李亞平，周偉良

(1.合肥工業(yè)大學(xué) 管理學(xué)院，安徽 合肥 230009；2.安徽行政學(xué)院，安徽 合肥 230059)

2002年，李希光教授提出“中國人大應(yīng)該禁止任何人網(wǎng)上匿名”之后，網(wǎng)絡(luò)實名制便受到了越來越廣泛的關(guān)注和研究[1-2]。2006年，中科院院士胡啟恒提出應(yīng)從有限實名(即前臺匿名，后臺實名)的角度平衡個人隱私和公眾、國家利益。這為網(wǎng)絡(luò)實名制的推進提供了一個新的方向[3]。依據(jù)網(wǎng)絡(luò)實名的程度可以將網(wǎng)絡(luò)環(huán)境劃分為匿名網(wǎng)絡(luò)、有限實名網(wǎng)絡(luò)和實名網(wǎng)絡(luò)3種[4]，有限實名是介于匿名與實名的中間狀態(tài)。2012年，全國人大常委會通過的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》(以下簡稱《決定》)中不僅包括接入實名，而且包括信息發(fā)布實名的要求[5]，在實現(xiàn)方式上，《決定》同樣包含了“前臺匿名、后臺實名”的“有限實名”方式。

有限實名網(wǎng)絡(luò)區(qū)別于匿名網(wǎng)絡(luò)和實名網(wǎng)絡(luò)，既有匿名網(wǎng)絡(luò)、實名網(wǎng)絡(luò)的特征，又有其自身的特點，是兼顧網(wǎng)絡(luò)言論自由和互聯(lián)網(wǎng)監(jiān)管的中間方案。然而，個人信息在有限實名網(wǎng)絡(luò)環(huán)境的各個平臺、應(yīng)用程序中沉淀、累積，同樣也面臨較高的安全風(fēng)險。由于有限實名網(wǎng)絡(luò)在實現(xiàn)方式上與實名網(wǎng)絡(luò)存在顯著差異，其安全需求、實施難度與實名網(wǎng)絡(luò)同樣存在不同。本文從有限實名網(wǎng)絡(luò)中個人信息的內(nèi)涵和風(fēng)險出發(fā)，研究個人信息保護在監(jiān)管主體及其監(jiān)管責(zé)任方面存在的問題，并在此基礎(chǔ)上，重點分析有限實名網(wǎng)絡(luò)個人信息監(jiān)管的主體責(zé)任。

一、有限實名網(wǎng)絡(luò)中的個人信息及其安全風(fēng)險

有限實名網(wǎng)絡(luò)的新特征賦予了個人信息新的內(nèi)涵，同時也為沉淀其中的個人信息帶來了新的信息安全風(fēng)險。有限實名網(wǎng)絡(luò)中的個人信息邊界更為模糊，因此其面臨的安全風(fēng)險來源更為復(fù)雜，監(jiān)管也更為困難。

(一)有限實名網(wǎng)絡(luò)中個人信息的內(nèi)涵

1.個人信息的界定

在歐盟，《歐盟指令》將個人信息界定為有關(guān)自然人的能被識別和可以識別的所有信息?！稓W盟指令》將個人信息劃分為可以直接識別和間接識別兩大類，但究其核心主要是強調(diào)個人信息的可識別屬性[6]。在美國，個人信息是指用來標(biāo)識個人基本情況的資料。日本則使用“生活日志”的概念，將個人信息從靜態(tài)的屬性信息延伸到個人生活記錄，例如網(wǎng)站瀏覽記錄、電商網(wǎng)站的購買和支付記錄、GPS位置信息等[7]。

2013年2月1日，我國首個個人信息保護國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》(以下簡稱《指南》)正式實施[8]，它將個人信息界定為可為信息系統(tǒng)所處理、與特定自然人相關(guān)、能夠單獨或通過與其他信息結(jié)合識別該特定自然人的計算機數(shù)據(jù)。同時，《指南》還將個人信息劃分為個人敏感信息和個人一般信息兩大類。其中，個人敏感信息是指“一旦遭到泄露或修改，會對標(biāo)識的個人信息主體造成不良影響的個人信息”。例如個人敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等。

綜上所述，個人信息有廣義和狹義之分，狹義的個人信息更多強調(diào)的是與特定自然人相關(guān)的屬性信息，廣義的個人信息則是與自然人相關(guān)并能夠被識別的所有信息，不僅包含相關(guān)自然人的屬性信息，還包括其行為信息以及社會關(guān)系信息等。

