《个人信息保护法》第58条第1项规定超大型平台企业应成立主要由外部成员组成的独立机构对个人信息保护情况进行监督，目前存在三种制度设计方案。第三方独立机构方案比较优势不明显，不符合风险预防理念，难以承载监督功能期待，因此应当被舍弃。管理监督型独立机构方案属于日常性合规管理模式，是董事会对经理层的管理监督，独立机构在董事会领导下开展活动，无法解决合规动力问题，难以厘清董事会与执法机构之间的紧张关系。决策监督型独立机构方案属于危机性合规整改模式，是执法机构对董事会的整改督导，组建董事会专门委员会，依托独立董事进行内部控制，但独立董事法律责任模糊，容易造成董事会负担过重。两种方案各有优劣侧重，应当区分问题场景分别应用，实现对公民个人信息的系统性和持续性保护。

• 单位
  北京大学