù)等多方位規(guī)則，將各種意旨相異的義務(wù)規(guī)定在一起，并對(duì)用戶規(guī)模、業(yè)務(wù)種類、經(jīng)濟(jì)體量和限制能力在不同義務(wù)劃定中的權(quán)重和分量進(jìn)行了模糊處理，可能會(huì)產(chǎn)生僅在個(gè)人信息保護(hù)領(lǐng)域承擔(dān)特別義務(wù)的主體與在多個(gè)領(lǐng)域承擔(dān)特別義務(wù)的主體在實(shí)質(zhì)范圍上是否相同的疑慮。比如，解決商業(yè)用戶和消費(fèi)者對(duì)超級(jí)平臺(tái)與大型平臺(tái)高度依賴之后的不公平行為問(wèn)題時(shí)，經(jīng)濟(jì)體量和用戶規(guī)模指標(biāo)更為重要?！吨黧w責(zé)任指南》第1條到第3條要求超級(jí)平臺(tái)與大型平臺(tái)經(jīng)營(yíng)者公平競(jìng)爭(zhēng)、平等治理、開(kāi)放生態(tài)，借鑒了歐盟數(shù)字市場(chǎng)法的“守門人”規(guī)定。這類主體受到規(guī)制的原因在于它們?cè)谡麄€(gè)平臺(tái)生態(tài)系統(tǒng)中行使控制權(quán)，在結(jié)構(gòu)上極難受到現(xiàn)有或新的市場(chǎng)參與者的挑戰(zhàn)或競(jìng)爭(zhēng)，容易采取不公平競(jìng)爭(zhēng)的行動(dòng)。而經(jīng)濟(jì)體量指標(biāo)可以反映出它們的貨幣化能力和門戶地位，以及利用資本鞏固地位的能力。用戶規(guī)模指標(biāo)則反映該平臺(tái)是商業(yè)用戶接觸終端用戶的主要媒介且具有強(qiáng)大的影響力。再比如，解決超級(jí)平臺(tái)與大型平臺(tái)對(duì)商業(yè)用戶的違法行為進(jìn)行治理及其侵害用戶權(quán)益的問(wèn)題時(shí)，限制能力和用戶規(guī)模指標(biāo)更為重要。這是因?yàn)槌?jí)平臺(tái)與大型平臺(tái)在促進(jìn)商品交易、傳播信息、觀點(diǎn)和思想上地位關(guān)鍵，信息、商品和服務(wù)的潛在接收者越多、權(quán)益影響范圍波及越大，越容易產(chǎn)生系統(tǒng)性風(fēng)險(xiǎn)。故而，超級(jí)平臺(tái)與大型平臺(tái)企業(yè)應(yīng)當(dāng)承擔(dān)與其社會(huì)影響力相稱的高標(biāo)準(zhǔn)義務(wù)。在比較法上，歐盟的數(shù)字服務(wù)法為在線中介服務(wù)提供者設(shè)定監(jiān)管義務(wù)的程度時(shí)僅以服務(wù)對(duì)象的數(shù)量為變量。

大型互聯(lián)網(wǎng)平臺(tái)經(jīng)營(yíng)者與《主體責(zé)任指南》中的超級(jí)與大型互聯(lián)網(wǎng)平臺(tái)經(jīng)營(yíng)者在義務(wù)內(nèi)容上仍有共性。其一，《主體責(zé)任指南》第13條之“動(dòng)態(tài)建立審核詞庫(kù)和管控機(jī)制，建立平臺(tái)審核機(jī)制和日常巡查機(jī)制”、第21條之“加大對(duì)平臺(tái)內(nèi)經(jīng)營(yíng)者違法違規(guī)廣告的事先預(yù)警和事后處理”、第28條之“針對(duì)平臺(tái)內(nèi)經(jīng)營(yíng)者發(fā)布的商品和服務(wù)，應(yīng)當(dāng)建立內(nèi)部監(jiān)督檢查制度，督促平臺(tái)內(nèi)經(jīng)營(yíng)者提供符合保障人身、財(cái)產(chǎn)安全要求的產(chǎn)品及服務(wù)”等條款均為平臺(tái)施加了監(jiān)管義務(wù)，這意味著超級(jí)平臺(tái)與大型平臺(tái)經(jīng)營(yíng)者所具有的規(guī)模、資金和技術(shù)等優(yōu)勢(shì)成為其負(fù)擔(dān)第三方義務(wù)的重要理?yè)?jù)。其二，與大型互聯(lián)網(wǎng)平臺(tái)經(jīng)營(yíng)者應(yīng)當(dāng)定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告類似，《主體責(zé)任指南》要求超級(jí)平臺(tái)與大型平臺(tái)經(jīng)營(yíng)者履行保護(hù)勞動(dòng)者（第30條）、特殊群體（第31條）、環(huán)境（第32條）的義務(wù)等社會(huì)責(zé)任。