2.有限實名網(wǎng)絡(luò)中的個人信息

互聯(lián)網(wǎng)環(huán)境下，個人信息主要以“個人電子數(shù)據(jù)”作為主要的存在形式。有限實名網(wǎng)絡(luò)中“后臺實名”的個人信息并非靜態(tài)地存在于信息系統(tǒng)或應(yīng)用程序中，也不僅僅局限于相關(guān)自然人的屬性信息，有限實名網(wǎng)絡(luò)中的個人信息具有顯著的模糊性特征。

內(nèi)容上的模糊性。有限實名網(wǎng)絡(luò)個人信息的內(nèi)容既包括姓名、電話、身份證、地址等明確的信息，也包括網(wǎng)絡(luò)活動軌跡等模糊信息，其內(nèi)容邊界很難完整、準(zhǔn)確地給予界定。

形式上的模糊性。有限實名網(wǎng)絡(luò)中個人信息的存在形式既有文本、圖片、音頻、視頻等，也有可能是數(shù)據(jù)庫中隱性的相關(guān)關(guān)系，這些信息散落在有限實名網(wǎng)絡(luò)的各個平臺或應(yīng)用程序中，通過數(shù)據(jù)挖掘等信息技術(shù)又能夠形成一些有價值的知識，從而對個人信息顯性化、個人的網(wǎng)絡(luò)生活和社會生活產(chǎn)生影響。

權(quán)利歸屬的模糊性。個人信息既具有財產(chǎn)權(quán)利的基本特征[9]，又具有權(quán)利歸屬的模糊特征。例如，通過數(shù)據(jù)挖掘技術(shù)獲得的個人相關(guān)信息或統(tǒng)計類信息，其權(quán)力屬于相關(guān)自然人或是相關(guān)的互聯(lián)網(wǎng)企業(yè)，仍然存在一定的不確定性。同時，從另外一個角度看，個人信息在內(nèi)容、形式及權(quán)利方面的模糊性也導(dǎo)致了個人信息保護在立法監(jiān)管方面的模糊性。

(二)有限實名網(wǎng)絡(luò)中個人信息的安全風(fēng)險

1.個人信息安全風(fēng)險的復(fù)雜性

首先，個人信息的過度采集?；趥€人信息潛在或直接的商業(yè)價值，個人信息的過度采集已經(jīng)成為網(wǎng)絡(luò)環(huán)境中一個較為普遍的現(xiàn)象。有限網(wǎng)絡(luò)環(huán)境中的個人信息過度采集主要表現(xiàn)為網(wǎng)絡(luò)服務(wù)提供商超出所提供服務(wù)的業(yè)務(wù)需要，采集非必要或完全無關(guān)的個人信息的行為。例如，借助GPS定位技術(shù)，一些網(wǎng)絡(luò)服務(wù)提供商開始過度采集用戶的實時位置信息；一些電子商務(wù)企業(yè)或平臺超出自身業(yè)務(wù)需求大量存儲用戶的銀行賬戶信息；一些基于手機通訊錄的即時通信軟件通過“云”端采集用戶的通訊錄信息。此外，大數(shù)據(jù)時代，數(shù)據(jù)挖掘技術(shù)為個人信息的獲取、分析、處理帶來極大的便利，同時也使得個人信息在獲取、存儲、轉(zhuǎn)移等各個環(huán)節(jié)都呈現(xiàn)新的特點[10]。而這些被過度采集、挖掘的個人信息，在一定程度上增加了個人信息安全風(fēng)險，具有明顯的隱蔽性。

其次，個人信息的濫用。目前，大數(shù)據(jù)及數(shù)據(jù)挖掘等相關(guān)信息技術(shù)，使得個人信息直接或潛在的商業(yè)價值不斷凸顯，這進一步刺激著互聯(lián)網(wǎng)企業(yè)甚至硬件設(shè)備商、應(yīng)用程序開發(fā)商等都對用戶個人信息進行過度的收集和濫用[11]。有限實名網(wǎng)絡(luò)中個人信息濫用主要表現(xiàn)為違規(guī)披露和違規(guī)“共享”兩種情形，違規(guī)披露是指網(wǎng)絡(luò)服務(wù)提供商在未獲法律授權(quán)、未得到用戶許可或者超出必要限度地披露他人的個人信息。違規(guī)共享是指網(wǎng)絡(luò)服務(wù)提供商在未經(jīng)法律授權(quán)或者用戶許可的情況下，將所掌握的個人信息提供給其他機構(gòu)。信息技術(shù)的發(fā)展以及互聯(lián)網(wǎng)相關(guān)企業(yè)對個人信息的濫用進一步加劇了個人信息安全風(fēng)險的復(fù)雜性。

