《信息安全技術(shù) 大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個人信息保護監(jiān)督機構(gòu)要求》

GB/TXXXXX—XXXX

信息安全技術(shù)大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個人信息保護監(jiān)督機構(gòu)要求

1范圍

本文件規(guī)定了大型互聯(lián)網(wǎng)企業(yè)建立和運行個人信息保護監(jiān)督機構(gòu)的要求，包括個人信息保護監(jiān)督

機構(gòu)的設(shè)置、職責、工作規(guī)則，以及個人信息保護監(jiān)督機構(gòu)的成員等要求。

本文件適用于大型互聯(lián)網(wǎng)企業(yè)建立和運行個人信息保護監(jiān)督機構(gòu)，也可為監(jiān)管、檢查、評估等活動

提供參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范

3術(shù)語和定義

GB/T25069—2022和GB/T35273—2020界定的以及下列術(shù)語和定義適用于本文件。

3.1

大型互聯(lián)網(wǎng)企業(yè)largeInternetenterprise

提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復雜的互聯(lián)網(wǎng)企業(yè)，同時具備較大用戶規(guī)模、

較廣業(yè)務(wù)種類、較多業(yè)務(wù)范圍、較高經(jīng)濟體量和較強影響能力的大型互聯(lián)網(wǎng)平臺。

3.2

個人信息保護監(jiān)督機構(gòu)personalinformationprotectionsupervisionagency

大型互聯(lián)網(wǎng)企業(yè)建立的主要由外部成員組成，對自身個人信息保護合法合規(guī)情況、履行個人信息保

護社會責任情況等進行獨立監(jiān)督，并對提升個人信息保護水平提出建議和意見的機構(gòu)。

3.3個人信息保護監(jiān)督機構(gòu)外部成員externalmemberofpersonalinformationprotection

supervisionagency

具備個人信息保護專業(yè)知識和技能，不在大型互聯(lián)網(wǎng)企業(yè)擔任除個人信息保護監(jiān)督機構(gòu)外部成員

外的其他職務(wù)，與受聘大型互聯(lián)網(wǎng)企業(yè)及其主要股東不存在可能妨礙其進行獨立客觀判斷的關(guān)系，對大

型互聯(lián)網(wǎng)企業(yè)個人信息保護情況進行監(jiān)督，發(fā)表獨立客觀建議、意見的外部專家。

4個人信息保護監(jiān)督機構(gòu)的設(shè)立

4.1成立要求

3

GB/TXXXXX—XXXX

大型互聯(lián)網(wǎng)企業(yè)應(yīng)在六個月內(nèi)成立個人信息保護監(jiān)督機構(gòu)，對本企業(yè)的個人信息保護合法合規(guī)情

況、履行個人信息保護社會責任情況等進行獨立監(jiān)督。

4.2人員構(gòu)成要求

大型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督機構(gòu)應(yīng)由七至十五名成員組成，其中外部成員占比不低于三分

之二，內(nèi)部成員不超過三分之一。

4.3主任、副主任及職責

個人信息保護監(jiān)督機構(gòu)應(yīng)設(shè)主任、副主任各一人，由外部成員擔任，經(jīng)個人信息保護監(jiān)督機構(gòu)全體

成員過半數(shù)選舉產(chǎn)生。

個人信息保護監(jiān)督機構(gòu)會議期間，主任應(yīng)負責主持個人信息保護監(jiān)督機構(gòu)會議。個人信息保護監(jiān)督

機構(gòu)休會期間，主任可組織外部成員與大型互聯(lián)網(wǎng)企業(yè)用戶代表、消費者代表等開展調(diào)研、訪談等活動。

主任不能履行職務(wù)或者不履行職務(wù)，應(yīng)由副主任代為履行。

4.4秘書的任命及職責

個人信息保護監(jiān)督機構(gòu)應(yīng)設(shè)秘書一人，由內(nèi)部成員擔任，經(jīng)大型互聯(lián)網(wǎng)企業(yè)任命產(chǎn)生。

個人信息保護監(jiān)督機構(gòu)會議期間，秘書應(yīng)負責個人信息保護監(jiān)督機構(gòu)的會議的籌備、召集、文件保

管、信息披露等事宜。個人信息保護監(jiān)督機構(gòu)休會期間，秘書應(yīng)負責與外部成員的日常聯(lián)系，為外部成

員履行職責提供必要協(xié)助。

5個人信息保護監(jiān)督機構(gòu)成員

5.1外部成員的任職要求

5.1.1獨立性要求

個人信息保護監(jiān)督機構(gòu)外部成員應(yīng)保持身份和履職的獨立性，在履職過程中不應(yīng)受大型互聯(lián)網(wǎng)企

業(yè)主要股東、實際控制人或者其他與大型互聯(lián)網(wǎng)企業(yè)存在利害關(guān)系的單位或個人的影響，最近一年內(nèi)不

應(yīng)具有下列情形：

a)在大型互聯(lián)網(wǎng)企業(yè)或者其附屬企業(yè)任職，或者其配偶、直系親屬、主要社會關(guān)系在大型互聯(lián)網(wǎng)

