网络个人信息保护的动态监管策略研究

李亚平，周伟良

(1.中共安徽省委党校(安徽行政学院) 博士后工作站， 安徽 合肥 230022；2.合肥工业大学 管理学院， 安徽 合肥 230009)

一、引言

随着互联网应用的不断深入，社交网络、电子商务、电子政务等网络应用平台迅速发展，个人社会生活网络化程度不断提高。在此背景下，互联网治理已经成为社会治理的一个重要组成部分。2002年，李希光教授提出“中国人大应该禁止任何人网上匿名”之后，网络实名制受到了广泛的关注和研究[1-2]。2012年，全国人大常委会通过《关于加强网络信息保护的决定》，在制度层面明确了国内网络治理的实名制要求[3]。2015年，国家网信办发布《互联网用户账号名称管理规定》，明确提出互联网信息服务提供者应当按照“后台实名、前台自愿”的原则，要求互联网信息服务使用者通过真实身份信息认证后注册账号[4]。这使得网络实名制在国内开始进入全面普及阶段。

随着网络实名制的不断推进，网络个人信息安全受到了越来越多的关注。网络个人信息的有效使用和保护，需要政府职能部门、互联网企业以及网民个人等相关权利主体协同配合，有效履行各自承担的责任。然而，如何将政府职能部门、互联网企业以及网民个人的监督责任、监督措施落实到位，还面临诸多障碍。首先，政府职能部门在个人信息保护方面的权力结构划分不够清晰[5]。谁来监管、监管谁、怎么监管这样的核心问题还未得到充分的解决，各相关职能部门权力结构划分仍然存在交叉、重叠和盲区。其次，互联网企业进行个人信息保护的动力不足、措施不力、责任感不强的现象仍然屡见不鲜。互联网企业鉴于自身利益和成本控制的需要，对于网络采集得到的网民个人信息，存在过度采集、滥用以及有偿转让的情形[6]，同时由于缺乏有力的法律约束和有效的外部监督，互联网企业的个人信息保护行为更多地停留在自主保护的阶段。此外，网民个人缺乏对自身信息的控制，且监督渠道不畅。网民个人作为个人信息的直接权益方，对自身的信息并不能起到应有的监督和管控。其原因在于：一方面，侵害网络个人信息的行为具有隐蔽性；另一方面，个人信息被不法侵害时在举报、投诉后的追责面临诸多困难。因此，进一步建立和完善网络个人信息监管体系，实施有效的多主体协同监管策略具有现实意义。

二、网络个人信息动态监管体系构建

传统的监管方式主要表现为政府职能部门的行政监管。随着信息技术的不断发展和互联网应用的不断延伸，传统的行政监管方式，既难以适应互联网信息的爆炸式增长，也面临着新技术应用所产生的监管盲区。针对互联网个人信息的使用和保护，单一的行政监管方式，在时效性、覆盖面和有效性等方面面临诸多困难。因此，需要引入新的监管主体，构建新的监管体系。

(一)网络个人信息分析

1．个人信息的内涵

2013年2月1日，《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》) 正式实施。《指南》对个人信息的内涵进行了明确的界定：可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。同时，《指南》为了加强个人信息保护，将个人信息划分为“个人敏感信息”和“个人一般信息”两类。《指南》对个人信息的界定和划分，兼顾个人信息使用和保护的需求。然而，《指南》中个人信息的划分仍然是粗粒度的，在实际操作中还需要进行必要的细化和动态调整。

从国外对个人信息的界定来看，欧盟、美国等更加强调个人信息对于自然人的可识别属性[7]。日本则引入了一个“生活日志”的概念，将个人信息从可识别属性信息进一步延伸到个人在网络空间中的生活记录或行为轨迹。因此，对于个人信息的界定，主要依据可识别性，既包括直接可识别性的静态属性信息，也包括间接可识别性的动态行为信息。

2.网络个人信息的多维特征

从内容角度看，网络个人信息包括姓名、联系方式、住址、身份证等静态属性信息，以及网络社交、网络购物等动态行为信息。从形式角度看，网络个人信息主要以“个人数据”的形式存在，包括文本、图片、音频、视频，以及数据库中的一些结构化信息等。从主体角度看，网络个人信息的采集、传递、存储、分析、使用、销毁整个生命周期涉及个人、政府、互联网平台、第三方等多个权利主体，大数据挖掘等新兴技术的广泛应用又加剧了权利主体在网络个人信息处理中的模糊性和隐蔽性，进一步导致个人信息的内容边界以及权利主体边界等更加复杂。