由此可見(jiàn)，個(gè)人信息保護(hù)法第58條中承擔(dān)個(gè)人信息保護(hù)特別義務(wù)、需要設(shè)置主要由外部人員組成的獨(dú)立監(jiān)督機(jī)構(gòu)的大型互聯(lián)網(wǎng)平臺(tái)企業(yè)，可對(duì)應(yīng)《分類分級(jí)指南》《主體責(zé)任指南》中的超級(jí)平臺(tái)經(jīng)營(yíng)者和大型平臺(tái)經(jīng)營(yíng)者。

三、獨(dú)立監(jiān)督機(jī)構(gòu)的性質(zhì)與人員構(gòu)成

（一）獨(dú)立監(jiān)督機(jī)構(gòu)的獨(dú)立性

個(gè)人信息保護(hù)法第58條規(guī)定了大型互聯(lián)網(wǎng)平臺(tái)企業(yè)設(shè)立獨(dú)立機(jī)構(gòu)監(jiān)督其個(gè)人信息保護(hù)的義務(wù)，創(chuàng)新性地在組織機(jī)構(gòu)方面對(duì)企業(yè)提出了要求。此后，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的《未成年人網(wǎng)絡(luò)保護(hù)條例（征求意見(jiàn)稿）》規(guī)定，未成年人用戶數(shù)量巨大、在未成年人群體具有顯著影響力的重要互聯(lián)網(wǎng)平臺(tái)服務(wù)提供者應(yīng)當(dāng)“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)，對(duì)未成年人網(wǎng)絡(luò)保護(hù)情況進(jìn)行監(jiān)督”。

關(guān)于獨(dú)立監(jiān)督機(jī)構(gòu)的獨(dú)立性，目前有幾種不同的認(rèn)識(shí)：一是與大型互聯(lián)網(wǎng)平臺(tái)企業(yè)獨(dú)立，作為行使社會(huì)監(jiān)督權(quán)力的獨(dú)立機(jī)構(gòu)；二是與大型互聯(lián)網(wǎng)平臺(tái)企業(yè)獨(dú)立，作為國(guó)家監(jiān)管部門行使監(jiān)管權(quán)力的獨(dú)立機(jī)構(gòu)；三是內(nèi)設(shè)于大型互聯(lián)網(wǎng)平臺(tái)企業(yè)，與企業(yè)的日常經(jīng)營(yíng)管理部門隔離，獨(dú)立進(jìn)行個(gè)人信息保護(hù)監(jiān)督的機(jī)構(gòu)。本文支持第三種觀點(diǎn)，理由如下：

第一，從法律條文的體系解釋角度判斷。第58條是規(guī)定于個(gè)人信息保護(hù)法第5章“個(gè)人信息處理者的義務(wù)”這一章的，該章規(guī)定個(gè)人信息處理者包括處理個(gè)人信息的大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的個(gè)人信息處理義務(wù)，而不規(guī)定個(gè)人信息保護(hù)的社會(huì)監(jiān)督，也不規(guī)定國(guó)家監(jiān)管部門的職責(zé)。該法是在第6章專門規(guī)定保護(hù)個(gè)人信息的國(guó)家機(jī)關(guān)及其職責(zé)。因此，第58條所規(guī)定的“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督”就只能理解為個(gè)人信息處理者包括處理個(gè)人信息的大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的義務(wù)，而不能理解為“社會(huì)監(jiān)督”或者國(guó)家監(jiān)管方面的獨(dú)立機(jī)構(gòu)。

第二，從獨(dú)立監(jiān)督機(jī)構(gòu)的人員構(gòu)成角度判斷。第58條規(guī)定的“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)”表明，獨(dú)立機(jī)構(gòu)的組成人員大部分是外部成員，少部分為內(nèi)部成員。有內(nèi)部成員參與的“獨(dú)立監(jiān)督機(jī)構(gòu)”，其完全獨(dú)立于企業(yè)是不可能做到的。

第三，從國(guó)家機(jī)構(gòu)設(shè)置的程序與政策判斷。新的國(guó)家機(jī)構(gòu)的設(shè)置以及已有國(guó)家機(jī)構(gòu)職能的增減，都需要經(jīng)過(guò)嚴(yán)格的法定程序，精簡(jiǎn)國(guó)家機(jī)構(gòu)、促進(jìn)國(guó)家機(jī)關(guān)高效率運(yùn)行是建設(shè)服務(wù)政府、法治政府的必然要求。在這樣的國(guó)家治理大背景下，不可能設(shè)置專門監(jiān)督大型互聯(lián)網(wǎng)平臺(tái)個(gè)人信息保護(hù)活動(dòng)的國(guó)家機(jī)構(gòu)，也不可能設(shè)置“主要由外部成員組成”的具有國(guó)家公權(quán)性質(zhì)的受委托的獨(dú)立機(jī)構(gòu)，對(duì)大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的個(gè)人信息保護(hù)進(jìn)行監(jiān)督。