企業(yè)或者其附屬企業(yè)任職；

b)直接或間接持有大型互聯(lián)網(wǎng)企業(yè)已發(fā)行股份百分之一以上或者是大型互聯(lián)網(wǎng)企業(yè)前十名股東

中的自然人股東及其直系親屬；

c)在直接或間接持有大型互聯(lián)網(wǎng)企業(yè)股份百分之五以上的股東單位或者在大型互聯(lián)網(wǎng)企業(yè)前五

名股東單位任職的人員及其直系親屬；

d)為大型互聯(lián)網(wǎng)企業(yè)或者其附屬企業(yè)提供財務(wù)、法律等服務(wù)的人員；

e)國家網(wǎng)信部門認定的其他可能影響外部成員獨立性的情形。

外部成員應(yīng)保持身份和履職的獨立性，發(fā)生對身份獨立性構(gòu)成影響的情形，外部成員應(yīng)及時通知大

型互聯(lián)網(wǎng)企業(yè)并消除情形，發(fā)生對身份獨立性構(gòu)成影響的情形時，外部成員應(yīng)及時通知個人信息保護監(jiān)

督機構(gòu)秘書并消除情形，無法符合獨立性要求的，應(yīng)提出辭職。

5.1.2專業(yè)性要求

個人信息保護監(jiān)督機構(gòu)外部成員應(yīng)具備與履行職責相適應(yīng)的專業(yè)水平：

a)熟悉個人信息保護、數(shù)據(jù)安全等相關(guān)法律法規(guī)、政策、標準；

4

GB/TXXXXX—XXXX

b)為個人信息保護、數(shù)據(jù)安全等相關(guān)領(lǐng)域法律、技術(shù)資深專家，具備副高級及以上專業(yè)技術(shù)職稱，

或者在個人信息保護、數(shù)據(jù)安全等相關(guān)領(lǐng)域具有五年以上合規(guī)、測評等工作經(jīng)驗的資深從業(yè)人

員。

在首次受聘大型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督機構(gòu)外部成員前，擬任外部成員應(yīng)至少參加一次任

職培訓。受聘大型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督機構(gòu)外部成員后，外部成員應(yīng)定期接受專業(yè)培訓，及時

學習了解個人信息保護法律法規(guī)、技術(shù)與實踐發(fā)展變化，保持履職專業(yè)性。

5.1.3職業(yè)道德要求

個人信息保護監(jiān)督機構(gòu)外部成員應(yīng)具備履行職責相適應(yīng)的職業(yè)道德水平：

a)政治可靠，具有較高的政治素質(zhì)；

b)遵紀守法，能夠客觀獨立、公平公正、廉潔地履行職責；

c)曾因犯罪受過刑事處罰、曾被開除公職或者受到監(jiān)管部門懲戒和處罰的，不應(yīng)擔任個人信息保

護監(jiān)督機構(gòu)外部成員。

5.2外部成員的提名與任免

5.2.1外部成員的提名

個人信息保護監(jiān)督機構(gòu)外部成員應(yīng)由大型互聯(lián)網(wǎng)企業(yè)個人信息保護負責人組織提名事宜：

a)個人信息保護負責人應(yīng)通過公開征集和定向邀請的方式提名個人信息保護監(jiān)督機構(gòu)外部成員；

b)個人信息保護負責人應(yīng)充分了解被提名人職業(yè)、學歷、職稱、詳細的工作經(jīng)歷、全部兼職等情

況，并在提名前征得被提名人的同意，被提名人應(yīng)如實提供相應(yīng)證明材料；

c)個人信息保護負責人應(yīng)對被提名人擔任個人信息保護監(jiān)督機構(gòu)外部成員的資格和獨立性進行

說明。

個人信息保護負責人提名外部成員時，宜考慮整體人員構(gòu)成多元專業(yè)背景構(gòu)成，充分吸納具備個人

信息保護、數(shù)據(jù)安全等法律、技術(shù)、合規(guī)、測評等不同知識結(jié)構(gòu)與實踐經(jīng)驗的專家。

5.2.2外部成員的任命

個人信息保護監(jiān)督機構(gòu)外部成員應(yīng)由大型互聯(lián)網(wǎng)企業(yè)董事會或經(jīng)董事會授權(quán)的董事長、執(zhí)行董事

