[PDF] GB/T 45404-2025 - 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GB/T 45404-2025 | 359 | GB/T 45404-2025 | <=4 | 数据安全技术 大型互联网企业内设个人信息保护监督机构要求 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/T 45404-2025 (GB/T45404-2025) |
| 中文名称 | 数据安全技术 大型互联网企业内设个人信息保护监督机构要求 |
| 英文名称 | Data security technology - Requirements for large Internet companies internal personal information protection supervision agency |
| 行业 | 国家标准 (推荐) |
| 中标分类 | L80 |
| 国际标准分类 | 35.030 |
| 字数估计 | 18,114 |
| 发布日期 | 2025-03-28 |
| 实施日期 | 10/1/2025 |
| 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 |
GB/T 45404-2025
Data security technology - Requirements for large Internet companies internal personal information protection supervision agency
数据安全技术 大型互联网企业内设
个人信息保护监督机构要求
Data security technology-Requirements for large Internet companies internal
personal information protection supervision agency
ICS 35.030
CCS L 80
中华人民共和国国家标准
2025-03-28发布
2025-10-01实施
国家市场监督管理总局
国家标准化管理委员会 发 布
目次
前言 ··· Ⅲ
1 范围 ···· 1
2 规范性引用文件 ···· 1
3 术语和定义 ···· 1
4 个人信息保护监督机构的组成 ··· 1
4.1 人员构成 ···· 1
4.2 主任、副主任及职责 ··· 2
4.3 秘书及职责 ···· 2
5 个人信息保护监督机构成员 ···· 2
5.1 外部成员的任职要求 ··· 2
5.2 外部成员的提名与任免 ···· 3
5.3 外部成员的履职 ···· 4
5.4 内部成员的人选与任期 ···· 4
5.5 内部成员的履职 ···· 5
6 个人信息保护监督机构职责 ···· 5
6.1 一般事项监督 ···· 5
6.2 特别事项监督 ···· 6
6.3 建议和意见 ···· 7
7 个人信息保护监督机构工作机制 ··· 7
7.1 一般要求 ···· 7
7.2 临时会议 ···· 8
7.3 延期开会与审议 ···· 9
7.4 暂缓表决 ···· 9
7.5 履职独立性保障 ···· 9
7.6 履职条件保障 ···· 9
7.7 工作规则制定 ···· 9
参考文献 ··· 10
前言
本文件按照 GB/T 1.1-2020《标准化工作导则 第 1部分:标准化文件的结构和起草规则》的规
定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC 260)提出并归口。
本文件起草单位:中国人民大学、中国信息通信研究院、北京理工大学、中国电子技术标准化研究
院、中国网络空间研究院、国家信息技术安全研究中心、蚂蚁科技集团股份有限公司、阿里巴巴
(北京)软件服务有限公司、贝壳找房(北京)科技有限公司、北京小桔科技有限公司、北京抖音信息
服务有限公司、上海得物信息集团有限公司、北京京东尚科信息技术有限公司、北京百度网讯科技有限
公司、华为终端有限公司、北京小米移动软件有限公司、北京微梦创科网络技术有限公司、云从科技集