第三，個人信息的泄露。隨著有限實名網(wǎng)絡(luò)的不斷延伸以及信息技術(shù)的不斷發(fā)展，個人信息泄露不斷規(guī)?；?，產(chǎn)生的危害也日益嚴(yán)重。中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《2016中國網(wǎng)民權(quán)益保護調(diào)查報告》顯示，84%的網(wǎng)民曾經(jīng)遭受過因個人信息泄露帶來的不良影響，個人信息泄露的情形具有顯著的普遍性。

從個人信息泄露的途徑看，個人信息泄露的原因主要包括技術(shù)原因和非技術(shù)原因(人為因素)兩種。一是技術(shù)原因，主要表現(xiàn)為計算機病毒(手機病毒)的傳播在電子設(shè)備中獲取個人信息，黑客利用系統(tǒng)漏洞等侵入計算機系統(tǒng)獲取個人信息。二是人為因素，主要表現(xiàn)為互聯(lián)網(wǎng)企業(yè)或企業(yè)內(nèi)部人員有意或無意的泄露，其中既有商業(yè)因素驅(qū)動下的個人信息交易，也有企業(yè)管理漏洞導(dǎo)致的泄露。這使得個人信息安全風(fēng)險產(chǎn)生更為嚴(yán)重的危害性。

2.個人信息侵害的隱蔽性

首先，技術(shù)手段的隱蔽性。信息技術(shù)手段的不斷進步，使得個人信息的獲取、存儲和轉(zhuǎn)移更為便利，同時也更為隱蔽。從獲取的角度看，在系統(tǒng)存在漏洞的情況下，通過技術(shù)手段竊取個人信息具有較高的隱蔽性，即使事后察覺，也很難彌補已經(jīng)發(fā)生的信息泄露和可能產(chǎn)生的危害。此外，通過數(shù)據(jù)挖掘技術(shù)獲取更廣泛的個人行為信息或統(tǒng)計信息等，則更為隱蔽，也更加難以防范。

其次，侵害主體的隱蔽性。技術(shù)手段的隱蔽性直接導(dǎo)致侵害主體的隱蔽性。隨著技術(shù)門檻的不斷降低，無論是黑客個人、互聯(lián)網(wǎng)企業(yè)都可以借助相應(yīng)的信息技術(shù)手段獲取個人信息。這使得在個人信息泄露發(fā)生時，追蹤鎖定侵害主體存在較大的困難，這在一定程度上進一步刺激了個人信息竊取行為的發(fā)生，并使得監(jiān)管和追責(zé)面臨很大的障礙。

第三，交易行為的隱蔽性。與傳統(tǒng)的交易行為不同，由于個人信息通常以“個人電子數(shù)據(jù)”的形式存在，通過網(wǎng)絡(luò)渠道，這些“電子數(shù)據(jù)”能夠非常便利地實現(xiàn)轉(zhuǎn)移。個人信息的轉(zhuǎn)移、交易通過社交平臺、即時通訊軟件、電子商務(wù)平臺等，整個交易的過程從溝通、供貨、支付都可以實現(xiàn)虛擬化和網(wǎng)絡(luò)化，這使得目前個人信息的交易行為既隱蔽又十分迅速。

二、個人信息監(jiān)管主體及其監(jiān)管責(zé)任存在的問題

目前，針對網(wǎng)絡(luò)個人信息監(jiān)管的法律法規(guī)還相對滯后，關(guān)于個人信息的立法保護主要存在立法分散、立法滯后和立法空白等問題[12-13]。同時，有限實名中個人信息風(fēng)險的新特征使得個人信息監(jiān)管變得更為困難。針對個人信息的監(jiān)管，既存在監(jiān)管主體范圍不明確，又存在監(jiān)管主體責(zé)任邊界不清晰的問題。

