葉嵐

［摘 要］數(shù)字時代政府加強個人信息保護面臨角色轉變下的職責異構、虛擬網(wǎng)絡下的模糊監(jiān)管和公眾預期難以滿足等困境。個人信息的公共價值使自然人不再擁有對個人信息的絕對控制，個人信息與個人數(shù)據(jù)從“形神合一”走向“形神位移”，個人信息處理對象泛在化及其行為隱蔽化導致風險多樣化，個人信息保護亟須從“控制”走向“合作”。合作監(jiān)管依托協(xié)同治理機制、效率生成機制和后設監(jiān)管機制實現(xiàn)主體賦能、過程賦能和結果賦能，提升個人信息保護績效。實施精準監(jiān)管、完善過程監(jiān)管、實現(xiàn)韌性監(jiān)管、創(chuàng)新平臺監(jiān)管和強化系統(tǒng)監(jiān)管是合作監(jiān)管視角下深化個人信息保護的策略組合。

［關鍵詞］個人信息保護；合作監(jiān)管；公共安全；風險治理

中圖分類號：D922 文獻標識碼：A 文章編號：1008-410X（2023）04-0064-12

一、數(shù)字時代政府加強個人信息保護的三重困境

黨的二十大將“加強個人信息保護”作為提高公共安全治理水平的重要內(nèi)容^{［1］（P54）}。習近平強調(diào)：“要維護國家數(shù)據(jù)安全，保護個人信息和商業(yè)秘密。”^［2］個人信息是已識別或可識別自然人的各種信息，個人信息的流動既涉及自然人的權利和自由，又涉及公共利益的實現(xiàn)和維護。數(shù)字時代加速拓展個人信息應用場景，卻沒有改變個人信息生產(chǎn)要素和身份標識的雙重屬性。隨著公民權利意識的增強，加強個人信息保護成為加快建設數(shù)字中國的題中之義。政府是個人信息保護的重要主體，現(xiàn)階段政府加強個人信息保護面臨三重困境。

（一）角色轉變下的職責異構

自20世紀中期以來，我國實施人口調(diào)查登記、戶口管理、實有人口管理等制度，政府長期扮演個人信息收集者的角色，依法在職責范圍內(nèi)，通過行政登記、個人填寫、社會調(diào)查、行政統(tǒng)計等方式收集個人信息。這些信息通常以書面形式記錄和流轉，或在辦公自動化系統(tǒng)中以無紙化的形式存儲、傳遞和使用，僅限政府內(nèi)部使用，相應的信息安全保障主要通過采用物理隔離、網(wǎng)絡安全保障技術和規(guī)范內(nèi)部人員行為等方式來實現(xiàn)。隨著街鎮(zhèn)管理體制改革和職能轉變，政府公共服務和社會治理職能向街鎮(zhèn)、村居和“家門口”延伸，社會治理精細化和公共服務精準化的實現(xiàn)離不開人口基礎數(shù)據(jù)的收集、訪問和使用。除了國家層面每十年開展人口普查，以及公安部門開展實有人口登記之外，不同條線部門都有業(yè)務范圍內(nèi)的人口底數(shù)，一些區(qū)、街鎮(zhèn)和村居也開發(fā)了輻射轄區(qū)住戶的人口基礎信息系統(tǒng)。盡管人口基礎信息已經(jīng)成為推動基層工作的關鍵要素，但越到基層個人信息保護意識和能力越弱的現(xiàn)象十分普遍，政府及其派出機關在個人信息保護中的角色任務已經(jīng)從“重個人信息收集”向“個人信息收集和保護并重”轉變。

大數(shù)據(jù)、云計算、人工智能等新一代信息技術的大規(guī)模商用，加劇了大中小企業(yè)、社會組織和公民個人收集其他公民個人信息行為的產(chǎn)生，個人信息收集、存儲和處理的速度顯著提升但成本急劇下降，個人信息收集已經(jīng)從政府“一枝獨秀”轉變?yōu)椤叭巳私钥墒占钡牡图夹g門檻的狀態(tài)。掃碼支付、掃碼停車、掃碼點餐等日常生活中無處不在的“掃碼”場景成為企業(yè)采集用戶個人信息的慣用手段。在經(jīng)濟數(shù)字化和社會數(shù)字化水平超越治理數(shù)字化水平的大背景下，商業(yè)主體充分匯聚、挖掘和使用這些數(shù)據(jù)以指導商業(yè)選址并獲取可觀的利潤回報，這也埋下了超范圍采集、濫用個人信息的安全隱患。面對這些潛藏的社會性風險，政府不僅需要實施自我約束，還需要監(jiān)管好企業(yè)、社會和公民的個人信息收集和使用行為。然而，新技術助推了個人信息收集渠道從線下為主轉移到線上為主，收集方式從基于人際溝通的有感收集向應用程序自發(fā)、自動、全天候、無感式收集轉變，政府傳統(tǒng)依靠運動式治理和人海戰(zhàn)術為主的線下監(jiān)管和打擊模式，無法滿足個人信息保護的時空泛在性要求。政府面臨著收集個人信息、規(guī)范自身收集行為和規(guī)范他人收集行為等多重職責，角色轉變加劇職責異構。

（二）虛擬網(wǎng)絡下的模糊監(jiān)管

網(wǎng)絡虛擬空間助長了個人信息監(jiān)管對象及其行為的模糊性。網(wǎng)絡虛擬空間構筑起“無知之幕”，加劇了政府與個人信息處理主體之間的信息不對稱；信息處理目的的多樣性、信息處理過程的復雜性和信息最小適用邊界的難辨別性，加劇了個人信息安全風險及其潛在危害的高度不確定性，以及個人信息處理源頭失范行為的難以追溯性，客觀上增加了線上監(jiān)管的難度和打擊違法行為的成本。

個人信息處理具有風險鏈條長、鏈條分叉多、潛在危害大、輿論燃點低、源頭追溯難等基本特征，其監(jiān)管復雜性遠遠超出傳統(tǒng)社會性監(jiān)管對象的復雜性。傳統(tǒng)社會性監(jiān)管（如食品安全、藥品安全、特種設備、醫(yī)療器械監(jiān)管等）可以按照生產(chǎn)、流通和使用等環(huán)節(jié)來完善全過程監(jiān)管，絕大多數(shù)監(jiān)管對象主要從事某個環(huán)節(jié)，極少數(shù)監(jiān)管對象同時從事2個～3個環(huán)節(jié)，總體上看單個對象的監(jiān)管邊界比較清晰。在具體監(jiān)管活動中，監(jiān)管部門可以通過“行為過程”或“誘發(fā)結果”等不同角度來判定被監(jiān)管對象是否存在違法違規(guī)行為。與之形成鮮明差異的是，個人信息處理鏈條不穩(wěn)定性強，難以清晰刻畫完整形態(tài)。個人信息傳輸路徑可以呈現(xiàn)單鏈條、單節(jié)點多鏈條放射狀、多節(jié)點多鏈條分叉狀或節(jié)點密布網(wǎng)狀交織等不同形態(tài)。個人信息處理者可以只從事某項單一的個人信息處理活動，也可以介入多項個人信息處理活動，其身份角色還可以隨時發(fā)生改變。監(jiān)管對象及其實際行為方式的可變性、動態(tài)性和隱匿性讓政府很難及時準確判定個人信息處理者實際參與了哪些個人信息處理活動，增加了監(jiān)管的模糊性。