第四，從“獨(dú)立監(jiān)督機(jī)構(gòu)”的職能判斷。雖然“獨(dú)立監(jiān)督機(jī)構(gòu)”應(yīng)當(dāng)具有較高程度的“獨(dú)立性”，但本質(zhì)上是服務(wù)于企業(yè)的個(gè)人信息保護(hù)合規(guī)要求的，其存在的目的在于企業(yè)的依法合規(guī)經(jīng)營(yíng)，確保企業(yè)在個(gè)人信息保護(hù)方面達(dá)到法律、法規(guī)和規(guī)范性文件要求的保護(hù)水平和落實(shí)相關(guān)的保護(hù)措施，避免企業(yè)因個(gè)人信息保護(hù)達(dá)不到合規(guī)要求而受到處罰。“獨(dú)立監(jiān)督機(jī)構(gòu)”職能的“利己性”（服務(wù)于企業(yè)）決定了“獨(dú)立監(jiān)督機(jī)構(gòu)”只能是企業(yè)的內(nèi)設(shè)機(jī)構(gòu)而不應(yīng)該是獨(dú)立的社會(huì)監(jiān)督機(jī)構(gòu)或者國(guó)家機(jī)關(guān)。

作為企業(yè)內(nèi)設(shè)機(jī)構(gòu)的“獨(dú)立監(jiān)督機(jī)構(gòu)”，主要是指獨(dú)立于企業(yè)的日常經(jīng)營(yíng)管理機(jī)構(gòu)（如總經(jīng)理）、產(chǎn)品或者服務(wù)研發(fā)推廣機(jī)構(gòu)等業(yè)務(wù)部門，因?yàn)檫@些機(jī)構(gòu)和部門往往會(huì)以利潤(rùn)導(dǎo)向進(jìn)行管理和經(jīng)營(yíng)而忽視個(gè)人信息保護(hù)。獨(dú)立機(jī)構(gòu)獨(dú)立于這些機(jī)構(gòu)和部門監(jiān)督企業(yè)的個(gè)人信息保護(hù)情況?！蔼?dú)立監(jiān)督機(jī)構(gòu)”是大型互聯(lián)網(wǎng)企業(yè)公司治理的重要組成部分，是一個(gè)創(chuàng)新的制度，主要是通過(guò)引入外部成員對(duì)企業(yè)的個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督，確保企業(yè)在個(gè)人信息保護(hù)方面合規(guī)運(yùn)行。

有些探討將獨(dú)立機(jī)構(gòu)的性質(zhì)與外部獨(dú)立的審計(jì)機(jī)構(gòu)（如會(huì)計(jì)師事務(wù)所）和內(nèi)部的獨(dú)立董事進(jìn)行類比，無(wú)疑是具有一定啟發(fā)性的?！蔼?dú)立監(jiān)督機(jī)構(gòu)”作為企業(yè)內(nèi)設(shè)的機(jī)構(gòu)，其獨(dú)立性主要是體現(xiàn)為與日常經(jīng)營(yíng)管理機(jī)構(gòu)和產(chǎn)品服務(wù)研發(fā)經(jīng)營(yíng)部門等的獨(dú)立，而不同于作為與企業(yè)僅有合同關(guān)系的審計(jì)機(jī)構(gòu)。獨(dú)立機(jī)構(gòu)與企業(yè)獨(dú)立董事的性質(zhì)有相同的地方也有較大差異。相同之處在于獨(dú)立性。不同之處在于獨(dú)立董事對(duì)企業(yè)的諸多事項(xiàng)行使決策權(quán)，而獨(dú)立機(jī)構(gòu)僅對(duì)個(gè)人信息保護(hù)活動(dòng)進(jìn)行監(jiān)督?jīng)]有決策權(quán)。獨(dú)立董事在董事會(huì)機(jī)制下行使權(quán)力，獨(dú)立機(jī)構(gòu)則是向董事會(huì)或者股東會(huì)提出監(jiān)督建議和意見(jiàn)。

（二）獨(dú)立監(jiān)督機(jī)構(gòu)的人員構(gòu)成

法律規(guī)定“主要由外部成員組成的獨(dú)立機(jī)構(gòu)”對(duì)大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的個(gè)人信息保護(hù)進(jìn)行監(jiān)督。就獨(dú)立機(jī)構(gòu)的人員構(gòu)成而言，需要從以下三個(gè)方面細(xì)化第58條第1款第1項(xiàng)的規(guī)定：一是獨(dú)立機(jī)構(gòu)組成人員的數(shù)量；二是外部成員與內(nèi)部成員的比例；三是外部成員的資質(zhì)要求與內(nèi)部成員的職務(wù)要求。