因此，互联网的开放性、虚拟性和快速变化等特征，带来了网络个人信息内涵和边界的不确定性。内容范围存在模糊性，存储形式呈现多样性，权利主体具有复杂性，这也使得网络个人信息的保护和使用面临更多的障碍。

3．网络个人信息的权利归属

个人信息的法律权利，主要涉及隐私权、财产权和人格权等方面。从隐私权的角度看，个人信息主要包含信息主体或当事人不愿公开的内容，无法定价，也不能转让、赠与和买卖，应当将其作为一种隐私权看待。从财产权的角度看，个人信息逐渐成为企业经营的一项重要资产，在事实上也助长了个人信息交易、滥用的违法行为。因此，个人信息也开始具有财产权的基本特征。

从财产权的角度看，网络个人信息的权利归属也是模糊的。例如，通过数据挖掘技术获得的个人相关信息或统计类信息，其权力属于相关自然人还是互联网企业，仍然存在较大的不确定性。另外，从隐私权、人格权的角度看，个人信息权属体现了权利主体对个人信息所享有的控制权。作为关键的权利人，网民个人在事实上并不能实现有效的控制；与此同时，现行法律法规对于权利主体的范围，以及各主体的权利范围还缺乏明确的界定，这进一步凸显了网络个人信息权属的复杂性。

(二) 监管主体重构

从权益相关的角度看，互联网个人信息资源权益相关方主要涉及政府、互联网企业和网民个人等多个主体。从生命周期的角度看，网络个人信息的生命周期主要包含采集、存储、使用、更新直至销毁等多个环节[8]。因此，各权益相关方在个人信息生命周期的不同阶段，实施监管的有效程度存在较大差别。从政府职能部门的角度看，由于互联网企业数量众多、规模差异大以及个人信息在存储、使用、销毁等环节的各项操作具有隐蔽性，政府职能部门行政监管的不足难以避免。因此，引入新的监管主体来填补多个监管环节上存在的盲区，将是十分必要和有效的。在此，通过引入第三方和互联网协会等组织作为新的监管主体，构建新的监管主体结构。相应的个人信息监管主体结构如图1所示。

图1 网络个人信息的监管主体结构

在网络个人信息监管过程中，政府职能部门的行政监管、企业的自我监管和网民个人参与的社会监督是主要组成部分。各主体的监管责任所呈现出的交叉、冲突和盲区等问题受到了越来越多的关注[7]。与此同时，对于第三方和互联网协会等组织的监管责任仍有待进一步加强。

(二)监管体系架构设计

对于互联网个人信息的动态监管，涉及不同的利益主体和个人信息生命周期的不同环节。从监管主体和监管环节的角度看，政府职能部门的行政监管，侧重于基础层面的法律法规建设和保障层面的诚信体系建设，互联网协会侧重于保障层的行业监管制度，网络平台侧重于业务层面的企业内部监管机制，第三方则侧重于应用层的信息安全能力评估、监测、预警等，而网民个人则主要通过监管平台的信息公开和信用体系建设等渠道，实现监督功能。因此，面向个人信息使用和保护的动态监管，体现出一定的层次性特征。在此，将互联网个人信息的动态监管体系主要设计为4个层次，构建如图2所示的个人信息保护监管体系架构。

图2 个人信息保护的监管体系架构

1.基础层的立法监管

基础层的立法监管，主要通过建立健全法律法规，为网络个人信息保护夯实法律基础，明确各监管主体的监管对象、监管范围、监管权利和监管责任，明确各监管主体的监管行为具有相应的法律依据。立法监管的内容主要包含4个方面：一是个人信息保护的综合性立法；二是建立不同监管主体的市场准入机制，界定监管主体的法律地位；三是明确监管主体的主体责任，主要涉及监管范围、权利和责任；四是明确监管主体的责任追究机制，进一步规范监管主体的监管行为。

2.保障层的制度监管

制度监管是指政府职能部门、互联网企业、互联网协会、第三方评估机构等通过建立相互衔接的个人信息安全管理制度和信用体系建设，以保障各项监管措施的具体落实。保障层的制度监管主要表现为：一是建立面向监管主体的个人信息安全保密制度，强化自我监管；二是构建基于行业自律的行业监管制度；三是建立和完善面向网络平台、互联网企业的信用等级评估机制；四是强化信用信息共享公开，以支持相应的社会监督。

