省社科联第三届网评大赛㊿丨设立个人信息保护监督委员会，推动大型网络平台信息安全合规

平台经济是数字经济的典型形态，现如今的大型网络平台掌握海量用户数据，容易形成数据垄断。近年来监管部门多次集中曝光并下架一批违规收集使用个人信息的App。个人信息作为添附人格属性的特殊数据形式，在经济效益优先的处境之下，合理规范企业的信息利用行为向来是疑难问题。现有的大型网络平台内部个人信息保护制度普遍缺少一个在组织结构上相对独立、在职能上专司个人信息保护、并在法律上承担对外责任的“守门人”。由于大型网络平台的行为决策不可能由单一部门做出，必然会依据一定的内部程序，且需要进行多轮评估、审核。进一步建设由合规管理委员会、首席合规官组成的合规体系，完善合规程序势在必行。正是在这一现实背景下，通过立法强制大型网络平台设立“守门人”机构，并赋予其独立组成、专属职能与法定权能，成为弥补现有治理结构缺陷、重构平台内部个人信息保护权力结构的制度性选项。   

《中华人民共和国个人信息保护法》第五十八条针对大型网络平台设定个人信息保护特别义务，要求其成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。为进一步促进对个人信息保护情况进行监督，2025年9月国家互联网信息办公室发布《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》（以下简称《规定》），《规定》明确要求大型网络平台（如无特别强调，以下均简称为平台）设立并运行个人信息保护监督委员会（以下简称监委会），并明确了该监委会的组织规范、权责义务等。《规定》的出台将《中华人民共和国个人信息保护法》确立的大型网络平台抽象的个人信息保护义务转化为可操作的具体组织架构与运行规则。

一、个人信息保护监督委员会的制度优势

（一）嵌入式监督：化解时空错位与滞后性

针对传统行政监管面临的物理隔绝与反应滞后困境，《规定》明确将监委会界定为“设立于大型网络平台内部”的独立监督机构，这一制度设计通过结构性嵌入实现了具有法律强制保障效力的监管机制于平台的全流程介入。在空间维度上，监委会具备显著的在场性优势。作为内嵌于平台科层组织的机构，其能够突破外部执法的物理边界与信息壁垒，直接介入算法设计、数据调用等核心业务场景，将监管触角延伸至平台治理的微观技术层面，解决信息获取不对称的难题。在时间维度上，监委会实现了全周期同步治理。依据《规定》关于监委会应当对个人信息保护重大事项进行监督的要求，监委会能够将监督机制前移至服务产品的立项与研发测试阶段，对潜在风险进行事前识别与阻断。这种事前的风险控制机制有效替代了传统监管事后救济的线性逻辑，确保合规审查与技术迭代同频共振，从而化解了监管介入的时空错位与滞后性。

（二）专业化认知：填补技术鸿沟与化解黑箱困境

针对大型网络平台算法自动化决策带来的技术黑箱与认识缺陷，《规定》对监委会组成成员的专业背景提出了明确要求。在技术维度上，监委会通过引入具备法律、算法技术、安全审计等多领域专长的外部专家，有效弥补了传统行政机关在面对复杂算法逻辑时的认知短板。专家成员能够运用专业知识解构晦涩的代码逻辑与参数权重，将难以解释的技术黑箱转化为可被审议的技术事实，获得对平台个人信息业务的技术可理解性，从而能够对平台算法利用个人信息的运行机制进行深度审查。在治理效能上，这种专业化认知机制打破了平台对监管部门的信息优势垄断。监委会不再依赖平台单方提供的书面报告，而是具备独立开展相关技术验证与风险评估的能力。通过对个人信息处理全流程的实质性穿透，监委会能够精准识别潜藏于技术中立外衣下的个人信息风险，确保个人信息保护从形式合规转向对平台算法权力的有效制衡，从而填补了外部监管在应对高科技治理难题时的认知鸿沟。

