網絡個人信息保護的動態監管策略研究

李亞平，周偉良

(1.中共安徽省委黨校(安徽行政學院) 博士后工作站， 安徽 合肥 230022；2.合肥工業大學 管理學院， 安徽 合肥 230009)

一、引言

隨著互聯網應用的不斷深入，社交網絡、電子商務、電子政務等網絡應用平臺迅速發展，個人社會生活網絡化程度不斷提高。在此背景下，互聯網治理已經成為社會治理的一個重要組成部分。2002年，李希光教授提出“中國人大應該禁止任何人網上匿名”之后，網絡實名制受到了廣泛的關注和研究[1-2]。2012年，全國人大常委會通過《關于加強網絡信息保護的決定》，在制度層面明確了國內網絡治理的實名制要求[3]。2015年，國家網信辦發布《互聯網用戶賬號名稱管理規定》，明確提出互聯網信息服務提供者應當按照“后臺實名、前臺自愿”的原則，要求互聯網信息服務使用者通過真實身份信息認證后注冊賬號[4]。這使得網絡實名制在國內開始進入全面普及階段。

隨著網絡實名制的不斷推進，網絡個人信息安全受到了越來越多的關注。網絡個人信息的有效使用和保護，需要政府職能部門、互聯網企業以及網民個人等相關權利主體協同配合，有效履行各自承擔的責任。然而，如何將政府職能部門、互聯網企業以及網民個人的監督責任、監督措施落實到位，還面臨諸多障礙。首先，政府職能部門在個人信息保護方面的權力結構劃分不夠清晰[5]。誰來監管、監管誰、怎么監管這樣的核心問題還未得到充分的解決，各相關職能部門權力結構劃分仍然存在交叉、重疊和盲區。其次，互聯網企業進行個人信息保護的動力不足、措施不力、責任感不強的現象仍然屢見不鮮。互聯網企業鑒于自身利益和成本控制的需要，對于網絡采集得到的網民個人信息，存在過度采集、濫用以及有償轉讓的情形[6]，同時由于缺乏有力的法律約束和有效的外部監督，互聯網企業的個人信息保護行為更多地停留在自主保護的階段。此外，網民個人缺乏對自身信息的控制，且監督渠道不暢。網民個人作為個人信息的直接權益方，對自身的信息并不能起到應有的監督和管控。其原因在于：一方面，侵害網絡個人信息的行為具有隱蔽性；另一方面，個人信息被不法侵害時在舉報、投訴后的追責面臨諸多困難。因此，進一步建立和完善網絡個人信息監管體系，實施有效的多主體協同監管策略具有現實意義。

二、網絡個人信息動態監管體系構建

傳統的監管方式主要表現為政府職能部門的行政監管。隨著信息技術的不斷發展和互聯網應用的不斷延伸，傳統的行政監管方式，既難以適應互聯網信息的爆炸式增長，也面臨著新技術應用所產生的監管盲區。針對互聯網個人信息的使用和保護，單一的行政監管方式，在時效性、覆蓋面和有效性等方面面臨諸多困難。因此，需要引入新的監管主體，構建新的監管體系。

(一)網絡個人信息分析

1．個人信息的內涵

2013年2月1日，《信息安全技術公共及商用服務信息系統個人信息保護指南》(以下簡稱《指南》) 正式實施。《指南》對個人信息的內涵進行了明確的界定：可為信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據。同時，《指南》為了加強個人信息保護，將個人信息劃分為“個人敏感信息”和“個人一般信息”兩類。《指南》對個人信息的界定和劃分，兼顧個人信息使用和保護的需求。然而，《指南》中個人信息的劃分仍然是粗粒度的，在實際操作中還需要進行必要的細化和動態調整。

從國外對個人信息的界定來看，歐盟、美國等更加強調個人信息對于自然人的可識別屬性[7]。日本則引入了一個“生活日志”的概念，將個人信息從可識別屬性信息進一步延伸到個人在網絡空間中的生活記錄或行為軌跡。因此，對于個人信息的界定，主要依據可識別性，既包括直接可識別性的靜態屬性信息，也包括間接可識別性的動態行為信息。