3.业务层的技术监管

随着网络技术的不断发展，传统的监管手段并不能对网络平台、互联网企业的个人信息管理行为实施有效的监管。因此，需要进一步引入大数据、数据挖掘等新兴信息技术，研究构建更加科学的技术监管手段，降低监管成本、提高监管效率。因此，业务层的技术监管主要涉及平台建设、信息共享等具体内容：一是构建综合监管平台，畅通监督信息的采集和流通渠道；二是建立和完善监管信息的共享机制，以支持必要的联合惩戒措施的实施；三是依托大数据技术，强化监管数据分析，促进监管创新和监管的精准化；四是建立和完善协同监管机制，推动构建横向联动、覆盖全面的多主体协同监管格局。

4.应用层的评估监管

对网络平台、互联网企业管理个人信息的能力进行衡量与评价，以监测个人信息在采集、存储、使用、更新、销毁各环节面临的风险，以及在企业人员管理、信息管理方面存在的漏洞，从而为个人信息保护提供相应的预警功能。应用层评估监管的主要内容包括：一是推进基于第三方的个人信息安全能力评估建设。2017年，国家互联网信息办公室发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》。为此，应进一步推进更加全面的个人信息安全评估方法，指导各监管主体的个人信息保护策略。二是推动个人信息安全监测工具和方法的应用，支持网民个人参与到个人信息监测工作中。三是通过面向被监管主体的个人信息安全能力评估和面向网民个人的个人信息安全监测，建立个人信息安全风险预警机制。四是建立和完善个人信息安全风险处置方案，针对网络平台和网民的个人信息安全风险，提供信息安全防护的具体指导。

三、网络个人信息监管主体的责任分析

相关研究对政府职能部门、互联网企业、网民个人参与个人信息监管的主体责任进行了分析[7]。在此基础上，本文中重点对监管体系中引入的第三方、互联网协会的监管权责进行分析。

(一)第三方的评估与监督责任

在监管主体中引入第三方，并将第三方设计成为一个独立的非利益相关方，使其成为参与网络个人信息保护的重要力量。从个人信息生命周期的角度，第三方对网络平台、互联网企业的个人信息保护措施和能力进行评估，以评估为重要手段进而实施更加有效的监督。

1.落实相关法律法规的责任

目前，其他领域的第三方评估通常包括独立第三方评估和委托第三方评估。第三方评估逐渐成为一种必要而有效的外部制衡机制。在个人信息安全保护领域，引入针对网络平台、互联网企业的信息安全能力的第三方评估同样会起到积极的作用。同时，为了保障第三方评估机构评估行为的合规性和科学性，在评估标准、评估流程、结果发布、法律责任等方面，完善并落实约束第三方评估机构的法律法规尤其必要。

2.评估个人信息保护能力的责任

首先，第三方机构需要建立动态的信息采集平台、机制、流程和具体方法，并将传统的终结性评估方式，拓展为动态的过程性评估方式。其次，建立动态更新的评价指标体系，以应对不断变化的互联网信息安全环境，并重点从技术、制度、信用等维度评估网络平台、互联网企业的个人信息采集、存储、使用、更新以及销毁的安全措施及保护能力。

3.评价信息公开共享的责任

作为一种必要而有效的外部制衡机制，第三方机构需要通过对个人信息安全保护能力的评估，并针对独立评估、委托评估等不同形式，建立面向社会公众、政府委托机构或委托企业的差异化的评价信息使用机制。同时，第三方机构需要综合采用评估结果公开、报送或反馈等多种方式，为社会公众监督、政府职能部门监管和企业内部整改等提供科学依据，实现从能力评估到监督监管的延伸。

(二)互联网行业协会的监管责任

互联网行业协会通常是由与互联网行业相关的企事业单位所组成的社会组织。目前，国内已经形成了从全国到省市不同层级的、较为完整的互联网协会组织体系。互联网协会主要在行业交流、行业研究和行业自律等方面发挥积极的作用。引入互联网行业协会参与网络平台、互联网企业在个人信息保护方面的行业自律和监管，对于互联网个人信息的使用和保护无疑是十分重要和有效的。

1.建立和完善行业自律准则的责任

互联网行业协会需要建立和完善互联网个人信息使用和保护的行业自律准则，发挥行业协会组织聚焦重点企业示范引领的作用。同时，通过行业自律准则规范网络平台、互联网企业等个人信息采集、存储、使用、保护的行为，维护互联网行业的共同利益。此外，通过强化对互联网个人信息相关法律法规和相应自律准则的宣传，对相关企事业单位的个人信息保护行为予以引导。

