外部监督员能盯住企业护好用户隐私吗？

　　个人信息保护法11月1日起正式实施，互联网大厂合规加速。为落实该法律中针对“守门人”企业成立外部独立监督机构的规定，腾讯、携程开始招募“个人信息保护外部监督员”（以下简称“外部监督员”）。

　　外部监督员和企业有雇佣关系吗？

　　“没有雇佣关系，类似于‘志愿者’，没有工资，可以兼职”

　　备受互联网企业关注的个人信息保护法正式实施。其中规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。

　　腾讯于10月15日发布招募公告称，腾讯将于近期成立“个人信息保护外部监督委员会”，并公开招募委员会成员。10月25日，携程也发布了“个人信息保护外部监督专家团”的招募公告。

　　10月29日下午，南都记者就此事分别联系了携程与腾讯的公关部门，未获答复。

　　一名互联网企业法务部的工作人员告诉南都记者，外部监督委员会的组成成员和企业没有雇佣关系，带有一些志愿和公益的性质，有点类似于“志愿者”，没有工资，可以兼职，不限地点。

　　她表示，外部监督员“跟普通用户没有太大区别”，不同的是外部监督员通过使用产品，发现问题后，有更多的渠道向企业反映。“如果真的有可以优化的要点的话，我们会根据反馈情况进行优化。”

　　上述工作人员称，其所在企业会定期组织一些活动，如邀请外部监督员一起参加研讨会，并向他们汇报一些工作情况。“我们也是基于个人信息保护法的要求，相对而言我们平台还是希望更合规的，也希望有一个外部第三方来监督我们进行。”

　　至于希望外部监督员起到何种监督作用，上述工作人员称，希望监督员站在消费者权益保护的角度以及比较公允的行业发展角度，提一些客观的意见和建议，“有问题也可以批评”。

　　是否真的可以独立监督企业？　　“企业实际上也在探索究竟可以给外部监督员看什么”

　　今年5月，中国人民大学法学院教授张新宝曾在一场研讨会上提出对于新增企业成立外部独立监督机构这一条款的看法：“当企业与外部独立机构的利益一致时，此机构可以独立行使职权。双方利益不一致时，尤其是个人信息保护工作影响到受监督企业的盈利能力时，独立机构便很难独立活动。”

　　北京清律律师事务所首席合伙人熊定中认为，企业实际上也在探索究竟可以给外部监督员看什么。“对于企业来说，很多公司内部材料到底能不能给，给到什么程度才能既保障企业内部的商业秘密又能切实履行监督职责，可能是需要大家都去探讨的……应该说这是一个探索中的制度。”

　　“企业内部实现合规，一个需要克服的大问题在于法律法规落地之前，许多具体内容并不清晰，也不知道如何执行。如果让所有监督员都去理解，那么没有法律背景或没有技术背景的成员就可能在评估企业内部合规动作时产生分歧。”浙江垦丁律师事务所创始合伙人麻策说。

　　南都记者注意到，针对个人信息保护法中“守门人”企业成立外部独立监督机构这一条款，从二审稿到最终出台的版本有一些表述变化。原二审稿拟规定，外部成员组成的独立机构对个人信息处理活动进行监督；最终出台的版本则规定，外部成员组成的独立机构对个人信息保护情况进行监督。

　　对于由“个人信息处理活动”到“个人信息保护情况”这一改动，对外经贸大学数字经济与法律创新研究中心主任许可分析认为，与个人信息保护法二审稿相比，最终通过的法律在外部监督机构的职权范围上有所缩减，其中很重要的原因之一便是——如果外部监督机构对企业的介入太深，可能影响其正常运营或危及商业机密，“这其中有很充足的商业考虑”。

　　如何确保外部监督机构的独立性？　　“外部监督员应接受社会监督，所有运作要相对透明”

　　然而，许可也指出，如果企业对外部监督机构的信息披露不充分，也没办法很好地发挥外部监督机构的监督效果。他认为，代表社会公众参与其中的外部监督员自然应接受社会监督，所有的运作是要相对透明的，企业聘请的监督委员会成员名单应向社会公示并公开接受监督。

　　麻策也持有类似观点，确保外部监督机构的独立性需要一个透明化的机制。即便公司给予外部监督员一定的财务保障，但这并不代表外部监督员要遵照公司的指示行事。更重要的是，外部监督员应有权限自主发布对企业产品合规程度的判定，而无需经过企业同意。“我觉得他（外部监督员）的行动本身应该是自由的，这点比较重要。”

　　在许可看来，由于监督机构需内嵌到互联网公司，从正常履职考虑，接受公司的津贴补助不可避免。但是，其数额应有一定约束，不能存在经济上的依赖。

　　他分析，外部监督机构以会议决议的方式行使权力，不可能成为常设于企业内部的日常经营管理机构。“监督机构可以每年定期召开会议，审议个人信息保护的重要事项，其运行机制类似于上市公司董事会下面的独立委员会。”

　　许可特别提到，外部监督机构有权审议“个人信息保护合规审计报告”是很重要的一点。他解释，所谓合规审计报告是企业针对自身个人信息保护情况进行合规调查，但这是企业内部做的。“企业内部做的审计的真实性、全面性到底怎么样？这时候就需要一个外部机构对它再审计。”

　　然而，他指出，行使这一权力也需要为外部监督机构配备相应资源。倘若进行外部审计的监督机构认定审计报告存在问题，那么他们有权要求企业另外聘请由其指定的第三方进行再次审计。“我觉得这个权力至关重要，（外部监督机构）可以发起对个人信息保护合规审计的外部监督。”

　　“不能指望外部监督员完成所有个人信息保护的监督责任，他只是其中一个角色，一个压力来源，但这也是我认为最大的一个作用。”麻策说道。