2.網絡個人信息的多維特征

從內容角度看，網絡個人信息包括姓名、聯系方式、住址、身份證等靜態屬性信息，以及網絡社交、網絡購物等動態行為信息。從形式角度看，網絡個人信息主要以“個人數據”的形式存在，包括文本、圖片、音頻、視頻，以及數據庫中的一些結構化信息等。從主體角度看，網絡個人信息的采集、傳遞、存儲、分析、使用、銷毀整個生命周期涉及個人、政府、互聯網平臺、第三方等多個權利主體，大數據挖掘等新興技術的廣泛應用又加劇了權利主體在網絡個人信息處理中的模糊性和隱蔽性，進一步導致個人信息的內容邊界以及權利主體邊界等更加復雜。

因此，互聯網的開放性、虛擬性和快速變化等特征，帶來了網絡個人信息內涵和邊界的不確定性。內容范圍存在模糊性，存儲形式呈現多樣性，權利主體具有復雜性，這也使得網絡個人信息的保護和使用面臨更多的障礙。

3．網絡個人信息的權利歸屬

個人信息的法律權利，主要涉及隱私權、財產權和人格權等方面。從隱私權的角度看，個人信息主要包含信息主體或當事人不愿公開的內容，無法定價，也不能轉讓、贈與和買賣，應當將其作為一種隱私權看待。從財產權的角度看，個人信息逐漸成為企業經營的一項重要資產，在事實上也助長了個人信息交易、濫用的違法行為。因此，個人信息也開始具有財產權的基本特征。

從財產權的角度看，網絡個人信息的權利歸屬也是模糊的。例如，通過數據挖掘技術獲得的個人相關信息或統計類信息，其權力屬于相關自然人還是互聯網企業，仍然存在較大的不確定性。另外，從隱私權、人格權的角度看，個人信息權屬體現了權利主體對個人信息所享有的控制權。作為關鍵的權利人，網民個人在事實上并不能實現有效的控制；與此同時，現行法律法規對于權利主體的范圍，以及各主體的權利范圍還缺乏明確的界定，這進一步凸顯了網絡個人信息權屬的復雜性。

(二) 監管主體重構

從權益相關的角度看，互聯網個人信息資源權益相關方主要涉及政府、互聯網企業和網民個人等多個主體。從生命周期的角度看，網絡個人信息的生命周期主要包含采集、存儲、使用、更新直至銷毀等多個環節[8]。因此，各權益相關方在個人信息生命周期的不同階段，實施監管的有效程度存在較大差別。從政府職能部門的角度看，由于互聯網企業數量眾多、規模差異大以及個人信息在存儲、使用、銷毀等環節的各項操作具有隱蔽性，政府職能部門行政監管的不足難以避免。因此，引入新的監管主體來填補多個監管環節上存在的盲區，將是十分必要和有效的。在此，通過引入第三方和互聯網協會等組織作為新的監管主體，構建新的監管主體結構。相應的個人信息監管主體結構如圖1所示。

圖1 網絡個人信息的監管主體結構

在網絡個人信息監管過程中，政府職能部門的行政監管、企業的自我監管和網民個人參與的社會監督是主要組成部分。各主體的監管責任所呈現出的交叉、沖突和盲區等問題受到了越來越多的關注[7]。與此同時，對于第三方和互聯網協會等組織的監管責任仍有待進一步加強。

(二)監管體系架構設計

對于互聯網個人信息的動態監管，涉及不同的利益主體和個人信息生命周期的不同環節。從監管主體和監管環節的角度看，政府職能部門的行政監管，側重于基礎層面的法律法規建設和保障層面的誠信體系建設，互聯網協會側重于保障層的行業監管制度，網絡平臺側重于業務層面的企業內部監管機制，第三方則側重于應用層的信息安全能力評估、監測、預警等，而網民個人則主要通過監管平臺的信息公開和信用體系建設等渠道，實現監督功能。因此，面向個人信息使用和保護的動態監管，體現出一定的層次性特征。在此，將互聯網個人信息的動態監管體系主要設計為4個層次，構建如圖2所示的個人信息保護監管體系架構。