(一)監(jiān)管主體的范圍不明確

2017年實施的《網(wǎng)絡(luò)安全法》，對保障我國網(wǎng)絡(luò)安全及個人信息安全具有重要意義。作為一部保障網(wǎng)絡(luò)安全的基本法，《網(wǎng)絡(luò)安全法》對個人信息保護做出了原則性的規(guī)定，但并未對監(jiān)管的主體進行界定，也未對監(jiān)管主體的職責(zé)等進行明確。同時，相關(guān)學(xué)者對于監(jiān)管主體的研究，通常更側(cè)重于政府職能部門的行政監(jiān)管。因此，在行政監(jiān)管之外，對于網(wǎng)絡(luò)個人信息保護的監(jiān)管主體范圍，還沒有明確的界定，這無疑會進一步加劇有限實名網(wǎng)絡(luò)環(huán)境下的個人信息安全風(fēng)險。

《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》對網(wǎng)絡(luò)個人信息保護的主體進行了界定，主要包括網(wǎng)絡(luò)服務(wù)提供者、企事業(yè)單位、監(jiān)管部門等，這對于界定個人信息保護的監(jiān)管主體具有重要的借鑒意義。在此基礎(chǔ)上，從使用控制的角度看，個人信息監(jiān)管不僅涉及上述主體，同樣涉及網(wǎng)民個人和其他訪問者。因此，有限實名網(wǎng)絡(luò)中針對個人信息的有效使用和保護，需要政府職能部門、互聯(lián)網(wǎng)企業(yè)以及網(wǎng)民個人等相關(guān)權(quán)利主體協(xié)同配合，有效履行各自承擔(dān)的責(zé)任。綜上分析，有限實名網(wǎng)絡(luò)個人信息保護的監(jiān)管主體應(yīng)主要包括政府職能部門、互聯(lián)網(wǎng)企業(yè)、網(wǎng)民個人等。

(二)監(jiān)管主體的責(zé)任邊界不清晰

行政監(jiān)管是網(wǎng)絡(luò)個人信息監(jiān)管的主要手段。有限實名網(wǎng)絡(luò)環(huán)境中，對個人信息采集、存儲、使用、保護等方面的監(jiān)管同樣離不開行政監(jiān)管。目前，針對個人信息的行政監(jiān)管的主體責(zé)任邊界不清晰主要表現(xiàn)在兩個方面：第一，雖然國內(nèi)目前已經(jīng)制定了一些關(guān)于互聯(lián)網(wǎng)方面涉及個人信息保護的法律法規(guī)，但是這些法律法規(guī)十分分散，還沒有形成完備的體系，這就在客觀上導(dǎo)致互聯(lián)網(wǎng)監(jiān)管工作呈現(xiàn)多頭管理、交叉管理或無人管理的尷尬局面。第二，源于行政資源的限制，目前還沒有足夠的行政資源參與涉及個人信息保護的監(jiān)管中，同時由于網(wǎng)絡(luò)技術(shù)的日新月異，監(jiān)管什么、怎么監(jiān)管都還存在諸多不確定性。

監(jiān)管責(zé)任不清晰不僅僅局限于行政監(jiān)管。從網(wǎng)絡(luò)個人信息資源權(quán)益相關(guān)方的角度看,個人信息監(jiān)管主要涉及政府職能部門、互聯(lián)網(wǎng)企業(yè)和網(wǎng)民個人。從網(wǎng)絡(luò)個人信息的生命周期看，主要包含采集、存儲、使用、更新、銷毀等環(huán)節(jié)。各權(quán)益相關(guān)方在個人信息生命周期的不同階段，能夠?qū)崿F(xiàn)監(jiān)管的有效程度存在較大差別。例如，網(wǎng)民個人參與的個人信息監(jiān)管環(huán)節(jié)主要涉及采集和更新兩個階段，而對于存儲、使用和銷毀環(huán)節(jié)則很難起到監(jiān)管作用。因此，有限實名網(wǎng)絡(luò)中個人信息監(jiān)管的主體責(zé)任邊界不夠清晰的情形仍普遍存在。