數(shù)字時代個人信息安全風險屬于虛擬空間失范行為對真實世界的個體造成客觀侵害的情形。相比之下，傳統(tǒng)社會性監(jiān)管領域的活動通常只是建立了虛擬空間與真實空間之間的映射關系，即在線上開展類似線下的活動。在傳統(tǒng)社會性監(jiān)管領域，“互聯(lián)網(wǎng)+”盡管提升了市場交易等活動的效率和規(guī)模，但沒有改變線下活動的目的和本質。在“映射”關系下，以網(wǎng)售食品為例，源頭的食品生產(chǎn)者是真實存在的，末端消費者拿到的食品也是真實的，只不過中間流通環(huán)節(jié)以網(wǎng)絡為媒介開展交易活動，這局部增加了監(jiān)管難度，是對監(jiān)管者跨地區(qū)協(xié)同行動提出較高的要求。虛擬空間的個人信息處理全鏈條具有數(shù)字化、自動化、虛擬化和不可見性的特點，數(shù)字化原料、數(shù)字化半成品在真實世界中找不到對應物，但通過全樣本關聯(lián)分析呈現(xiàn)的數(shù)字化成品——如個人數(shù)字“畫像”等往往就能讓人輕易關聯(lián)到特定自然人的敏感人格信息，從而侵害當事人正常參與經(jīng)濟社會活動的合法權益。這是個人信息安全監(jiān)管與傳統(tǒng)社會性監(jiān)管之間存在的根本差異，理解這種差異對深化大數(shù)據(jù)背景下個人信息安全保護具有重要意義?，F(xiàn)階段，對于監(jiān)管者而言，源頭監(jiān)管與過程取證變得相當困難，通常在這些環(huán)節(jié)只能采取弱監(jiān)管措施，難以達到預防性監(jiān)管的效果；而強有力的監(jiān)管措施往往只能作用于危害事實產(chǎn)生之后。

（三）監(jiān)管效能難以實至名歸

近年來，我國個人信息保護制度不斷完善。在國家層面，個人信息保護立法逐年推進，《中華人民共和國個人信息保護法》《中華人民共和國電子商務法》《中華人民共和國網(wǎng)絡安全法》等明確了個人信息保護要求；在地方層面，網(wǎng)絡安全條例、大數(shù)據(jù)發(fā)展條例、未成年人保護條例、消費者權益保護條例等地方性法規(guī)強化了個人信息保護內(nèi)容。但總體看，個人信息保護制度的完善與公眾對個人信息保護實踐的期待還存在不小差距，公眾對政府個人信息保護的獲得感不強。

第一，個人信息泄露、竊取、偽造、篡改和濫用等各類風險隱患疊加。包括危害特定自然人的財產(chǎn)乃至人身安全，如個人信息泄露導致的精準電信詐騙；濫用信任關系、挑撥誠信文化，破壞社會公序良俗，如以關懷老人的名義套取老人及其家人的信息和錢財；通過算法技術和自動推送服務制造價格差別待遇，攫取超額利潤，破壞公平交易秩序，如網(wǎng)購時易遭遇大數(shù)據(jù)殺熟；在申請海外上市時向境外提供包括公民個人信息在內(nèi)的詳細數(shù)據(jù)，危及國家安全等。對象泛在化、行為隱蔽化、風險多樣化導致個人信息保護容易出現(xiàn)“爆雷點”。

第二，已有個人信息保護的技術性與制度性手段不利于維護自然人的個人信息權益。從源頭看，隱私政策是明示個人信息處理者行為并保護個人信息產(chǎn)生者知情權的重要舉措，但在實踐中，隱私政策的“同意”選項極易異化為用戶的“一攬子”授權和“形式化”授權^［3］。從過程看，個人信息被處理者以數(shù)字化方式存儲后，其流向難以完全受到個人信息產(chǎn)生者的控制^［4］；看似毫無關聯(lián)的個人信息經(jīng)二次開發(fā)可能還原個人敏感信息^［5］。從結果看，“事后救濟”與“誰主張，誰舉證”并存的制度設計增加了公民的維權難度^［6］。上述環(huán)節(jié)容易成為個人信息保護的“出血點”，個人信息保護手段碎片化與個人信息整體性保護需要不相適應^［7］。

第三，制度法規(guī)數(shù)量增長，但涉及個人信息的網(wǎng)絡犯罪案件仍占比不小^［8］。盡管個人信息保護法等法律法規(guī)對個人信息的界定更加明確，對個人信息的提供、處理及相關主體的法律責任的約定更加清晰，但相關部門在個人信息監(jiān)督執(zhí)法過程中仍會遇到立法、司法和行政銜接不暢的問題。如網(wǎng)絡安全監(jiān)管機構對“暗網(wǎng)”交易的個人信息難以追溯和問責；公安部門在嚴厲打擊侵害個人信息案件時會遇到涉案團伙上下線網(wǎng)絡龐雜、牽涉境外勢力、案件線索中斷等困難，破案難度大、成本高。世界各國加強個人信息保護的監(jiān)管實踐包括建立統(tǒng)一權威獨立的個人信息保護機構、擴大個人信息保護制度適用范圍、通過立法統(tǒng)一列舉個人敏感數(shù)據(jù)類型、在不同組織中設立數(shù)據(jù)保護專員等^［9］，但尚未形成統(tǒng)一、高效、權威的國際社會公認的通行方案。個人信息處理中公私主體間不平等關系^［10］、個人信息處理場景的豐富性和個人信息處理帶來的差異化影響^［11］、市場準入制度的完備性^［12］和以技術方案應對技術問題的可及性等，影響并決定著個人信息保護效果。

二、個人信息保護的“控制”與“合作”之辨

我國個人信息保護形勢正在發(fā)生深刻變化，映射個人信息保護實質發(fā)生深層迭代。個人在多大程度上享有保留個人信息的權利，又在多大程度上出于公共利益的需要而作出必要的讓渡？個人數(shù)據(jù)的快速生長與頻繁使用是否預示著個人信息保護對象需要進一步擴充？個人信息處理形式之豐富及其潛在的風險隱患之多樣，是否意味著個人信息保護亟須多元主體的參與？回應這些問題觸及個人信息的主體之辨及個人信息保護的對象之辨和流程之辨。