圖2 個人信息保護的監管體系架構

1.基礎層的立法監管

基礎層的立法監管，主要通過建立健全法律法規，為網絡個人信息保護夯實法律基礎，明確各監管主體的監管對象、監管范圍、監管權利和監管責任，明確各監管主體的監管行為具有相應的法律依據。立法監管的內容主要包含4個方面：一是個人信息保護的綜合性立法；二是建立不同監管主體的市場準入機制，界定監管主體的法律地位；三是明確監管主體的主體責任，主要涉及監管范圍、權利和責任；四是明確監管主體的責任追究機制，進一步規范監管主體的監管行為。

2.保障層的制度監管

制度監管是指政府職能部門、互聯網企業、互聯網協會、第三方評估機構等通過建立相互銜接的個人信息安全管理制度和信用體系建設，以保障各項監管措施的具體落實。保障層的制度監管主要表現為：一是建立面向監管主體的個人信息安全保密制度，強化自我監管；二是構建基于行業自律的行業監管制度；三是建立和完善面向網絡平臺、互聯網企業的信用等級評估機制；四是強化信用信息共享公開，以支持相應的社會監督。

3.業務層的技術監管

隨著網絡技術的不斷發展，傳統的監管手段并不能對網絡平臺、互聯網企業的個人信息管理行為實施有效的監管。因此，需要進一步引入大數據、數據挖掘等新興信息技術，研究構建更加科學的技術監管手段，降低監管成本、提高監管效率。因此，業務層的技術監管主要涉及平臺建設、信息共享等具體內容：一是構建綜合監管平臺，暢通監督信息的采集和流通渠道；二是建立和完善監管信息的共享機制，以支持必要的聯合懲戒措施的實施；三是依托大數據技術，強化監管數據分析，促進監管創新和監管的精準化；四是建立和完善協同監管機制，推動構建橫向聯動、覆蓋全面的多主體協同監管格局。

4.應用層的評估監管

對網絡平臺、互聯網企業管理個人信息的能力進行衡量與評價，以監測個人信息在采集、存儲、使用、更新、銷毀各環節面臨的風險，以及在企業人員管理、信息管理方面存在的漏洞，從而為個人信息保護提供相應的預警功能。應用層評估監管的主要內容包括：一是推進基于第三方的個人信息安全能力評估建設。2017年，國家互聯網信息辦公室發布了《個人信息和重要數據出境安全評估辦法(征求意見稿)》。為此，應進一步推進更加全面的個人信息安全評估方法，指導各監管主體的個人信息保護策略。二是推動個人信息安全監測工具和方法的應用，支持網民個人參與到個人信息監測工作中。三是通過面向被監管主體的個人信息安全能力評估和面向網民個人的個人信息安全監測，建立個人信息安全風險預警機制。四是建立和完善個人信息安全風險處置方案，針對網絡平臺和網民的個人信息安全風險，提供信息安全防護的具體指導。

三、網絡個人信息監管主體的責任分析

相關研究對政府職能部門、互聯網企業、網民個人參與個人信息監管的主體責任進行了分析[7]。在此基礎上，本文中重點對監管體系中引入的第三方、互聯網協會的監管權責進行分析。

(一)第三方的評估與監督責任

在監管主體中引入第三方，并將第三方設計成為一個獨立的非利益相關方，使其成為參與網絡個人信息保護的重要力量。從個人信息生命周期的角度，第三方對網絡平臺、互聯網企業的個人信息保護措施和能力進行評估，以評估為重要手段進而實施更加有效的監督。