三、個人信息監(jiān)管主體的監(jiān)管責(zé)任分析

有限實名網(wǎng)絡(luò)中的個人信息安全涉及互聯(lián)網(wǎng)企業(yè)、網(wǎng)民個人以及政府職能部門等多個主體的權(quán)責(zé)義務(wù)。由于有限實名網(wǎng)絡(luò)個人信息的復(fù)雜性以及法律法規(guī)的相對滯后，各主體之間的監(jiān)管責(zé)任往往存在權(quán)責(zé)交叉、監(jiān)管空白等問題，即有些問題多頭管理，有些問題又沒有明確的責(zé)任主體，這為有限實名網(wǎng)絡(luò)中的個人信息保護和監(jiān)管帶來了諸多困難。進一步厘清各權(quán)利主體的權(quán)責(zé)義務(wù)，有利于推進個人信息更加有效的監(jiān)管。

(一)政府職能部門的監(jiān)管責(zé)任

1.完善個人信息保護立法的責(zé)任

目前，國內(nèi)還沒有針對個人信息保護的專項立法，在對互聯(lián)網(wǎng)企業(yè)個人信息采集、存儲、使用、銷毀等環(huán)節(jié)的行為規(guī)范缺乏必要約束和責(zé)任追究。從國外個人信息安全保護的立法情況來看[14]，德國早在1970年便頒布了《個人資料保護法》，隨后，《聯(lián)邦數(shù)據(jù)保護法》和《州數(shù)據(jù)保護法》陸續(xù)頒布。美國于1974年在參眾兩院通過《隱私權(quán)法》，并于1986年頒布了《電子通訊隱私法》；隨著網(wǎng)絡(luò)技術(shù)的不斷應(yīng)用，1998年頒布了針對互聯(lián)網(wǎng)從業(yè)者的《有效保護隱私權(quán)的自律規(guī)范》。歐盟于1995年也頒布了《關(guān)于在個人數(shù)據(jù)處理過程中保護當(dāng)事人及此類數(shù)據(jù)自由流通的指令》。日本于2003年頒布了《個人信息保護法》[15]。

作為一個互聯(lián)網(wǎng)大國，中國在個人信息安全立法方面較為滯后，還缺乏對互聯(lián)網(wǎng)個人信息有效保護的法律規(guī)范。結(jié)合國外個人信息立法的經(jīng)驗，中國未來在個人信息立法方面，應(yīng)著重關(guān)注以下幾個方面：一是面向互聯(lián)網(wǎng)環(huán)境尤其是實名網(wǎng)絡(luò)環(huán)境、有限實名網(wǎng)絡(luò)環(huán)境的個人信息保護立法；二是面向個人信息采集、存儲、使用、銷毀全過程的個人信息立法；三是面向政府職能部門、互聯(lián)網(wǎng)企業(yè)、互聯(lián)網(wǎng)行業(yè)協(xié)會、網(wǎng)民個人多主體的個人信息立法。

2.完善互聯(lián)網(wǎng)企業(yè)個人信息保護能力評估的責(zé)任

目前，互聯(lián)網(wǎng)在個人信息使用和保護方面的權(quán)利和義務(wù)是不對等的。互聯(lián)網(wǎng)企業(yè)通過提供一定的網(wǎng)絡(luò)服務(wù)來(過度)采集個人信息的情形十分普遍。與此同時，互聯(lián)網(wǎng)企業(yè)濫用個人信息或未能有效保護個人信息的情形同樣普遍。政府職能部門對于互聯(lián)網(wǎng)企業(yè)采集、存儲、使用個人信息缺乏必要的安全能力評估和市場準(zhǔn)入限制。在立法滯后的情況下，可以通過設(shè)計安全能力評估、誠信等級評估等對互聯(lián)網(wǎng)企業(yè)的個人信息采集、存儲、使用等行為進行規(guī)范。

通過對互聯(lián)網(wǎng)企業(yè)個人信息保護能力評估，設(shè)計針對具有一定規(guī)模的互聯(lián)網(wǎng)企業(yè)個人信息采集、存儲、使用等行為的市場準(zhǔn)入機制和市場退出機制。對不具備安全保護能力的互聯(lián)網(wǎng)企業(yè)限制其采集個人信息的規(guī)模，或?qū)ζ涮岢鱿鄳?yīng)的整改要求，以提高互聯(lián)網(wǎng)企業(yè)的個人信息保護能力。

