李亞平，周偉良

(1.中共安徽省委黨校(安徽行政學(xué)院) 博士后工作站， 安徽 合肥 230022；2.合肥工業(yè)大學(xué) 管理學(xué)院， 安徽 合肥 230009)

一、引言

隨著互聯(lián)網(wǎng)應(yīng)用的不斷深入，社交網(wǎng)絡(luò)、電子商務(wù)、電子政務(wù)等網(wǎng)絡(luò)應(yīng)用平臺迅速發(fā)展，個人社會生活網(wǎng)絡(luò)化程度不斷提高。在此背景下，互聯(lián)網(wǎng)治理已經(jīng)成為社會治理的一個重要組成部分。2002年，李希光教授提出“中國人大應(yīng)該禁止任何人網(wǎng)上匿名”之后，網(wǎng)絡(luò)實名制受到了廣泛的關(guān)注和研究[1-2]。2012年，全國人大常委會通過《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》，在制度層面明確了國內(nèi)網(wǎng)絡(luò)治理的實名制要求[3]。2015年，國家網(wǎng)信辦發(fā)布《互聯(lián)網(wǎng)用戶賬號名稱管理規(guī)定》，明確提出互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)按照“后臺實名、前臺自愿”的原則，要求互聯(lián)網(wǎng)信息服務(wù)使用者通過真實身份信息認(rèn)證后注冊賬號[4]。這使得網(wǎng)絡(luò)實名制在國內(nèi)開始進(jìn)入全面普及階段。

隨著網(wǎng)絡(luò)實名制的不斷推進(jìn)，網(wǎng)絡(luò)個人信息安全受到了越來越多的關(guān)注。網(wǎng)絡(luò)個人信息的有效使用和保護(hù)，需要政府職能部門、互聯(lián)網(wǎng)企業(yè)以及網(wǎng)民個人等相關(guān)權(quán)利主體協(xié)同配合，有效履行各自承擔(dān)的責(zé)任。然而，如何將政府職能部門、互聯(lián)網(wǎng)企業(yè)以及網(wǎng)民個人的監(jiān)督責(zé)任、監(jiān)督措施落實到位，還面臨諸多障礙。首先，政府職能部門在個人信息保護(hù)方面的權(quán)力結(jié)構(gòu)劃分不夠清晰[5]。誰來監(jiān)管、監(jiān)管誰、怎么監(jiān)管這樣的核心問題還未得到充分的解決，各相關(guān)職能部門權(quán)力結(jié)構(gòu)劃分仍然存在交叉、重疊和盲區(qū)。其次，互聯(lián)網(wǎng)企業(yè)進(jìn)行個人信息保護(hù)的動力不足、措施不力、責(zé)任感不強的現(xiàn)象仍然屢見不鮮?；ヂ?lián)網(wǎng)企業(yè)鑒于自身利益和成本控制的需要，對于網(wǎng)絡(luò)采集得到的網(wǎng)民個人信息，存在過度采集、濫用以及有償轉(zhuǎn)讓的情形[6]，同時由于缺乏有力的法律約束和有效的外部監(jiān)督，互聯(lián)網(wǎng)企業(yè)的個人信息保護(hù)行為更多地停留在自主保護(hù)的階段。此外，網(wǎng)民個人缺乏對自身信息的控制，且監(jiān)督渠道不暢。網(wǎng)民個人作為個人信息的直接權(quán)益方，對自身的信息并不能起到應(yīng)有的監(jiān)督和管控。其原因在于：一方面，侵害網(wǎng)絡(luò)個人信息的行為具有隱蔽性；另一方面，個人信息被不法侵害時在舉報、投訴后的追責(zé)面臨諸多困難。因此，進(jìn)一步建立和完善網(wǎng)絡(luò)個人信息監(jiān)管體系，實施有效的多主體協(xié)同監(jiān)管策略具有現(xiàn)實意義。

二、網(wǎng)絡(luò)個人信息動態(tài)監(jiān)管體系構(gòu)建

傳統(tǒng)的監(jiān)管方式主要表現(xiàn)為政府職能部門的行政監(jiān)管。隨著信息技術(shù)的不斷發(fā)展和互聯(lián)網(wǎng)應(yīng)用的不斷延伸，傳統(tǒng)的行政監(jiān)管方式，既難以適應(yīng)互聯(lián)網(wǎng)信息的爆炸式增長，也面臨著新技術(shù)應(yīng)用所產(chǎn)生的監(jiān)管盲區(qū)。針對互聯(lián)網(wǎng)個人信息的使用和保護(hù)，單一的行政監(jiān)管方式，在時效性、覆蓋面和有效性等方面面臨諸多困難。因此，需要引入新的監(jiān)管主體，構(gòu)建新的監(jiān)管體系。

(一)網(wǎng)絡(luò)個人信息分析

1．個人信息的內(nèi)涵

2013年2月1日，《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》(以下簡稱《指南》) 正式實施?！吨改稀穼€人信息的內(nèi)涵進(jìn)行了明確的界定：可為信息系統(tǒng)所處理、與特定自然人相關(guān)、能夠單獨或通過與其他信息結(jié)合識別該特定自然人的計算機數(shù)據(jù)。同時，《指南》為了加強個人信息保護(hù)，將個人信息劃分為“個人敏感信息”和“個人一般信息”兩類。《指南》對個人信息的界定和劃分，兼顧個人信息使用和保護(hù)的需求。然而，《指南》中個人信息的劃分仍然是粗粒度的，在實際操作中還需要進(jìn)行必要的細(xì)化和動態(tài)調(diào)整。