決定并任命：

a)董事會或經(jīng)董事會授權(quán)的董事長、執(zhí)行董事應(yīng)聽取個人信息保護負責人就被提名人情況的說

明；

b)董事會或經(jīng)董事會授權(quán)的董事長、執(zhí)行董事應(yīng)通過表決方式?jīng)Q定是否任命個人信息保護監(jiān)督

機構(gòu)外部成員；

c)董事會或經(jīng)董事會授權(quán)的董事長、執(zhí)行董事決定不任命個人信息保護監(jiān)督機構(gòu)外部成員的，應(yīng)

書面說明異議意見。

5.2.3外部成員的任期

個人信息保護監(jiān)督機構(gòu)外部成員實行任期制，每屆任期三年。外部成員任期屆滿，可連任，但連任

時間不應(yīng)超過六年。

5.2.4外部成員的辭任

5

GB/TXXXXX—XXXX

個人信息保護監(jiān)督機構(gòu)外部成員在任期內(nèi)可向大型互聯(lián)網(wǎng)企業(yè)提交書面辭職報告，自愿辭去職務(wù)。

因辭職導致個人信息保護監(jiān)督機構(gòu)成員低于法定人數(shù)或者外部成員低于法定比例要求的，在大型互聯(lián)

網(wǎng)企業(yè)補任出新的外部成員前，提出辭任的外部成員仍應(yīng)履行外部成員職責。

個人信息保護監(jiān)督機構(gòu)外部成員不再滿足任職資格專業(yè)性、獨立性或職業(yè)道德要求的，應(yīng)在出現(xiàn)相

應(yīng)情形后十五日內(nèi)通知大型互聯(lián)網(wǎng)企業(yè)，辭去外部成員職務(wù)。

5.2.5外部成員的免職

個人信息保護監(jiān)督機構(gòu)外部成員在任期屆滿前，出現(xiàn)下列情形的，應(yīng)由大型互聯(lián)網(wǎng)企業(yè)個人信息保

護負責人提請董事會或經(jīng)董事會授權(quán)的董事長、執(zhí)行董事免除其職務(wù)：

a)連續(xù)三次未親自出席監(jiān)督機構(gòu)會議的；

b)出現(xiàn)不符合獨立性條件要求的情形的；

c)出現(xiàn)違反職業(yè)道德條件要求的情形的；

d)出現(xiàn)其他不適宜繼續(xù)履行外部成員職責的情形。

因免除個人信息保護監(jiān)督機構(gòu)外部成員職務(wù)導致個人信息保護監(jiān)督機構(gòu)成員低于法定人數(shù)的或者

外部成員低于法定比例要求的，大型互聯(lián)網(wǎng)企業(yè)應(yīng)盡快補充任命外部成員，以確保外部成員人數(shù)達到法

定要求。

5.3外部成員的履職要求

5.3.1外部成員勤勉盡責要求

個人信息保護外部監(jiān)督機構(gòu)外部成員應(yīng)依法履行監(jiān)督職責，勤勉盡責地開展工作：

a)主動關(guān)注有關(guān)大型互聯(lián)網(wǎng)企業(yè)特別是個人信息保護事項相關(guān)的報道及信息；

b)通過多種渠道與大型互聯(lián)網(wǎng)企業(yè)用戶代表、消費者代表開展調(diào)研、訪談等活動；

c)與大型互聯(lián)網(wǎng)企業(yè)個人信息保護負責人、個人信息保護監(jiān)督機構(gòu)秘書等及時充分溝通，確保工

作順利開展；

d)每年為大型互聯(lián)網(wǎng)企業(yè)有效工作的時間應(yīng)不少于十五個工作日；

注：外部成員有效工作時間應(yīng)包括出席個人信息保護監(jiān)督機構(gòu)會議、與個人信息保護負責人及個人信息保護監(jiān)督機

構(gòu)秘書等進行工作討論、對大型互聯(lián)網(wǎng)企業(yè)個人信息保護事項提出建議和意見等；

e)確保有足夠的時間和精力有效履行職責，最多在三家大型互聯(lián)網(wǎng)企業(yè)擔任外部成員。

5.3.2工作記錄與述職報告要求

個人信息保護監(jiān)督機構(gòu)外部成員應(yīng)就其年度履行職責的情況形成工作記錄，包括但不限于參加個

人信息保護監(jiān)督機構(gòu)會議、與個人信息保護負責人及個人信息保護監(jiān)督機構(gòu)秘書等進行工作討論、對

大型互聯(lián)網(wǎng)企業(yè)個人信息保護事項提出建議和意見等內(nèi)容。

個人信息保護監(jiān)督機構(gòu)外部成員應(yīng)向大型互聯(lián)網(wǎng)企業(yè)提交年度述職報告，對其履行職責的情況進

行說明，由本人簽字確認后提交個人信息保護監(jiān)督機構(gòu)秘書存檔保管。

5.3.3外部成員保密要求

個人信息保護監(jiān)督機構(gòu)外部成員應(yīng)對履職過程中所知悉的大型互聯(lián)網(wǎng)企業(yè)相關(guān)信息予以保密，非

