李亞平，周偉良

(1.合肥工業(yè)大學 管理學院，安徽 合肥 230009；2.安徽行政學院，安徽 合肥 230059)

2002年，李希光教授提出“中國人大應該禁止任何人網上匿名”之后，網絡實名制便受到了越來越廣泛的關注和研究[1-2]。2006年，中科院院士胡啟恒提出應從有限實名(即前臺匿名，后臺實名)的角度平衡個人隱私和公眾、國家利益。這為網絡實名制的推進提供了一個新的方向[3]。依據網絡實名的程度可以將網絡環(huán)境劃分為匿名網絡、有限實名網絡和實名網絡3種[4]，有限實名是介于匿名與實名的中間狀態(tài)。2012年，全國人大常委會通過的《關于加強網絡信息保護的決定》(以下簡稱《決定》)中不僅包括接入實名，而且包括信息發(fā)布實名的要求[5]，在實現方式上，《決定》同樣包含了“前臺匿名、后臺實名”的“有限實名”方式。

有限實名網絡區(qū)別于匿名網絡和實名網絡，既有匿名網絡、實名網絡的特征，又有其自身的特點，是兼顧網絡言論自由和互聯網監(jiān)管的中間方案。然而，個人信息在有限實名網絡環(huán)境的各個平臺、應用程序中沉淀、累積，同樣也面臨較高的安全風險。由于有限實名網絡在實現方式上與實名網絡存在顯著差異，其安全需求、實施難度與實名網絡同樣存在不同。本文從有限實名網絡中個人信息的內涵和風險出發(fā)，研究個人信息保護在監(jiān)管主體及其監(jiān)管責任方面存在的問題，并在此基礎上，重點分析有限實名網絡個人信息監(jiān)管的主體責任。

一、有限實名網絡中的個人信息及其安全風險

有限實名網絡的新特征賦予了個人信息新的內涵，同時也為沉淀其中的個人信息帶來了新的信息安全風險。有限實名網絡中的個人信息邊界更為模糊，因此其面臨的安全風險來源更為復雜，監(jiān)管也更為困難。

(一)有限實名網絡中個人信息的內涵

1.個人信息的界定

在歐盟，《歐盟指令》將個人信息界定為有關自然人的能被識別和可以識別的所有信息?！稓W盟指令》將個人信息劃分為可以直接識別和間接識別兩大類，但究其核心主要是強調個人信息的可識別屬性[6]。在美國，個人信息是指用來標識個人基本情況的資料。日本則使用“生活日志”的概念，將個人信息從靜態(tài)的屬性信息延伸到個人生活記錄，例如網站瀏覽記錄、電商網站的購買和支付記錄、GPS位置信息等[7]。

2013年2月1日，我國首個個人信息保護國家標準《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》(以下簡稱《指南》)正式實施[8]，它將個人信息界定為可為信息系統(tǒng)所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據。同時，《指南》還將個人信息劃分為個人敏感信息和個人一般信息兩大類。其中，個人敏感信息是指“一旦遭到泄露或修改，會對標識的個人信息主體造成不良影響的個人信息”。例如個人敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等。

綜上所述，個人信息有廣義和狹義之分，狹義的個人信息更多強調的是與特定自然人相關的屬性信息，廣義的個人信息則是與自然人相關并能夠被識別的所有信息，不僅包含相關自然人的屬性信息，還包括其行為信息以及社會關系信息等。

2.有限實名網絡中的個人信息

互聯網環(huán)境下，個人信息主要以“個人電子數據”作為主要的存在形式。有限實名網絡中“后臺實名”的個人信息并非靜態(tài)地存在于信息系統(tǒng)或應用程序中，也不僅僅局限于相關自然人的屬性信息，有限實名網絡中的個人信息具有顯著的模糊性特征。

