半月談記者 孫文豪

大數據殺熟、未經用戶同意收集錄音、違規收集人臉信息……近年來，大型互聯網平臺個人信息泄露事件屢屢發生。2025年9月，國家網信辦出臺相關政策文件，擬對大型網絡平臺設立個人信息保護監督委員會作出規定，有關舉措有望解決相關問題，推動個人信息保護再上新臺階。

讓渡平臺的“裁判權”

長期以來，大型網絡平臺主要依靠法律法規、政策文件以及專項行動推動個人信息保護。此次以監督委員會的形式，通過外部監督直接參與平臺個人信息保護內部治理過程，可謂一大創舉。

“這是一項極具遠見和智慧的制度創新。”中央網信辦數據與技術保障中心副主任王志成表示，此次國家網信辦出臺《大型網絡平臺設立個人信息保護監督委員會規定（征求意見稿）》（以下簡稱《規定》），是對個人信息保護法相關規定的具體細化，對全面提升我國個人信息保護水平具有重要意義。

有別于零星的個人信息泄露、倒賣，互聯網平臺的龐大信息量本身就可能蘊含巨大風險。平臺收集、使用個人信息較為隱秘，算法歧視等行為又不易被輕松識別，一旦大型網絡平臺發生數據泄露、濫用等安全事件，不僅損害個體權益，還可能引發群體性、系統性社會風險，威脅公共利益和國家安全。

長期以來，平臺既是個人信息的處理者，又是自身行為合規性的審查者，有著“運動員”與“裁判員”的雙重角色。在面臨商業利益和信息保護義務沖突時，這種自我監督、同體監督很難保持客觀中立。近年來，一些電商平臺大數據殺熟等問題頻發就是例證。

要打破這種“治理黑箱”的局面，就需要在平臺組織架構中植入一個外部“楔子”，將一部分“裁判權”從平臺手中讓渡出來，交由第三方行使。王志成認為，設立個人信息保護監督委員會的核心作用，正是幫助互聯網平臺取得用戶和社會的信任。“這種由第三方背書的信任，比平臺自身的任何承諾都更有分量。”

內嵌“社會監督”

縱覽《規定》，31條內容結構清晰、邏輯嚴密、內涵豐富，既明確了監督委員會的設立要求和運行機制、外部成員的獨立性要求與履職條件，又明晰了平臺義務與相關法律責任，使得個人信息保護監督委員會這一制度設計具備一定的強制力、執行力。

《規定》明確，監督委員會成員人數一般不得少于7人，外部成員占比不低于三分之二；外部成員具備履行職責的專業素質，熟悉個人信息保護、數據安全相關法律法規、國家標準，從事個人信息保護相關工作不少于3年等；監督委員會應當至少每3個月召開一次定期會議，就大型網絡平臺個人信息保護監督事項進行審議，并作出監督意見；監督委員會及其成員在履行職責過程中，不得干預大型網絡平臺正常經營。

具體而言，個人信息保護監督委員會的組織架構設計，借鑒了公司監事會、審計委員會以及上市公司獨立董事制度的思路，同時又有所不同。例如，在公司治理的場景中，董事會、監事會或審計委員會成員均由股東大會選舉或委派，代表的是股東和公司的利益，其監督是內向型的，目標是公司利益最大化。《規定》中的監督委員會，外部成員代表的是公共利益、用戶權益和社會價值。這就意味著，大型網絡平臺涉及個人信息保護的行為已不能僅對股東負責，更要對社會負責。這是一種將“社會監督”制度化、規范化、內嵌化的方式。

又如，在監督程序上，監事會或審計委員會審議季度報告、年度報告，其監督多為事后審查。《規定》中的監督委員會，其監督則是常態化并嵌入業務流程的，委員會成員可列席個人信息保護工作相關會議。《規定》第13條更詳細列舉委員會的14項監督事項，涵蓋制度體系建設、安全事件處理、社會責任報告等個人信息處理的全生命周期，形成“事前預防-事中監控-事后追責”的完整監督鏈條。

委員會成員如何保持中立，避免出現“人情委員”？《規定》提出委員會成員不得持股1%以上、本人或直系親屬不得任職等清晰標準，防止“形式獨立、實質關聯”。

多方合力保護個人信息

收集和處理海量個人信息的互聯網平臺不是單一的商業組織，而是包括個人信息保護工作在內的各項社會治理服務的重要陣地。引入監督委員會的外部監督，契合平臺經濟的發展趨勢和內在需求，其本身就是平臺經濟發展成熟的一個標志。

除了了解、監督平臺個人信息保護的具體情況，《規定》還明確，監督委員會應建立與大型網絡平臺用戶的常態化溝通機制，聽取用戶對個人信息保護工作的意見，回應用戶關切。同時，監督委員會還應每年向所在地省級網信部門報送履行職責情況報告。也就是說，借助監督委員會這一機制設計，可以更便利連通平臺、用戶和政府監管部門，讓個人信息保護工作對接得更為順暢。

個人信息保護不力的平臺經濟，注定難以行穩致遠。強化互聯網平臺個人信息保護，不是給其戴上枷鎖，而是用法治呵護平臺經濟健康發展。與此同時，也要注意到，一些規定細則、標準還有待網絡平臺、監管平臺和公眾共同作出妥善安排。例如外部成員報酬的“合理區間”應該在什么范圍，監督委員會的相關監督意見能否觸發監管處罰等。

需要注意的是，在完善制度的基礎上，個人信息保護的社會共識還有待進一步鞏固加強。一些政府部門不能肆意將“穿透隱私”當作治理創新，企業也不能出于利益考量將個人信息“應收盡收”，個人也應擯除“壞人才怕收集信息”等觀念。多方合力共治，才能既有效約束平臺權力、保障個人信息權益，又能激發企業創新活力，持續優化完善個人信息保護體系，真正實現經濟利益與公共利益的動態平衡與協同互促。