從國外對個人信息的界定來看，歐盟、美國等更加強調(diào)個人信息對于自然人的可識別屬性[7]。日本則引入了一個“生活日志”的概念，將個人信息從可識別屬性信息進(jìn)一步延伸到個人在網(wǎng)絡(luò)空間中的生活記錄或行為軌跡。因此，對于個人信息的界定，主要依據(jù)可識別性，既包括直接可識別性的靜態(tài)屬性信息，也包括間接可識別性的動態(tài)行為信息。

2.網(wǎng)絡(luò)個人信息的多維特征

從內(nèi)容角度看，網(wǎng)絡(luò)個人信息包括姓名、聯(lián)系方式、住址、身份證等靜態(tài)屬性信息，以及網(wǎng)絡(luò)社交、網(wǎng)絡(luò)購物等動態(tài)行為信息。從形式角度看，網(wǎng)絡(luò)個人信息主要以“個人數(shù)據(jù)”的形式存在，包括文本、圖片、音頻、視頻，以及數(shù)據(jù)庫中的一些結(jié)構(gòu)化信息等。從主體角度看，網(wǎng)絡(luò)個人信息的采集、傳遞、存儲、分析、使用、銷毀整個生命周期涉及個人、政府、互聯(lián)網(wǎng)平臺、第三方等多個權(quán)利主體，大數(shù)據(jù)挖掘等新興技術(shù)的廣泛應(yīng)用又加劇了權(quán)利主體在網(wǎng)絡(luò)個人信息處理中的模糊性和隱蔽性，進(jìn)一步導(dǎo)致個人信息的內(nèi)容邊界以及權(quán)利主體邊界等更加復(fù)雜。

因此，互聯(lián)網(wǎng)的開放性、虛擬性和快速變化等特征，帶來了網(wǎng)絡(luò)個人信息內(nèi)涵和邊界的不確定性。內(nèi)容范圍存在模糊性，存儲形式呈現(xiàn)多樣性，權(quán)利主體具有復(fù)雜性，這也使得網(wǎng)絡(luò)個人信息的保護(hù)和使用面臨更多的障礙。

3．網(wǎng)絡(luò)個人信息的權(quán)利歸屬

個人信息的法律權(quán)利，主要涉及隱私權(quán)、財產(chǎn)權(quán)和人格權(quán)等方面。從隱私權(quán)的角度看，個人信息主要包含信息主體或當(dāng)事人不愿公開的內(nèi)容，無法定價，也不能轉(zhuǎn)讓、贈與和買賣，應(yīng)當(dāng)將其作為一種隱私權(quán)看待。從財產(chǎn)權(quán)的角度看，個人信息逐漸成為企業(yè)經(jīng)營的一項重要資產(chǎn)，在事實上也助長了個人信息交易、濫用的違法行為。因此，個人信息也開始具有財產(chǎn)權(quán)的基本特征。

從財產(chǎn)權(quán)的角度看，網(wǎng)絡(luò)個人信息的權(quán)利歸屬也是模糊的。例如，通過數(shù)據(jù)挖掘技術(shù)獲得的個人相關(guān)信息或統(tǒng)計類信息，其權(quán)力屬于相關(guān)自然人還是互聯(lián)網(wǎng)企業(yè)，仍然存在較大的不確定性。另外，從隱私權(quán)、人格權(quán)的角度看，個人信息權(quán)屬體現(xiàn)了權(quán)利主體對個人信息所享有的控制權(quán)。作為關(guān)鍵的權(quán)利人，網(wǎng)民個人在事實上并不能實現(xiàn)有效的控制；與此同時，現(xiàn)行法律法規(guī)對于權(quán)利主體的范圍，以及各主體的權(quán)利范圍還缺乏明確的界定，這進(jìn)一步凸顯了網(wǎng)絡(luò)個人信息權(quán)屬的復(fù)雜性。

(二) 監(jiān)管主體重構(gòu)

從權(quán)益相關(guān)的角度看，互聯(lián)網(wǎng)個人信息資源權(quán)益相關(guān)方主要涉及政府、互聯(lián)網(wǎng)企業(yè)和網(wǎng)民個人等多個主體。從生命周期的角度看，網(wǎng)絡(luò)個人信息的生命周期主要包含采集、存儲、使用、更新直至銷毀等多個環(huán)節(jié)[8]。因此，各權(quán)益相關(guān)方在個人信息生命周期的不同階段，實施監(jiān)管的有效程度存在較大差別。從政府職能部門的角度看，由于互聯(lián)網(wǎng)企業(yè)數(shù)量眾多、規(guī)模差異大以及個人信息在存儲、使用、銷毀等環(huán)節(jié)的各項操作具有隱蔽性，政府職能部門行政監(jiān)管的不足難以避免。因此，引入新的監(jiān)管主體來填補多個監(jiān)管環(huán)節(jié)上存在的盲區(qū)，將是十分必要和有效的。在此，通過引入第三方和互聯(lián)網(wǎng)協(xié)會等組織作為新的監(jiān)管主體，構(gòu)建新的監(jiān)管主體結(jié)構(gòu)。相應(yīng)的個人信息監(jiān)管主體結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)個人信息的監(jiān)管主體結(jié)構(gòu)

在網(wǎng)絡(luò)個人信息監(jiān)管過程中，政府職能部門的行政監(jiān)管、企業(yè)的自我監(jiān)管和網(wǎng)民個人參與的社會監(jiān)督是主要組成部分。各主體的監(jiān)管責(zé)任所呈現(xiàn)出的交叉、沖突和盲區(qū)等問題受到了越來越多的關(guān)注[7]。與此同時，對于第三方和互聯(lián)網(wǎng)協(xié)會等組織的監(jiān)管責(zé)任仍有待進(jìn)一步加強。