3.構(gòu)建動態(tài)巡查及信息安全預(yù)警平臺的責(zé)任

網(wǎng)絡(luò)環(huán)境下，個人信息的買賣或濫用，通常十分隱秘，如何發(fā)現(xiàn)個人信息安全風(fēng)險是非常困難的。立法是基礎(chǔ)，如何讓各項法律、制度得以有效落實也是政府職能部門需要履行的重要責(zé)任。因此，需要建立動態(tài)的網(wǎng)絡(luò)個人信息安全風(fēng)險發(fā)現(xiàn)機制。這主要體現(xiàn)為主動巡查和接受舉報兩種渠道。

一是針對互聯(lián)網(wǎng)企業(yè)的個人信息安全保護的動態(tài)巡查機制，加強對核心互聯(lián)網(wǎng)企業(yè)尤其是實名社交網(wǎng)絡(luò)平臺、有限實名的社交網(wǎng)絡(luò)平臺的動態(tài)巡查，對其個人信息安全保護的制度、技術(shù)、人員管理等方面進行動態(tài)評估。二是建立暢通的個人信息安全預(yù)警平臺，通過漏洞檢測和接受網(wǎng)民舉報等方式，及時發(fā)現(xiàn)互聯(lián)網(wǎng)平臺存在的信息安全漏洞和風(fēng)險，發(fā)布個人信息安全預(yù)警，提高互聯(lián)網(wǎng)平臺應(yīng)對個人信息安全風(fēng)險的及時性。

4.完善個人信息安全事件的追責(zé)機制的責(zé)任

個人信息作為一種重要的資源受到政府職能部門、互聯(lián)網(wǎng)企業(yè)以及非法使用者等各個方面的關(guān)注。在利益的驅(qū)動下，個人信息泄露、濫用、買賣等情形層出不窮。加強個人信息保護，需要對個人信息使用中的不法行為進行必要的追責(zé)，既要追究非法獲取者、買賣者、使用者的責(zé)任，也要追究個人信息保護不力者的責(zé)任，而如何構(gòu)建有效的個人信息安全事件追責(zé)機制，也是當(dāng)下政府職能部門進行互聯(lián)網(wǎng)管理的一項重要職責(zé)。

(二)互聯(lián)網(wǎng)企業(yè)的內(nèi)部監(jiān)管責(zé)任

經(jīng)營實名網(wǎng)絡(luò)平臺、有限實名網(wǎng)絡(luò)平臺的互聯(lián)網(wǎng)企業(yè)是個人信息采集、存儲、使用的關(guān)鍵主體，也是進行個人信息保護的關(guān)鍵環(huán)節(jié)。因此，從責(zé)權(quán)對等的角度看，互聯(lián)網(wǎng)企業(yè)既要享受個人信息帶來的利益，也需承擔(dān)相應(yīng)的個人信息保護的責(zé)任。

1.完善企業(yè)內(nèi)部個人信息安全管理制度的責(zé)任

建立健全互聯(lián)網(wǎng)企業(yè)的內(nèi)部個人信息安全管理制度，是進行個人信息保護的前提和基礎(chǔ)，是互聯(lián)網(wǎng)企業(yè)進行自我行為規(guī)范的依據(jù)。參照《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的規(guī)定》，互聯(lián)網(wǎng)企業(yè)應(yīng)認(rèn)識自身在個人信息保護方面的責(zé)任，進一步完善企業(yè)內(nèi)部的個人信息管理制度。

互聯(lián)網(wǎng)企業(yè)的個人信息安全管理制度應(yīng)主要包括數(shù)據(jù)安全、密碼與權(quán)限安全、網(wǎng)絡(luò)設(shè)備安全以及操作人員安全等方面的管理制度，從基礎(chǔ)設(shè)備層、數(shù)據(jù)層、業(yè)務(wù)層和管理層設(shè)計更為完善的個人信息安全管理制度。

2.完善企業(yè)個人信息技術(shù)保護手段的責(zé)任

針對來自企業(yè)外部、內(nèi)部的個人信息安全風(fēng)險，既需要制度保障，又需要必要的安全技術(shù)手段。互聯(lián)網(wǎng)企業(yè)需要對采集到的個人信息履行安全保護的責(zé)任，因此需要不斷完善企業(yè)在個人信息保護方面的技術(shù)投入。這主要包括加密技術(shù)的使用、訪問控制權(quán)限的劃分以及網(wǎng)絡(luò)安全防護措施等。

