Expert Interpretation: Governance Upgrade and Trust Rebuilding: The New Paradigm for Personal Information Protection on China's Large Online Platforms

当今数字经济蓬勃发展，海量数据驱动了创新与增长。大型互联网平台积累了庞大的用户个人信息，既带来了业务机遇，也引发了隐私、安全与信任方面的挑战。如果不能推进深刻的改革以改善数据良好治理，无形会侵蚀数据生态的可持续发展。在此背景下，国家互联网信息办公室制定并发布《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》（以下简称《规定》），这一制度创新响应了《个人信息保护法》第58条的要求，督促拥有海量用户和复杂业务的大型平台建立由外部成员为主的独立监督机构，全面加强个人信息保护合规体系。本文解读该制度设计如何提升平台治理质量、增强用户信任、提高制度透明度并与国际良好实践接轨，进一步促进行业生态健康发展。<br> 一、权责清单全面覆盖<br> 首先，监督委员会制度通过引入外部成员、大幅提高平台治理的透明度，体现了“社会共治”的理念。根据《规定》，监督委员会成员不少于7人，其中三分之二以上来自外部。这意味着委员会将包括独立专家、学者、消费者代表等多元主体，确保监督意见的客观公正。类似地，在公司治理实践中，引入独立董事一直被视为提升监督效能的关键举措：独立人士因不涉日常运营，能够提供客观视角和独立判断，从而加强监督、避免利益冲突。外部委员的加入，如同平台治理中的“独立董事”，有助于强化决策过程的公正性和科学性，在公司内部培育出更高的透明度和问责文化。<br> 其次，《规定》的第十三条在于对监督委员会职责的明确规定，实现权责清单的全面覆盖。从制定内部个人信息保护合规制度，到监督日常个人信息处理活动、审核平台规则和应急处置流程，监督委员会承担着全方位的治理职责。这种清晰明确的职责划分确保平台在个人信息保护各环节都有人把关、不留死角，使个人信息保护成为公司治理的核心要素之一。正如国际经验所示，随着全球各地个人信息保护法规的实施，个人信息保护、隐私和透明度已成为组织的首要任务之一。各大公司董事会也日益主动参与个人信息保护合规监督，将个人信息保护嵌入运营核心，建立起定期审计和明确问责机制。监管委员会制度正是这种“隐私治理即公司治理”理念的创新体现：通过涵盖全面的职责清单，平台能够建立健全个人信息保护管理体系并持续改进，从而在内部形成闭环的责任链条。这既符合《个人信息保护法》倡导的“负责和可问责”原则，也为平台树立了隐私治理的高标准。由此可见，该制度设计将平台生态内外的个人信息保护责任都纳入视野，真正实现了权责体系的全面覆盖。这种全覆盖的责任体系不仅提升了平台自身的个人信息保护合规水准，也向产业链上下游传递出加强个人信息保护的明确信号。<br> 二、监管协同与层级联动<br> 监督委员会还将在企业与监管机关之间架起桥梁，推动形成协同高效的多层级监管体系。一方面，监督委员会作为企业的独立监督机构，能够及时发现并纠正平台个人信息保护合规中的问题，相当于企业的“第一道监管防线”。当监管部门开展检查或调查时，委员会可以提供详实的合规审计记录和整改报告，协助监管者了解企业个人信息保护状况。这种企业内部监督与外部执法的衔接，体现了一种“协同监管”的思路：监管部门通过督促企业自建合规机制，实现监管职能的延伸和前移，从而提高整体监管效率。监管机关也可以通过定期会议等形式，与各大平台的监督委员会交流信息、统一标准，实现中央与地方、政府与企业多层级的联动监管。<br> 另一方面，“层级联动”还体现为中央政策指引和属地监督执行的有机结合。本次制度创新由国家层面提出统一要求，这将在全国范围内形成相对一致的治理架构和标准。随后，各地网信部门可在这一框架下，结合属地实际加强对本区域平台企业的检查指导。统一的制度为基层执法提供了明确标尺，也方便不同地区监管机关的信息共享和执法协作。可以预见，随着这一制度的落实，我国将在个人信息保护领域形成上下贯通的监管网络：中央有制度、地方有落实、企业有内控，三方协同发力。这种监管协同与层级联动模式将极大提升监管效能——既避免了政出多门、标准不一的情况，又充分调动了企业主体责任，有望创造出政府和企业共治个人信息保护的新范式。<br> 三、与国际良好实践对标<br> 大型平台设立个人信息保护监督委员会的制度设计体现出与国际先进治理实践接轨的战略视野。