团股份有限公司、浙江大学、上海商汤智能科技有限公司、荣耀终端有限公司、国家计算机网络应急技
术处理协调中心浙江分中心、深圳市网安计算机安全检测技术有限公司、北京奇虎科技有限公司、启明
星辰信息技术集团股份有限公司。
本文件主要起草人:张新宝、葛鑫、陈琦、洪延青、陈特、陈湉、姚相振、卢磊、姜伟、晏慧、
何延哲、何波、王晖、田申、聂正军、白晓媛、孙铁、许锐、王海棠、郭建领、顾伟、刘艾婧、
石玉珍、朱雪峰、刘笑岑、李昳婧、张朝、彭晋、刘克、徐燕、侍敬楠、张娜、陈一夫、黄天宁、
张向拓、谷海燕、王磊、范晔、崔丽莎、覃潇霄、衣强、赵晓娜、任奎、刘楠、马俊野、潘洁、李军、
白雅喜、赵高华、姚一楠、王普、刘金飞、文龙、徐浩、梁蓉蓉、李然、李丽、杨天识、张瑶。
数据安全技术 大型互联网企业内设
个人信息保护监督机构要求
1 范围
本文件规定了大型互联网企业建立和运行个人信息保护监督机构的要求,包括个人信息保护监督机
构的设置、职责、工作规则,以及个人信息保护监督机构的成员等要求。
本文件适用于大型互联网企业建立和运行个人信息保护监督机构及监管、检查、评估等活动。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用
于本文件。
GB/T 25069-2022 信息安全技术 术语
GB/T 35273-2020 信息安全技术 个人信息安全规范
3 术语和定义
GB/T 25069-2022和 GB/T 35273-2020界定的以及下列术语和定义适用于本文件。
3.1
大型互联网企业 large Internet company
提供重要互联网平台服务、用户数量巨大、业务类型复杂的互联网企业。
3.2
个人信息保护监督机构 personal information protection supervision agency
大型互联网企业建立的主要由外部成员组成,对自身个人信息保护合法合规情况、履行个人信息保
护社会责任情况等进行独立监督,并对提升个人信息保护水平提出建议和意见的机构。
3.3
个人信息保护监督机构外部成员 external member of personal information protection supervision
agency
具备个人信息保护专业知识和技能,与受聘大型互联网企业及其主要股东不存在可能妨碍其进行独
立客观判断的关系,对大型互联网企业个人信息保护情况进行监督,发表独立客观建议和意见,不在大
型互联网企业担任其他任何职务的外部专家。
4 个人信息保护监督机构的组成
4.1 人员构成
大型互联网企业个人信息保护监督机构应由七名至十五名内、外部成员共同组成,其中外部成员占
比不低于三分之二,内部成员不超过三分之一。
4.2 主任、副主任及职责
个人信息保护监督机构应设主任、副主任各一人,由外部成员担任,经个人信息保护监督机构全体
成员过半数选举产生,其职责如下:
个人信息保护监督机构会议期间,主任应负责主持个人信息保护监督机构会议;a)
个人信息保护监督机构休会期间,主任可组织外部成员与大型互联网企业用户代表、消费者代
表等开展调研、访谈等活动;
b)
主任不能履行职责或者不履行职责时,应由副主任代为履行。c)
4.3 秘书及职责
个人信息保护监督机构应设秘书一人,由内部成员担任,经大型互联网企业任命产生,其职责
如下:
个人信息保护监督机构会议期间,秘书应负责个人信息保护监督机构的会议的筹备、召集、文
件保管、信息披露等事宜;
a)
个人信息保护监督机构休会期间,秘书应负责与外部成员的日常联系,为外部成员履行职责提
供必要协助。
b)
5 个人信息保护监督机构成员
5.1 外部成员的任职要求
5.1.1 独立性
个人信息保护监督机构外部成员应保持身份和履职的独立性,在履职过程中不应受所任职大型互联
网企业主要股东、实际控制人或者其他与大型互联网企业存在利害关系的单位或个人的影响,最近一年
内不应具有下列情形:
在大型互联网企业或者其附属企业任职,或者其配偶、直系亲属、主要社会关系在大型互联网
企业或者其附属企业任职;
a)
直接或间接持有大型互联网企业已发行股份百分之一以上或者是大型互联网企业前十名股东中
的自然人股东及其直系亲属;