1.落實相關法律法規的責任

目前，其他領域的第三方評估通常包括獨立第三方評估和委托第三方評估。第三方評估逐漸成為一種必要而有效的外部制衡機制。在個人信息安全保護領域，引入針對網絡平臺、互聯網企業的信息安全能力的第三方評估同樣會起到積極的作用。同時，為了保障第三方評估機構評估行為的合規性和科學性，在評估標準、評估流程、結果發布、法律責任等方面，完善并落實約束第三方評估機構的法律法規尤其必要。

2.評估個人信息保護能力的責任

首先，第三方機構需要建立動態的信息采集平臺、機制、流程和具體方法，并將傳統的終結性評估方式，拓展為動態的過程性評估方式。其次，建立動態更新的評價指標體系，以應對不斷變化的互聯網信息安全環境，并重點從技術、制度、信用等維度評估網絡平臺、互聯網企業的個人信息采集、存儲、使用、更新以及銷毀的安全措施及保護能力。

3.評價信息公開共享的責任

作為一種必要而有效的外部制衡機制，第三方機構需要通過對個人信息安全保護能力的評估，并針對獨立評估、委托評估等不同形式，建立面向社會公眾、政府委托機構或委托企業的差異化的評價信息使用機制。同時，第三方機構需要綜合采用評估結果公開、報送或反饋等多種方式，為社會公眾監督、政府職能部門監管和企業內部整改等提供科學依據，實現從能力評估到監督監管的延伸。

(二)互聯網行業協會的監管責任

互聯網行業協會通常是由與互聯網行業相關的企事業單位所組成的社會組織。目前，國內已經形成了從全國到省市不同層級的、較為完整的互聯網協會組織體系。互聯網協會主要在行業交流、行業研究和行業自律等方面發揮積極的作用。引入互聯網行業協會參與網絡平臺、互聯網企業在個人信息保護方面的行業自律和監管，對于互聯網個人信息的使用和保護無疑是十分重要和有效的。

1.建立和完善行業自律準則的責任

互聯網行業協會需要建立和完善互聯網個人信息使用和保護的行業自律準則，發揮行業協會組織聚焦重點企業示范引領的作用。同時，通過行業自律準則規范網絡平臺、互聯網企業等個人信息采集、存儲、使用、保護的行為，維護互聯網行業的共同利益。此外，通過強化對互聯網個人信息相關法律法規和相應自律準則的宣傳，對相關企事業單位的個人信息保護行為予以引導。

2.面向行業內部實施監督的責任

結合互聯網行業協會所形成的層次化組織結構特征，互聯網行業協會可以對不同區域、行業、類型的網絡平臺承擔相應的行業監管責任，分擔或部分替代政府職能部門難以實現的監管職責以及網民無法實現的監督職責。其中，尤其需要強化對關鍵平臺、關鍵企業的監督監管，以起到以點帶面的作用。結合第三方機構的評估，互聯網行業協會可以督促網絡平臺、互聯網企業進行相應的管理制度完善、安全技術升級等整改和提升。

3.促進市場準入和退出機制完善的責任

結合第三方評估、監管，互聯網行業協會能夠在促進政府職能部門完善相關平臺、企業的市場準入和退出機制方面發揮作用。同時，輔助政府職能部門建立健全網絡平臺、互聯網企業在個人信息采集、存儲、使用、保護等方面的激勵措施和懲戒措施，將激勵和懲戒納入市場準入和退出機制中，從而對承擔個人信息使用和保護的互聯網主體的行為進行規范。

四、網絡個人信息監管主體的策略分析

從利益相關方的角度看，個人信息涉及政府職能部門、網絡平臺、互聯網協會、第三方和網民個人等。其中，網絡平臺是主要的個人信息權利主體和監管對象。從監管的角度看，網民個人的作用主要體現在社會公眾的監督方面，主要的監管職責將由政府職能部門、第三方、互聯網協會等組織和機構來承擔。