在加密技術(shù)方面，要采用必要的加密措施加強個人關(guān)鍵信息的密文存儲，即使個人信息被非法訪問，也無法得到有價值的密文。在訪問控制權(quán)限劃分方面，企業(yè)對個人信息的使用并非面向企業(yè)內(nèi)部所有人員，差異化的權(quán)限劃分十分必要，這將有利于強化對個人信息安全的保護，降低個人信息在企業(yè)內(nèi)部的濫用和泄露風(fēng)險。在網(wǎng)絡(luò)安全防護措施方面，要加強對防火墻技術(shù)、入侵檢測技術(shù)、VPN等網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，構(gòu)建更加全面的安全防護體系。

3.企業(yè)人員安全保密的管理責(zé)任

制度的完善、技術(shù)的應(yīng)用，落實關(guān)鍵在人。強化互聯(lián)網(wǎng)企業(yè)內(nèi)部操作人員的安全保密責(zé)任意識十分重要。相對于外部入侵的信息安全風(fēng)險，內(nèi)部人員安全風(fēng)險更加難以防護。因此，加強企業(yè)人員的安全保密管理也是互聯(lián)網(wǎng)企業(yè)履行個人信息安全保護的重要責(zé)任。

加強企業(yè)操作人員的安全保密管理，主要包括三方面內(nèi)容：一是切實履行信息安全保密協(xié)議，通過簽訂個人信息安全保密協(xié)議，明確企業(yè)操作人員在個人信息安全保護方面的責(zé)任。二是強化企業(yè)操作人員在個人信息安全方面的技術(shù)培訓(xùn)，在提高其安全意識的同時，提高其操作的規(guī)范性。三是在權(quán)限劃分方面切實履行最小化原則和數(shù)據(jù)庫雙人操作原則，盡量避免個人信息在企業(yè)內(nèi)部的泄露。

4.接受政府職能部門、網(wǎng)民個人監(jiān)督的責(zé)任

互聯(lián)網(wǎng)企業(yè)在個人信息安全保護方面的措施以及對個人信息的使用需要接受政府職能部門和網(wǎng)民個人的監(jiān)督。如何保障這樣的監(jiān)督具有可操作性，則需要互聯(lián)網(wǎng)企業(yè)進行必要的信息公開。目前，互聯(lián)網(wǎng)企業(yè)對于自身信息安全防護措施等信息的公開還處于空白階段。此外，對于互聯(lián)網(wǎng)企業(yè)采集、存儲的個人信息，網(wǎng)民個人并沒有相應(yīng)的處置權(quán)利，因此，互聯(lián)網(wǎng)企業(yè)還應(yīng)面向網(wǎng)民個人開通暢通的個人信息維護渠道。

互聯(lián)網(wǎng)企業(yè)的信息公開主要包括個人信息安全保護措施的公開和個人信息采集、使用規(guī)則以及個人信息安全事件的公開3個方面。個人信息維護渠道方面，網(wǎng)民個體應(yīng)該享有維護存儲在互聯(lián)網(wǎng)平臺的個人信息，其中包括申請刪除、注銷等權(quán)利。

(三)網(wǎng)民個人的監(jiān)管責(zé)任

作為個人信息的關(guān)鍵權(quán)益方，網(wǎng)民個人卻很難對網(wǎng)絡(luò)平臺的信息采集和信息使用享有相應(yīng)的處置權(quán)利，使得網(wǎng)民個人的權(quán)益難以得到保障。一方面是網(wǎng)民自身信息安全意識還較為薄弱，另一方面是網(wǎng)民主張其利益的渠道還不暢通。但就個人信息保護而言，網(wǎng)民個人的監(jiān)督對于提升互聯(lián)網(wǎng)平臺的個人信息安全水平至關(guān)重要。

1.提高自身個人信息安全意識的責(zé)任

網(wǎng)民個人需要進一步提升自身信息安全的意識，充分認(rèn)識個人信息的價值以及個人信息泄露的不利影響。在獲取網(wǎng)絡(luò)服務(wù)的同時，對網(wǎng)絡(luò)平臺的個人信息采集進行必要的甄別，對缺乏信用體系認(rèn)證和技術(shù)防護能力的網(wǎng)絡(luò)平臺、互聯(lián)網(wǎng)企業(yè)予以關(guān)注。減少不必要的個人信息登記，強化個人密碼管理，自覺維護自身信息安全。