2.面向行业内部实施监督的责任

结合互联网行业协会所形成的层次化组织结构特征，互联网行业协会可以对不同区域、行业、类型的网络平台承担相应的行业监管责任，分担或部分替代政府职能部门难以实现的监管职责以及网民无法实现的监督职责。其中，尤其需要强化对关键平台、关键企业的监督监管，以起到以点带面的作用。结合第三方机构的评估，互联网行业协会可以督促网络平台、互联网企业进行相应的管理制度完善、安全技术升级等整改和提升。

3.促进市场准入和退出机制完善的责任

结合第三方评估、监管，互联网行业协会能够在促进政府职能部门完善相关平台、企业的市场准入和退出机制方面发挥作用。同时，辅助政府职能部门建立健全网络平台、互联网企业在个人信息采集、存储、使用、保护等方面的激励措施和惩戒措施，将激励和惩戒纳入市场准入和退出机制中，从而对承担个人信息使用和保护的互联网主体的行为进行规范。

四、网络个人信息监管主体的策略分析

从利益相关方的角度看，个人信息涉及政府职能部门、网络平台、互联网协会、第三方和网民个人等。其中，网络平台是主要的个人信息权利主体和监管对象。从监管的角度看，网民个人的作用主要体现在社会公众的监督方面，主要的监管职责将由政府职能部门、第三方、互联网协会等组织和机构来承担。

(一)政府职能部门的监管策略

政府职能部门在个人信息保护中承担着主要的监管职责。随着新的监管主体的引入，政府职能部门的行政监管策略，需要进行新的调整和完善。

1.政府行政监管向法治监管方向转移

当前网络环境下，个人信息监管通常以政府职能部门的行政监管为主导[9]。面对有限实名网络(如“后台实名、前台自愿”)等特殊网络形态，行政监管面临诸多困难[10]。因此，针对网络个人信息保护的监管，政府行政监管向法治方向转移是一个必要且有效的解决方案。

政府职能部门的监管职能向法治方向转移，一是要不断完善专门的个人信息保护立法，明确各权益方对于个人信息保护的责任和义务。目前，国家层面的个人信息专项立法保护即将实施，结合互联网环境、互联网技术的发展，不断完善个人信息保护的立法和实施尤为重要。二是在完善个人信息保护立法的同时，加快推进个人信息保护的监管制度建设，明确各监管主体的监管责任，尤其是互联网环境下第三方监管机构的法律地位；要进一步强化对监管对象的追责，同时也要实现对监管机构进行更为有效的约束。

2.监管职能从政府机构向社会力量转移

近年来，政府职能部门越来越重视网络个人信息保护和互联网治理，但面向互联网治理的法律法规仍分散于各个法律条文中[11]。同时，对于法律法规的落实，监管的执行效果并不十分理想。因此，引入社会力量参与互联网治理是一条重要的解决途径[12]。做好监管职能从政府机构向专业的社会力量转移，还需要通过制定相应的法律法规，明确新的监管机构的市场准入、监管职责和法律地位。

首先，要明确第三方评估机构市场准入的门槛以及相应的退出机制，对第三方评估机构的评估能力、客观公正性等要求给予清晰的界定，同时设计相应的动态调整机制，对不符合要求的第三方评估机构做到及时有效的降级和退出；其次，要实现监管职责的清单化，明确界定政府职能部门向外转移的监管职能的内容和范围，准确划分政府职能部门、第三方评估机构、互联网行业协会的监管责任，从而更好地形成协同监管的合力；第三，要明确第三方评估机构、互联网行业协会在个人信息保护方面的法律地位，既要有效支持，也要有效监管。

3.监管权力结构调整

政府职能部门在互联网监管过程中，传统的权力结构划分在时效性、覆盖性和有效性等方面，已经越来越难以适应当前互联网环境快速变化的需要。以运动式行政监管为主要形式的监管策略，无法及时发现和跟踪问题，也很难适应由于新技术带来的监管空白。因此，随着政府监管职能的转移，监管权力结构同样需要进行相应的调整。