（一）主體之辨：個人信息的個人控制與社會控制

個人信息的個人控制強調(diào)自然人對個人信息享有控制權，即自然人有權或能夠決定個人信息處理的目的和方式。個人信息的個人控制強調(diào)個人信息的個體私有性，在個人信息大規(guī)模電子化收集和使用之前，個人信息主要通過定向收集的方式采集，被采集人能夠充分了解個人信息采集和使用的目的，被采集的個人信息主要通過紙張等載體來記錄，與“物”相捆綁的個人信息隨著“物”的滅失而滅失，再次傳播難度較大。歐盟國家和美國是主張個人信息個人控制論的典型代表。歐盟國家主張個體是個人信息的掌控主體，個體的尊嚴以其對個人信息的占有和控制為基本前提，個人信息處理應體現(xiàn)個體意志；保護個人信息實質上是保護人格尊嚴，個人信息處理如果不對信息產(chǎn)生主體的意見加以考慮，就是對人的不尊重^［13］。美國將崇尚自由主義的理念延續(xù)到個人信息個人控制論，主張個人對自身產(chǎn)生的個人信息及其管理、使用等活動享受自主性，包括創(chuàng)設身份、決定診療方案及將個人信息財產(chǎn)化等。

無論出于主觀還是客觀原因，個人信息都無法完全實現(xiàn)個人控制，社會共同體成為個人信息的共同控制者。社會控制論突出了個人信息作為社會共同資源的屬性。社會控制論對個人控制論的反駁表現(xiàn)在三個方面。一是反駁個人控制論不適用于應對新技術帶來的顛覆性影響。在移動互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能普及的背景下，海量個人信息不是通過定向收集獲取的，而是通過被動收集、實時記錄和傳輸共享等方式積累的；受技術迭代不確定性的影響，有時連技術開發(fā)者也無法預知可能的用途，所謂的告知同意要么流于形式，要么無法實現(xiàn)。這意味著個人控制論的實踐基礎快速瓦解。二是反駁個人控制論將私權置于至高無上的地位，而忽視了個人信息的社會性和公共性。社會控制論主張將數(shù)據(jù)與人格切割開來，認為數(shù)據(jù)具有工具性，具有增進公共利益的功能。如運用海量數(shù)據(jù)的全量分析、關聯(lián)分析與交叉分析等技術，相關機構能夠更好地識別傳染病的傳播路徑，準確察覺公共產(chǎn)品和服務的供給短缺，并為政務服務辦事主體提供個性化的在線交互頁面。三是反駁個人控制論會限制大數(shù)據(jù)紅利。一方面，數(shù)據(jù)的價值來自流通和應用，但個人控制論難以避免個體因過度保護而不愿讓渡數(shù)據(jù)，從而削弱去標識化數(shù)據(jù)的流通和應用價值。另一方面，個人在知情同意的情況下可以自主選擇讓渡部分個人信息以換取個人效用的增加，這些被讓渡的個人信息構成實質性的社會控制。

多數(shù)個人信息為個體控制，而少數(shù)個人信息為社會控制，個人信息控制權的切割過程本身就依賴個體與社會共同體之間的合作。保障個人信息的個人控制權依賴多元監(jiān)管主體之間的合作而非憑借個人一己之力，但不同主體的責任優(yōu)先序存在差異。如歐盟國家普遍認為隱私權與公民基本權利不可分割且公法應全面保護公民基本權利，因而主張政府負有優(yōu)先承擔公民隱私權保護的職責^{［14］［15］}；美國強調(diào)企業(yè)自我監(jiān)管優(yōu)先，其次是技術性監(jiān)管和消費者教育，政府監(jiān)管被置于相對靠后的位置^［16］。個人信息的社會控制論更是主張個人信息保護責任主體從信息產(chǎn)生者個人轉向社會共同體^［13］。

（二）對象之辨：個人信息與個人數(shù)據(jù)的耦合關系

個人信息保護的對象究竟是個人信息還是個人數(shù)據(jù)，抑或兩者兼有？諸多研究混淆使用數(shù)據(jù)和信息的概念并將這種模糊性延伸到個人信息領域，未能意識到大數(shù)據(jù)時代個人信息和個人數(shù)據(jù)的耦合程度正在發(fā)生變化。人們對于個人數(shù)據(jù)的認識有三種：一是認為個人數(shù)據(jù)就是指向特定自然人的信息，這種將數(shù)據(jù)視同為信息的做法實質上混淆了個人數(shù)據(jù)與個人信息的概念；二是認為個人數(shù)據(jù)側重財產(chǎn)權，而個人信息兼具人格權和財產(chǎn)權，這是通過權利屬性的差異來區(qū)分個人信息和個人數(shù)據(jù)的；三是認為個人數(shù)據(jù)是對個體狀態(tài)無差別的客觀記錄，不以人的意志為轉移；而個人信息是個人數(shù)據(jù)經(jīng)加工后產(chǎn)生的能夠關聯(lián)到特定個體的知識，人們對個人信息的解讀具有較強的主觀性；這是基于數(shù)據(jù)、信息和知識的本質來區(qū)分個人信息和個人數(shù)據(jù)的差異。實際上，后兩種認識已經(jīng)表明個人信息和個人數(shù)據(jù)存在差異。

在大數(shù)據(jù)時代，個人數(shù)據(jù)與個人信息的差異有擴大之勢。在紙媒時代，個人數(shù)據(jù)記錄成本很高，被記錄下來的個人數(shù)據(jù)往往會被作為知識傳播或使用，可以說個人信息與個人數(shù)據(jù)“形神合一”。在大數(shù)據(jù)時代，智能終端可以實時記錄個人數(shù)據(jù)，個人數(shù)據(jù)與個人信息出現(xiàn)“形神位移”。一是海量非結構化數(shù)據(jù)有些只是經(jīng)歷了短暫存儲和定期清理，并沒有被開發(fā)利用，也沒有產(chǎn)生指向特定可識別自然人的個人信息；二是單條個人數(shù)據(jù)的價值密度很低，但當一國全部或者絕大多數(shù)用戶的個人數(shù)據(jù)匯聚在一起時，即便每條信息不能識別特定自然人，該數(shù)據(jù)集也可能暴露一國民眾的政治意愿、情感傾向、社會心理和行為方式等，從而變成敏感的國家信息。因此，加強個人信息保護不能忽視對個人數(shù)據(jù)的監(jiān)管，個人信息與個人數(shù)據(jù)應成為個人信息保護的監(jiān)管對象。

數(shù)字時代個人信息與個人數(shù)據(jù)關系的趨異性豐富了個人信息保護的內(nèi)涵，個人信息保護的監(jiān)管模式亟須從“控制”走向“合作”（見表1）。以控制為導向的傳統(tǒng)監(jiān)管模式存在三種缺陷：一是有限的監(jiān)管機構、人員和能力無以應對泛在的個人信息處理主體及其處理行為；二是監(jiān)管者試圖通過占有監(jiān)管裁量權來實現(xiàn)的命令與控制，難以回應內(nèi)容生成即滯后于快速變化的個人信息保護需要的實施困境；三是寄希望于通過精良的制度設計作為個人信息保護的合法性來源，卻忽視了相應法律的設計、出臺和立法后評估并不意味著監(jiān)管的終結。在以合作為導向的新型監(jiān)管模式下，行動者數(shù)量、類型的擴充與行動者之間的業(yè)務聯(lián)系，使多元異構的行動者之間易形成基于激勵和協(xié)商的去中心化協(xié)同監(jiān)管網(wǎng)絡；行動者共享監(jiān)管裁量權是行動者發(fā)揮協(xié)同作用的前提，各類行動者的參與有助于形成覆蓋全鏈條的監(jiān)管體系。概言之，以合作為導向的新型監(jiān)管模式讓規(guī)則和契約本身變得更加靈活而有韌性，并督促相關主體將個人信息保護重心從單純沉浸于制度文本的精良設計轉向深刻審視監(jiān)管體系的實際有效性。