1.不同規(guī)模大型互聯(lián)網(wǎng)平臺(tái)企業(yè)“獨(dú)立監(jiān)督機(jī)構(gòu)”組成人員的數(shù)量

將大型互聯(lián)網(wǎng)平臺(tái)企業(yè)和超級(jí)互聯(lián)網(wǎng)平臺(tái)企業(yè)均納入第58條適用對(duì)象，要求其成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)活動(dòng)進(jìn)行監(jiān)督。這兩類企業(yè)在規(guī)模上有較大差別，個(gè)人信息保護(hù)的復(fù)雜程度和工作量等也不盡相同。因此，大型互聯(lián)網(wǎng)平臺(tái)企業(yè)與超級(jí)互聯(lián)網(wǎng)平臺(tái)企業(yè)監(jiān)督個(gè)人信息保護(hù)活動(dòng)的獨(dú)立機(jī)構(gòu)之組成人員的數(shù)量應(yīng)有所區(qū)別。

有的超級(jí)與大型互聯(lián)網(wǎng)平臺(tái)企業(yè)積極探索獨(dú)立機(jī)構(gòu)的建設(shè)，初步提出了15人的組成人員設(shè)想，這是比較符合企業(yè)實(shí)際情況的。本文的建議是：大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的獨(dú)立機(jī)構(gòu)由9—15人組成。

2.兩種組成人員的比例要求

法律規(guī)定獨(dú)立機(jī)構(gòu)主要由外部人員組成，“主要”的文義是指絕對(duì)多數(shù)。考慮到在投票等方面的技術(shù)要求，本文建議這里的“主要由外部成員組成”應(yīng)當(dāng)理解為外部成員不少于全體成員的三分之二。比如，在全體成員為9人的情況下，外部成員為6人或者多于6人，但是不能超過(guò)8人。在全體成員為15人的情況下，外部成員為10人或者多于10人，但是不能超過(guò)14人。

3.組成人員的資質(zhì)或職務(wù)要求

首先，作為獨(dú)立機(jī)構(gòu)組成人員的外部人員。外部人員是指不屬于企業(yè)，與企業(yè)不存在勞動(dòng)人事關(guān)系和其他重要利害關(guān)系的自然人。這里的“重大利害關(guān)系”包括股東關(guān)系、債權(quán)債務(wù)關(guān)系，以及與企業(yè)董事、監(jiān)事等高級(jí)管理人員有近親屬關(guān)系等。作為獨(dú)立機(jī)構(gòu)組成人員的外部人員，應(yīng)當(dāng)政治上合格、業(yè)務(wù)上精通個(gè)人信息保護(hù)法治與實(shí)踐操作。具體任職條件由國(guó)家履行個(gè)人信息保護(hù)職能的部門（如國(guó)家網(wǎng)信辦）通過(guò)頒布規(guī)范性文件確定。有資質(zhì)擔(dān)任獨(dú)立機(jī)構(gòu)組成人員的相關(guān)法律專家等可以成立個(gè)人信息保護(hù)獨(dú)立專業(yè)人員協(xié)會(huì)，受國(guó)家履行個(gè)人信息保護(hù)職能的部門指導(dǎo)和監(jiān)督。

獨(dú)立機(jī)構(gòu)組成人員特別是外部成員的個(gè)體獨(dú)立性與專業(yè)性是保障其行使職能的必要前提。為了確保機(jī)構(gòu)的獨(dú)立性，需關(guān)注以下四個(gè)方面：其一，獨(dú)立機(jī)構(gòu)的外部成員不得與企業(yè)具有人事、經(jīng)濟(jì)上的利害關(guān)系。其二，獨(dú)立機(jī)構(gòu)外部成員的名單需上報(bào)外部專家協(xié)會(huì)進(jìn)行獨(dú)立性和專業(yè)性審查，向社會(huì)公眾公布，并由國(guó)家網(wǎng)信部門備案。其三，外部成員的津貼報(bào)酬需要有統(tǒng)一的標(biāo)準(zhǔn)且與企業(yè)相區(qū)隔。為保證獨(dú)立監(jiān)督機(jī)構(gòu)成員不被大型互聯(lián)網(wǎng)企業(yè)俘獲，形成經(jīng)濟(jì)依附關(guān)系，外部成員不得被給付過(guò)高的薪酬。其四，在成員履職期間，一旦出現(xiàn)利益沖突或者其他不能履職的情況，應(yīng)當(dāng)主動(dòng)向企業(yè)與外部專家協(xié)會(huì)申請(qǐng)，辭去職務(wù)。

外部監(jiān)督機(jī)構(gòu)成員還應(yīng)有專業(yè)性要求，否則無(wú)法有效地履行監(jiān)督職責(zé)。比如，成員需為個(gè)人信息保護(hù)領(lǐng)域公認(rèn)的專家，具備高級(jí)以上專業(yè)技術(shù)職稱；熟悉有關(guān)個(gè)人信息法律法規(guī)、信息技術(shù)等相關(guān)理論及實(shí)踐經(jīng)驗(yàn)。值得注意的是，成員應(yīng)當(dāng)有足夠時(shí)間和精力參與企業(yè)的監(jiān)督活動(dòng)，已在3個(gè)及以上其他大型互聯(lián)網(wǎng)企業(yè)中擔(dān)任外部監(jiān)督機(jī)構(gòu)成員的，不得再在其他企業(yè)擔(dān)任。