政府职能部门监管权力的转移，其核心是进一步推进简政放权，对政府职能部门的职权进行必要的瘦身。一方面要对政府职能部门的监管权力结构进行调整，依据相关职能部门的监管权力清单，重点对监管的交叉和盲区进行调整和重新设计，明确各监管主体的监管边界；另一方面，要按照简政放权的基本原则，政府职能部门更加聚焦制度完善和监督落实，从时效性、覆盖性和有效性需求的角度，将政府职能部门的部分监管权力转移至第三方评估机构和互联网行业协会，从而进一步优化政府职能部门之间，政府职能部门和第三方评估机构、互联网行业协会之间的监管权力结构设计。

4.网络监管力量的整合

互联网环境下的个人信息使用和保护涉及多个利益相关方，既要发挥个人信息的使用价值，又要充分保护个人信息涉及的隐私安全、公共安全。针对个人信息使用和保护的监管，单一的行政监管力量远远不能满足互联网快速发展的需要。因此，对网络监管力量进行必要的整合是政府职能部门对互联网进行有效监管的重要职责。

对网络监管力量的整合，需要进一步整合监管信息渠道，理顺监管业务流程等。首先，要建立综合的个人信息网络监管平台，汇集多个渠道的监管信息，畅通网民监管信息的反馈，充分发挥社会公众的监督力量，通过整合监管信息来支撑监管力量的整合；其次，要建立相应的协同监管机制，对政府、第三方、互联网行业协会等方面的监管工作进行数据共享和业务协同，通过业务协同机制驱动信息资源的共享，驱动监管信息在不同主体间进行流动，从而支撑多个监管主体形成一个有机的整体。

(二)第三方评估机构的监管策略

随着第三方评估在不同领域的广泛应用，第三方评估机构在网络个人信息保护中的作用和重要性逐渐凸显。目前，针对个人信息保护能力评估的第三方机构并未形成较为完整的体系结构，其职责、运行和法律地位并不完备。因此，加快推进第三方参与个人信息保护的评估、监测和预警尤为重要。

1.构建动态的网络平台个人信息安全评估机制

网络平台是个人信息采集、存储、传递、使用的关键环节，同样也是个人信息风险的关键环节。由于缺乏相应的法律法规保障，对于网络平台个人信息风险引入第三方评估还相对滞后。

随着第三方评估机构在网络平台信息安全评估中作用的不断凸显，需要设计更为有效的评估机制支撑第三方评估。一方面，要进一步强化面向网络平台个人信息安全的技术能力评估与制度完善程度的评估相结合，既要关注网络平台在安全技术的应用，同时也要关注其安全管理制度的建设和实施；另一方面，要进一步强化事前、事中、事后评估相结合，既要实施事前评估支撑对网络平台市场准入的决策，也要关注事中评估(例如动态巡检)，对可能存在的个人信息安全隐患进行预警；同时，还要结合事后评估，对已经出现个人信息安全风险的网络平台、互联网企业提出整改建议和指导。

2.强化大数据技术监管手段的应用

网络个人信息的数据量不断规模化且来源分散，个人信息采集从直接采集向大数据挖掘方向延伸，个人信息流动从网站间流动向各类社交平台、APP平台间流动的方式转变，个人信息交易更加隐蔽、快速。因此，在网络平台个人信息安全监管中，强化对大数据技术的应用势在必行。

大数据技术带来了个人采集方式的变化以及更大的信息安全风险，同时也为个人信息安全的监管提供了新的技术支撑。首先，要做好网络平台、互联网企业在个人信息采集、存储、使用等环节的信息公开。要结合《企业信息公示暂行条例》，提高互联网企业信息的透明度，在畅通网民以及社会组织获取网络平台、互联网企业相关信息尤其是信用信息的渠道，建立以互联网企业信用信息为核心的大数据监管方式。其次，鉴于大数据资源的价值和技术门槛，一方面政府职能部门应建立统一的大数据监管平台，畅通监管机构获取大数据资源渠道；另一方面，要强化监管机构尤其是第三方评估机构对大数据分析技术的应用，提高第三方评估机构参与监管的时效性、全面性和有效性。

3.推进问题导向的动态评估策略

面向互联网平台个人信息安全风险的评估，不是一次性的终结式评估，而是一个动态的周期性过程。因此，面对规模庞大的互联网平台机构、快速变化的信息流动场景，第三方评估机构需要引入大数据资源和技术，进一步提高自身评估能力和评估效率，并建立以问题为导向的动态评估策略。