因履職需要或者經(jīng)大型互聯(lián)網(wǎng)企業(yè)同意，不應(yīng)向他人披露。

在多家大型互聯(lián)網(wǎng)企業(yè)擔任個人信息保護監(jiān)督機構(gòu)外部成員的，未經(jīng)大型互聯(lián)網(wǎng)企業(yè)同意，不應(yīng)

披露或分享不同大型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督機構(gòu)履職過程中所知悉的信息。

5.4內(nèi)部成員的人選與任期

6

GB/TXXXXX—XXXX

5.4.1內(nèi)部成員的人選

個人信息保護監(jiān)督機構(gòu)內(nèi)部成員應(yīng)由大型互聯(lián)網(wǎng)企業(yè)董事會或經(jīng)董事會授權(quán)的董事長、執(zhí)行董事

從下列人員中選任：

a)大型互聯(lián)網(wǎng)企業(yè)董事、監(jiān)事、高級管理人員；

b)大型互聯(lián)網(wǎng)企業(yè)個人信息保護負責人；

c)大型互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)人員；

d)大型互聯(lián)網(wǎng)企業(yè)個人信息保護技術(shù)或業(yè)務(wù)人員；

e)大型互聯(lián)網(wǎng)企業(yè)聘請的合規(guī)、技術(shù)、業(yè)務(wù)人員等；

因違法違規(guī)處理個人信息受到行政處罰、刑事處罰未滿五年的，或者負責業(yè)務(wù)近三年內(nèi)發(fā)生過重大

風險事件的，不應(yīng)擔任個人信息保護監(jiān)督機構(gòu)內(nèi)部成員。

5.4.2內(nèi)部成員的任期

為保障個人信息保護監(jiān)督機構(gòu)履行職責的連續(xù)性，個人信息保護監(jiān)督機構(gòu)內(nèi)部成員任期宜與個人

信息保護監(jiān)督機構(gòu)外部成員任期相同：

a)個人信息保護監(jiān)督機構(gòu)內(nèi)部成員任期屆滿，由大型互聯(lián)網(wǎng)企業(yè)董事會或經(jīng)董事會授權(quán)的董事

長、執(zhí)行董事決定是否連任；

b)個人信息保護監(jiān)督機構(gòu)內(nèi)部成員因離職、調(diào)崗等，不適宜繼續(xù)擔任個人信息保護監(jiān)督機構(gòu)內(nèi)部

成員的，大型互聯(lián)網(wǎng)企業(yè)應(yīng)在十五日內(nèi)補任新的內(nèi)部成員。

為保障個人信息保護監(jiān)督機構(gòu)履行職責的便利性，大型互聯(lián)網(wǎng)企業(yè)可設(shè)置1名非固定內(nèi)部成員，根

據(jù)個人信息保護監(jiān)督機構(gòu)需要靈活選任。

5.5內(nèi)部成員的履職要求

個人信息保護監(jiān)督機構(gòu)內(nèi)部成員應(yīng)勤勉盡責地履行監(jiān)督職責，履職工作時間、工作記錄、述職報告

等要求，宜參考外部成員相關(guān)履職要求。

6個人信息保護監(jiān)督機構(gòu)職責

6.1一般事項監(jiān)督

6.1.1個人信息保護基本情況監(jiān)督

個人信息保護監(jiān)督機構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)履行個人信息保護義務(wù)、保護個人在個人信息處理活

動中的權(quán)利情況進行監(jiān)督，要求個人信息保護負責人或其指定的其他個人信息保護相關(guān)負責人員對大

型互聯(lián)網(wǎng)企業(yè)個人信息保護相關(guān)事項作出說明和解釋：

a)個人信息保護內(nèi)部管理制度和操作規(guī)程；

b)個人信息分類分級管理制度；

c)采取的加密、去標識化等安全技術(shù)措施；

d)個人信息處理的操作權(quán)限相關(guān)規(guī)則；

e)對從業(yè)人員進行的安全教育和培訓；

f)其他與個人信息保護相關(guān)但不涉及商業(yè)秘密的事項。

6.1.2個人信息保護合規(guī)制度體系、平臺規(guī)則、隱私政策監(jiān)督

7

GB/TXXXXX—XXXX

個人信息保護監(jiān)督機構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)制度體系、平臺規(guī)則、隱私政策等、

進行監(jiān)督，發(fā)表監(jiān)督意見：

a)大型互聯(lián)網(wǎng)企業(yè)在制定個人信息保護合規(guī)制度體系、平臺規(guī)則、隱私政策或?qū)ζ鋵嵸|(zhì)性內(nèi)容進

