保护个人信息，这个委员会有作用

　　大数据杀熟、未经用户同意收集录音、违规收集人脸信息……近年来，大型互联网平台个人信息泄露事件屡屡发生。2025年9月，国家网信办出台相关政策文件，拟对大型网络平台设立个人信息保护监督委员会作出规定，有关举措有望解决相关问题，推动个人信息保护再上新台阶。

　　让渡平台的“裁判权”

　　长期以来，大型网络平台主要依靠法律法规、政策文件以及专项行动推动个人信息保护。此次以监督委员会的形式，通过外部监督直接参与平台个人信息保护内部治理过程，可谓一大创举。

　　“这是一项极具远见和智慧的制度创新。”中央网信办数据与技术保障中心副主任王志成表示，此次国家网信办出台《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》（以下简称《规定》），是对个人信息保护法相关规定的具体细化，对全面提升我国个人信息保护水平具有重要意义。

　　有别于零星的个人信息泄露、倒卖，互联网平台的庞大信息量本身就可能蕴含巨大风险。平台收集、使用个人信息较为隐秘，算法歧视等行为又不易被轻松识别，一旦大型网络平台发生数据泄露、滥用等安全事件，不仅损害个体权益，还可能引发群体性、系统性社会风险，威胁公共利益和国家安全。

　　长期以来，平台既是个人信息的处理者，又是自身行为合规性的审查者，有着“运动员”与“裁判员”的双重角色。在面临商业利益和信息保护义务冲突时，这种自我监督、同体监督很难保持客观中立。近年来，一些电商平台大数据杀熟等问题频发就是例证。

　　要打破这种“治理黑箱”的局面，就需要在平台组织架构中植入一个外部“楔子”，将一部分“裁判权”从平台手中让渡出来，交由第三方行使。王志成认为，设立个人信息保护监督委员会的核心作用，正是帮助互联网平台取得用户和社会的信任。“这种由第三方背书的信任，比平台自身的任何承诺都更有分量。”

　　内嵌“社会监督”

　　纵览《规定》，31条内容结构清晰、逻辑严密、内涵丰富，既明确了监督委员会的设立要求和运行机制、外部成员的独立性要求与履职条件，又明晰了平台义务与相关法律责任，使得个人信息保护监督委员会这一制度设计具备一定的强制力、执行力。

　　《规定》明确，监督委员会成员人数一般不得少于7人，外部成员占比不低于三分之二；外部成员具备履行职责的专业素质，熟悉个人信息保护、数据安全相关法律法规、国家标准，从事个人信息保护相关工作不少于3年等；监督委员会应当至少每3个月召开一次定期会议，就大型网络平台个人信息保护监督事项进行审议，并作出监督意见；监督委员会及其成员在履行职责过程中，不得干预大型网络平台正常经营。

　　具体而言，个人信息保护监督委员会的组织架构设计，借鉴了公司监事会、审计委员会以及上市公司独立董事制度的思路，同时又有所不同。例如，在公司治理的场景中，董事会、监事会或审计委员会成员均由股东大会选举或委派，代表的是股东和公司的利益，其监督是内向型的，目标是公司利益最大化。《规定》中的监督委员会，外部成员代表的是公共利益、用户权益和社会价值。这就意味着，大型网络平台涉及个人信息保护的行为已不能仅对股东负责，更要对社会负责。这是一种将“社会监督”制度化、规范化、内嵌化的方式。

　　又如，在监督程序上，监事会或审计委员会审议季度报告、年度报告，其监督多为事后审查。《规定》中的监督委员会，其监督则是常态化并嵌入业务流程的，委员会成员可列席个人信息保护工作相关会议。《规定》第13条更详细列举委员会的14项监督事项，涵盖制度体系建设、安全事件处理、社会责任报告等个人信息处理的全生命周期，形成“事前预防-事中监控-事后追责”的完整监督链条。

　　委员会成员如何保持中立，避免出现“人情委员”？《规定》提出委员会成员不得持股1%以上、本人或直系亲属不得任职等清晰标准，防止“形式独立、实质关联”。

　　多方合力保护个人信息

　　收集和处理海量个人信息的互联网平台不是单一的商业组织，而是包括个人信息保护工作在内的各项社会治理服务的重要阵地。引入监督委员会的外部监督，契合平台经济的发展趋势和内在需求，其本身就是平台经济发展成熟的一个标志。

　　除了了解、监督平台个人信息保护的具体情况，《规定》还明确，监督委员会应建立与大型网络平台用户的常态化沟通机制，听取用户对个人信息保护工作的意见，回应用户关切。同时，监督委员会还应每年向所在地省级网信部门报送履行职责情况报告。也就是说，借助监督委员会这一机制设计，可以更便利连通平台、用户和政府监管部门，让个人信息保护工作对接得更为顺畅。

　　个人信息保护不力的平台经济，注定难以行稳致远。强化互联网平台个人信息保护，不是给其戴上枷锁，而是用法治呵护平台经济健康发展。与此同时，也要注意到，一些规定细则、标准还有待网络平台、监管平台和公众共同作出妥善安排。例如外部成员报酬的“合理区间”应该在什么范围，监督委员会的相关监督意见能否触发监管处罚等。

　　需要注意的是，在完善制度的基础上，个人信息保护的社会共识还有待进一步巩固加强。一些政府部门不能肆意将“穿透隐私”当作治理创新，企业也不能出于利益考量将个人信息“应收尽收”，个人也应摈除“坏人才怕收集信息”等观念。多方合力共治，才能既有效约束平台权力、保障个人信息权益，又能激发企业创新活力，持续优化完善个人信息保护体系，真正实现经济利益与公共利益的动态平衡与协同互促。