(二)監(jiān)管體系架構(gòu)設(shè)計

對于互聯(lián)網(wǎng)個人信息的動態(tài)監(jiān)管，涉及不同的利益主體和個人信息生命周期的不同環(huán)節(jié)。從監(jiān)管主體和監(jiān)管環(huán)節(jié)的角度看，政府職能部門的行政監(jiān)管，側(cè)重于基礎(chǔ)層面的法律法規(guī)建設(shè)和保障層面的誠信體系建設(shè)，互聯(lián)網(wǎng)協(xié)會側(cè)重于保障層的行業(yè)監(jiān)管制度，網(wǎng)絡(luò)平臺側(cè)重于業(yè)務(wù)層面的企業(yè)內(nèi)部監(jiān)管機制，第三方則側(cè)重于應(yīng)用層的信息安全能力評估、監(jiān)測、預(yù)警等，而網(wǎng)民個人則主要通過監(jiān)管平臺的信息公開和信用體系建設(shè)等渠道，實現(xiàn)監(jiān)督功能。因此，面向個人信息使用和保護(hù)的動態(tài)監(jiān)管，體現(xiàn)出一定的層次性特征。在此，將互聯(lián)網(wǎng)個人信息的動態(tài)監(jiān)管體系主要設(shè)計為4個層次，構(gòu)建如圖2所示的個人信息保護(hù)監(jiān)管體系架構(gòu)。

圖2 個人信息保護(hù)的監(jiān)管體系架構(gòu)

1.基礎(chǔ)層的立法監(jiān)管

基礎(chǔ)層的立法監(jiān)管，主要通過建立健全法律法規(guī)，為網(wǎng)絡(luò)個人信息保護(hù)夯實法律基礎(chǔ)，明確各監(jiān)管主體的監(jiān)管對象、監(jiān)管范圍、監(jiān)管權(quán)利和監(jiān)管責(zé)任，明確各監(jiān)管主體的監(jiān)管行為具有相應(yīng)的法律依據(jù)。立法監(jiān)管的內(nèi)容主要包含4個方面：一是個人信息保護(hù)的綜合性立法；二是建立不同監(jiān)管主體的市場準(zhǔn)入機制，界定監(jiān)管主體的法律地位；三是明確監(jiān)管主體的主體責(zé)任，主要涉及監(jiān)管范圍、權(quán)利和責(zé)任；四是明確監(jiān)管主體的責(zé)任追究機制，進(jìn)一步規(guī)范監(jiān)管主體的監(jiān)管行為。

2.保障層的制度監(jiān)管

制度監(jiān)管是指政府職能部門、互聯(lián)網(wǎng)企業(yè)、互聯(lián)網(wǎng)協(xié)會、第三方評估機構(gòu)等通過建立相互銜接的個人信息安全管理制度和信用體系建設(shè)，以保障各項監(jiān)管措施的具體落實。保障層的制度監(jiān)管主要表現(xiàn)為：一是建立面向監(jiān)管主體的個人信息安全保密制度，強化自我監(jiān)管；二是構(gòu)建基于行業(yè)自律的行業(yè)監(jiān)管制度；三是建立和完善面向網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)的信用等級評估機制；四是強化信用信息共享公開，以支持相應(yīng)的社會監(jiān)督。

3.業(yè)務(wù)層的技術(shù)監(jiān)管

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，傳統(tǒng)的監(jiān)管手段并不能對網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)的個人信息管理行為實施有效的監(jiān)管。因此，需要進(jìn)一步引入大數(shù)據(jù)、數(shù)據(jù)挖掘等新興信息技術(shù)，研究構(gòu)建更加科學(xué)的技術(shù)監(jiān)管手段，降低監(jiān)管成本、提高監(jiān)管效率。因此，業(yè)務(wù)層的技術(shù)監(jiān)管主要涉及平臺建設(shè)、信息共享等具體內(nèi)容：一是構(gòu)建綜合監(jiān)管平臺，暢通監(jiān)督信息的采集和流通渠道；二是建立和完善監(jiān)管信息的共享機制，以支持必要的聯(lián)合懲戒措施的實施；三是依托大數(shù)據(jù)技術(shù)，強化監(jiān)管數(shù)據(jù)分析，促進(jìn)監(jiān)管創(chuàng)新和監(jiān)管的精準(zhǔn)化；四是建立和完善協(xié)同監(jiān)管機制，推動構(gòu)建橫向聯(lián)動、覆蓋全面的多主體協(xié)同監(jiān)管格局。

4.應(yīng)用層的評估監(jiān)管

對網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)管理個人信息的能力進(jìn)行衡量與評價，以監(jiān)測個人信息在采集、存儲、使用、更新、銷毀各環(huán)節(jié)面臨的風(fēng)險，以及在企業(yè)人員管理、信息管理方面存在的漏洞，從而為個人信息保護(hù)提供相應(yīng)的預(yù)警功能。應(yīng)用層評估監(jiān)管的主要內(nèi)容包括：一是推進(jìn)基于第三方的個人信息安全能力評估建設(shè)。2017年，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》。為此，應(yīng)進(jìn)一步推進(jìn)更加全面的個人信息安全評估方法，指導(dǎo)各監(jiān)管主體的個人信息保護(hù)策略。二是推動個人信息安全監(jiān)測工具和方法的應(yīng)用，支持網(wǎng)民個人參與到個人信息監(jiān)測工作中。三是通過面向被監(jiān)管主體的個人信息安全能力評估和面向網(wǎng)民個人的個人信息安全監(jiān)測，建立個人信息安全風(fēng)險預(yù)警機制。四是建立和完善個人信息安全風(fēng)險處置方案，針對網(wǎng)絡(luò)平臺和網(wǎng)民的個人信息安全風(fēng)險，提供信息安全防護(hù)的具體指導(dǎo)。

