虞伟(南方财经合规科技研究院院长)
个人信息保护法(以下简称“个保法”)已于2021年11月1日正式施行,其中第五十八条第一款规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。
此前,国内相关法律法规中尚未出现过类似提法,甚至在隐私保护最为严格的欧洲,都未有过针对企业个人信息保护设立外部独立监督机构的先例。
面对这个全新的事物,国内大型互联网平台(也被称为“大厂”)似乎多数并未做好准备,除腾讯、携程发布了相关招募启事外,大厂都默契地保持着沉默。原因何在?
法条该如何理解,恐怕是大厂们遇到的第一个难题。根据个保法五十八条的要求来看,监督机构相关的表述跟在企业“建立健全个人信息保护合规制度体系”一句之后,并以逗号分隔,意味着这一独立的监督机构是企业健全个人信息保护合规的具体举措之一。如此理解,此监督机构应该是企业制度体系的一部分。
然而,法条又规定监督机构必须“主要由外部人员构成”,且是“独立机构”。一个在公司内部的独立监督机构,纵观现代企业制度,类似机构或只有上市公司的独立董事制度能稍作比较。
中国上市公司的独立董事制度确立于2001年,“维护公司及股东利益,尤其关注中小股东的合法权益不受损害”,是设立独立董事的主要目的。从对公司和社会公众负责的目的审视,独立监督机构与独立董事制度确实比较相似。但与独董制度不同的是,个人信息保护监督机构“对谁负责”在个保法中并未体现,全国人大法工委在新闻发布会上曾就这一法条表示,个人信息保护法的上述规定是为了提高大型互联网平台经营业务的透明度,完善平台治理,强化外部监督,形成全社会共同参与的个人信息保护机制。
由此来看,这一监督机构究竟是对公司负责,还是对社会公众负责,或者是兼顾公司发展的利益和社会公众的期待,还需互联网平台细致推敲。需要指出的是,独董制度对上市公司及全体股东负有诚信、勤勉的义务,且主要防止控股股东、实际控制人侵犯公司和中小股东的利益;这与独立监督机构对个人信息保护情况进行监督这一单一领域的监督职责有明显区别,如果认为独立监督机构对社会公众负责,公司的发展利益或将不作为独立监督机构考虑的范畴,有可能导致公司发展利益受损。
其次,独立监督机构能够顺利运转,还需在人员选择、运行机制、保持独立性等关键问题上做好制度安排,否则监督机构或将落入“走形式”或“被架空”的困境中,与个保法的初衷相违背。
2019年起,谷歌、Facebook等美国互联网企业也先后宣布要成立针对人工智能发展与内容审查的外部监督委员会,以应对公众对大型互联网企业的不信任。但谷歌的外部监督委员会在消息宣布仅一周后便“胎死腹中”,原因是公众不满其中一些委员的人选,社交网络上掀起了一波波针对谷歌外部监督委员会委员名单的口诛笔伐,谷歌不得不暂停这一计划。
Facebook在经历了剑桥分析事件后,也面临着与公众重建信任的任务。2020年1月,Facebook宣布将建立监督委员会,主要针对社交平台的内容做审核。但这一委员会作为公司内部的一个常设机构运转,委员均为全职,并领取工资。这种制度设计也一度引起外界“不够独立”的质疑,直到作出关闭前总统特朗普社交账号等重要决定后,外界的批评才逐渐偃旗息鼓。
与上述外部委员会不同,个人信息保护监督机构已经以一部法律的形式固定下来,个保法之所以只作方向性要求,恰是希望为互联网平台探索更适合中国实际、适合隐私保护行业的制度设计留下足够空间。
无论是参考独立董事的制度设计,抑或是借鉴海外相似机制的细节安排,对于个人信息保护监督机构这一新生事物来说,现下最需要的,恐怕是公众舆论与监管给予其更宽容的环境与试错空间,能够允许相关互联网平台做更多形式的创新与尝试,通过试错与纠偏,形成一套适合中国互联网发展与符合国人隐私保护期待的监督机制。
期待国内的大厂们勇敢地迈出机制创新的第一步!