《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》.pdf

GB/TXXXXX—XXXX

信息安全技术大型互联网企业内设个人信息保护监督机构要求

1范围

本文件规定了大型互联网企业建立和运行个人信息保护监督机构的要求，包括个人信息保护监督

机构的设置、职责、工作规则，以及个人信息保护监督机构的成员等要求。

本文件适用于大型互联网企业建立和运行个人信息保护监督机构，也可为监管、检查、评估等活动

提供参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069—2022信息安全技术术语

GB/T35273—2020信息安全技术个人信息安全规范

3术语和定义

GB/T25069—2022和GB/T35273—2020界定的以及下列术语和定义适用于本文件。

3.1

大型互联网企业largeInternetenterprise

提供重要互联网平台服务、用户数量巨大、业务类型复杂的互联网企业，同时具备较大用户规模、

较广业务种类、较多业务范围、较高经济体量和较强影响能力的大型互联网平台。

3.2

个人信息保护监督机构personalinformationprotectionsupervisionagency

大型互联网企业建立的主要由外部成员组成，对自身个人信息保护合法合规情况、履行个人信息保

护社会责任情况等进行独立监督，并对提升个人信息保护水平提出建议和意见的机构。

3.3个人信息保护监督机构外部成员externalmemberofpersonalinformationprotection

supervisionagency

具备个人信息保护专业知识和技能，不在大型互联网企业担任除个人信息保护监督机构外部成员

外的其他职务，与受聘大型互联网企业及其主要股东不存在可能妨碍其进行独立客观判断的关系，对大

型互联网企业个人信息保护情况进行监督，发表独立客观建议、意见的外部专家。

4个人信息保护监督机构的设立

4.1成立要求

3

GB/TXXXXX—XXXX

大型互联网企业应在六个月内成立个人信息保护监督机构，对本企业的个人信息保护合法合规情

况、履行个人信息保护社会责任情况等进行独立监督。

4.2人员构成要求

大型互联网企业个人信息保护监督机构应由七至十五名成员组成，其中外部成员占比不低于三分

之二，内部成员不超过三分之一。

4.3主任、副主任及职责

个人信息保护监督机构应设主任、副主任各一人，由外部成员担任，经个人信息保护监督机构全体

成员过半数选举产生。

个人信息保护监督机构会议期间，主任应负责主持个人信息保护监督机构会议。个人信息保护监督

机构休会期间，主任可组织外部成员与大型互联网企业用户代表、消费者代表等开展调研、访谈等活动。

主任不能履行职务或者不履行职务，应由副主任代为履行。

4.4秘书的任命及职责

个人信息保护监督机构应设秘书一人，由内部成员担任，经大型互联网企业任命产生。

个人信息保护监督机构会议期间，秘书应负责个人信息保护监督机构的会议的筹备、召集、文件保

管、信息披露等事宜。个人信息保护监督机构休会期间，秘书应负责与外部成员的日常联系，为外部成

员履行职责提供必要协助。

5个人信息保护监督机构成员

5.1外部成员的任职要求

5.1.1独立性要求

个人信息保护监督机构外部成员应保持身份和履职的独立性，在履职过程中不应受大型互联网企

业主要股东、实际控制人或者其他与大型互联网企业存在利害关系的单位或个人的影响，最近一年内不

应具有下列情形：

a)在大型互联网企业或者其附属企业任职，或者其配偶、直系亲属、主要社会关系在大型互联网

企业或者其附属企业任职；

b)直接或间接持有大型互联网企业已发行股份百分之一以上或者是大型互联网企业前十名股东

中的自然人股东及其直系亲属；

c)在直接或间接持有大型互联网企业股份百分之五以上的股东单位或者在大型互联网企业前五

名股东单位任职的人