其次，作為獨(dú)立監(jiān)督機(jī)構(gòu)組成人員的內(nèi)部人員。處于“少數(shù)派”的內(nèi)部人員參與獨(dú)立監(jiān)督機(jī)構(gòu)，有利于獨(dú)立監(jiān)督機(jī)構(gòu)與企業(yè)的溝通以行使個(gè)人信息保護(hù)監(jiān)督職能。作為獨(dú)立監(jiān)督機(jī)構(gòu)組成人員的內(nèi)部人員，應(yīng)當(dāng)包括企業(yè)主管法務(wù)和合規(guī)的高層管理人員以及具體負(fù)責(zé)企業(yè)個(gè)人信息保護(hù)的負(fù)責(zé)人（個(gè)人信息保護(hù)法第52條）。

四、獨(dú)立機(jī)構(gòu)的職責(zé)與運(yùn)行

（一）獨(dú)立監(jiān)督機(jī)構(gòu)的職責(zé)范圍

依據(jù)第58條的規(guī)定，獨(dú)立監(jiān)督機(jī)構(gòu)的職責(zé)是監(jiān)督大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的個(gè)人信息保護(hù)。在企業(yè)內(nèi)，其所擔(dān)當(dāng)?shù)穆氊?zé)是監(jiān)督，而非決策和執(zhí)行。其所監(jiān)督的事項(xiàng)僅限于個(gè)人信息保護(hù)，而不涉及企業(yè)生產(chǎn)經(jīng)營(yíng)和管理的其他事項(xiàng)。相較于企業(yè)的合規(guī)部門，獨(dú)立監(jiān)督機(jī)構(gòu)僅能行使有限的監(jiān)督權(quán)。將該機(jī)構(gòu)與企業(yè)內(nèi)部予以隔離保障，既有利于獨(dú)立機(jī)構(gòu)在履職時(shí)進(jìn)行獨(dú)立、客觀和公平判斷，又有利于數(shù)據(jù)安全和企業(yè)商業(yè)秘密的維護(hù)。以個(gè)人信息存儲(chǔ)與傳輸?shù)募夹g(shù)管理為例，企業(yè)所采取的加密處理措施和方法被知悉的主體越多，數(shù)據(jù)安全越容易受到威脅。因此，獨(dú)立機(jī)構(gòu)的職責(zé)主要是對(duì)企業(yè)的個(gè)人信息保護(hù)合規(guī)情況進(jìn)行監(jiān)督。

大型互聯(lián)網(wǎng)企業(yè)不僅需要對(duì)自己的個(gè)人信息處理活動(dòng)負(fù)責(zé)，還需履行規(guī)范商業(yè)用戶（如淘寶網(wǎng)上的網(wǎng)店）個(gè)人信息處理活動(dòng)的義務(wù)。就此而言，獨(dú)立監(jiān)督機(jī)構(gòu)的職責(zé)又可分為如下兩大類型：

其一，監(jiān)督大型互聯(lián)網(wǎng)平臺(tái)企業(yè)自身的個(gè)人信息保護(hù)合規(guī)情況。個(gè)人信息保護(hù)合規(guī)體系分為個(gè)人信息合規(guī)政策和個(gè)人信息合規(guī)流程，前者立足于個(gè)人信息主體的權(quán)益，后者則為實(shí)體權(quán)益之落實(shí)提供組織和程序保障。但實(shí)踐中，兩者之間的界分并非涇渭分明。個(gè)人信息主體權(quán)益的范圍與邊界需結(jié)合特定場(chǎng)景進(jìn)行具體劃定，場(chǎng)景要素在實(shí)體權(quán)益與操作規(guī)則之間構(gòu)建起橋梁，于是在監(jiān)督個(gè)人信息合規(guī)流程中的人員組織合規(guī)情況時(shí)，對(duì)操作規(guī)程的監(jiān)督不可避免地會(huì)涉及個(gè)人信息主體的實(shí)體權(quán)益。以中興通訊公司建立的合規(guī)制度為例，該企業(yè)建立了“政策、手冊(cè)、原則性規(guī)范、場(chǎng)景化指引”的規(guī)則框架，其中原則性規(guī)范既包括了實(shí)體性的《合法性基礎(chǔ)判斷規(guī)范》，又包括了管理性與程序性的《數(shù)據(jù)影響保護(hù)評(píng)估規(guī)范》。故而對(duì)獨(dú)立監(jiān)督機(jī)構(gòu)職責(zé)的梳理不可過(guò)分僵化。

在個(gè)人信息合規(guī)政策方面，獨(dú)立監(jiān)督機(jī)構(gòu)可格外注意與個(gè)人信息主體發(fā)生交互的合規(guī)情況，即大型互聯(lián)網(wǎng)企業(yè)制定的平臺(tái)規(guī)則和隱私政策，例如通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷時(shí)，是否同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。