（三）流程之辨：個人信息處理中的風險隱患識別

根據(jù)個人信息保護法，個人信息處理表現(xiàn)形式豐富，其中潛在的風險隱患也不盡相同（見表2）。超范圍采集與非理性授權容易放大個人信息的收集風險。超范圍采集是指個人信息收集者出于謀取“數(shù)治”權力的擴張或追求數(shù)字經(jīng)濟超額利潤等動機，采取“貪婪式”“誘餌式”等扭曲行為，盡可能占有個人信息。個人信息產(chǎn)生者的非理性授權，則過分讓渡了個人信息收集的權利，如隱私政策的技術性陳述超出絕大多數(shù)用戶的專業(yè)認知，主動下載應用程序的用戶也很少會出于對隱私政策的不滿而放棄想要使用的功能。被收集的個人信息如果存儲不當，也會泄露。相比于私有云，公有云的容災能力較弱，容易遭遇黑客“拖庫”等開放互聯(lián)網(wǎng)的攻擊。從前端到云端傳輸過程，以及在云端二道加密防護不足，也會導致信息泄露。個人信息的加工、使用和傳輸，同樣存在諸多安全隱患。數(shù)據(jù)訪問應當遵循“最小必要”原則，但何為“最小”、何為“必要”界定不清，容易出現(xiàn)未經(jīng)授權訪問或非必要訪問等情形，如果訪問的是非匿名化和可標識化的數(shù)據(jù)，則易增加信息暴露風險。個人數(shù)據(jù)非法買賣是典型的逐利性交易，容易滋生“黑產(chǎn)”“灰產(chǎn)”和“內(nèi)鬼”，加劇個人信息濫用。敏感個人信息與其他數(shù)據(jù)的無差別傳輸會增加個人信息泄露風險，數(shù)據(jù)鏈路不安全則會出現(xiàn)邊傳輸邊泄露、邊提供邊泄露等數(shù)據(jù)安全問題。

個人信息的提供、公開和刪除還面臨特殊風險。從制度看，數(shù)據(jù)交易應盡可能在場內(nèi)進行，不少交易中心明確“個人信息不交易”原則，但當前場內(nèi)交易規(guī)模仍不大，導致大量發(fā)生在場外的交易監(jiān)管難度較大。從流向看，如果個人信息被提供給境外接受者，那么直接面臨的風險就包括不同境外接受者個人信息保護立場和能力不均，境內(nèi)監(jiān)管機構無法監(jiān)管境外的數(shù)據(jù)接受者，以及境內(nèi)個人信息主體難以有效維權等安全風險；大量公民個人信息出境還會威脅國家安全。從技術看，常用的隱私計算技術對少量數(shù)據(jù)的安全支撐能力尚可，但對海量、實時和高并發(fā)數(shù)據(jù)產(chǎn)品交易場景的安全支撐能力十分有限，無法完全滿足個人信息保護需要。數(shù)據(jù)公開意味著任何人可以瀏覽數(shù)據(jù)，但司法實踐中對于購買公開的法定代表人姓名、手機號碼、公司地址等信息是否侵犯公民個人信息存在爭議，這類信息的買賣可能存在法律風險?，F(xiàn)實中還存在企業(yè)出于打擊報復等目的向社會公開特定用戶的個人信息和行為數(shù)據(jù)等惡意行為，導致個人信息精準泄露。此外，個人信息占有者對個人信息刪除并不積極。一些個人信息處理者認為個人信息占用的存儲空間不大，因而只是將占有的個人信息封存起來，并未履行“應刪盡刪”義務。二手市場舊硬盤中的照片、筆記等重要信息能夠通過數(shù)據(jù)恢復軟件恢復，進而影響個人信息刪除效果。

個人信息處理中的各類風險隱患呈現(xiàn)多元異構特征，以合作為導向的監(jiān)管模式有助于通過保障個人對個人信息的知情權和決定權，并推動以企業(yè)為代表的個人信息處理者的個人信息保護主體責任，來實現(xiàn)對監(jiān)管者的監(jiān)管和賦能，以更好回應個人信息處理的復雜風險治理問題。

三、合作監(jiān)管：破解個人信息保護困境的新模式

合作監(jiān)管強調(diào)公共部門和私人部門在回應監(jiān)管問題時的綜合作用，主張更少的“控制”可能帶來更高的效率。朱迪·弗里曼認為，任何監(jiān)管例證都可以揭示公共部門與私人部門的深刻依賴；公共部門與私人部門的合作不是零和博弈^{［17］（P318）}；斯蒂芬·布雷耶認為，當政府賦予其他主體大量普遍的“裁量權”時，他們之間的關系就是“合作”^{［18］（PⅢ）}。個人信息保護的合作監(jiān)管強調(diào)，監(jiān)管者對被監(jiān)管者的控制不是增進公共利益的唯一途徑，合作同樣能夠塑造公共價值。個人信息保護的重點不在于區(qū)分監(jiān)管者和被監(jiān)管者，也不在于過度強調(diào)責任優(yōu)先序，而在于政府與個人處理者、個人信息產(chǎn)生者等相關主體之間是否具備足夠的合作監(jiān)管能力（見圖1）。

（一）基于“去中心化”協(xié)同治理機制實現(xiàn)主體賦能

“去中心化”的協(xié)同治理機制強調(diào)打破傳統(tǒng)“以監(jiān)管者為中心”的部門化監(jiān)管格局，不以監(jiān)管者的資源瓶頸、指標導向和績效需要為限制，而是通過各界別主體間的協(xié)同網(wǎng)絡，以信息共享、線索共用和資源匯聚實現(xiàn)對個人信息保護的主體賦能。合作監(jiān)管主張“去中心化”監(jiān)管體系，認為“私人主體同樣可以提升行政效用和正當性”^{［17］（P319）}。合作監(jiān)管認為，公共利益理論關于“私人參與會使公共利益屈服于宗派壓力”^［19］的論斷過于武斷，并指出“行政機關秉持理性可以解決復雜問題”^［20］的認知過于理想化。傳統(tǒng)監(jiān)管理論認為，監(jiān)管者保持中立地位并具有完全理性。然而，監(jiān)管俘獲理論認為監(jiān)管者很容易受到利益集團的俘獲，甚至有些監(jiān)管部門在形成之初就是利益集團共同作用的產(chǎn)物；監(jiān)管信息不完全與監(jiān)管者有限理性并存；監(jiān)管能力受監(jiān)管者權限范圍、監(jiān)管者對風險感知的敏感性與反映的及時性，以及監(jiān)管者能夠運用哪些工具對可見風險加以防范等諸多因素的影響。