(一)政府職能部門的監管策略

政府職能部門在個人信息保護中承擔著主要的監管職責。隨著新的監管主體的引入，政府職能部門的行政監管策略，需要進行新的調整和完善。

1.政府行政監管向法治監管方向轉移

當前網絡環境下，個人信息監管通常以政府職能部門的行政監管為主導[9]。面對有限實名網絡(如“后臺實名、前臺自愿”)等特殊網絡形態，行政監管面臨諸多困難[10]。因此，針對網絡個人信息保護的監管，政府行政監管向法治方向轉移是一個必要且有效的解決方案。

政府職能部門的監管職能向法治方向轉移，一是要不斷完善專門的個人信息保護立法，明確各權益方對于個人信息保護的責任和義務。目前，國家層面的個人信息專項立法保護即將實施，結合互聯網環境、互聯網技術的發展，不斷完善個人信息保護的立法和實施尤為重要。二是在完善個人信息保護立法的同時，加快推進個人信息保護的監管制度建設，明確各監管主體的監管責任，尤其是互聯網環境下第三方監管機構的法律地位；要進一步強化對監管對象的追責，同時也要實現對監管機構進行更為有效的約束。

2.監管職能從政府機構向社會力量轉移

近年來，政府職能部門越來越重視網絡個人信息保護和互聯網治理，但面向互聯網治理的法律法規仍分散于各個法律條文中[11]。同時，對于法律法規的落實，監管的執行效果并不十分理想。因此，引入社會力量參與互聯網治理是一條重要的解決途徑[12]。做好監管職能從政府機構向專業的社會力量轉移，還需要通過制定相應的法律法規，明確新的監管機構的市場準入、監管職責和法律地位。

首先，要明確第三方評估機構市場準入的門檻以及相應的退出機制，對第三方評估機構的評估能力、客觀公正性等要求給予清晰的界定，同時設計相應的動態調整機制，對不符合要求的第三方評估機構做到及時有效的降級和退出；其次，要實現監管職責的清單化，明確界定政府職能部門向外轉移的監管職能的內容和范圍，準確劃分政府職能部門、第三方評估機構、互聯網行業協會的監管責任，從而更好地形成協同監管的合力；第三，要明確第三方評估機構、互聯網行業協會在個人信息保護方面的法律地位，既要有效支持，也要有效監管。

3.監管權力結構調整

政府職能部門在互聯網監管過程中，傳統的權力結構劃分在時效性、覆蓋性和有效性等方面，已經越來越難以適應當前互聯網環境快速變化的需要。以運動式行政監管為主要形式的監管策略，無法及時發現和跟蹤問題，也很難適應由于新技術帶來的監管空白。因此，隨著政府監管職能的轉移，監管權力結構同樣需要進行相應的調整。

政府職能部門監管權力的轉移，其核心是進一步推進簡政放權，對政府職能部門的職權進行必要的瘦身。一方面要對政府職能部門的監管權力結構進行調整，依據相關職能部門的監管權力清單，重點對監管的交叉和盲區進行調整和重新設計，明確各監管主體的監管邊界；另一方面，要按照簡政放權的基本原則，政府職能部門更加聚焦制度完善和監督落實，從時效性、覆蓋性和有效性需求的角度，將政府職能部門的部分監管權力轉移至第三方評估機構和互聯網行業協會，從而進一步優化政府職能部門之間，政府職能部門和第三方評估機構、互聯網行業協會之間的監管權力結構設計。

4.網絡監管力量的整合

互聯網環境下的個人信息使用和保護涉及多個利益相關方，既要發揮個人信息的使用價值，又要充分保護個人信息涉及的隱私安全、公共安全。針對個人信息使用和保護的監管，單一的行政監管力量遠遠不能滿足互聯網快速發展的需要。因此，對網絡監管力量進行必要的整合是政府職能部門對互聯網進行有效監管的重要職責。

對網絡監管力量的整合，需要進一步整合監管信息渠道，理順監管業務流程等。首先，要建立綜合的個人信息網絡監管平臺，匯集多個渠道的監管信息，暢通網民監管信息的反饋，充分發揮社會公眾的監督力量，通過整合監管信息來支撐監管力量的整合；其次，要建立相應的協同監管機制，對政府、第三方、互聯網行業協會等方面的監管工作進行數據共享和業務協同，通過業務協同機制驅動信息資源的共享，驅動監管信息在不同主體間進行流動，從而支撐多個監管主體形成一個有機的整體。