行重大修訂時，應(yīng)征求個人信息保護監(jiān)督機構(gòu)的意見；

b)個人信息保護監(jiān)督機構(gòu)認為大型互聯(lián)網(wǎng)企業(yè)相關(guān)事項存在違法違規(guī)處理個人信息或者違反合

法、正當、必要、誠信、公開、透明原則處理個人信息的情形，應(yīng)向大型互聯(lián)網(wǎng)企業(yè)提出改正

意見和建議；

c)大型互聯(lián)網(wǎng)企業(yè)收到個人信息保護監(jiān)督機構(gòu)改正意見和建議后，應(yīng)及時予以處理，確有理由不

予處理的，應(yīng)及時答復個人信息保護監(jiān)督機構(gòu)。

6.2特別事項監(jiān)督

6.2.1個人信息保護影響評估監(jiān)督

個人信息保護監(jiān)督機構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)個人信息保護影響評估事項進行監(jiān)督，發(fā)表監(jiān)督意見：

a)是否按照法律法規(guī)要求對處理敏感個人信息、利用個人信息進行自動化決策、委托處理個人信

息、向其他個人信息處理者提供個人信息、公開個人信息、向境外提供個人信息等個人信息處

理活動事先進行個人信息保護影響評估；

b)是否按照法律法規(guī)要求對個人信息的處理目的、處理方式等是否合法、正當、必要，對個人權(quán)

益的影響及安全風險，所采取的保護措施是否合法、有效并與風險程度相適應(yīng)等進行評估；

c)是否按照法律法規(guī)要求對個人信息保護影響評估報告、處理情況等進行記錄并保存。

個人信息保護監(jiān)督機構(gòu)確有理由認為大型互聯(lián)網(wǎng)企業(yè)已進行的個人信息保護影響評估未能合理反

映個人信息處理活動對個人信息主體權(quán)益影響的，應(yīng)建議大型互聯(lián)網(wǎng)企業(yè)委托社會化第三方服務(wù)機構(gòu)

進行個人信息保護影響評估。

個人信息保護監(jiān)督機構(gòu)認為其他個人信息處理活動可能對個人權(quán)益有重大影響，應(yīng)書面建議個人

信息保護負責人開展個人信息保護影響評估活動。

6.2.2個人信息保護合規(guī)審計監(jiān)督

個人信息保護監(jiān)督機構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)是否定期對其處理個人信息遵守法律、行政法規(guī)的情

況開展合規(guī)審計進行監(jiān)督，發(fā)表監(jiān)督意見。

個人信息保護監(jiān)督機構(gòu)確有理由認為大型互聯(lián)網(wǎng)企業(yè)已進行的合規(guī)審計未能如實反映其個人信息

處理活動遵守法律、行政法規(guī)的情況，應(yīng)建議大型互聯(lián)網(wǎng)企業(yè)委托社會化第三方服務(wù)機構(gòu)進行合規(guī)審計。

6.2.3個人信息保護社會責任報告監(jiān)督

個人信息保護監(jiān)督機構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)發(fā)布社會責任報告進行監(jiān)督，發(fā)表監(jiān)督意見。

大型互聯(lián)網(wǎng)企業(yè)應(yīng)在公開發(fā)布社會責任報告前，聽取個人信息保護監(jiān)督機構(gòu)的意見，如個人信息保

護監(jiān)督機構(gòu)或外部成員就社會責任報告實質(zhì)性內(nèi)容發(fā)表反對意見，大型互聯(lián)網(wǎng)企業(yè)應(yīng)將有關(guān)情況進行

披露并說明不予采納的理由。

6.2.4個人信息安全事件應(yīng)急預案監(jiān)督

個人信息保護監(jiān)督機構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)個人信息保護應(yīng)急預案的制定及實施進行監(jiān)督，發(fā)表

監(jiān)督意見：

a)是否按照法律法規(guī)、國家標準的要求制定個人信息安全事件應(yīng)急預案；

b)是否定期組織內(nèi)部相關(guān)人員進行應(yīng)急響應(yīng)培訓和應(yīng)急演練；

8

GB/TXXXXX—XXXX

c)內(nèi)部相關(guān)人員是否掌握崗位職責和應(yīng)急處置策略與規(guī)程；

d)是否根據(jù)相關(guān)法律法規(guī)變化情況，以及事件處置情況，及時更新應(yīng)急預案。

6.2.5個人信息泄露事件監(jiān)督

大型互聯(lián)網(wǎng)企業(yè)發(fā)生或可能發(fā)生個人信息泄露、篡改、丟失情形時，個人信息保護監(jiān)督機構(gòu)應(yīng)就如