“去中心化”的協(xié)同治理機制強調(diào)個人信息保護的重點不是做強監(jiān)管者，而是做強合作網(wǎng)絡；不是強化公權力部門與個人信息處理者之間的對立、隔閡和差序身份，而是強調(diào)通過理念引導、利益調(diào)整和坦誠互動，讓各類主體能夠在加強個人信息保護過程中增進公共利益?！叭ブ行幕钡膮f(xié)同治理機制通過三種路徑實現(xiàn)主體賦能。一是從碎片到整合，將個人信息保護目標從微觀層面對個別組織和個體的懲罰轉向宏觀層面統(tǒng)籌發(fā)展與安全的數(shù)據(jù)安全治理生態(tài)凈化，更好地凸顯不同主體在個人信息保護中的獨特價值。二是從對立到合作，將個人信息保護主體間關系從“貓捉老鼠”式的角色對立，轉向“貓和老虎”式的戰(zhàn)略合作，扭轉了監(jiān)管者與被監(jiān)管者的角色反差和力量抗衡，讓主體責任和監(jiān)管責任更加明晰，避免主體責任極化現(xiàn)象，達到均衡主體責任的效果。三是從集中到分布，將個人信息保護的資源配置從“中心化極點聚攏式”轉向“去中心化分布式”，從而擴充主體資源。如通過統(tǒng)一預警、線索移交、媒體公告、社會監(jiān)督等方式最大限度地推進個人信息保護的制度資源、數(shù)據(jù)資源、線索資源、媒介資源等的共享共用，推動監(jiān)管資源從集中配置向分布式配置轉變，讓各類主體能夠擁有必要的監(jiān)管資源來協(xié)同參與個人信息保護活動。

（二）基于“比較優(yōu)勢”效率生成機制實現(xiàn)過程賦能

比較優(yōu)勢理論主張相關主體多提供優(yōu)勢產(chǎn)品和擅長的服務，少提供劣勢產(chǎn)品和不擅長的服務，這是提升效率的有益途徑。合作監(jiān)管主張相關部門應充分激發(fā)個人信息保護主體發(fā)揮各自比較優(yōu)勢、提升個人信息保護效率的潛質。

第一， 發(fā)揮信息比較優(yōu)勢，幫助相關主體跨越數(shù)字監(jiān)管鴻溝。信息比較優(yōu)勢在于及時準確掌握翔實可靠的監(jiān)管數(shù)據(jù)并將其轉化為有用的監(jiān)管信息，這是提升個人信息保護效率的關鍵。個人信息處理者與個人信息產(chǎn)生者、傳統(tǒng)政府監(jiān)管者之間存在“信息鴻溝”——個人信息處理過程主要掌握在個人信息處理者手中，政府部門和個人信息產(chǎn)生者等外部人很難逾越信息壁壘去了解動態(tài)、完整的監(jiān)管信息，“信息鴻溝”也成為個人信息保護“事前預防不足、事中控制薄弱、事后補救為主”的主要原因。合作監(jiān)管強調(diào)充分發(fā)揮個人信息處理者的監(jiān)管信息優(yōu)勢，通過讓其自行制定合規(guī)計劃^{［18］（PⅢ）}等方式填補個人信息保護的監(jiān)管信息鴻溝。如App用戶實名登記推動了網(wǎng)絡空間虛擬ID與現(xiàn)實世界公民真實身份的對應，極大提升了網(wǎng)絡空間違法行為的可追溯性；個人信息保護“雙清單”制度，推動企業(yè)明示已經(jīng)收集的個人信息和與第三方共享的個人信息，加大監(jiān)管信息透明度。通過激發(fā)上述主體的信息比較優(yōu)勢，立法、司法和行政部門得以掌握更全面、真實、及時、精準的案件線索，從而有效降低監(jiān)管者的信息搜尋成本。

第二，發(fā)揮資源比較優(yōu)勢，幫助監(jiān)管主體回應監(jiān)管資源稀缺。監(jiān)管資源的稀缺性是監(jiān)管部門面臨的永恒難題，充分利用有限監(jiān)管資源提高監(jiān)管效率是回應監(jiān)管資源稀缺性的有效途徑。市場主體具有較高的資源配置效率，因此，將市場配置資源的效率機制引入合作監(jiān)管框架是提升監(jiān)管效果的有益探索。同時，通過開放監(jiān)管與包容監(jiān)管拓展監(jiān)管資源，鼓勵更多主體融入個人信息保護合作體系。如消費者權益保護法修正后，明確規(guī)范了消費者協(xié)會的公益性職責，為監(jiān)管者提供了有益的外部資源補充。又如，2018年黨和國家系統(tǒng)性、整體性、重構性的機構改革，將分散在多部門的監(jiān)管資源集中起來，使監(jiān)管機構的職責定位更加明晰，原本需要開展的大量跨部門協(xié)調(diào)事宜得以內(nèi)部化，為強化網(wǎng)絡空間的個人信息保護提供了強有力的組織保障。

第三，發(fā)揮技術比較優(yōu)勢，賦能監(jiān)管風險識別。傳統(tǒng)監(jiān)管較多依靠人工作業(yè)模式來監(jiān)管新技術催生的個人信息保護場景，監(jiān)管工具、監(jiān)管手段和方式方法與數(shù)字時代的個人信息保護需要嚴重脫節(jié)；科層體系臺賬要求、請示報告、程序化流程和內(nèi)部業(yè)務系統(tǒng)的煩瑣應用，無法發(fā)揮數(shù)據(jù)協(xié)同、業(yè)務協(xié)同與敏捷治理對個人信息保護的有效賦能。合作監(jiān)管認為，政府監(jiān)管部門應當以更包容性的態(tài)度來吸納專業(yè)技術力量介入個人信息保護的不同技術環(huán)節(jié)，從而敏銳地覺察和反饋個人信息保護中的關鍵風險點。如全國App檢測平臺啟用后，大幅提高了App檢測效率；融媒體信息發(fā)布方式的成熟運用，推動在個人信息保護方面政府與公眾的風險溝通更加頻繁充分，增強了公眾加強個人信息保護的自覺意識和維權能力。