三、網(wǎng)絡(luò)個人信息監(jiān)管主體的責(zé)任分析

相關(guān)研究對政府職能部門、互聯(lián)網(wǎng)企業(yè)、網(wǎng)民個人參與個人信息監(jiān)管的主體責(zé)任進(jìn)行了分析[7]。在此基礎(chǔ)上，本文中重點對監(jiān)管體系中引入的第三方、互聯(lián)網(wǎng)協(xié)會的監(jiān)管權(quán)責(zé)進(jìn)行分析。

(一)第三方的評估與監(jiān)督責(zé)任

在監(jiān)管主體中引入第三方，并將第三方設(shè)計成為一個獨立的非利益相關(guān)方，使其成為參與網(wǎng)絡(luò)個人信息保護(hù)的重要力量。從個人信息生命周期的角度，第三方對網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)的個人信息保護(hù)措施和能力進(jìn)行評估，以評估為重要手段進(jìn)而實施更加有效的監(jiān)督。

1.落實相關(guān)法律法規(guī)的責(zé)任

目前，其他領(lǐng)域的第三方評估通常包括獨立第三方評估和委托第三方評估。第三方評估逐漸成為一種必要而有效的外部制衡機制。在個人信息安全保護(hù)領(lǐng)域，引入針對網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)的信息安全能力的第三方評估同樣會起到積極的作用。同時，為了保障第三方評估機構(gòu)評估行為的合規(guī)性和科學(xué)性，在評估標(biāo)準(zhǔn)、評估流程、結(jié)果發(fā)布、法律責(zé)任等方面，完善并落實約束第三方評估機構(gòu)的法律法規(guī)尤其必要。

2.評估個人信息保護(hù)能力的責(zé)任

首先，第三方機構(gòu)需要建立動態(tài)的信息采集平臺、機制、流程和具體方法，并將傳統(tǒng)的終結(jié)性評估方式，拓展為動態(tài)的過程性評估方式。其次，建立動態(tài)更新的評價指標(biāo)體系，以應(yīng)對不斷變化的互聯(lián)網(wǎng)信息安全環(huán)境，并重點從技術(shù)、制度、信用等維度評估網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)的個人信息采集、存儲、使用、更新以及銷毀的安全措施及保護(hù)能力。

3.評價信息公開共享的責(zé)任

作為一種必要而有效的外部制衡機制，第三方機構(gòu)需要通過對個人信息安全保護(hù)能力的評估，并針對獨立評估、委托評估等不同形式，建立面向社會公眾、政府委托機構(gòu)或委托企業(yè)的差異化的評價信息使用機制。同時，第三方機構(gòu)需要綜合采用評估結(jié)果公開、報送或反饋等多種方式，為社會公眾監(jiān)督、政府職能部門監(jiān)管和企業(yè)內(nèi)部整改等提供科學(xué)依據(jù)，實現(xiàn)從能力評估到監(jiān)督監(jiān)管的延伸。

(二)互聯(lián)網(wǎng)行業(yè)協(xié)會的監(jiān)管責(zé)任

互聯(lián)網(wǎng)行業(yè)協(xié)會通常是由與互聯(lián)網(wǎng)行業(yè)相關(guān)的企事業(yè)單位所組成的社會組織。目前，國內(nèi)已經(jīng)形成了從全國到省市不同層級的、較為完整的互聯(lián)網(wǎng)協(xié)會組織體系?；ヂ?lián)網(wǎng)協(xié)會主要在行業(yè)交流、行業(yè)研究和行業(yè)自律等方面發(fā)揮積極的作用。引入互聯(lián)網(wǎng)行業(yè)協(xié)會參與網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)在個人信息保護(hù)方面的行業(yè)自律和監(jiān)管，對于互聯(lián)網(wǎng)個人信息的使用和保護(hù)無疑是十分重要和有效的。

1.建立和完善行業(yè)自律準(zhǔn)則的責(zé)任

互聯(lián)網(wǎng)行業(yè)協(xié)會需要建立和完善互聯(lián)網(wǎng)個人信息使用和保護(hù)的行業(yè)自律準(zhǔn)則，發(fā)揮行業(yè)協(xié)會組織聚焦重點企業(yè)示范引領(lǐng)的作用。同時，通過行業(yè)自律準(zhǔn)則規(guī)范網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)等個人信息采集、存儲、使用、保護(hù)的行為，維護(hù)互聯(lián)網(wǎng)行業(yè)的共同利益。此外，通過強化對互聯(lián)網(wǎng)個人信息相關(guān)法律法規(guī)和相應(yīng)自律準(zhǔn)則的宣傳，對相關(guān)企事業(yè)單位的個人信息保護(hù)行為予以引導(dǎo)。

