蚂蚁首度公开个人信息保护监委会成员，将委托第三方监督合规

近日，蚂蚁集团个人信息保护监督委员会（以下简称“监委会”）举行了2023年度首次会议。值得注意的是，这是首家企业公开个人信息保护监督委员会的具体成员以及工作内容。

据了解，蚂蚁集团监委会委员由不少于五名法学、技术领域的外部专家组成，监委会委员由董事会选聘或更换，任期三年。其主要职责包括监督指导隐私政策的重大修订，撰写个人信息保护相关监督报告等。同时其规定，任职期间如有监委会委员不再具备有关法律、法规及适用规则所规定的独立性，将自动失去委员资格。

不止蚂蚁，腾讯、携程曾公开招募个人信息保护外部监督员。企业纷纷作出实践探索的同时，外部监督委员会的独立性也成为实践探索的重点。

蚂蚁集团首席隐私官聂正军希望后续细则中明确，如何保障外部监督机构的独立性；企业发生个人信息相关风险，外部监督机构是否担责等。

监委会成员由法学、技术领域专家组成，任期三年

自个人信息保护法施行以来，有关“守门人”条款如何落地的讨论不断。所谓“守门人”的表述源于欧盟——用户量超过4500万的科技公司可能被认定为“守门人”企业。

而中国业界热议的“守门人”条款则为个人信息保护法第五十八条。该条款明确了提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应该履行的多项义务，其中便包括：成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；定期发布个人信息保护社会责任报告，接受社会监督等。

南都记者了解到，蚂蚁集团监委会于去年下旬成立，由不少于五名法学、技术领域的外部专家组成，监督委员会委员由董事会选聘或更换，任期三年。同时，根据蚂蚁集团监委会工作规则显示，任职期间如有监委会委员不再具备有关法律、法规及适用规则所规定的独立性，将自动失去委员资格。

对于监委会的职责，其工作规则显示，监督委员会对平台规则、隐私政策的重大修订情况、个人信息保护合规审计报告、个人信息保护影响评估报告等进行监督和指导；撰写个人信息保护相关监督报告；听取公司个人信息保护相关工作的专题报告；参与公司个人信息保护社会责任报告的评议。

在蚂蚁集团举办的2023年监委会首次会议中，蚂蚁集团首席隐私官聂正军、数据安全资深总监郭亮分别向监委会汇报了2022年的个人信息保护、数据安全工作报告和2023年工作规划。

会上，监委会委员、对外经济贸易大学法学院副教授许可表示，个人信息保护的背后是企业和用户、企业和监管机构之间的信任问题。企业重建信任可以从两方面入手：提高算法透明度；加强平台内经营管理者的保护能力——不仅企业方需要合规，平台内经营者的合规更要重视。

监委会委员、华东政法大学教授高富平表示，此前数据方面的法律着重于保护个人权益和国家安全，“数据二十条”是希望让数据要素化，可以流通。数据流通就会涉及个人ID的安全保护以及构建安全体系和权益保护体系的问题。

许可认为，监委会的工作需要遵循“定位准确”和“循序渐进”的原则。监委会不仅连接了企业和社会，也连接了企业和监管。监管由“疾风暴雨式”转向“常规式”的模式转变中，企业需要积极主动做合规建设。2023年是监委会工作的第一年，前期工作的重点是用户的个人权利，随着工作不断完善，后续再拓展审计内容和范围，以循序渐进的原则推进。

据监委会2023年工作计划建议（讨论稿）显示，监委会委托第三方机构对蚂蚁个人信息保护合规情况进行监督。具体包括：开展个人信息保护认证、聘请第三方机构进行个人信息保护合规审计；委托第三方测评机构对蚂蚁主要App进行技术测评；审核个人信息保护社会责任报告；撰写个人信息保护监督报告，提请董事会审议。

个人信息保护外部监督机构独立性成实践重点

个人信息保护外部监督机构成立后，其独立性也成为实践探索的重点。

中国人民大学法学院教授张新宝曾于2021年5月的一场研讨会上表示，“当企业与外部独立机构的利益一致时，此机构可以独立行使职权。双方利益不一致时，尤其是个人信息保护工作影响到受监督企业的盈利能力时，独立机构便很难独立活动。”

他认为，外部监督机构运行中的资金问题、独立到什么程度都需要明确。只有独立机构不受到企业本身的制约，才能发挥其监督作用。

个人信息保护法施行前夕，2021年10月，腾讯、携程纷纷发布公开招募个人信息保护外部监督员。其招募条件包括：年满18周岁；诚实守信、正直公允；有公益心，热心个人信息保护监督工作；乐于研究互联网产品的个人信息保护；了解个人信息保护相关的法律法规。

多名互联网行业从业人员表示，无论是否向外部监督员支付劳动报酬都会成为争议点。没有劳动报酬，难以保障外部监督人员尽职尽责。支付劳动报酬过高，可能存在经济上的依赖。

至于如何保障蚂蚁集团外部监督委员会的独立性，聂正军认为，应该由监督员独立聘请外部审计机构对企业合规工作进行评价；监督委员会的选任和解聘由集团董事会和以独立董事为主的董事会数据安全及隐私保护委员会决定，解聘也需要遵循既定的规则和流程，不能因为委员提出了不一样的看法而随意解聘。

“守门人”条款落地的过程中，多项规则的细化有待明确和探索。多名个人信息保护相关从业人士表示，“守门人”条款的细化指引正在筹备。

聂正军希望指引可以明确，外部监督机构的职责范围；企业发生个人信息保护相关风险，外部监督机构是否担责；如何保障外部监督机构的独立性；企业应为独立机构哪些方面的支持和配合；监督委员会提出的要求和意见如何保障在企业内部实施。