(二)第三方評估機構的監管策略

隨著第三方評估在不同領域的廣泛應用，第三方評估機構在網絡個人信息保護中的作用和重要性逐漸凸顯。目前，針對個人信息保護能力評估的第三方機構并未形成較為完整的體系結構，其職責、運行和法律地位并不完備。因此，加快推進第三方參與個人信息保護的評估、監測和預警尤為重要。

1.構建動態的網絡平臺個人信息安全評估機制

網絡平臺是個人信息采集、存儲、傳遞、使用的關鍵環節，同樣也是個人信息風險的關鍵環節。由于缺乏相應的法律法規保障，對于網絡平臺個人信息風險引入第三方評估還相對滯后。

隨著第三方評估機構在網絡平臺信息安全評估中作用的不斷凸顯，需要設計更為有效的評估機制支撐第三方評估。一方面，要進一步強化面向網絡平臺個人信息安全的技術能力評估與制度完善程度的評估相結合，既要關注網絡平臺在安全技術的應用，同時也要關注其安全管理制度的建設和實施；另一方面，要進一步強化事前、事中、事后評估相結合，既要實施事前評估支撐對網絡平臺市場準入的決策，也要關注事中評估(例如動態巡檢)，對可能存在的個人信息安全隱患進行預警；同時，還要結合事后評估，對已經出現個人信息安全風險的網絡平臺、互聯網企業提出整改建議和指導。

2.強化大數據技術監管手段的應用

網絡個人信息的數據量不斷規模化且來源分散，個人信息采集從直接采集向大數據挖掘方向延伸，個人信息流動從網站間流動向各類社交平臺、APP平臺間流動的方式轉變，個人信息交易更加隱蔽、快速。因此，在網絡平臺個人信息安全監管中，強化對大數據技術的應用勢在必行。

大數據技術帶來了個人采集方式的變化以及更大的信息安全風險，同時也為個人信息安全的監管提供了新的技術支撐。首先，要做好網絡平臺、互聯網企業在個人信息采集、存儲、使用等環節的信息公開。要結合《企業信息公示暫行條例》，提高互聯網企業信息的透明度，在暢通網民以及社會組織獲取網絡平臺、互聯網企業相關信息尤其是信用信息的渠道，建立以互聯網企業信用信息為核心的大數據監管方式。其次，鑒于大數據資源的價值和技術門檻，一方面政府職能部門應建立統一的大數據監管平臺，暢通監管機構獲取大數據資源渠道；另一方面，要強化監管機構尤其是第三方評估機構對大數據分析技術的應用，提高第三方評估機構參與監管的時效性、全面性和有效性。

3.推進問題導向的動態評估策略

面向互聯網平臺個人信息安全風險的評估，不是一次性的終結式評估，而是一個動態的周期性過程。因此，面對規模龐大的互聯網平臺機構、快速變化的信息流動場景，第三方評估機構需要引入大數據資源和技術，進一步提高自身評估能力和評估效率，并建立以問題為導向的動態評估策略。

以問題為導向的動態評估策略，需要充分體現差異性、動態性。首先，要針對不同的評估對象，建立差異化的評估機制。對不同信息規模、不同信用等級的評估對象，采用差異化的評估策略，以減少來源于不同機構的重復評估或過度評估。其次，要設計動態的評估時點和周期，對于重點監管對象和非重點監管對象實施差異化的評估頻率。對重點監管對象，實施頻率更高的動態評估。第三，要為動態評估策略設計差異化的觸發條件，以“委托”作為實施評估的常規觸發條件，以大數據監管的問題發現、社會監管舉報等作為實時觸發條件，進一步強化具有動態性特征的過程評估。