內容上的模糊性。有限實名網絡個人信息的內容既包括姓名、電話、身份證、地址等明確的信息，也包括網絡活動軌跡等模糊信息，其內容邊界很難完整、準確地給予界定。

形式上的模糊性。有限實名網絡中個人信息的存在形式既有文本、圖片、音頻、視頻等，也有可能是數據庫中隱性的相關關系，這些信息散落在有限實名網絡的各個平臺或應用程序中，通過數據挖掘等信息技術又能夠形成一些有價值的知識，從而對個人信息顯性化、個人的網絡生活和社會生活產生影響。

權利歸屬的模糊性。個人信息既具有財產權利的基本特征[9]，又具有權利歸屬的模糊特征。例如，通過數據挖掘技術獲得的個人相關信息或統(tǒng)計類信息，其權力屬于相關自然人或是相關的互聯網企業(yè)，仍然存在一定的不確定性。同時，從另外一個角度看，個人信息在內容、形式及權利方面的模糊性也導致了個人信息保護在立法監(jiān)管方面的模糊性。

(二)有限實名網絡中個人信息的安全風險

1.個人信息安全風險的復雜性

首先，個人信息的過度采集?；趥€人信息潛在或直接的商業(yè)價值，個人信息的過度采集已經成為網絡環(huán)境中一個較為普遍的現象。有限網絡環(huán)境中的個人信息過度采集主要表現為網絡服務提供商超出所提供服務的業(yè)務需要，采集非必要或完全無關的個人信息的行為。例如，借助GPS定位技術，一些網絡服務提供商開始過度采集用戶的實時位置信息；一些電子商務企業(yè)或平臺超出自身業(yè)務需求大量存儲用戶的銀行賬戶信息；一些基于手機通訊錄的即時通信軟件通過“云”端采集用戶的通訊錄信息。此外，大數據時代，數據挖掘技術為個人信息的獲取、分析、處理帶來極大的便利，同時也使得個人信息在獲取、存儲、轉移等各個環(huán)節(jié)都呈現新的特點[10]。而這些被過度采集、挖掘的個人信息，在一定程度上增加了個人信息安全風險，具有明顯的隱蔽性。

其次，個人信息的濫用。目前，大數據及數據挖掘等相關信息技術，使得個人信息直接或潛在的商業(yè)價值不斷凸顯，這進一步刺激著互聯網企業(yè)甚至硬件設備商、應用程序開發(fā)商等都對用戶個人信息進行過度的收集和濫用[11]。有限實名網絡中個人信息濫用主要表現為違規(guī)披露和違規(guī)“共享”兩種情形，違規(guī)披露是指網絡服務提供商在未獲法律授權、未得到用戶許可或者超出必要限度地披露他人的個人信息。違規(guī)共享是指網絡服務提供商在未經法律授權或者用戶許可的情況下，將所掌握的個人信息提供給其他機構。信息技術的發(fā)展以及互聯網相關企業(yè)對個人信息的濫用進一步加劇了個人信息安全風險的復雜性。

第三，個人信息的泄露。隨著有限實名網絡的不斷延伸以及信息技術的不斷發(fā)展，個人信息泄露不斷規(guī)模化，產生的危害也日益嚴重。中國互聯網協(xié)會發(fā)布的《2016中國網民權益保護調查報告》顯示，84%的網民曾經遭受過因個人信息泄露帶來的不良影響，個人信息泄露的情形具有顯著的普遍性。

從個人信息泄露的途徑看，個人信息泄露的原因主要包括技術原因和非技術原因(人為因素)兩種。一是技術原因，主要表現為計算機病毒(手機病毒)的傳播在電子設備中獲取個人信息，黑客利用系統(tǒng)漏洞等侵入計算機系統(tǒng)獲取個人信息。二是人為因素，主要表現為互聯網企業(yè)或企業(yè)內部人員有意或無意的泄露，其中既有商業(yè)因素驅動下的個人信息交易，也有企業(yè)管理漏洞導致的泄露。這使得個人信息安全風險產生更為嚴重的危害性。