2.面向行業(yè)內(nèi)部實施監(jiān)督的責(zé)任

結(jié)合互聯(lián)網(wǎng)行業(yè)協(xié)會所形成的層次化組織結(jié)構(gòu)特征，互聯(lián)網(wǎng)行業(yè)協(xié)會可以對不同區(qū)域、行業(yè)、類型的網(wǎng)絡(luò)平臺承擔(dān)相應(yīng)的行業(yè)監(jiān)管責(zé)任，分擔(dān)或部分替代政府職能部門難以實現(xiàn)的監(jiān)管職責(zé)以及網(wǎng)民無法實現(xiàn)的監(jiān)督職責(zé)。其中，尤其需要強化對關(guān)鍵平臺、關(guān)鍵企業(yè)的監(jiān)督監(jiān)管，以起到以點帶面的作用。結(jié)合第三方機構(gòu)的評估，互聯(lián)網(wǎng)行業(yè)協(xié)會可以督促網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)進(jìn)行相應(yīng)的管理制度完善、安全技術(shù)升級等整改和提升。

3.促進(jìn)市場準(zhǔn)入和退出機制完善的責(zé)任

結(jié)合第三方評估、監(jiān)管，互聯(lián)網(wǎng)行業(yè)協(xié)會能夠在促進(jìn)政府職能部門完善相關(guān)平臺、企業(yè)的市場準(zhǔn)入和退出機制方面發(fā)揮作用。同時，輔助政府職能部門建立健全網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)在個人信息采集、存儲、使用、保護(hù)等方面的激勵措施和懲戒措施，將激勵和懲戒納入市場準(zhǔn)入和退出機制中，從而對承擔(dān)個人信息使用和保護(hù)的互聯(lián)網(wǎng)主體的行為進(jìn)行規(guī)范。

四、網(wǎng)絡(luò)個人信息監(jiān)管主體的策略分析

從利益相關(guān)方的角度看，個人信息涉及政府職能部門、網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)協(xié)會、第三方和網(wǎng)民個人等。其中，網(wǎng)絡(luò)平臺是主要的個人信息權(quán)利主體和監(jiān)管對象。從監(jiān)管的角度看，網(wǎng)民個人的作用主要體現(xiàn)在社會公眾的監(jiān)督方面，主要的監(jiān)管職責(zé)將由政府職能部門、第三方、互聯(lián)網(wǎng)協(xié)會等組織和機構(gòu)來承擔(dān)。

(一)政府職能部門的監(jiān)管策略

政府職能部門在個人信息保護(hù)中承擔(dān)著主要的監(jiān)管職責(zé)。隨著新的監(jiān)管主體的引入，政府職能部門的行政監(jiān)管策略，需要進(jìn)行新的調(diào)整和完善。

1.政府行政監(jiān)管向法治監(jiān)管方向轉(zhuǎn)移

當(dāng)前網(wǎng)絡(luò)環(huán)境下，個人信息監(jiān)管通常以政府職能部門的行政監(jiān)管為主導(dǎo)[9]。面對有限實名網(wǎng)絡(luò)(如“后臺實名、前臺自愿”)等特殊網(wǎng)絡(luò)形態(tài)，行政監(jiān)管面臨諸多困難[10]。因此，針對網(wǎng)絡(luò)個人信息保護(hù)的監(jiān)管，政府行政監(jiān)管向法治方向轉(zhuǎn)移是一個必要且有效的解決方案。

政府職能部門的監(jiān)管職能向法治方向轉(zhuǎn)移，一是要不斷完善專門的個人信息保護(hù)立法，明確各權(quán)益方對于個人信息保護(hù)的責(zé)任和義務(wù)。目前，國家層面的個人信息專項立法保護(hù)即將實施，結(jié)合互聯(lián)網(wǎng)環(huán)境、互聯(lián)網(wǎng)技術(shù)的發(fā)展，不斷完善個人信息保護(hù)的立法和實施尤為重要。二是在完善個人信息保護(hù)立法的同時，加快推進(jìn)個人信息保護(hù)的監(jiān)管制度建設(shè)，明確各監(jiān)管主體的監(jiān)管責(zé)任，尤其是互聯(lián)網(wǎng)環(huán)境下第三方監(jiān)管機構(gòu)的法律地位；要進(jìn)一步強化對監(jiān)管對象的追責(zé)，同時也要實現(xiàn)對監(jiān)管機構(gòu)進(jìn)行更為有效的約束。

2.監(jiān)管職能從政府機構(gòu)向社會力量轉(zhuǎn)移

近年來，政府職能部門越來越重視網(wǎng)絡(luò)個人信息保護(hù)和互聯(lián)網(wǎng)治理，但面向互聯(lián)網(wǎng)治理的法律法規(guī)仍分散于各個法律條文中[11]。同時，對于法律法規(guī)的落實，監(jiān)管的執(zhí)行效果并不十分理想。因此，引入社會力量參與互聯(lián)網(wǎng)治理是一條重要的解決途徑[12]。做好監(jiān)管職能從政府機構(gòu)向?qū)I(yè)的社會力量轉(zhuǎn)移，還需要通過制定相應(yīng)的法律法規(guī)，明確新的監(jiān)管機構(gòu)的市場準(zhǔn)入、監(jiān)管職責(zé)和法律地位。

首先，要明確第三方評估機構(gòu)市場準(zhǔn)入的門檻以及相應(yīng)的退出機制，對第三方評估機構(gòu)的評估能力、客觀公正性等要求給予清晰的界定，同時設(shè)計相應(yīng)的動態(tài)調(diào)整機制，對不符合要求的第三方評估機構(gòu)做到及時有效的降級和退出；其次，要實現(xiàn)監(jiān)管職責(zé)的清單化，明確界定政府職能部門向外轉(zhuǎn)移的監(jiān)管職能的內(nèi)容和范圍，準(zhǔn)確劃分政府職能部門、第三方評估機構(gòu)、互聯(lián)網(wǎng)行業(yè)協(xié)會的監(jiān)管責(zé)任，從而更好地形成協(xié)同監(jiān)管的合力；第三，要明確第三方評估機構(gòu)、互聯(lián)網(wǎng)行業(yè)協(xié)會在個人信息保護(hù)方面的法律地位，既要有效支持，也要有效監(jiān)管。