（三）基于“后設監(jiān)管”嵌入監(jiān)管機制實現(xiàn)結果賦能

后設監(jiān)管指政府對市場主體自我監(jiān)管的監(jiān)管，目的是確保相關主體切實遵照自我監(jiān)管的規(guī)則行事。后設監(jiān)管的優(yōu)勢是能夠督促個人信息處理者及早發(fā)現(xiàn)風險薄弱點并在第一時間采取補救措施，避免損失和危害的擴大；提升個人信息保護主體的自我風險防范能力，通過成本相對較小的前置性風險預防來緩釋事后補救的高昂監(jiān)管成本；將政府監(jiān)管的重心從事后補救轉向既注重事后補救，又強化過程巡查，還能夠對個人信息處理主體合規(guī)體系建設及其運行情況加以指導。后設監(jiān)管的措施包括設定最低要求、設置績效目標或提供其他外在性約束等^{［21］（P13）}。根據(jù)后設監(jiān)管作用效果的不同，可以分為積極監(jiān)管和消極監(jiān)管。積極監(jiān)管指為加強個人信息保護提供監(jiān)管信息、資源和技術能力或促使相關主體投入資源、技術和能力來強化監(jiān)管行為；消極監(jiān)管指通過罰款、曝光等方式讓相關主體付出金錢、聲譽等代價。

個人信息保護的后設監(jiān)管模式蘊含六種運作形態(tài)，即政府對個人信息處理者的消極監(jiān)管（如約談、罰金等），政府對個人信息產(chǎn)生者的積極監(jiān)管（如宣傳、提醒等），個人信息產(chǎn)生者對政府的積極監(jiān)管（如案件投訴、訴求表達等），個人信息處理者對政府的積極監(jiān)管（如移交線索等），個人信息產(chǎn)生者對個人信息處理者的積極監(jiān)管（如風險提醒等），以及來自上級政府或紀檢監(jiān)察部門的消極監(jiān)管（如監(jiān)督問責等）。從降低監(jiān)管成本的角度看，最有效的消極監(jiān)管是找到相關主體破壞制度、違背規(guī)則的主要原因，弱化其對失范行為的興趣并放大其對懲罰所帶來的痛苦的想象，讓這些主體自己壓制自身的違法違規(guī)行為沖動^{［22］（P120）}；最有效的積極監(jiān)管是通過行政指導、社會監(jiān)督和風險預演等方式提前鎖定安全薄弱環(huán)節(jié)，夯實安全防范舉措，提升安全保護等級，從源頭降低個人信息安全隱患。

我國個人信息保護的后設監(jiān)管機制正在形成，并通過消極和積極方式賦能監(jiān)管結果。以App個人信息保護為例，后設監(jiān)管通過三種形態(tài)影響監(jiān)管結果。一是政府在企業(yè)自查自糾基礎上，堅持日常監(jiān)管和違法打擊不放松，不斷強化監(jiān)管者對個人信息處理者的消極監(jiān)管；二是在微信公眾號等平臺上設置網(wǎng)民實名或匿名舉報通道，被舉報存在非法采集使用個人信息的App將被納入專項治理評估范圍，這體現(xiàn)了個人信息產(chǎn)生者對監(jiān)管者的積極監(jiān)管；三是除相關部門開展的科普宣傳和App安全意識問卷調(diào)查外，公安機關針對App用戶遭遇的電信詐騙，主動啟動“熔斷”機制，精準推送發(fā)詐信息，爭取讓被騙民眾及時止損，這體現(xiàn)了監(jiān)管者對個人信息產(chǎn)生者的積極監(jiān)管。但個人信息處理者對政府的積極監(jiān)管、個人信息產(chǎn)生者對個人信息處理者的積極監(jiān)管，以及來自上級政府或紀檢監(jiān)察部門的消極監(jiān)管較為欠缺。

四、 合作監(jiān)管視角下加強個人信息保護優(yōu)化策略

相比傳統(tǒng)的靜態(tài)監(jiān)管范式，合作監(jiān)管更能適應激烈變化的監(jiān)管環(huán)境，這是因為合作監(jiān)管要求對監(jiān)管過程進行動態(tài)審視和自我糾錯，以不斷進行自省、檢查和修正^{［18］（PⅤ）}。合作監(jiān)管強調(diào)當監(jiān)管對象和范圍發(fā)生變化后，就需要制定新的策略、尋找新的方法、依據(jù)新的原則、構建新的結構并尋求新的技術來形成匹配監(jiān)管對象、設計精巧、措施高效的，有助于廣泛達成監(jiān)管目標并減少經(jīng)濟、社會和政治代價的體系安排^{［22］（P99）}。在此基礎上，我們提出合作監(jiān)管視角下加強個人信息保護的五大監(jiān)管策略及其實現(xiàn)路徑，這五大監(jiān)管策略彼此關聯(lián)，相互協(xié)同，形成個人信息保護的策略組合（見圖2）。

（一）契合場景需要，實施精準監(jiān)管

不同行業(yè)、不同領域的個人信息保護重點不盡相同，深化對個人信息保護場景的區(qū)分，是實施個人信息精準監(jiān)管的基本前提。在日常生活中，智能汽車收集駕駛行為、智能家居記錄生活習慣、智能門禁記錄訪客信息、智慧養(yǎng)老平臺登記老年人的子女信息等，這些記錄個人信息的場景隨處可見。個人信息保護場景的精準監(jiān)管是基于不同領域業(yè)務發(fā)展和技術創(chuàng)新應用需要，科學運用資源或實施資源優(yōu)化配置來實現(xiàn)與該領域個人信息處理相適應的個人信息保護策略的過程。如金融行業(yè)核心業(yè)務對數(shù)據(jù)規(guī)模和數(shù)據(jù)處理能力要求較高，容易出現(xiàn)個人信息過度收集和過度使用現(xiàn)象，應重點通過完善客戶個人信息保護制度安排和機制設計、加強金融系統(tǒng)從業(yè)人員維護客戶個人信息安全的責任意識、在行政處罰中引入并嚴格執(zhí)行“機構+個人”雙罰機制等途徑，不斷鞏固和加強金融機構和金融行業(yè)從業(yè)人員維護客戶個人信息安全的責任心、使命感和行動力。例如，汽車智能化和網(wǎng)聯(lián)化不同程度加劇了各方對個人信息保護的隱憂，監(jiān)管部門擔心道路信息采集危害國家安全，用戶擔心車內(nèi)對話、家庭成員信息、個人賬號信息被不當竊取等，除了要提高用戶對智能網(wǎng)聯(lián)汽車采集和使用個人信息的知情權外，還應重點加強敏感道路數(shù)據(jù)和個人信息的出境限制，避免放大網(wǎng)絡安全、數(shù)據(jù)安全和信息安全風險隱患。針對商家或個人擅自安裝人臉識別攝像頭采集消費者或他人數(shù)據(jù)的行為，應從設備供應商準入資質、設備安裝主體的備案審查等個人信息采集源頭加以限制，加大個人信息保護的普法教育和行政指導力度，對負面案例開展警示教育，及時制止濫裝、濫用攝像頭的失當行為。