b)
在直接或间接持有大型互联网企业股份百分之五以上的股东单位或者在大型互联网企业前五名
股东单位任职的人员及其直系亲属;
c)
为大型互联网企业或者其附属企业提供财务、法律等服务;d)
国家网信部门认定的其他可能影响外部成员独立性的情形。e)
5.1.2 专业性
个人信息保护监督机构外部成员应具备与履行职责相适应的专业水平:
熟悉个人信息保护、数据安全等相关法律法规、政策、标准;a)
为个人信息保护、数据安全等相关领域法律、技术资深专家,具备副高级及以上专业技术职
称,或者在个人信息保护、数据安全等相关领域具有五年以上法律、法规、技术、标准、测评
等工作经验的资深从业人员。
b)
在首次受聘大型互联网企业个人信息保护监督机构外部成员前,拟受聘的外部成员应至少参加一次
任职培训。在受聘大型互联网企业个人信息保护监督机构外部成员后,外部成员应定期接受专业培训,
及时学习了解个人信息保护法律法规、技术与实践的发展变化,保持履职专业性。
5.1.3 职业道德
个人信息保护监督机构外部成员的职业道德水平应与其履行监督职责的要求相匹配:
遵纪守法,能客观独立、公平公正、廉洁地履行职责;a)
曾因犯罪受过刑事处罚、曾被开除公职或者受到监管部门惩戒和处罚的人员,不应担任个人信
息保护监督机构外部成员。
b)
5.2 外部成员的提名与任免
5.2.1 外部成员的提名
个人信息保护监督机构外部成员提名事宜应由大型互联网企业个人信息保护负责人组织:
个人信息保护负责人应通过公开征集、定向邀请等方式提名个人信息保护监督机构外部成员;a)
个人信息保护负责人应充分了解被提名人职业、学历、职称、详细的工作经历、全部兼职等情
况,并在提名前征得被提名人的同意,被提名人应如实提供相应证明材料;
b)
个人信息保护负责人应对被提名人担任个人信息保护监督机构外部成员的任职资格和独立性进
行说明,被提名人应如实提供相应证明材料。
c)
个人信息保护负责人提名外部成员时,宜考虑人员构成的多元专业背景,充分吸纳具备个人信息保
护、数据安全等法律、技术、合规、测评等不同知识结构与实践经验的专家。
5.2.2 外部成员的任命
个人信息保护监督机构外部成员应由大型互联网企业董事会或经董事会授权的董事长、执行董事决
定并任命:
董事会或经董事会授权的董事长、执行董事应听取个人信息保护负责人就被提名人情况的说明;a)
董事会或经董事会授权的董事长、执行董事应通过表决方式决定是否任命个人信息保护监督机
构外部成员;
b)
董事会或经董事会授权的董事长、执行董事决定不任命个人信息保护监督机构外部成员的,应
书面说明异议意见。
c)
5.2.3 外部成员的任期
个人信息保护监督机构外部成员实行任期制,每届任期三年。外部成员任期届满,可连任,但连任
时间不应超过六年。
5.2.4 外部成员的辞任
个人信息保护监督机构外部成员在任期内可向大型互联网企业提交书面辞职报告,自愿辞去职务。
因外部成员自愿辞职导致个人信息保护监督机构成员低于法定人数或者外部成员低于法定比例要求的,
在大型互联网企业补任出新的外部成员前,提出辞任的外部成员仍应继续履行外部成员职责。
个人信息保护监督机构外部成员应保持履职的独立性、专业性和职业道德要求,不再满足任职资格
专业性、独立性或职业道德要求的,应在出现相应情形后十五日内及时通知个人信息保护监督机构秘书
并消除情形,无法消除情形的,应辞去外部成员职务。因外部成员辞去外部成员职务导致个人信息保护
监督机构成员低于法定人数或者外部成员低于法定比例要求的,大型互联网企业应在外部成员辞去职务
之日起六十日内完成补任。
5.2.5 外部成员的免职
个人信息保护监督机构外部成员在任期届满前,出现下列任一情形的,应由大型互联网企业个人信
息保护负责人提请董事会或经董事会授权的董事长、执行董事免除其职务:
连续三次未亲自出席监督机构会议;a)
出现不符合独立性条件要求的情形;b)
出现违反职业道德条件要求的情形;c)
出现其他不适宜继续履行外部成员职责的情形。d)
因免除个人信息保护监督机构外部成员职务导致个人信息保护监督机构成员低于法定人数的或
者外部成员低于法定比例要求的,大型互联网企业宜尽快补任外部成员,以确保外部成员人数达到
法定要求。
5.3 外部成员的履职
