(相关资料图)
研究结论
3 月 22 日,蚂蚁集团个人信息保护监督委员会(以下简称“监委会”)举行了 2023年度首次会议,对其 2022 年相关工作报告、2023 年相关工作规划进行评议和讨论,这也是首家公开个人信息保护监督委员会的具体成员以及工作内容的互联网企业。
根据官方公众号发布的信息,蚂蚁集团个人信息保护监督委员会于 2022 年经蚂蚁集团董事会、董事会隐私保护及数据安全委员会批准设立。这一监督委员会将作为独立机构,对公司个人信息保护情况进行监督,进一步健全个人信息保护评价和监督机制,目前委员包括 5 名来自本领域的专家、教授。2023 年,监委会将从多个方面履职,包括:(1)委托第三方机构通过认证、技术测评、外部审计等对蚂蚁集团个人信息保护合规情况进行监督;(2)年内举办三次监委会会议,审议工作阶段性进展、研讨行业趋势;(3)审核蚂蚁集团个人信息保护社会责任报告,接受社会监督;(4)撰写个人信息保护监督报告,提请董事会审议。此外蚂蚁集团还表示,2022 年 6 月其启动 ESG 可持续发展战略后,数据安全及隐私保护成为 19 项实质性议题之一。
2021年 8 月 20 日颁布的《个人信息保护法》中,赋予大型网络平台特别义务是创设性的提法,目的是抓住互联网治理的关键和核心环节,这也被称为“守门人”条款。文件规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则;对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督,等等。
值得注意的是,对大企业提出更高要求是一种国际通行的做法,我们在《聚焦数字经济监管:如何保护个人信息?》中曾梳理欧盟与美国数据监管相关经验,其中《数字服务法案》(DSA)将提供网络基础结构的中间服务(互联网访问提供商、域名注册商)、托管服务商(云和网络托管服务提供商)、在线平台(应用程序商店、社交媒体平台等)和超大型在线平台(覆盖欧洲 1.5 亿消费者中的 10%以上的平台)区分开来,不同规模的企业承担与其能力相匹配的义务。其中超大型平台在传播非法内容和社会危害方面有特殊的风险,同时也具备承担更多义务的能力,因此其义务要超过其他三类,额外义务包括外部风险审计和公共责任、推荐系统的透明度和用户选择信息的方式、与当局和研究人员共享数据、行为守则、危机应对合作等等。
当前个人信息保护等数字经济监管已经从行业层面的法律法规补短板,逐步过渡到企业内化监管要求,借助外部独立机构与社会力量对平台进行监督,通过公司治理的改善强化数据安全性,我们认为这是全社会数字化转型进一步推进的具有信号意义的事件。除了蚂蚁之外,2021 年 10 月腾讯也透露将成立个人信息保护外部监督委员会,携程集团合规委员会则发布了一则《携程“个人信息保护外部监督专家团”招募公告》,招募 9 名专家,独立监督、评估携程集团及旗下各产品的个人信息保护相关工作,并为携程提出指导和修改建议等。
风险提示
互联网企业在数据跨境传输、个人信息保护、反垄断等领域出现新的引发监管的风险事件