在個(gè)人信息合規(guī)流程方面，獨(dú)立監(jiān)督機(jī)構(gòu)則可從制度合規(guī)、技術(shù)合規(guī)和組織合規(guī)三個(gè)角度著手，對(duì)大型互聯(lián)網(wǎng)企業(yè)的事前防范、事中規(guī)制和事后處置的合規(guī)情況進(jìn)行監(jiān)督。事前環(huán)節(jié)的監(jiān)督包括：（1）個(gè)人信息保護(hù)負(fù)責(zé)人的設(shè)立；（2）組建統(tǒng)籌協(xié)調(diào)、制定規(guī)則、監(jiān)督執(zhí)行的個(gè)人信息保護(hù)合規(guī)部門，并制定內(nèi)部管理制度；（3）在對(duì)個(gè)人權(quán)益有重大影響的處理活動(dòng)前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估；（4）制定操作規(guī)程；（5）定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)；（6）個(gè)人信息跨境時(shí)的安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證或制定標(biāo)準(zhǔn)合同；（7）制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案。事中環(huán)節(jié)的監(jiān)督包括：（1）對(duì)個(gè)人信息實(shí)行分類管理、采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；（2）合理確定個(gè)人信息處理的操作權(quán)限；（3）操作規(guī)程的遵守與內(nèi)容審查；（4）合規(guī)審計(jì)；（5）定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告。事后環(huán)節(jié)的監(jiān)督包括：（1）個(gè)人信息安全事件的補(bǔ)救和通知；（2）為個(gè)人信息主體的權(quán)利行使建立了便捷的受理和處理機(jī)制。

其二，監(jiān)督大型互聯(lián)網(wǎng)企業(yè)對(duì)商業(yè)用戶的個(gè)人信息處理活動(dòng)予以規(guī)范的合規(guī)情況。大型互聯(lián)網(wǎng)企業(yè)對(duì)商業(yè)用戶進(jìn)行個(gè)人信息處理活動(dòng)所需盡到的監(jiān)管義務(wù)不盡一致。盡管操作系統(tǒng)平臺(tái)與應(yīng)用商店都能對(duì)商業(yè)用戶采取技術(shù)控制措施，但操作系統(tǒng)是制約其他應(yīng)用軟件的底層技術(shù)環(huán)境，而應(yīng)用商店僅能部分阻卻其他應(yīng)用軟件被獲取的通道，顯然前者的監(jiān)管義務(wù)更高。至于小程序平臺(tái)和電商平臺(tái)，它們除了在與商業(yè)用戶共享個(gè)人信息方面起決定性作用，還能控制商業(yè)用戶的市場(chǎng)準(zhǔn)入，具備數(shù)據(jù)與技術(shù)的雙重鉗制關(guān)系。由此，獨(dú)立監(jiān)督機(jī)構(gòu)在不同類型的互聯(lián)網(wǎng)企業(yè)中監(jiān)督的項(xiàng)目?jī)?nèi)容有所區(qū)別。

對(duì)于操作系統(tǒng)平臺(tái)，監(jiān)督范圍包括：（1）是否采取技術(shù)措施將應(yīng)用軟件調(diào)取的系統(tǒng)權(quán)限限制在必要范圍之內(nèi)；（2）是否按照系統(tǒng)權(quán)限對(duì)個(gè)人信息帶來(lái)的風(fēng)險(xiǎn)差異采取不同強(qiáng)度的保護(hù)措施，如申請(qǐng)麥克風(fēng)、照相機(jī)、地理位置等權(quán)限時(shí)的單獨(dú)授權(quán)；（3）是否在系統(tǒng)權(quán)限被調(diào)用之后對(duì)用戶進(jìn)行提示；（4）是否用合理的方式向用戶呈現(xiàn)應(yīng)用軟件調(diào)取系統(tǒng)權(quán)限的狀態(tài)并允許用戶自由變動(dòng)。

對(duì)于應(yīng)用商店，監(jiān)督范圍包括：（1）平臺(tái)規(guī)則是否公平、公正、公開(kāi)；（2）是否對(duì)應(yīng)用軟件公示隱私規(guī)則作出合理的要求與審查；（3）是否對(duì)違法應(yīng)用軟件采取事前禁止準(zhǔn)入和事后下架的控制。

對(duì)于小程序平臺(tái)和電商平臺(tái)，監(jiān)督范圍包括：（1）企業(yè)是否采取技術(shù)措施將小程序從小程序平臺(tái)獲取的個(gè)人信息限制在必要范圍之內(nèi)；（2）在小程序申請(qǐng)調(diào)取敏感個(gè)人信息時(shí)，是否采取強(qiáng)化保護(hù)措施；（3）是否以合同的方式對(duì)小程序采集、存儲(chǔ)、使用、共享個(gè)人信息的活動(dòng)作出約束；（4）平臺(tái)規(guī)則是否公平、公正、公開(kāi)；（5）是否對(duì)違法商業(yè)用戶采取事前禁止準(zhǔn)入和事后下架、斷開(kāi)連接的控制；（6）是否為個(gè)人信息主體舉報(bào)違法處理個(gè)人信息的商業(yè)用戶建立便捷的渠道。