下事項進行監(jiān)督：

a)是否立即采取補救措施；

b)是否按照法律法規(guī)的要求及時通知履行個人信息保護職責的部門和個人。

大型互聯(lián)網(wǎng)企業(yè)發(fā)生或可能發(fā)生個人信息泄露、篡改、丟失，但未立即采取補救措施或未按照法律

法規(guī)的要求及時通知履行個人信息保護職責的部門和個人時，個人信息保護監(jiān)督機構(gòu)應(yīng)立即建議大型

互聯(lián)網(wǎng)企業(yè)履行告知義務(wù)，大型互聯(lián)網(wǎng)企業(yè)未及時改正的，外部成員應(yīng)向省級以上網(wǎng)信部門報告。

6.2.6個人信息跨境提供監(jiān)督

個人信息保護監(jiān)督機構(gòu)應(yīng)就大型互聯(lián)網(wǎng)企業(yè)個人信息跨境提供進行監(jiān)督，發(fā)表監(jiān)督意見：

a)是否確實具備向中華人民共和國境外提供個人信息的必要性；

b)是否符合法律法規(guī)要求的向境外提供個人信息的條件；

c)通過國家網(wǎng)信部門安全評估方式跨境提供的，是否依法進行安全評估；

d)通過與境外接收方簽訂標準合同方式跨境提供的，是否依法簽訂標準合同；

e)外國司法或者執(zhí)法機構(gòu)要求大型互聯(lián)網(wǎng)企業(yè)提供存儲于境內(nèi)個人信息的，是否向主管機關(guān)提

交審批，并經(jīng)主管機關(guān)批準后提供。

大型互聯(lián)網(wǎng)企業(yè)擬赴境外上市的，個人信息保護監(jiān)督機構(gòu)應(yīng)督促大型互聯(lián)網(wǎng)企業(yè)及時向國家網(wǎng)絡(luò)

安全審查辦公室申報網(wǎng)絡(luò)安全審查，并對其提交的網(wǎng)絡(luò)安全審查材料進行監(jiān)督。

6.3提出建議和意見

個人信息保護監(jiān)督機構(gòu)可就下列事項提出建議和意見：

a)大型互聯(lián)網(wǎng)企業(yè)個人信息保護負責人的履職情況；

b)大型互聯(lián)網(wǎng)企業(yè)個人信息保護相關(guān)的董事會議案；

c)大型互聯(lián)網(wǎng)企業(yè)個人信息保護負責人所咨詢的個人信息保護相關(guān)事項；

d)社會公眾反應(yīng)強烈的大型互聯(lián)網(wǎng)企業(yè)個人信息保護問題。

7個人信息保護監(jiān)督機構(gòu)工作機制

7.1一般要求

7.1.1會議的召集

個人信息保護監(jiān)督機構(gòu)每六個月應(yīng)至少召開一次會議，由個人信息保護監(jiān)督機構(gòu)秘書召集。

秘書應(yīng)于會議召開十五日前通知全體成員會議召開的時間、地點和審議的事項。

7.1.2會議形式

個人信息保護監(jiān)督機構(gòu)會議應(yīng)以現(xiàn)場召開的方式進行。

對成員之間交流討論必要性不大的事項或者臨時會議時間緊急難以召開現(xiàn)場會議的，可采取電話

或視頻會議等方式進行通訊表決，并保留錄音、錄像。

注：6.2中個人信息保護特別監(jiān)督事項不宜采取通訊表決方式召開會議，緊急情況除外。

9

GB/TXXXXX—XXXX

7.1.3會議資料的提供與了解

個人信息保護監(jiān)督機構(gòu)秘書應(yīng)在通知全體成員會議審議事項時，一并提供會議審議事項所需的相

關(guān)材料。

個人信息保護監(jiān)督機構(gòu)成員應(yīng)在會前充分知悉會議審議事項，了解審議事項相關(guān)知識。

7.1.4會議資料的補充或說明

個人信息保護監(jiān)督機構(gòu)外部成員認為個人信息保護監(jiān)督機構(gòu)會議審議事項內(nèi)容不明確、不具體或

有關(guān)材料不充分的，應(yīng)在收到會議資料之日起五日內(nèi)敦促大型互聯(lián)網(wǎng)企業(yè)補充資料或作出進一步說明，

個人信息保護監(jiān)督機構(gòu)秘書應(yīng)就相關(guān)事宜提供協(xié)助。

個人信息保護監(jiān)督機構(gòu)外部成員可建議審議事項相關(guān)的大型互聯(lián)網(wǎng)企業(yè)高級管理人員、業(yè)務(wù)負責

人、外聘中介機構(gòu)人員、用戶代表、消費者代表等列席個人信息保護監(jiān)督機構(gòu)會議，答復審議事項相關(guān)

問詢。

7.1.5會議出席

個人信息保護監(jiān)督機構(gòu)會議應(yīng)有過半數(shù)的成員出席方可舉行。無特別原因，個人信息保護監(jiān)督機構(gòu)