当前，全球范围内平台治理和个人信息保护已成为共识，各国政府及国际组织纷纷采取行动，制定明确的治理标准，以增强企业在数据保护方面的问责与透明度。例如，欧盟《通用数据保护条例》（GDPR）不仅设立了严格的合规标准，还特别强调企业需配备数据保护官（Data Protection Officer, 简称DPO），以确保数据处理活动的独立监督与合规管理。此外，经合组织（OECD）早在20世纪80年代就发布了广为接受的《个人信息保护八大原则》，为全球数据隐私治理奠定了理论和实践基础，尤其强调了责任制、透明度及跨部门合作的重要性。<br> 具体来看，我国此次推出的监督委员会制度与国际治理原则高度一致，尤其体现在三个关键领域：首先是“独立监督”的原则。国际最佳实践，如GDPR要求企业配备独立的数据保护官，以及全球公司治理体系中普遍认可的独立董事制度，均强调独立监督在确保有效治理中的关键作用。《规定》明确外部委员人数不少于三分之二，这种制度安排确保了委员会成员的独立性和客观性，有效避免利益冲突，增强监督的权威性。<br> 其次，制度强调了“公开透明”的治理原则。GDPR明确规定用户拥有广泛的知情权和访问权，企业必须清晰地公开数据处理和保护的具体措施，以维护用户权益和增进公众信任。我国制度同样要求平台定期发布个人信息保护社会责任报告，公开平台的个人信息保护措施与绩效，并主动接受公众监督，体现了国际推崇的“阳光监管”理念。<br> 最后，制度设计还突出“多方参与”这一国际数据治理的重要趋势。国际组织如世界经济论坛（World Economic Forum）长期倡导数字治理的多方利益相关者模式，即鼓励企业、政府、学术机构与公民团体共同参与治理决策，共同保障公众利益与技术进步的协调发展。我国监督委员会广泛纳入独立专家、学术代表和消费者权益组织等利益相关方，正是这种多方参与、社会共治理念的积极实践。<br> 通过与国际先进治理实践的紧密对标，中国的大型网络平台个人信息保护监督委员会制度不仅有助于提升国内用户的信任和平台治理水平，也向国际社会清晰展现了我国在数字经济监管领域积极接轨全球标准、推动合作与数字贸易发展的坚定决心。<br> 四、对产业生态的积极外溢<br> 大型网络平台个人信息保护监督委员会制度所产生的积极影响将超越单一企业范畴，进而惠及整个数字产业生态，推动行业健康与可持续发展。首先，从平台经济整体发展的角度来看，加强个人信息保护实际上为行业注入了一剂“强心针”。当用户明确感知到平台对其隐私安全的重视与保障时，他们将更放心地参与平台的各类数字服务，更愿意提供个人信息，从而促进数据更广泛的流通与创新应用。正如经合组织（OECD）的研究所强调，当用户确信自身的个人信息得到有效保护，他们更倾向于积极参与在线活动和提供个人信息，这种积极参与将反过来推动数字经济的增长。因此，通过增强用户对个人信息保护的信任，监督委员会制度为数字经济的健康可持续发展奠定了坚实的基础。<br> 其次，从产业竞争环境来看，该制度有助于塑造更加公平、规范且有序的市场秩序。在监督委员会制度推动下，大型平台主动投入资源完善个人信息保护合规体系，提升治理透明度，强化用户保护措施。这些举措不仅不会构成企业发展的负担，反而成为企业的竞争优势。当监管机构、合作伙伴和用户明确看到企业在积极管理和防范个人信息安全风险时，企业的声誉和市场竞争力将获得明显提升。这种企业主动合规的良好示范效应将逐渐扩散，推动整个行业内企业普遍提高数据治理的标准，形成良币驱逐劣币的正向循环。最终，这种积极竞争氛围将全面提升行业的整体个人信息保护水平和公众信任度，巩固数字经济的健康生态环境。<br> 最后，从产业创新与生态协同的角度来看，监督委员会制度也将为数字经济创造新的发展机遇。随着平台对合规性和透明度的进一步提升，个人信息的使用将变得更加规范和安全，由此降低行业内部数据合作的信任门槛。例如，不同企业间的数据共享和联合研发活动将在更清晰的规则、更可靠的信任机制下顺利展开，从而促进数据要素的优化配置，激发产业链之间更广泛、更深入的协作创新。总之，监督委员会制度的实施，将有效促进数据资源在不同主体之间的高效流动与安全共享，推动数字经济生态的整体协同创新，实现更大的社会经济价值。<br> 综上，《规定》展现了我国在平台治理领域的制度创新与责任担当。通过全面覆盖的权责清单、透明开放的社会共治、协同高效的监管联动以及与国际接轨的先进理念，它将有效提升平台治理质量，厚植用户信任，增强制度透明度，并对数字产业生态产生积极深远的影响。站在数字中国建设的新征程上，这一制度创新犹如及时雨，助力平台经济行稳致远、走向更加可信、可持续的未来。（作者：洪延青，北京理工大学教授）