（三）独立性制衡：矫正内控异化与利益冲突

针对平台既有内控机制因商业利益绑定而导致的职能异化与治理失效，《规定》要求监委会中的外部成员占比不低于三分之二，从而强化了监委会的独立性地位，在平台内部嵌入了刚性的制衡力量。在组织架构上，监委会独立于大型网络平台的董事会与管理层，其成员主要由无利益关联的外部专家担任，且选任与解聘均受监管部门备案程序的约束。程序上强制要求监管决策必须基于绝大多数成员的共识（监督意见应当取得全体成员三分之二以上同意），从而确保监管结果体现的是监委会的集体意志，而非管理层的意志操纵。这种履职的独立性有效阻断了监督者与商业绩效之间的利益输送链条，使监委会得以摆脱平台内部传统科层系统的依附性，代表公共利益对平台决策进行中立审视，从根源上规避了内控机制沦为合规辩护者的风险。

二、个人信息保护监督委员会的职能定位

法律义务的规则转化是监委会履职的逻辑起点。数字社会中，成文法的相对滞后性与技术应用的高速演变性之间存在天然张力，导致法定个人信息保护义务在平台内部落地时往往面临解释难题。由于《中华人民共和国个人信息保护法》确立的最小必要、目的限制等原则具有高度抽象性，其难以直接作为技术代码的执行依据。并且特定行业的个人信息处理活动具有其特殊性，不能一概以最小必要等原则设置完全相同的个人信息保护要求。应当明确的是，监委会的首要职能在于填补立法与技术实施之间的空白与脱节，将法律层面的概括性义务，转化为平台内部场景化的、可执行的技术参数与业务流程的管理规范，实现个人信息的敏捷治理。通过这种规则创制与调适活动，监委会将外部的强制性公法规范内化为平台的自我管理规则，确立了平台内部处理个人信息的具体合规基准，确保法律规范在技术系统中的适用不发生异化。

在此基础上，监委会进一步承担起对商业权力的实质制衡功能。互联网平台不仅是市场主体，更是掌握海量数据与算法权力的社会权力主体。在传统的公司治理结构中，追求股东利益最大化的商业逻辑往往处于支配地位，使得平台在数据信息的开发利用中天然存在将用户个人信息作为重要经济资源进行过度利用的倾向。监委会的引入旨在打破管理层权力的单一性，在以利润为导向的商业决策链条中植入以用户权益保护为核心的异质性力量。它依据比例原则对商业决策进行合规审查，在数据商业价值与个人人格权益发生冲突时，发挥阻断商业冲动、维护权益平衡的纠偏作用。这种职能定位迫使平台决策层在关注财务绩效之外，必须严肃评估个人信息处理活动的社会外部性，从而将个人信息保护从被动应付的形式合规，提升为需要实质性权衡的治理义务。

监委会还发挥着为平台算法治理提供程序正义与社会合法性的程序性构造职能。面对深度学习算法的不可解释性特征，结果导向的外部行政监管往往难以奏效。监委会通过引入外部独立力量，建立事前影响评估、事中合规审计、事后纠错问责等程序性机制，对不透明的算法决策过程实施全周期的程序控制。另外，由于平台的算法技术具有商业秘密的属性，其不可能完全向社会公众公开。而这种以程序制约技术的治理模式，可以在不向公众或竞争对手泄露商业秘密的前提下确保技术合规的有效性，实现算法决策过程的有限度公开、透明，进而对平台技术权力进行约束。可见，在用户对平台普遍不信任的背景下，监委会充当了独立的第三方信任中介。具言之，由外部专家主导的监督结构使得监委会能够作为社会公共利益的代理人，对平台的信息处理规则进行公正审视。具体通过发布社会责任报告、接受公众举报等回应公众关切的方式，监委会将封闭的平台内部治理过程转化为具有社会公信力的公共证明过程，从而为平台的信息处理活动补足了社会合法性资源。

稿源：荆楚网（湖北日报网）

作者：陆杰（东南大学法学院2024级刑法学博士研究生，北京律师法学研究会副研究员）

责编：丁玥