成員應(yīng)親自出席會議。

外部成員無法親自出席的，應(yīng)事先審閱會議材料，形成明確的意見，書面委托該大型互聯(lián)網(wǎng)企業(yè)個

人信息保護監(jiān)督機構(gòu)其他外部成員代為出席。一名外部成員在一次個人信息保護監(jiān)督機構(gòu)會議上僅可

接受一名外部成員的委托。委托書應(yīng)一事一授，載明委托人和受托人的姓名，對受托人的授權(quán)范圍，委

托人對審議事項表決意向的指示，不應(yīng)為空白委托書或全權(quán)委托書。

內(nèi)部成員無法親自出席的，應(yīng)參照外部成員委托出席會議要求，委托其他內(nèi)部成員代為出席，但個

人信息保護監(jiān)督機構(gòu)工作規(guī)則另有規(guī)定的除外。

7.1.6會議主持

個人信息保護監(jiān)督機構(gòu)會議由主任主持，主任不能履行職務(wù)或者不履行職務(wù)的，由副主任主持。副

主任不能履行職務(wù)或者不履行職務(wù)的，由半數(shù)以上成員共同推舉一名外部成員主持。

7.1.7會議表決

個人信息保護監(jiān)督機構(gòu)通過表決方式議事，實行一人一票，成員應(yīng)就決議事項投出贊成、反對或棄

權(quán)票：

a)就大型互聯(lián)網(wǎng)企業(yè)個人信息保護一般事項、個人信息保護合規(guī)制度體系、平臺規(guī)則、隱私政策的

監(jiān)督意見作出決議，應(yīng)經(jīng)參會全體成員二分之一以上通過；

b)個就大型互聯(lián)網(wǎng)企業(yè)個人信息保護影響評估、個人信息合規(guī)審計、個人信息保護社會責任報告、

個人信息泄露事件的監(jiān)督意見，應(yīng)經(jīng)參會全體成員三分之二以上通過。

對表決事項投反對或棄權(quán)票的外部成員，應(yīng)獨立、客觀、審慎地發(fā)表獨立意見，包括反對意見及理

由、棄權(quán)意見及理由、無法發(fā)表意見及其障礙等，并在會議記錄中載明。

7.1.8會議記錄

個人信息保護監(jiān)督機構(gòu)會議應(yīng)就會議審議事項、外部成員發(fā)表意見等作成會議記錄和決議記錄，

出席會議的成員應(yīng)在記錄上簽名。個人信息保護監(jiān)督機構(gòu)秘書應(yīng)將會議記錄和決議記錄上報董事會或

經(jīng)董事會授權(quán)的董事長、執(zhí)行董事。

10

GB/TXXXXX—XXXX

外部成員有權(quán)督促大型互聯(lián)網(wǎng)企業(yè)制作個人信息保護監(jiān)督機構(gòu)會議記錄，代表其本人和委托其代

為出席的會議的外部成員對會議記錄和決議記錄簽名確認，對會議記錄或決議記錄有不同意見的，應(yīng)

在簽字時作出書面說明。

7.1.9資料保管

外部成員在履行職責過程中，就大型互聯(lián)網(wǎng)企業(yè)個人信息保護相關(guān)事項進行的問詢、調(diào)研、討論

等均應(yīng)形成書面文件，與大型互聯(lián)網(wǎng)企業(yè)之間的各種來往信函、傳真、電子郵件等資料均應(yīng)保存。

注：外部成員與大型互聯(lián)網(wǎng)企業(yè)工作人員之間的工作通話應(yīng)在事后進行要點記錄，形成書面文件保存。

7.2臨時會議

個人信息保護監(jiān)督機構(gòu)主席、三分之一以上個人信息保護監(jiān)督機構(gòu)成員可向個人信息保護監(jiān)督機

構(gòu)秘書提議召開臨時會議，秘書應(yīng)自接到提議后五日內(nèi)通知全體成員會議召開的時間、

地點和審議的事項，應(yīng)在接到提議后十五日內(nèi)完成會議的召集。

7.3延期開會與審議

三分之一以上外部成員認為會議審議事項資料不充分或不具體時，可聯(lián)名向個人信息保護監(jiān)督機

構(gòu)秘書提議延期召開個人信息保護監(jiān)督機構(gòu)會議或延期審議相關(guān)事項。

7.4暫緩表決

三分之一以上外部成員認為審議議題不明確、不具體，或者因會議材料不充分等事由導致其無法對

決議事項作出判斷時，應(yīng)提議會議對該事項暫緩表決，并說明該事項表決所應(yīng)滿足的明確要求。

7.5履職獨立性保障

個人信息保護監(jiān)督機構(gòu)及其成員履行監(jiān)督職責時，大型互聯(lián)網(wǎng)企業(yè)有關(guān)人員應(yīng)積極配合，無正當理

