打开手机App，不少网络平台提供了从生活消费到金融理财等“一站式”服务，让我们的日常生活更便利。然而，海量用户数据掌握在这些平台手中，是否会带来个人信息安全风险？4月26日提请全国人大常委会会议审议的个人信息保护法草案二审稿，对超大型互联网平台的个人信息保护义务作出了相关规定。

二次审议的草案拟强化超大互联网平台的个人信息保护义务，其折射的个人信息保护和数据管理思路，让人眼前一亮。因为这也意味着，个人信息保护将增加一道防护网——即提供基础性互联网平台服务的个人信息处理者，应成立独立机构，履行监督义务，这是一种治理创新。

个人信息保护目前包括两重责任，一是网络运营者或个人信息处理者，对其收集、处理的个人信息采取保护措施；二是政府有关部门履行监督管理职责。从过去个人信息被过度采集、被滥用的情况来看，在互联网时代仅靠现有措施保护个人信息显然不够，增加独立机构多一种保护确有必要。

由外部成员组成的独立机构，对个人信息处理活动进行监督，应该有三大特征：独立性、专业性、透明性。独立性，能确保监督客观公正，不偏袒个人信息处理者；专业性，独立机构监督人员由相关领域专业人士构成，内行监督更有效；透明性，体现在要求发布个人信息保护社会责任报告。

从理论上来说，这种独立机构监督既能倒逼个人信息处理者切实履行个人信息保护义务，也能为公众监督、媒体监督创造有利条件，还能弥补政府部门监督的某些不足，即社会监督、政府监督不到的地方，独立机构监督可进行补位。

独立机构监督能否成为个人信息保护的铠甲，关键取决于独立机构的独立性——是真独立还是假独立。如果独立机构是表面独立，其运行成本、业务范围等受个人信息处理者的影响，则难保证其独立性。比如，独立机构运作的经费如何保障就值得探讨。既然是个人信息处理者成立的独立机构，那它显然要为这种独立机构承担相关支出，而独立机构“拿人手短吃人嘴软”，它又如何能保证独立监督？所以，个人信息保护立法或相关配套制度，要在如何保障独立机构运作的独立性方面做足文章。

除了个人信息处理者应成立独立机构外，政府系统是否有必要针对个人信息保护成立独立的监督监管机构，也值得商榷。由于个人信息保护客观上涉及各个领域和多个部门的职责，容易出现“九龙治水”的现象，因此除了厘清责任边界，恐怕还需设立类似于数据监督机构，以督促相关部门尽责。

无论是对于监管部门，还是各相关主体，适应信息化社会的发展变革，统筹好个人乃至国家层面的信息安全，是不容回避的新课题。可以明显感受到的是，当前，国家有关部门正加快脚步完善各领域互联网个人信息立法保护。人们有理由相信，我国个人信息保护工作会取得新成效，多维度的法律责任体系也将加快构建。（冯海宁）