網(wǎng)民個人的信息安全意識的提升應(yīng)主要表現(xiàn)在以下方面：一是加強對個人信息保護相關(guān)法律法規(guī)的了解，在個人信息安全受到侵害時，能夠更好地利用法律手段維護自身利益；二是加強個人信息的保密意識，減少不必要的個人信息登記、發(fā)布，加強自身網(wǎng)絡(luò)平臺的密碼管理。

2.監(jiān)督互聯(lián)網(wǎng)企業(yè)個人信息管理行為的責(zé)任

目前，網(wǎng)民個人對互聯(lián)網(wǎng)企業(yè)監(jiān)管責(zé)任的體現(xiàn)還很不充分，究其原因，既有互聯(lián)網(wǎng)企業(yè)信息安全措施和使用信息公開的空白，也有相關(guān)法律法規(guī)的滯后。在此情形下，網(wǎng)民個人維護自身信息安全利益仍然需要加強對互聯(lián)網(wǎng)企業(yè)信息采集、使用行為的監(jiān)督，并主要從個人信息維護和侵權(quán)行為舉報、投訴兩個方面展開。一是加強個人信息維護，網(wǎng)民個人要對存留在網(wǎng)絡(luò)平臺的個人信息及時地進行注銷、清理；二是對互聯(lián)網(wǎng)企業(yè)個人信息過度采集、個人信息濫用等現(xiàn)象進行舉報和投訴。

3.監(jiān)督政府職能部門個人信息保護措施的責(zé)任

加強互聯(lián)網(wǎng)管理是政府職能部門的一項重要職能，強化對政府職能部門在追責(zé)方面的監(jiān)督，是網(wǎng)民個人的權(quán)利，同樣也是維護自身信息安全的責(zé)任。有效的監(jiān)督，可以促使政府職能部門更加高效地履行各自在個人信息安全保護的職責(zé)。針對政府職能部門在個人信息保護方面立法、評估、巡查、追責(zé)等責(zé)任，網(wǎng)民個人的監(jiān)督責(zé)任主要體現(xiàn)在提供建議、配合評估、積極舉報等方面。一是要對政府職能部門的法律法規(guī)制定提供意見和建議；二是要對積極參與配合政府職能部門在互聯(lián)網(wǎng)企業(yè)誠信、信息安全等級方面的評估；三是要對政府職能部門在追責(zé)過程中的行為進行必要的監(jiān)督。

四、結(jié)語

對有限實名網(wǎng)絡(luò)中的個人信息安全使用進行必要的監(jiān)管是實現(xiàn)個人信息有序采集、合理使用、有效保護的重要手段。長久以來，由于相關(guān)法律法規(guī)的滯后，相關(guān)的監(jiān)管工作存在諸多問題。強化對有限實名網(wǎng)絡(luò)中個人信息的監(jiān)管，需要對監(jiān)管主體、監(jiān)管權(quán)責(zé)進行劃分和界定。

本文從政府職能部門、互聯(lián)網(wǎng)企業(yè)、網(wǎng)民個人3個維度劃分監(jiān)管主體，并從這3個監(jiān)管主體出發(fā)，研究分析不同主體的監(jiān)管職責(zé)。首先，政府職能部門的監(jiān)管職責(zé)應(yīng)集中在完善立法、完善互聯(lián)網(wǎng)企業(yè)個人信息保護能力評估、構(gòu)建動態(tài)巡查及信息安全預(yù)警平臺、完善個人信息安全事件的追責(zé)機制等方面。其次，互聯(lián)網(wǎng)企業(yè)的監(jiān)管職責(zé)應(yīng)集中在完善安全管理制度、完善技術(shù)保護手段、人員安全保密管理等方面。第三，網(wǎng)民個人監(jiān)管職責(zé)主要表現(xiàn)在監(jiān)督政府職能部門和互聯(lián)網(wǎng)企業(yè)，并提高自身的信息安全意識。

同時，由于互聯(lián)網(wǎng)企業(yè)數(shù)量眾多，規(guī)模差異大以及個人信息在存儲、使用、銷毀等環(huán)節(jié)各項操作的隱蔽性，政府職能部門、互聯(lián)網(wǎng)企業(yè)及網(wǎng)民個人不可避免地出現(xiàn)監(jiān)管不足的問題。因此，在未來的監(jiān)管研究中，還應(yīng)進一步研究引入諸如權(quán)威第三方等新的監(jiān)管主體來填補監(jiān)管環(huán)節(jié)上的盲區(qū)。