以问题为导向的动态评估策略，需要充分体现差异性、动态性。首先，要针对不同的评估对象，建立差异化的评估机制。对不同信息规模、不同信用等级的评估对象，采用差异化的评估策略，以减少来源于不同机构的重复评估或过度评估。其次，要设计动态的评估时点和周期，对于重点监管对象和非重点监管对象实施差异化的评估频率。对重点监管对象，实施频率更高的动态评估。第三，要为动态评估策略设计差异化的触发条件，以“委托”作为实施评估的常规触发条件，以大数据监管的问题发现、社会监管举报等作为实时触发条件，进一步强化具有动态性特征的过程评估。

(三)互联网行业协会的监管策略

目前，以属地管理为主要形式的分层互联网行业协会体系已初步建立。互联网行业协会通过行业交流、行业研究、行业自律等方式促进互联网健康发展。依托互联网行业协会的建设，推进面向个人信息保护的行业监管将会起到十分积极的作用。

1.加强互联网诚信体系建设

作为个人信息采集、存储、使用的关键环节，引导互联网企业加强对网民个人信息的保护和合法使用尤为重要。因此，从个人信息使用和保护的角度看，加快网络平台、互联网企业的信用认证将会对个人信息使用、保护和监管起到重要的促进作用[13]。

面向互联网企业的诚信体系建设需要在法律保障、诚信教育、有效监督等方面多措并举。首先，应结合政府部门的诚信立法，依托互联网行业协会，进一步加强网络平台的信用认证，以信用规则来更好地规范互联网企业的个人信息采集、存储、使用的行为。其次，加大网络诚信教育，以法律、制度为保障，线上线下全面推进互联网诚信教育。第三，引导形成全社会共同参与的互联网诚信监督机制，通过建立相应的奖惩激励机制，提升社会公众参与互联网诚信监督的积极性，着力营造良好的互联网协同治理环境。

2.加强互联网企业的信息安全培训

网络平台、互联网企业是网民个人信息采集、存储、使用等的关键环节，既是重要的保护者，又是潜在的信息安全风险点。加强对网络平台、互联网企业的信息安全监管的同时，还需要进行更加有效的个人信息安全培训。

针对互联网企业工作人员尤其是信息化人员的培训应主要从以下三方面展开：一是个人信息安全的法律宣传，要让互联网企业从业人员更加清晰地认识到互联网个人信息保护并非法外之地，明确自身在个人信息保护方面的权利边界和法律责任；二是强化对企业信息化安全制度的指导，将个人信息保护纳入企业信息安全制度建设的整体要求中；三是强化互联网企业对信息安全技术的使用效率，指导企业做好信息安全规划，综合使用加密、访问权限划分、大数据等相关信息技术，降低企业在个人信息安全方面的重复建设和投入。

3.加强对核心互联网企业的监管

当前，对各个网络平台、互联网企业实施全面的个人信息安全监管，面临着高成本、低效率的实际困难。因此，互联网行业协会对互联网企业的监管，不能采用一刀切的监管方式。互联网行业协会的监管行为，应聚焦行业内核心互联网企业的监管，实现以点带面的监管效果，降低监管成本，提高监管效率。

加强核心互联网企业的监管，创新监管策略。一是采用差异化的监管策略，结合个人信息规模、信用等级、第三方评估结果等，筛选制定差异化的监管策略；二是考虑到大型互联网企业管理的网民个人信息规模更大，个人信息泄露、滥用带来的社会危害更大，因此需要遴选行业内核心互联网企业，强化对核心互联网企业的监管，做到以点带面；三是强化互联网企业尤其是大型互联网企业在个人信息采集、存储、使用等方面的信息公开，引导广大网民提高监督积极性，提高互联网行业协会监管的覆盖面和及时性。

五、结语

监管主体如何有效履行自身的监管责任是当前网络个人信息保护的重要问题。明确的责任划分是前提，有效的监管策略是支撑。本文重点围绕如何落实监管责任，从监管体系构建、关键监管主体的监管策略等方面展开了研究。监管体系构建方面，在分析互联网环境下个人信息的多维特征和权属关系的基础上，研究了监管主体重构，提出引入第三方评估机构、互联网行业协会承担监管职责的思路和实施路径，并对新的监管机构的职责进行了分析。在此基础上，从基础、保障、业务、应用等四个层次构建了多主体的监管体系。监管主体的监管策略方面，重点研究了政府职能部门、第三方评估机构、互联网行业协会的监管策略。这对于划分监管权力、落实监管责任将可以起到积极的作用。