3.監(jiān)管權(quán)力結(jié)構(gòu)調(diào)整

政府職能部門在互聯(lián)網(wǎng)監(jiān)管過程中，傳統(tǒng)的權(quán)力結(jié)構(gòu)劃分在時效性、覆蓋性和有效性等方面，已經(jīng)越來越難以適應(yīng)當(dāng)前互聯(lián)網(wǎng)環(huán)境快速變化的需要。以運動式行政監(jiān)管為主要形式的監(jiān)管策略，無法及時發(fā)現(xiàn)和跟蹤問題，也很難適應(yīng)由于新技術(shù)帶來的監(jiān)管空白。因此，隨著政府監(jiān)管職能的轉(zhuǎn)移，監(jiān)管權(quán)力結(jié)構(gòu)同樣需要進(jìn)行相應(yīng)的調(diào)整。

政府職能部門監(jiān)管權(quán)力的轉(zhuǎn)移，其核心是進(jìn)一步推進(jìn)簡政放權(quán)，對政府職能部門的職權(quán)進(jìn)行必要的瘦身。一方面要對政府職能部門的監(jiān)管權(quán)力結(jié)構(gòu)進(jìn)行調(diào)整，依據(jù)相關(guān)職能部門的監(jiān)管權(quán)力清單，重點對監(jiān)管的交叉和盲區(qū)進(jìn)行調(diào)整和重新設(shè)計，明確各監(jiān)管主體的監(jiān)管邊界；另一方面，要按照簡政放權(quán)的基本原則，政府職能部門更加聚焦制度完善和監(jiān)督落實，從時效性、覆蓋性和有效性需求的角度，將政府職能部門的部分監(jiān)管權(quán)力轉(zhuǎn)移至第三方評估機構(gòu)和互聯(lián)網(wǎng)行業(yè)協(xié)會，從而進(jìn)一步優(yōu)化政府職能部門之間，政府職能部門和第三方評估機構(gòu)、互聯(lián)網(wǎng)行業(yè)協(xié)會之間的監(jiān)管權(quán)力結(jié)構(gòu)設(shè)計。

4.網(wǎng)絡(luò)監(jiān)管力量的整合

互聯(lián)網(wǎng)環(huán)境下的個人信息使用和保護(hù)涉及多個利益相關(guān)方，既要發(fā)揮個人信息的使用價值，又要充分保護(hù)個人信息涉及的隱私安全、公共安全。針對個人信息使用和保護(hù)的監(jiān)管，單一的行政監(jiān)管力量遠(yuǎn)遠(yuǎn)不能滿足互聯(lián)網(wǎng)快速發(fā)展的需要。因此，對網(wǎng)絡(luò)監(jiān)管力量進(jìn)行必要的整合是政府職能部門對互聯(lián)網(wǎng)進(jìn)行有效監(jiān)管的重要職責(zé)。

對網(wǎng)絡(luò)監(jiān)管力量的整合，需要進(jìn)一步整合監(jiān)管信息渠道，理順監(jiān)管業(yè)務(wù)流程等。首先，要建立綜合的個人信息網(wǎng)絡(luò)監(jiān)管平臺，匯集多個渠道的監(jiān)管信息，暢通網(wǎng)民監(jiān)管信息的反饋，充分發(fā)揮社會公眾的監(jiān)督力量，通過整合監(jiān)管信息來支撐監(jiān)管力量的整合；其次，要建立相應(yīng)的協(xié)同監(jiān)管機制，對政府、第三方、互聯(lián)網(wǎng)行業(yè)協(xié)會等方面的監(jiān)管工作進(jìn)行數(shù)據(jù)共享和業(yè)務(wù)協(xié)同，通過業(yè)務(wù)協(xié)同機制驅(qū)動信息資源的共享，驅(qū)動監(jiān)管信息在不同主體間進(jìn)行流動，從而支撐多個監(jiān)管主體形成一個有機的整體。

(二)第三方評估機構(gòu)的監(jiān)管策略

隨著第三方評估在不同領(lǐng)域的廣泛應(yīng)用，第三方評估機構(gòu)在網(wǎng)絡(luò)個人信息保護(hù)中的作用和重要性逐漸凸顯。目前，針對個人信息保護(hù)能力評估的第三方機構(gòu)并未形成較為完整的體系結(jié)構(gòu)，其職責(zé)、運行和法律地位并不完備。因此，加快推進(jìn)第三方參與個人信息保護(hù)的評估、監(jiān)測和預(yù)警尤為重要。

1.構(gòu)建動態(tài)的網(wǎng)絡(luò)平臺個人信息安全評估機制

網(wǎng)絡(luò)平臺是個人信息采集、存儲、傳遞、使用的關(guān)鍵環(huán)節(jié)，同樣也是個人信息風(fēng)險的關(guān)鍵環(huán)節(jié)。由于缺乏相應(yīng)的法律法規(guī)保障，對于網(wǎng)絡(luò)平臺個人信息風(fēng)險引入第三方評估還相對滯后。