2.個人信息侵害的隱蔽性

首先，技術手段的隱蔽性。信息技術手段的不斷進步，使得個人信息的獲取、存儲和轉移更為便利，同時也更為隱蔽。從獲取的角度看，在系統(tǒng)存在漏洞的情況下，通過技術手段竊取個人信息具有較高的隱蔽性，即使事后察覺，也很難彌補已經發(fā)生的信息泄露和可能產生的危害。此外，通過數據挖掘技術獲取更廣泛的個人行為信息或統(tǒng)計信息等，則更為隱蔽，也更加難以防范。

其次，侵害主體的隱蔽性。技術手段的隱蔽性直接導致侵害主體的隱蔽性。隨著技術門檻的不斷降低，無論是黑客個人、互聯網企業(yè)都可以借助相應的信息技術手段獲取個人信息。這使得在個人信息泄露發(fā)生時，追蹤鎖定侵害主體存在較大的困難，這在一定程度上進一步刺激了個人信息竊取行為的發(fā)生，并使得監(jiān)管和追責面臨很大的障礙。

第三，交易行為的隱蔽性。與傳統(tǒng)的交易行為不同，由于個人信息通常以“個人電子數據”的形式存在，通過網絡渠道，這些“電子數據”能夠非常便利地實現轉移。個人信息的轉移、交易通過社交平臺、即時通訊軟件、電子商務平臺等，整個交易的過程從溝通、供貨、支付都可以實現虛擬化和網絡化，這使得目前個人信息的交易行為既隱蔽又十分迅速。

二、個人信息監(jiān)管主體及其監(jiān)管責任存在的問題

目前，針對網絡個人信息監(jiān)管的法律法規(guī)還相對滯后，關于個人信息的立法保護主要存在立法分散、立法滯后和立法空白等問題[12-13]。同時，有限實名中個人信息風險的新特征使得個人信息監(jiān)管變得更為困難。針對個人信息的監(jiān)管，既存在監(jiān)管主體范圍不明確，又存在監(jiān)管主體責任邊界不清晰的問題。

(一)監(jiān)管主體的范圍不明確

2017年實施的《網絡安全法》，對保障我國網絡安全及個人信息安全具有重要意義。作為一部保障網絡安全的基本法，《網絡安全法》對個人信息保護做出了原則性的規(guī)定，但并未對監(jiān)管的主體進行界定，也未對監(jiān)管主體的職責等進行明確。同時，相關學者對于監(jiān)管主體的研究，通常更側重于政府職能部門的行政監(jiān)管。因此，在行政監(jiān)管之外，對于網絡個人信息保護的監(jiān)管主體范圍，還沒有明確的界定，這無疑會進一步加劇有限實名網絡環(huán)境下的個人信息安全風險。

《關于加強網絡信息保護的決定》對網絡個人信息保護的主體進行了界定，主要包括網絡服務提供者、企事業(yè)單位、監(jiān)管部門等，這對于界定個人信息保護的監(jiān)管主體具有重要的借鑒意義。在此基礎上，從使用控制的角度看，個人信息監(jiān)管不僅涉及上述主體，同樣涉及網民個人和其他訪問者。因此，有限實名網絡中針對個人信息的有效使用和保護，需要政府職能部門、互聯網企業(yè)以及網民個人等相關權利主體協(xié)同配合，有效履行各自承擔的責任。綜上分析，有限實名網絡個人信息保護的監(jiān)管主體應主要包括政府職能部門、互聯網企業(yè)、網民個人等。

(二)監(jiān)管主體的責任邊界不清晰

行政監(jiān)管是網絡個人信息監(jiān)管的主要手段。有限實名網絡環(huán)境中，對個人信息采集、存儲、使用、保護等方面的監(jiān)管同樣離不開行政監(jiān)管。目前，針對個人信息的行政監(jiān)管的主體責任邊界不清晰主要表現在兩個方面：第一，雖然國內目前已經制定了一些關于互聯網方面涉及個人信息保護的法律法規(guī)，但是這些法律法規(guī)十分分散，還沒有形成完備的體系，這就在客觀上導致互聯網監(jiān)管工作呈現多頭管理、交叉管理或無人管理的尷尬局面。第二，源于行政資源的限制，目前還沒有足夠的行政資源參與涉及個人信息保護的監(jiān)管中，同時由于網絡技術的日新月異，監(jiān)管什么、怎么監(jiān)管都還存在諸多不確定性。