（二）重視鏈條特征，完善過程監(jiān)管

由于個人信息一旦泄露對特定自然人的傷害不可逆轉，因此加強個人信息處理的過程監(jiān)管比損害發(fā)生后的結果監(jiān)管更加重要。個人信息保護需要個人信息監(jiān)管者、處理者和產(chǎn)生者跨越“信息鴻溝”和“專業(yè)鴻溝”。在跨越“信息鴻溝”方面，針對個人信息處理鏈條隱蔽的特點，鼓勵建立“吹哨人”制度，保障知情者從內(nèi)部合理披露信息又不致造成個人境況變差。聘請權威機構定期發(fā)布信譽評級，并要求企業(yè)在顯著位置展示信譽等級，通過信譽機制向消費者披露安全信息；強化行業(yè)組織“中間人”義務，倡導行業(yè)組織面向不同主體積極共享信息。具體包括：面向行業(yè)內(nèi)企業(yè)推動“同行”監(jiān)督，針對行業(yè)特性制定合規(guī)標準，組織開展合規(guī)教育培訓，推動企業(yè)間和行業(yè)間合規(guī)交流；面向政府定期發(fā)布本行業(yè)個人信息保護合規(guī)性評估與風險監(jiān)測報告；面向公眾開展個人信息安全科普宣傳及高風險企業(yè)和高風險應用監(jiān)測提醒。特別是在公眾宣傳方面，要提醒公眾善于識別那些打著新客試用、免費贈送等旗號誘導消費者掃碼授權，以“免費”之名達到攫取個人數(shù)據(jù)之實的商家，從源頭減少個人信息外泄。個人信息保護領域的“技防”比“人防”更加高效，監(jiān)管部門如果能夠跨越“專業(yè)鴻溝”，將有助于回應個人信息整體保護的需要。在跨越“專業(yè)鴻溝”方面，重點針對個人信息處理技術的專業(yè)性帶來的監(jiān)管本領恐慌，監(jiān)管部門應加大與高校、科研院所、實驗室等合作力度，保持對新技術及其潛在風險的學習和把握，提高解決技術問題的水平。政府還可以通過發(fā)布國家標準、開展安全認證、提供自評估指南、與頭部企業(yè)簽署自律公約和數(shù)據(jù)宣言等方式，指導企業(yè)完善自我規(guī)范并對違規(guī)收集使用個人信息問題開展自查自糾，從而改變“政府監(jiān)管者、企業(yè)被監(jiān)管者”的單一、對立關系，通過多種方式讓企業(yè)主體參與監(jiān)管過程，推動企業(yè)主體落實自我監(jiān)管責任。

（三）加強分層分類，實現(xiàn)韌性監(jiān)管

韌性監(jiān)管旨在提升相關主體抵御個人信息安全風險或幫助其從損失中得以恢復的能力。建議分層分類施策，實施韌性監(jiān)管：政府應引導大型個人信息處理者率先開展合規(guī)建設，包括培育合規(guī)理念、完善合規(guī)制度、改進業(yè)務流程、善用合規(guī)技術、營造合規(guī)文化、引入外部監(jiān)督、推動合規(guī)行為與業(yè)績掛鉤等，鼓勵其積累內(nèi)控經(jīng)驗，形成合規(guī)藍本，激發(fā)示范效應。對優(yōu)先完成合規(guī)建設的企業(yè)實施“正向激勵型監(jiān)管”策略，如建立“白名單”，為其提供市場準入優(yōu)先權；為通過安全認證且在獲得認證后表現(xiàn)良好的企業(yè)提供合規(guī)補貼；為主動開展合規(guī)性技術研發(fā)和技術共享，能夠為個人信息保護提供優(yōu)秀解決方案的企業(yè)，給予社會榮譽。對違法違規(guī)收集使用個人信息規(guī)模巨大、危害嚴重或拒不整改的相關主體，實施“聯(lián)合懲戒型監(jiān)管”策略，如引入“雙罰”機制，除下架處理和吊銷運營商許可外，對相關責任人也要罰款并納入失信記錄。對存在合規(guī)意愿但建設能力不足的個人信息處理主體，政府宜實施“能力助推型監(jiān)管”策略，如向企業(yè)開放個人信息保護合規(guī)自評估工具，推動企業(yè)精準識別合規(guī)漏洞；搭建合規(guī)建設資源共享平臺，促使相關主體精準匹配合規(guī)“資源清單”和“需求清單”，為有效填補合規(guī)漏洞尋找市場化解決方案。

（四）善用數(shù)據(jù)賦能，創(chuàng)新平臺監(jiān)管

建立個人信息保護綜合監(jiān)管平臺，在不改變現(xiàn)行監(jiān)管架構的前提下推動監(jiān)管信息共享共用。一是完善主動、被動和自動發(fā)現(xiàn)機制，擴大個人信息保護案件線索來源。在主動發(fā)現(xiàn)方面，通過日常巡查、飛行檢查等方式完善主動發(fā)現(xiàn)機制，采用監(jiān)管人員和監(jiān)管對象“雙隨機”策略，依托行政和刑事執(zhí)法部門的專業(yè)性識別高關聯(lián)性、高風險的案件線索。在被動發(fā)現(xiàn)方面，打造個人信息保護服務總客服，提高個人信息保護服務的知曉度。如完善微信公眾號等個人信息保護監(jiān)督舉報平臺，將個人信息保護投訴舉報納入市民服務熱線工單受理范圍，加大公民個人信息保護宣傳力度，通過全民參與實現(xiàn)對個人信息保護的線上線下協(xié)同監(jiān)督，構筑個人信息保護全民監(jiān)督體系。在自動發(fā)現(xiàn)方面，針對在線應用加大自動檢測技術的應用范圍和頻次，通過技術賦能實現(xiàn)在線應用監(jiān)管的全天候、全覆蓋。二是完善數(shù)據(jù)匯聚、比對與驗證。對個人信息保護線索來源、問題特征、處置難點等進行通盤考慮和分類研判；有效整合分散在多部門的投訴舉報信息和專業(yè)建議，通過數(shù)據(jù)治理和關聯(lián)分析等大數(shù)據(jù)分析技術，為個人信息保護的風險初篩與問題初診提供科學客觀的數(shù)據(jù)支撐，推動案件線索和科學化建議進入決策程序。如針對投訴舉報集中的個人信息處理者，集中力量開展治理；對高頻使用個人信息的企業(yè)，進行風險畫像，根據(jù)風險等級有針對性地實施差異化監(jiān)管策略。

