南財快評:個保法要求建外部獨立監督機構,互聯網平臺為何按兵不動

2021年11月10日 10:38   21世紀經濟報道 21財經APP   虞偉

虞偉(南方財經合規科技研究院院長、21世紀經濟報道總裁)

《個人信息保護法》(以下簡稱“個保法”)已于2021年11月1日正式施行,其中第五十八條第一款規定,提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者,應當按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督。 

 此前,國內相關法律法規中尚未出現過類似提法,甚至在隱私保護最為嚴格的歐洲,都未有過針對企業個人信息保護設立外部獨立監督機構的先例。 

 面對這個全新的事物,國內大型互聯網平臺(也被稱為“大廠”)似乎多數并未做好準備,除騰訊、攜程發布了相關招募啟事外,大廠都默契地保持著沉默。原因何在? 

法條該如何理解,恐怕是大廠們遇到的第一個難題。根據個保法五十八條的要求來看,監督機構相關的表述跟在“企業建立健全個人信息保護合規制度體系”一句之后,并以逗號分隔,意味著這一獨立的監督機構是企業健全個人信息保護合規的具體舉措之一。如此理解,此監督機構應該是企業制度體系的一部分。 

然而,法條又規定監督機構必須“主要由外部人員構成”,且是“獨立機構”。一個在公司內部的獨立監督機構,縱觀現代企業制度,類似機構或只有上市公司的獨立董事制度能稍作比較。 

中國上市公司的獨立董事制度確立于2001年,“維護公司及股東利益,尤其關注中小股東的合法權益不受損害”,是設立獨立董事的主要目的。從對公司和社會公眾負責的目的審視,獨立監督機構與獨立董事制度確實比較相似。但與獨董制度不同的是,個人信息保護監督機構“對誰負責”在個保法中并未體現,全國人大法工委在新聞發布會上曾就這一法條表示,個人信息保護法的上述規定是為了提高大型互聯網平臺經營業務的透明度,完善平臺治理,強化外部監督,形成全社會共同參與的個人信息保護機制。

由此來看,這一監督機構究竟是對公司負責,還是對社會公眾負責,或者是兼顧公司發展的利益和社會公眾的期待,還需互聯網平臺細致推敲。需要指出的是,獨董制度對上市公司及全體股東負有誠信、勤勉的義務,且主要防止控股股東、實際控制人侵犯公司和中小股東的利益;這與獨立監督機構對個人信息保護情況進行監督這一單一領域的監督職責有明顯區別,如果認為獨立監督機構對社會公眾負責,公司的發展利益或將不作為獨立監督機構考慮的范疇,有可能導致公司發展利益受損。 

其次,獨立監督機構能夠順利運轉,還需在人員選擇、運行機制、保持獨立性等關鍵問題上做好制度安排,否則監督機構或將落入“走形式”或“被架空”的困境中,與個保法的初衷相違背。

2019年起,谷歌、Facebook等美國互聯網企業也先后宣布要成立針對人工智能發展與內容審查的外部監督委員會,以應對公眾對大型互聯網企業的不信任。但谷歌的外部監督委員會在消息宣布僅一周后便“胎死腹中”,原因是公眾不滿其中一些委員的人選,社交網絡上掀起了一波波針對谷歌外部監督委員會委員名單的口誅筆伐,谷歌不得不暫停這一計劃。 

Facebook在經歷了劍橋分析事件后,也面臨著與公眾重建信任的任務。2020年1月,Facebook宣布將建立監督委員會,主要針對社交平臺的內容做審核。但這一委員會作為公司內部的一個常設機構運轉,委員均為全職,并領取工資。這種制度設計也一度引起外界“不夠獨立”的質疑,直到作出關閉前總統特朗普社交賬號等重要決定后,外界的批評才逐漸偃旗息鼓。

與上述外部委員會不同,個人信息保護監督機構已經以一部法律的形式固定下來,個保法之所以只作方向性要求,恰是希望為互聯網平臺探索更適合中國實際、適合隱私保護行業的制度設計留下足夠空間。 

無論是參考獨立董事的制度設計,抑或是借鑒海外相似機制的細節安排,對于個人信息保護監督機構這一新生事物來說,現下最需要的,恐怕是公眾輿論與監管給予其更寬容的環境與試錯空間,能夠允許相關互聯網平臺做更多形式的創新與嘗試,通過試錯與糾偏,形成一套適合中國互聯網發展與符合國人隱私保護期待的監督機制。

期待國內的大廠們勇敢地邁出機制創新的第一步!

關注我們

天天看片免费高清观看