隨著第三方評估機構(gòu)在網(wǎng)絡(luò)平臺信息安全評估中作用的不斷凸顯，需要設(shè)計更為有效的評估機制支撐第三方評估。一方面，要進(jìn)一步強化面向網(wǎng)絡(luò)平臺個人信息安全的技術(shù)能力評估與制度完善程度的評估相結(jié)合，既要關(guān)注網(wǎng)絡(luò)平臺在安全技術(shù)的應(yīng)用，同時也要關(guān)注其安全管理制度的建設(shè)和實施；另一方面，要進(jìn)一步強化事前、事中、事后評估相結(jié)合，既要實施事前評估支撐對網(wǎng)絡(luò)平臺市場準(zhǔn)入的決策，也要關(guān)注事中評估(例如動態(tài)巡檢)，對可能存在的個人信息安全隱患進(jìn)行預(yù)警；同時，還要結(jié)合事后評估，對已經(jīng)出現(xiàn)個人信息安全風(fēng)險的網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)提出整改建議和指導(dǎo)。

2.強化大數(shù)據(jù)技術(shù)監(jiān)管手段的應(yīng)用

網(wǎng)絡(luò)個人信息的數(shù)據(jù)量不斷規(guī)?；襾碓捶稚ⅲ瑐€人信息采集從直接采集向大數(shù)據(jù)挖掘方向延伸，個人信息流動從網(wǎng)站間流動向各類社交平臺、APP平臺間流動的方式轉(zhuǎn)變，個人信息交易更加隱蔽、快速。因此，在網(wǎng)絡(luò)平臺個人信息安全監(jiān)管中，強化對大數(shù)據(jù)技術(shù)的應(yīng)用勢在必行。

大數(shù)據(jù)技術(shù)帶來了個人采集方式的變化以及更大的信息安全風(fēng)險，同時也為個人信息安全的監(jiān)管提供了新的技術(shù)支撐。首先，要做好網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)在個人信息采集、存儲、使用等環(huán)節(jié)的信息公開。要結(jié)合《企業(yè)信息公示暫行條例》，提高互聯(lián)網(wǎng)企業(yè)信息的透明度，在暢通網(wǎng)民以及社會組織獲取網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)相關(guān)信息尤其是信用信息的渠道，建立以互聯(lián)網(wǎng)企業(yè)信用信息為核心的大數(shù)據(jù)監(jiān)管方式。其次，鑒于大數(shù)據(jù)資源的價值和技術(shù)門檻，一方面政府職能部門應(yīng)建立統(tǒng)一的大數(shù)據(jù)監(jiān)管平臺，暢通監(jiān)管機構(gòu)獲取大數(shù)據(jù)資源渠道；另一方面，要強化監(jiān)管機構(gòu)尤其是第三方評估機構(gòu)對大數(shù)據(jù)分析技術(shù)的應(yīng)用，提高第三方評估機構(gòu)參與監(jiān)管的時效性、全面性和有效性。

3.推進(jìn)問題導(dǎo)向的動態(tài)評估策略

面向互聯(lián)網(wǎng)平臺個人信息安全風(fēng)險的評估，不是一次性的終結(jié)式評估，而是一個動態(tài)的周期性過程。因此，面對規(guī)模龐大的互聯(lián)網(wǎng)平臺機構(gòu)、快速變化的信息流動場景，第三方評估機構(gòu)需要引入大數(shù)據(jù)資源和技術(shù)，進(jìn)一步提高自身評估能力和評估效率，并建立以問題為導(dǎo)向的動態(tài)評估策略。

以問題為導(dǎo)向的動態(tài)評估策略，需要充分體現(xiàn)差異性、動態(tài)性。首先，要針對不同的評估對象，建立差異化的評估機制。對不同信息規(guī)模、不同信用等級的評估對象，采用差異化的評估策略，以減少來源于不同機構(gòu)的重復(fù)評估或過度評估。其次，要設(shè)計動態(tài)的評估時點和周期，對于重點監(jiān)管對象和非重點監(jiān)管對象實施差異化的評估頻率。對重點監(jiān)管對象，實施頻率更高的動態(tài)評估。第三，要為動態(tài)評估策略設(shè)計差異化的觸發(fā)條件，以“委托”作為實施評估的常規(guī)觸發(fā)條件，以大數(shù)據(jù)監(jiān)管的問題發(fā)現(xiàn)、社會監(jiān)管舉報等作為實時觸發(fā)條件，進(jìn)一步強化具有動態(tài)性特征的過程評估。

(三)互聯(lián)網(wǎng)行業(yè)協(xié)會的監(jiān)管策略

目前，以屬地管理為主要形式的分層互聯(lián)網(wǎng)行業(yè)協(xié)會體系已初步建立?；ヂ?lián)網(wǎng)行業(yè)協(xié)會通過行業(yè)交流、行業(yè)研究、行業(yè)自律等方式促進(jìn)互聯(lián)網(wǎng)健康發(fā)展。依托互聯(lián)網(wǎng)行業(yè)協(xié)會的建設(shè)，推進(jìn)面向個人信息保護(hù)的行業(yè)監(jiān)管將會起到十分積極的作用。

1.加強互聯(lián)網(wǎng)誠信體系建設(shè)

作為個人信息采集、存儲、使用的關(guān)鍵環(huán)節(jié)，引導(dǎo)互聯(lián)網(wǎng)企業(yè)加強對網(wǎng)民個人信息的保護(hù)和合法使用尤為重要。因此，從個人信息使用和保護(hù)的角度看，加快網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)的信用認(rèn)證將會對個人信息使用、保護(hù)和監(jiān)管起到重要的促進(jìn)作用[13]。