需要進(jìn)一步說(shuō)明的是：第一，獨(dú)立監(jiān)督機(jī)構(gòu)就職責(zé)范圍內(nèi)的事項(xiàng)所享有的權(quán)力不限于監(jiān)督權(quán)，還可就其提出建議、意見(jiàn)并進(jìn)行指導(dǎo)。第二，由于獨(dú)立監(jiān)督機(jī)構(gòu)由董事會(huì)領(lǐng)導(dǎo)，故其還有權(quán)對(duì)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)相關(guān)的董事會(huì)議案提出建議和意見(jiàn)、對(duì)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)相關(guān)工作提交董事會(huì)議案，并列席與個(gè)人信息保護(hù)有關(guān)的董事會(huì)會(huì)議，但涉及商業(yè)秘密的，獨(dú)立監(jiān)督機(jī)構(gòu)成員應(yīng)當(dāng)保密。第三，獨(dú)立監(jiān)督機(jī)構(gòu)通常是以整體的形式履行職責(zé)，但獨(dú)立監(jiān)督機(jī)構(gòu)成員也可單獨(dú)行使部分職責(zé)，如對(duì)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)相關(guān)問(wèn)題提供意見(jiàn)和建議、對(duì)內(nèi)部從業(yè)人員進(jìn)行個(gè)人信息保護(hù)培訓(xùn)、對(duì)個(gè)人信息保護(hù)相關(guān)工作向個(gè)人信息保護(hù)負(fù)責(zé)人提交獨(dú)立意見(jiàn)。

（二）獨(dú)立監(jiān)督機(jī)構(gòu)的運(yùn)行

1.獨(dú)立監(jiān)督機(jī)構(gòu)的會(huì)議制度

由于獨(dú)立監(jiān)督機(jī)構(gòu)的成員大部分為兼職參與公司治理，為確保其順利履行職責(zé)，大型互聯(lián)網(wǎng)企業(yè)，一則需要盡到必要信息提供義務(wù)，以消除信息不對(duì)稱，滿足獨(dú)立監(jiān)督機(jī)構(gòu)成員的知情需求，如介紹情況、提供材料等，定期通報(bào)個(gè)人信息保護(hù)相關(guān)工作情況；二則應(yīng)當(dāng)暢通信息溝通與交流渠道，指定專人負(fù)責(zé)與獨(dú)立監(jiān)督機(jī)構(gòu)及成員的日常聯(lián)系，及時(shí)響應(yīng)獨(dú)立監(jiān)督機(jī)構(gòu)及成員的意見(jiàn)和建議；三則為獨(dú)立監(jiān)督機(jī)構(gòu)成員提供履行職責(zé)所必需的工作條件并承擔(dān)相應(yīng)的費(fèi)用，如獨(dú)立監(jiān)督機(jī)構(gòu)聘請(qǐng)第三方審計(jì)機(jī)構(gòu)進(jìn)行審計(jì)合規(guī)的支出。

獨(dú)立監(jiān)督機(jī)構(gòu)行使諸如進(jìn)行監(jiān)督和指導(dǎo)、提出建議和意見(jiàn)的權(quán)力，以及形成決議皆采取召開(kāi)會(huì)議的形式，這也是獨(dú)立監(jiān)督機(jī)構(gòu)行使集體權(quán)力的主要方式。獨(dú)立監(jiān)督機(jī)構(gòu)成員會(huì)議與公司股東會(huì)議、董事會(huì)議類似，分為常規(guī)會(huì)議和臨時(shí)會(huì)議。為激勵(lì)積極履行職責(zé)，有關(guān)管理規(guī)定可以對(duì)會(huì)議召開(kāi)作出具體要求，比如例行的年度會(huì)議、半年會(huì)議乃至季度會(huì)議等定期會(huì)議的強(qiáng)制出席要求。獨(dú)立監(jiān)督機(jī)構(gòu)的會(huì)議由個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)主席召集和主持。

定期會(huì)議在靈活性方面有所欠缺，當(dāng)面臨突發(fā)事件或其他重大事件時(shí)，往往需要召開(kāi)臨時(shí)會(huì)議。由此可以參照股東臨時(shí)會(huì)議和董事臨時(shí)會(huì)議。一方面，三分之一以上的獨(dú)立監(jiān)督機(jī)構(gòu)成員機(jī)構(gòu)成員可提議召開(kāi)，個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)主席收到提議后十日內(nèi)召集和主持會(huì)議；另一方面，當(dāng)發(fā)生特殊情形時(shí)，必須召開(kāi)臨時(shí)會(huì)議，比如個(gè)人信息泄露、篡改、丟失，大型互聯(lián)網(wǎng)企業(yè)因違法處理個(gè)人信息而被提起民事公益訴訟、給予行政處罰、進(jìn)入刑事調(diào)查程序等。定期會(huì)議和臨時(shí)會(huì)議的決議、建議應(yīng)當(dāng)按照章程規(guī)定的流程及時(shí)提交給企業(yè)的權(quán)力機(jī)構(gòu)或者企業(yè)的其他機(jī)構(gòu)和部門。

