個保法要求建獨立監(jiān)督機構(gòu) 互聯(lián)網(wǎng)平臺為何按兵不動

虞偉（南方財經(jīng)合規(guī)科技研究院院長）

個人信息保護法（以下簡稱“個保法”）已于2021年11月1日正式施行，其中第五十八條第一款規(guī)定，提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者，應(yīng)當按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督。

此前，國內(nèi)相關(guān)法律法規(guī)中尚未出現(xiàn)過類似提法，甚至在隱私保護最為嚴格的歐洲，都未有過針對企業(yè)個人信息保護設(shè)立外部獨立監(jiān)督機構(gòu)的先例。

面對這個全新的事物，國內(nèi)大型互聯(lián)網(wǎng)平臺（也被稱為“大廠”）似乎多數(shù)并未做好準備，除騰訊、攜程發(fā)布了相關(guān)招募啟事外，大廠都默契地保持著沉默。原因何在？

法條該如何理解，恐怕是大廠們遇到的第一個難題。根據(jù)個保法五十八條的要求來看，監(jiān)督機構(gòu)相關(guān)的表述跟在企業(yè)“建立健全個人信息保護合規(guī)制度體系”一句之后，并以逗號分隔，意味著這一獨立的監(jiān)督機構(gòu)是企業(yè)健全個人信息保護合規(guī)的具體舉措之一。如此理解，此監(jiān)督機構(gòu)應(yīng)該是企業(yè)制度體系的一部分。

然而，法條又規(guī)定監(jiān)督機構(gòu)必須“主要由外部人員構(gòu)成”，且是“獨立機構(gòu)”。一個在公司內(nèi)部的獨立監(jiān)督機構(gòu)，縱觀現(xiàn)代企業(yè)制度，類似機構(gòu)或只有上市公司的獨立董事制度能稍作比較。

中國上市公司的獨立董事制度確立于2001年，“維護公司及股東利益，尤其關(guān)注中小股東的合法權(quán)益不受損害”，是設(shè)立獨立董事的主要目的。從對公司和社會公眾負責的目的審視，獨立監(jiān)督機構(gòu)與獨立董事制度確實比較相似。但與獨董制度不同的是，個人信息保護監(jiān)督機構(gòu)“對誰負責”在個保法中并未體現(xiàn)，全國人大法工委在新聞發(fā)布會上曾就這一法條表示，個人信息保護法的上述規(guī)定是為了提高大型互聯(lián)網(wǎng)平臺經(jīng)營業(yè)務(wù)的透明度，完善平臺治理，強化外部監(jiān)督，形成全社會共同參與的個人信息保護機制。

由此來看，這一監(jiān)督機構(gòu)究竟是對公司負責，還是對社會公眾負責，或者是兼顧公司發(fā)展的利益和社會公眾的期待，還需互聯(lián)網(wǎng)平臺細致推敲。需要指出的是，獨董制度對上市公司及全體股東負有誠信、勤勉的義務(wù)，且主要防止控股股東、實際控制人侵犯公司和中小股東的利益；這與獨立監(jiān)督機構(gòu)對個人信息保護情況進行監(jiān)督這一單一領(lǐng)域的監(jiān)督職責有明顯區(qū)別，如果認為獨立監(jiān)督機構(gòu)對社會公眾負責，公司的發(fā)展利益或?qū)⒉蛔鳛楠毩⒈O(jiān)督機構(gòu)考慮的范疇，有可能導(dǎo)致公司發(fā)展利益受損。

其次，獨立監(jiān)督機構(gòu)能夠順利運轉(zhuǎn)，還需在人員選擇、運行機制、保持獨立性等關(guān)鍵問題上做好制度安排，否則監(jiān)督機構(gòu)或?qū)⒙淙搿白咝问健被颉氨患芸铡钡睦Ь持?，與個保法的初衷相違背。

2019年起，谷歌、Facebook等美國互聯(lián)網(wǎng)企業(yè)也先后宣布要成立針對人工智能發(fā)展與內(nèi)容審查的外部監(jiān)督委員會，以應(yīng)對公眾對大型互聯(lián)網(wǎng)企業(yè)的不信任。但谷歌的外部監(jiān)督委員會在消息宣布僅一周后便“胎死腹中”，原因是公眾不滿其中一些委員的人選，社交網(wǎng)絡(luò)上掀起了一波波針對谷歌外部監(jiān)督委員會委員名單的口誅筆伐，谷歌不得不暫停這一計劃。

Facebook在經(jīng)歷了劍橋分析事件后，也面臨著與公眾重建信任的任務(wù)。2020年1月，F(xiàn)acebook宣布將建立監(jiān)督委員會，主要針對社交平臺的內(nèi)容做審核。但這一委員會作為公司內(nèi)部的一個常設(shè)機構(gòu)運轉(zhuǎn)，委員均為全職，并領(lǐng)取工資。這種制度設(shè)計也一度引起外界“不夠獨立”的質(zhì)疑，直到作出關(guān)閉前總統(tǒng)特朗普社交賬號等重要決定后，外界的批評才逐漸偃旗息鼓。

與上述外部委員會不同，個人信息保護監(jiān)督機構(gòu)已經(jīng)以一部法律的形式固定下來，個保法之所以只作方向性要求，恰是希望為互聯(lián)網(wǎng)平臺探索更適合中國實際、適合隱私保護行業(yè)的制度設(shè)計留下足夠空間。

無論是參考獨立董事的制度設(shè)計，抑或是借鑒海外相似機制的細節(jié)安排，對于個人信息保護監(jiān)督機構(gòu)這一新生事物來說，現(xiàn)下最需要的，恐怕是公眾輿論與監(jiān)管給予其更寬容的環(huán)境與試錯空間，能夠允許相關(guān)互聯(lián)網(wǎng)平臺做更多形式的創(chuàng)新與嘗試，通過試錯與糾偏，形成一套適合中國互聯(lián)網(wǎng)發(fā)展與符合國人隱私保護期待的監(jiān)督機制。

期待國內(nèi)的大廠們勇敢地邁出機制創(chuàng)新的第一步！