面向互聯(lián)網(wǎng)企業(yè)的誠信體系建設(shè)需要在法律保障、誠信教育、有效監(jiān)督等方面多措并舉。首先，應(yīng)結(jié)合政府部門的誠信立法，依托互聯(lián)網(wǎng)行業(yè)協(xié)會，進(jìn)一步加強網(wǎng)絡(luò)平臺的信用認(rèn)證，以信用規(guī)則來更好地規(guī)范互聯(lián)網(wǎng)企業(yè)的個人信息采集、存儲、使用的行為。其次，加大網(wǎng)絡(luò)誠信教育，以法律、制度為保障，線上線下全面推進(jìn)互聯(lián)網(wǎng)誠信教育。第三，引導(dǎo)形成全社會共同參與的互聯(lián)網(wǎng)誠信監(jiān)督機制，通過建立相應(yīng)的獎懲激勵機制，提升社會公眾參與互聯(lián)網(wǎng)誠信監(jiān)督的積極性，著力營造良好的互聯(lián)網(wǎng)協(xié)同治理環(huán)境。

2.加強互聯(lián)網(wǎng)企業(yè)的信息安全培訓(xùn)

網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)是網(wǎng)民個人信息采集、存儲、使用等的關(guān)鍵環(huán)節(jié)，既是重要的保護(hù)者，又是潛在的信息安全風(fēng)險點。加強對網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)的信息安全監(jiān)管的同時，還需要進(jìn)行更加有效的個人信息安全培訓(xùn)。

針對互聯(lián)網(wǎng)企業(yè)工作人員尤其是信息化人員的培訓(xùn)應(yīng)主要從以下三方面展開：一是個人信息安全的法律宣傳，要讓互聯(lián)網(wǎng)企業(yè)從業(yè)人員更加清晰地認(rèn)識到互聯(lián)網(wǎng)個人信息保護(hù)并非法外之地，明確自身在個人信息保護(hù)方面的權(quán)利邊界和法律責(zé)任；二是強化對企業(yè)信息化安全制度的指導(dǎo)，將個人信息保護(hù)納入企業(yè)信息安全制度建設(shè)的整體要求中；三是強化互聯(lián)網(wǎng)企業(yè)對信息安全技術(shù)的使用效率，指導(dǎo)企業(yè)做好信息安全規(guī)劃，綜合使用加密、訪問權(quán)限劃分、大數(shù)據(jù)等相關(guān)信息技術(shù)，降低企業(yè)在個人信息安全方面的重復(fù)建設(shè)和投入。

3.加強對核心互聯(lián)網(wǎng)企業(yè)的監(jiān)管

當(dāng)前，對各個網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)實施全面的個人信息安全監(jiān)管，面臨著高成本、低效率的實際困難。因此，互聯(lián)網(wǎng)行業(yè)協(xié)會對互聯(lián)網(wǎng)企業(yè)的監(jiān)管，不能采用一刀切的監(jiān)管方式?；ヂ?lián)網(wǎng)行業(yè)協(xié)會的監(jiān)管行為，應(yīng)聚焦行業(yè)內(nèi)核心互聯(lián)網(wǎng)企業(yè)的監(jiān)管，實現(xiàn)以點帶面的監(jiān)管效果，降低監(jiān)管成本，提高監(jiān)管效率。

加強核心互聯(lián)網(wǎng)企業(yè)的監(jiān)管，創(chuàng)新監(jiān)管策略。一是采用差異化的監(jiān)管策略，結(jié)合個人信息規(guī)模、信用等級、第三方評估結(jié)果等，篩選制定差異化的監(jiān)管策略；二是考慮到大型互聯(lián)網(wǎng)企業(yè)管理的網(wǎng)民個人信息規(guī)模更大，個人信息泄露、濫用帶來的社會危害更大，因此需要遴選行業(yè)內(nèi)核心互聯(lián)網(wǎng)企業(yè)，強化對核心互聯(lián)網(wǎng)企業(yè)的監(jiān)管，做到以點帶面；三是強化互聯(lián)網(wǎng)企業(yè)尤其是大型互聯(lián)網(wǎng)企業(yè)在個人信息采集、存儲、使用等方面的信息公開，引導(dǎo)廣大網(wǎng)民提高監(jiān)督積極性，提高互聯(lián)網(wǎng)行業(yè)協(xié)會監(jiān)管的覆蓋面和及時性。

五、結(jié)語

監(jiān)管主體如何有效履行自身的監(jiān)管責(zé)任是當(dāng)前網(wǎng)絡(luò)個人信息保護(hù)的重要問題。明確的責(zé)任劃分是前提，有效的監(jiān)管策略是支撐。本文重點圍繞如何落實監(jiān)管責(zé)任，從監(jiān)管體系構(gòu)建、關(guān)鍵監(jiān)管主體的監(jiān)管策略等方面展開了研究。監(jiān)管體系構(gòu)建方面，在分析互聯(lián)網(wǎng)環(huán)境下個人信息的多維特征和權(quán)屬關(guān)系的基礎(chǔ)上，研究了監(jiān)管主體重構(gòu)，提出引入第三方評估機構(gòu)、互聯(lián)網(wǎng)行業(yè)協(xié)會承擔(dān)監(jiān)管職責(zé)的思路和實施路徑，并對新的監(jiān)管機構(gòu)的職責(zé)進(jìn)行了分析。在此基礎(chǔ)上，從基礎(chǔ)、保障、業(yè)務(wù)、應(yīng)用等四個層次構(gòu)建了多主體的監(jiān)管體系。監(jiān)管主體的監(jiān)管策略方面，重點研究了政府職能部門、第三方評估機構(gòu)、互聯(lián)網(wǎng)行業(yè)協(xié)會的監(jiān)管策略。這對于劃分監(jiān)管權(quán)力、落實監(jiān)管責(zé)任將可以起到積極的作用。