由不應(yīng)拒絕、阻礙或隱瞞，不應(yīng)干預其獨立履行監(jiān)督職責。

個人信息保護監(jiān)督機構(gòu)外部成員依法履行監(jiān)督職責遭遇阻礙時，可向大型互聯(lián)網(wǎng)企業(yè)董事會或經(jīng)

董事會授權(quán)的董事長、執(zhí)行董事說明情況，要求個人信息保護負責人或個人信息保護監(jiān)督機構(gòu)秘書予以

配合，并將遭遇阻礙的事實、具體情形和解決狀況計入工作記錄。

7.6履職條件保障

大型互聯(lián)網(wǎng)企業(yè)應(yīng)為其履行職責提供所必需的工作條件和協(xié)助，保障個人信息保護監(jiān)督機構(gòu)及外

部成員有效履行職責：

a)指定專人負責與個人信息保護監(jiān)督機構(gòu)外部成員的日常聯(lián)系，及時響應(yīng)個人信息保護監(jiān)督機構(gòu)

及外部成員的意見和建議；

b)為個人信息保護監(jiān)督機構(gòu)及外部成員履行職責提供協(xié)助，如介紹情況、提供材料等，定期通報個

人信息保護情況，必要時應(yīng)組織實地考察；

c)應(yīng)保障個人信息保護監(jiān)督機構(gòu)及外部成員享有必要的知情權(quán)，為其提供真實、準確、完整的資料，

外部成員認為資料不充分的，有權(quán)要求補充；

d)承擔個人信息保護監(jiān)督機構(gòu)及外部成員履職過程中支出的合理費用。

7.7工作規(guī)則制定

大型互聯(lián)網(wǎng)企業(yè)個人信息保護監(jiān)督機構(gòu)應(yīng)制定個人信息保護監(jiān)督機構(gòu)工作規(guī)則，經(jīng)全體成員三分

之二以上同意通過，由大型互聯(lián)網(wǎng)企業(yè)董事會批準。

11

GB/TXXXXX—XXXX

參考文獻

[1]國家市場監(jiān)督管理總局關(guān)于對《互聯(lián)網(wǎng)平臺分類分級指南（征求意見稿）》《互聯(lián)網(wǎng)平臺落

實主體責任指南（征求意見稿）》公開征求意見的公告（2021年10月29日國家市場監(jiān)督管理總局發(fā)

布）

[2]中國上市公司協(xié)會發(fā)布《上市公司獨立董事履職指引》（修訂版）及《獨立董事促進上市公

司內(nèi)部控制工作指引》（2020年8月12日中國上市公司協(xié)會）

12

ICS35.030

CCSL80

中華人民共和國國家標準

GB/TXXXXX—XXXX

信息安全技術(shù)大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個人

信息保護監(jiān)督機構(gòu)要求

Informationsecuritytechnology－RequirementsforlargeInternetcompaniesinternal

personalinformationprotectionsupervisionagency

(點擊此處添加與國際標準一致性程度的標識)

（征求意見稿）

（本稿完成時間：2023年8月24日）

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

1

GB/TXXXXX—XXXX

信息安全技術(shù)大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個人信息保護監(jiān)督機構(gòu)要求

1范圍

本文件規(guī)定了大型互聯(lián)網(wǎng)企業(yè)建立和運行個人信息保護監(jiān)督機構(gòu)的要求，包括個人信息保護監(jiān)督

機構(gòu)的設(shè)置、職責、工作規(guī)則，以及個人信息保護監(jiān)督機構(gòu)的成員等要求。

本文件適用于大型互聯(lián)網(wǎng)企業(yè)建立和運行個人信息保護監(jiān)督機構(gòu)，也可為監(jiān)管、檢查、評估等活動

提供參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范

3術(shù)語和定義

GB/T25069—2022和GB/T35273—2020界定的以及下列術(shù)語和定義適用于本文件。

3.1

大型互聯(lián)網(wǎng)企業(yè)largeInternetenterprise

提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復雜的互聯(lián)網(wǎng)企業(yè)，同時具備較大用戶規(guī)模、

較廣業(yè)務(wù)種類、較多業(yè)務(wù)范圍、較高經(jīng)濟體量和較強影響能力的大型互聯(lián)網(wǎng)平臺。

3.2

個人信息保護監(jiān)督機構(gòu)personalinformationprotectionsupervisionagency

大型互聯(lián)網(wǎng)企業(yè)建立的主要由外部成員組成，對自身個人信息保護合法合規(guī)情況、履行個人信息保

護社會責任情況等進行獨立監(jiān)督，并對提升個人信息保護水平提出建議和意見的機構(gòu)。

3.3個人信息保護監(jiān)督機構(gòu)外部成員externalmemberofpersonalinformationprotection