5.3.1 外部成员勤勉尽责要求
个人信息保护监督机构外部成员应依法履行监督职责,勤勉尽责地开展工作:
主动关注有关大型互联网企业特别是个人信息保护事项相关的报道及信息;a)
通过多种渠道与大型互联网企业用户代表、消费者代表开展调研、访谈等活动;b)
与大型互联网企业个人信息保护负责人、个人信息保护监督机构秘书等及时充分沟通,确保工
作顺利开展;
c)
每年为大型互联网企业有效工作的时间应不少于十五个工作日;d)
注:外部成员有效工作时间包括出席个人信息保护监督机构会议、与个人信息保护负责人及个人信息保护监督机构
秘书等进行工作讨论、对大型互联网企业个人信息保护事项提出建议和意见等。
确保有足够的时间和精力有效履行职责,最多在三家大型互联网企业担任外部成员。e)
5.3.2 工作记录与述职报告
个人信息保护监督机构外部成员应就其年度履行职责的情况形成工作记录,包括但不限于参加个人
信息保护监督机构会议、与个人信息保护负责人等进行工作讨论、对大型互联网企业个人信息保护事项
提出建议和意见等内容。
个人信息保护监督机构外部成员应向大型互联网企业提交年度述职报告,对其履行职责的情况进行
说明,并由本人签字确认后提交个人信息保护监督机构秘书存档保管。
5.3.3 外部成员保密要求
个人信息保护监督机构外部成员应对履职过程中所知悉的大型互联网企业相关信息予以保密,非因
履职需要或者经大型互联网企业同意,不应向他人披露。
注:大型互联网企业通过签订保密协议、个人信息保护监督机构工作规则等形式细化外部成员保密要求。
在多家大型互联网企业担任个人信息保护监督机构外部成员的,未经大型互联网企业同意,不应披
露或分享不同大型互联网企业个人信息保护监督机构履职过程中所知悉的信息。
5.4 内部成员的人选与任期
5.4.1 内部成员的人选
个人信息保护监督机构内部成员应由大型互联网企业董事会或经董事会授权的董事长、执行董事从
下列人员中选任:
大型互联网企业董事、监事、高级管理人员;a)
大型互联网企业个人信息保护负责人;b)
大型互联网企业个人信息保护合规人员;c)
大型互联网企业个人信息保护技术或业务人员;d)
大型互联网企业聘请的合规、技术、业务人员等。e)
曾因犯罪受过刑事处罚、曾被开除公职或者受到监管部门惩戒和处罚的,不应担任个人信息保护监
督机构内部成员。
5.4.2 内部成员的任期
为保障个人信息保护监督机构履行职责的连续性,个人信息保护监督机构内部成员任期宜与个人信
息保护监督机构外部成员任期相同:
个人信息保护监督机构内部成员任期届满,由大型互联网企业董事会或经董事会授权的董事
长、执行董事决定是否连任;
a)
个人信息保护监督机构内部成员因离职、调岗等,不适宜继续担任个人信息保护监督机构内部
成员的,大型互联网企业应在十五日内补任新的内部成员。
b)
为保障个人信息保护监督机构履行职责的便利性,大型互联网企业可设置一名非固定内部成员,根
据个人信息保护监督机构需要灵活选任。
5.5 内部成员的履职
个人信息保护监督机构内部成员应勤勉尽责地履行监督职责。内部成员的履职工作时间、工作记
录、述职报告等要求,宜参考外部成员相关履职要求。
6 个人信息保护监督机构职责
6.1 一般事项监督
6.1.1 个人信息保护基本情况监督
个人信息保护监督机构应就大型互联网企业履行个人信息保护义务、保护个人在个人信息处理活动
中的权利情况进行监督,要求个人信息保护负责人或其指定的其他个人信息保护相关负责人员对大型互
联网企业个人信息保护相关事项作出说明和解释:
个人信息保护内部管理制度和操作规程;a)
个人信息分类分级管理制度;b)
采取的加密、去标识化等安全技术措施;c)
个人信息处理的操作权限相关规则;d)
对从业人员进行的安全教育和培训;e)
其他与个人信息保护相关但不涉及商业秘密的事项。f)
6.1.2 个人信息保护合规制度体系、平台规则、隐私政策监督
个人信息保护监督机构应就大型互联网企业个人信息保护合规制度体系、平台规则、隐私政策等进
行监督,发表监督意见:
大型互联网企业在制定个人信息保护合规制度体系、平台规则、隐私政策或对其实质性内容进
行重大修订时,应征求个人信息保护监督机构的意见;
a)