2.獨(dú)立監(jiān)督機(jī)構(gòu)與國(guó)家個(gè)人信息保護(hù)部門的關(guān)系

盡管大型互聯(lián)網(wǎng)平臺(tái)企業(yè)設(shè)置的個(gè)人信息保護(hù)獨(dú)立監(jiān)督機(jī)構(gòu)屬于企業(yè)的內(nèi)部機(jī)構(gòu)，但是其引入了外部成員而且擔(dān)負(fù)法律規(guī)定的特殊職責(zé)，因此其設(shè)立、運(yùn)行等應(yīng)受到國(guó)家個(gè)人信息保護(hù)部門的指導(dǎo)和監(jiān)督。具體而言，國(guó)家個(gè)人信息保護(hù)部門宜出臺(tái)規(guī)范性文件規(guī)范獨(dú)立監(jiān)督機(jī)構(gòu)成員的任職條件、獨(dú)立監(jiān)督機(jī)構(gòu)的運(yùn)行程序，包括發(fā)布供參照?qǐng)?zhí)行的“模范章程”。國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)委員會(huì)可以制定相應(yīng)的國(guó)家標(biāo)準(zhǔn)，指導(dǎo)和規(guī)范獨(dú)立監(jiān)督委員會(huì)的工作。

成立大型互聯(lián)網(wǎng)平臺(tái)企業(yè)個(gè)人信息保護(hù)獨(dú)立監(jiān)督機(jī)構(gòu)成員協(xié)會(huì)，研究和協(xié)調(diào)各獨(dú)立監(jiān)督機(jī)構(gòu)的工作，培訓(xùn)和考核獨(dú)立監(jiān)督機(jī)構(gòu)的成員，制定外部成員的報(bào)酬標(biāo)準(zhǔn)，是十分必要的。獨(dú)立監(jiān)督機(jī)構(gòu)對(duì)企業(yè)個(gè)人信息保護(hù)事項(xiàng)作出的決定或者提出的鑒定意見(jiàn)，原則上將得到國(guó)家個(gè)人信息保護(hù)部門的認(rèn)可。在發(fā)現(xiàn)企業(yè)在個(gè)人信息保護(hù)方面存在重大隱患或者嚴(yán)重違法情形時(shí)，獨(dú)立監(jiān)督機(jī)構(gòu)應(yīng)當(dāng)及時(shí)向企業(yè)的權(quán)力機(jī)構(gòu)提出意見(jiàn)和建議。企業(yè)權(quán)力機(jī)構(gòu)拒絕接受的，經(jīng)獨(dú)立監(jiān)督機(jī)構(gòu)多數(shù)成員表決同意，應(yīng)將相關(guān)情況報(bào)告國(guó)家個(gè)人信息保護(hù)部門。

結(jié) 語(yǔ)

本文結(jié)合社會(huì)治理理念、個(gè)人信息保護(hù)基本法理和中國(guó)社會(huì)實(shí)際情況，就我國(guó)個(gè)人信息保護(hù)獨(dú)立監(jiān)督機(jī)構(gòu)的設(shè)立提出如下建議：第一，負(fù)有設(shè)立義務(wù)的大型互聯(lián)網(wǎng)平臺(tái)企業(yè)可對(duì)應(yīng)于《分類分級(jí)指南》《主體責(zé)任指南》中的超級(jí)平臺(tái)經(jīng)營(yíng)者和大型平臺(tái)經(jīng)營(yíng)者；第二，該獨(dú)立機(jī)構(gòu)主要由外部成員構(gòu)成，內(nèi)設(shè)于大型互聯(lián)網(wǎng)平臺(tái)企業(yè)，與企業(yè)的日常經(jīng)營(yíng)管理部門隔離，獨(dú)立對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。獨(dú)立機(jī)構(gòu)組成人員包括少數(shù)內(nèi)部人員與多數(shù)外部人員，均有履職的資質(zhì)要求；第三，獨(dú)立監(jiān)督機(jī)構(gòu)的職責(zé)定位主要是對(duì)大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的個(gè)人信息處理行為進(jìn)行自我規(guī)制的再監(jiān)督。個(gè)人信息保護(hù)法不少條文要求設(shè)置新的規(guī)章制度和執(zhí)行機(jī)制。無(wú)論是本文所論及的獨(dú)立監(jiān)督機(jī)構(gòu)，還是強(qiáng)制性一般合規(guī)義務(wù)中的組織合規(guī)、制度合規(guī)、技術(shù)合規(guī)，均有待網(wǎng)信部門制定相關(guān)規(guī)范性文件和標(biāo)準(zhǔn)化管理委員會(huì)出臺(tái)技術(shù)標(biāo)準(zhǔn)，將相對(duì)抽象和原則的條文轉(zhuǎn)化為具體、可操作的行為規(guī)則，以進(jìn)一步落實(shí)和實(shí)施個(gè)人信息保護(hù)法的規(guī)定。