（五）基于生態(tài)構建，強化系統(tǒng)監(jiān)管

加強個人信息保護是一項系統(tǒng)工程，需要綜合施策，營造個人信息保護生態(tài)。一是強化個人信息保護的制度化規(guī)則驅動。在“正式制度”方面，對個人信息保護法律法規(guī)制度公約等進行系統(tǒng)梳理，有效填補制度“真空”，以完備的制度建設驅動個人信息保護效力提升?？赏ㄟ^強化頂層設計明確采集個人信息的責任主體，明確相關部門的采集權限及其相應的保護責任，通過最小范圍內(nèi)的數(shù)據(jù)共享支撐其他部門的業(yè)務開展，避免多頭采集、重復采集。禁止任何主體交易原始個人信息，違者重罰。在“非正式制度”方面，將個人信息保護文化嵌入企業(yè)文化、社會文化和個體行為準則，成為全社會的行動自覺。亦可探索個人信息保護的“正面清單”或“負面清單”管理制度，監(jiān)管機構與商家就清單內(nèi)事項達成一致并簽訂守約協(xié)議，明確商家個人信息保護的主體責任，政府通過飛行檢查、遠程監(jiān)測等方式履行監(jiān)管責任，若出現(xiàn)違背清單中約定事項的及時采取止損措施。二是優(yōu)化線上線下個人信息處理流程。確保數(shù)據(jù)安全架構充分融入平臺、系統(tǒng)和應用的開發(fā)過程，將個人信息保護機制納入技術開發(fā)框架。線下重點加大對各類“掃碼”場景的監(jiān)督和規(guī)范，通過制度約束和技術防范的“雙輪驅動”，最大限度地避免商家將“掃碼”作為提供服務或支付費用的唯一渠道。優(yōu)化個人信息采集的授權提醒和解除便利，明確任何“掃碼”授權可以被隨時中止和解除，杜絕“一次授權終身采集”的做法。加大線上線下業(yè)務流程再造力度，對涉及個人信息的情形，無論發(fā)生在線上還是線下，相關部門都需要對數(shù)據(jù)的采集、流轉和使用的各環(huán)節(jié)、全過程進行科學設計和嚴格把關，最大限度地精簡流轉環(huán)節(jié)，減少經(jīng)手人員，使從事個人信息處理的工作人員相對穩(wěn)定，以確保數(shù)據(jù)泄露責任相對明確，信息暴露風險相對可控。三是強化人才支撐，加大個人信息保護復合型人才培養(yǎng)。要順應數(shù)字中國建設中個人信息保護的需要，相關人員要提升數(shù)字素養(yǎng)和大數(shù)據(jù)運用能力，提升數(shù)據(jù)安全和個人信息保護的意識和能力，對個人信息心存敬畏，避免濫用個人信息查詢權、越位使用管理服務對象的個人信息等失職行為。注重挖掘和培養(yǎng)懂法律、懂技術、懂管理、善服務的復合型治理人才，持續(xù)提升全社會新技術采納、新技術嵌入和新技術安全風險防范能力，不斷提高個人信息保護的“技防”水平。提升全民個人信息保護素養(yǎng)，為營造協(xié)同、敏捷、韌性的個人信息保護環(huán)境提供良好的基礎。在此基礎上，逐步將我國打造成數(shù)據(jù)安全和個人信息保護高地，為高質量發(fā)展、高效能治理和高品質生活保駕護航。

參考文獻：

［1］習近平.高舉中國特色社會主義偉大旗幟 為全面建設社會主義現(xiàn)代化國家而團結奮斗——在中國共產(chǎn)黨第二十次全國代表大會上的報告［M］.北京：人民出版社，2022.

［2］加快構建數(shù)據(jù)基礎制度 加強和改進行政區(qū)劃工作［N］.人民日報，2022-06-23.

［3］張 珺.個人信息保護：超越個體權利思維的局限［J］.大連理工大學學報（社會科學版），2021，（1）.

［4］史為民.大數(shù)據(jù)時代個人信息保護的現(xiàn)實困境與路徑選擇［J］.情報雜志，2013，（12）.

［5］梁成意，齊彩文.大數(shù)據(jù)時代個人信息保護的執(zhí)法困境與選擇［J］.天水行政學院學報，2019，（1）.

［6］劉小霞，陳秋月.大數(shù)據(jù)時代的網(wǎng)絡搜索與個人信息保護［J］.現(xiàn)代傳播，2014，（5）.

［7］張 濤．個人信息保護的整體性治理：立法、行政與司法的協(xié)同［J］.電子政務，2023，（6）.

［8］“凈網(wǎng)2021”專項行動全國公安機關偵辦網(wǎng)絡犯罪案件6.2萬起［J］.中國防偽報道，2022，（1）.

［9］李 卉，國佳寧，李 前.GDPR下法國與比利時的個人數(shù)據(jù)保護監(jiān)管實踐與啟示——基于信息生態(tài)系統(tǒng)理論［J］.國際經(jīng)濟法學刊，2022，（3）.

［10］袁 博.大數(shù)據(jù)時代個人信息保護的行政監(jiān)管立場及其智慧化轉型［J］.西南民族大學學報（人文社會科學版），2022，（6）.

［11］李奕扉，王協(xié)舟，李典誥.個人信息保護場景化的現(xiàn)實困境、國際經(jīng)驗與改進建議［J］.情報資料工作，2022，（5）.

［12］金泓序，何 畏.大數(shù)據(jù)時代個人信息保護的挑戰(zhàn)與對策研究［J］.情報科學，2022，（6）.

［13］高富平.個人信息保護：從個人控制到社會控制［J］.法學研究， 2018，（3）.

［14］Schwartz，Paul M.Preemption and Privacy［J］.The Yale Law Journal，2009，（5）.

［15］Reidenberg， Joel R. Resolving Conflicting International Data Privacy Rules in Cyberspace［J］.Standford Law Review， 2000，（5）.

［16］Federal Trade Commission U. S. Privacy Online： A Report to Congress［R/OL］.［2023-03-10］.http：∥www.ftc.gov/reports/privacy-online-report-congress.

［17］［美］朱迪·弗里曼.合作治理與新行政法［M］.北京：商務印書館，2010.

［18］［美］約翰·D.多納休，［美］理查德·J.澤克豪澤.合作：激變時代的合作治理［M］.北京：中國政法大學出版社，2015.

［19］Mashaw， Jerry L. Prodelegation： Why Administrators Should Make Political Decisions［J］. Journal of Law， Economics & Organization，1985，（1）.

［20］Merrill，Thomas W.Capture Theory and the Courts：1967-1983［J］.Chicago-Kent Law Review，1997，（4）.

［21］宋華琳.代譯序：邁向規(guī)制與治理的法律前沿［G］∥［英］科林·斯科特.規(guī)制、治理與法律：前沿問題研究.北京：清華大學出版社，2018.

［22］［法］米歇爾·福柯.規(guī)訓與懲罰［M］.北京：三聯(lián)書店，2016.

責任編輯：王 篆

From Control to Cooperation： Optimization of Personal Information Protection Strategies

Ye Lan

Abstract：In the digital age， the government to strengthen the protection of personal information is faced with such difficulties as the heterogeneity of responsibilities under the change of roles， the vague supervision under the virtual network and the difficulty of meeting public expectations. The public value of personal information makes natural persons no longer have absolute control over personal information. Personal information and personal data， which were highly consistent， differ from each other. The ubiquity of personal information processing objects and the concealment of behaviors lead to the diversification of risks. The protection of personal information urgently needs to move from “control” to “cooperation”. Cooperative supervision relies on collaborative governance mechanism， efficiency generation mechanism and post-regulatory mechanism to achieve subject empowerment， process empowerment and result empowerment， and improve the performance of personal information protection. Implementing accurate supervision， improving process supervision， realizing resilient supervision， innovating platform supervision and strengthening system supervision are the strategic combinations of deepening personal information protection from the perspective of cooperative supervision.

Key words：personal information protection， cooperative supervision， public safety， risk governance