(三)互聯網行業協會的監管策略

目前，以屬地管理為主要形式的分層互聯網行業協會體系已初步建立。互聯網行業協會通過行業交流、行業研究、行業自律等方式促進互聯網健康發展。依托互聯網行業協會的建設，推進面向個人信息保護的行業監管將會起到十分積極的作用。

1.加強互聯網誠信體系建設

作為個人信息采集、存儲、使用的關鍵環節，引導互聯網企業加強對網民個人信息的保護和合法使用尤為重要。因此，從個人信息使用和保護的角度看，加快網絡平臺、互聯網企業的信用認證將會對個人信息使用、保護和監管起到重要的促進作用[13]。

面向互聯網企業的誠信體系建設需要在法律保障、誠信教育、有效監督等方面多措并舉。首先，應結合政府部門的誠信立法，依托互聯網行業協會，進一步加強網絡平臺的信用認證，以信用規則來更好地規范互聯網企業的個人信息采集、存儲、使用的行為。其次，加大網絡誠信教育，以法律、制度為保障，線上線下全面推進互聯網誠信教育。第三，引導形成全社會共同參與的互聯網誠信監督機制，通過建立相應的獎懲激勵機制，提升社會公眾參與互聯網誠信監督的積極性，著力營造良好的互聯網協同治理環境。

2.加強互聯網企業的信息安全培訓

網絡平臺、互聯網企業是網民個人信息采集、存儲、使用等的關鍵環節，既是重要的保護者，又是潛在的信息安全風險點。加強對網絡平臺、互聯網企業的信息安全監管的同時，還需要進行更加有效的個人信息安全培訓。

針對互聯網企業工作人員尤其是信息化人員的培訓應主要從以下三方面展開：一是個人信息安全的法律宣傳，要讓互聯網企業從業人員更加清晰地認識到互聯網個人信息保護并非法外之地，明確自身在個人信息保護方面的權利邊界和法律責任；二是強化對企業信息化安全制度的指導，將個人信息保護納入企業信息安全制度建設的整體要求中；三是強化互聯網企業對信息安全技術的使用效率，指導企業做好信息安全規劃，綜合使用加密、訪問權限劃分、大數據等相關信息技術，降低企業在個人信息安全方面的重復建設和投入。

3.加強對核心互聯網企業的監管

當前，對各個網絡平臺、互聯網企業實施全面的個人信息安全監管，面臨著高成本、低效率的實際困難。因此，互聯網行業協會對互聯網企業的監管，不能采用一刀切的監管方式。互聯網行業協會的監管行為，應聚焦行業內核心互聯網企業的監管，實現以點帶面的監管效果，降低監管成本，提高監管效率。

加強核心互聯網企業的監管，創新監管策略。一是采用差異化的監管策略，結合個人信息規模、信用等級、第三方評估結果等，篩選制定差異化的監管策略；二是考慮到大型互聯網企業管理的網民個人信息規模更大，個人信息泄露、濫用帶來的社會危害更大，因此需要遴選行業內核心互聯網企業，強化對核心互聯網企業的監管，做到以點帶面；三是強化互聯網企業尤其是大型互聯網企業在個人信息采集、存儲、使用等方面的信息公開，引導廣大網民提高監督積極性，提高互聯網行業協會監管的覆蓋面和及時性。

五、結語

監管主體如何有效履行自身的監管責任是當前網絡個人信息保護的重要問題。明確的責任劃分是前提，有效的監管策略是支撐。本文重點圍繞如何落實監管責任，從監管體系構建、關鍵監管主體的監管策略等方面展開了研究。監管體系構建方面，在分析互聯網環境下個人信息的多維特征和權屬關系的基礎上，研究了監管主體重構，提出引入第三方評估機構、互聯網行業協會承擔監管職責的思路和實施路徑，并對新的監管機構的職責進行了分析。在此基礎上，從基礎、保障、業務、應用等四個層次構建了多主體的監管體系。監管主體的監管策略方面，重點研究了政府職能部門、第三方評估機構、互聯網行業協會的監管策略。這對于劃分監管權力、落實監管責任將可以起到積極的作用。