个人信息保护监督机构认为大型互联网企业相关事项存在违法违规处理个人信息或者违反合
法、正当、必要、诚信、公开、透明原则处理个人信息的情形,应向大型互联网企业提出改正
意见和建议;
b)
大型互联网企业收到个人信息保护监督机构改正意见和建议后,应及时处理,确有理由不予处
理的,应及时答复个人信息保护监督机构。
c)
6.2 特别事项监督
6.2.1 个人信息保护影响评估监督
个人信息保护监督机构应就大型互联网企业个人信息保护影响评估事项进行监督,发表监督意见:
是否按照法律法规要求对处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信
息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息等个人信息处
理活动事先进行个人信息保护影响评估;
a)
是否按照法律法规要求对个人信息的处理目的、处理方式等是否合法、正当、必要,对个人权
益的影响及安全风险,所采取的保护措施是否合法、有效并与风险程度相适应等进行评估;
b)
是否按照法律法规要求对个人信息保护影响评估报告、处理情况等进行记录并保存。c)
个人信息保护监督机构确有理由认为大型互联网企业已进行的个人信息保护影响评估未能合理反映
个人信息处理活动对个人信息主体权益影响的,应建议大型互联网企业委托社会化第三方服务机构进行
个人信息保护影响评估。
个人信息保护监督机构认为其他个人信息处理活动可能对个人权益有重大影响,应书面建议个人信
息保护负责人开展个人信息保护影响评估活动。
6.2.2 个人信息保护合规审计监督
个人信息保护监督机构应就大型互联网企业是否定期对其处理个人信息遵守法律、行政法规的情况
开展合规审计进行监督,发表监督意见。
个人信息保护监督机构确有理由认为大型互联网企业已进行的合规审计未能如实反映其个人信息处
理活动遵守法律、行政法规的情况,应建议大型互联网企业委托社会化第三方服务机构进行合规审计。
6.2.3 个人信息保护社会责任报告监督
个人信息保护监督机构应就大型互联网企业发布社会责任报告进行监督,发表监督意见。
大型互联网企业应在公开发布社会责任报告前,听取个人信息保护监督机构的意见。如个人信息保
护监督机构或外部成员就社会责任报告实质性内容发表反对意见,大型互联网企业应将有关情况进行披
露并说明不予采纳的理由。
6.2.4 个人信息安全事件应急预案监督
个人信息保护监督机构应就大型互联网企业个人信息保护应急预案的制定及实施进行监督,发表如
下监督意见:
是否按照法律法规、国家标准的要求制定个人信息安全事件应急预案;a)
是否定期组织内部相关人员进行应急响应培训和应急演练;b)
内部相关人员是否掌握岗位职责和应急处置策略与规程;c)
是否根据相关法律法规变化情况及事件处置情况,及时更新应急预案。d)
6.2.5 个人信息泄露事件监督
大型互联网企业发生或可能发生个人信息泄露、篡改、丢失情形时,个人信息保护监督机构应就如
下事项进行监督:
是否立即采取补救措施;a)
是否按照法律法规的要求及时通知履行个人信息保护职责的部门和个人。b)
大型互联网企业发生或可能发生个人信息泄露、篡改、丢失,但未立即采取补救措施或未按照法律
法规的要求及时通知履行个人信息保护职责的部门和个人时,个人信息保护监督机构应立即建议大型互
联网企业履行告知义务,大型互联网企业未及时改正的,外部成员应向大型互联网企业所在地省级以上
网信部门报告。
6.2.6 个人信息跨境提供监督
个人信息保护监督机构应就大型互联网企业个人信息跨境提供进行监督,发表如下监督意见:
是否确实具备向中华人民共和国境外提供个人信息的必要性;a)
是否符合法律法规要求的向境外提供个人信息的条件;b)
通过国家网信部门安全评估方式跨境提供的,是否依法进行安全评估;c)
通过与境外接收方签订标准合同方式跨境提供的,是否依法签订标准合同;d)
外国司法或者执法机构要求大型互联网企业提供存储于境内个人信息的,是否向主管机关提交
审批并经批准后提供。
e)
6.3 建议和意见
个人信息保护监督机构可就下列事项提出建议和意见:
大型互联网企业个人信息保护负责人的履职情况;a)
大型互联网企业个人信息保护相关的董事会议案;b)
大型互联网企业个人信......