監(jiān)管責任不清晰不僅僅局限于行政監(jiān)管。從網絡個人信息資源權益相關方的角度看,個人信息監(jiān)管主要涉及政府職能部門、互聯網企業(yè)和網民個人。從網絡個人信息的生命周期看，主要包含采集、存儲、使用、更新、銷毀等環(huán)節(jié)。各權益相關方在個人信息生命周期的不同階段，能夠實現監(jiān)管的有效程度存在較大差別。例如，網民個人參與的個人信息監(jiān)管環(huán)節(jié)主要涉及采集和更新兩個階段，而對于存儲、使用和銷毀環(huán)節(jié)則很難起到監(jiān)管作用。因此，有限實名網絡中個人信息監(jiān)管的主體責任邊界不夠清晰的情形仍普遍存在。

三、個人信息監(jiān)管主體的監(jiān)管責任分析

有限實名網絡中的個人信息安全涉及互聯網企業(yè)、網民個人以及政府職能部門等多個主體的權責義務。由于有限實名網絡個人信息的復雜性以及法律法規(guī)的相對滯后，各主體之間的監(jiān)管責任往往存在權責交叉、監(jiān)管空白等問題，即有些問題多頭管理，有些問題又沒有明確的責任主體，這為有限實名網絡中的個人信息保護和監(jiān)管帶來了諸多困難。進一步厘清各權利主體的權責義務，有利于推進個人信息更加有效的監(jiān)管。

(一)政府職能部門的監(jiān)管責任

1.完善個人信息保護立法的責任

目前，國內還沒有針對個人信息保護的專項立法，在對互聯網企業(yè)個人信息采集、存儲、使用、銷毀等環(huán)節(jié)的行為規(guī)范缺乏必要約束和責任追究。從國外個人信息安全保護的立法情況來看[14]，德國早在1970年便頒布了《個人資料保護法》，隨后，《聯邦數據保護法》和《州數據保護法》陸續(xù)頒布。美國于1974年在參眾兩院通過《隱私權法》，并于1986年頒布了《電子通訊隱私法》；隨著網絡技術的不斷應用，1998年頒布了針對互聯網從業(yè)者的《有效保護隱私權的自律規(guī)范》。歐盟于1995年也頒布了《關于在個人數據處理過程中保護當事人及此類數據自由流通的指令》。日本于2003年頒布了《個人信息保護法》[15]。

作為一個互聯網大國，中國在個人信息安全立法方面較為滯后，還缺乏對互聯網個人信息有效保護的法律規(guī)范。結合國外個人信息立法的經驗，中國未來在個人信息立法方面，應著重關注以下幾個方面：一是面向互聯網環(huán)境尤其是實名網絡環(huán)境、有限實名網絡環(huán)境的個人信息保護立法；二是面向個人信息采集、存儲、使用、銷毀全過程的個人信息立法；三是面向政府職能部門、互聯網企業(yè)、互聯網行業(yè)協(xié)會、網民個人多主體的個人信息立法。

2.完善互聯網企業(yè)個人信息保護能力評估的責任

目前，互聯網在個人信息使用和保護方面的權利和義務是不對等的。互聯網企業(yè)通過提供一定的網絡服務來(過度)采集個人信息的情形十分普遍。與此同時，互聯網企業(yè)濫用個人信息或未能有效保護個人信息的情形同樣普遍。政府職能部門對于互聯網企業(yè)采集、存儲、使用個人信息缺乏必要的安全能力評估和市場準入限制。在立法滯后的情況下，可以通過設計安全能力評估、誠信等級評估等對互聯網企業(yè)的個人信息采集、存儲、使用等行為進行規(guī)范。

通過對互聯網企業(yè)個人信息保護能力評估，設計針對具有一定規(guī)模的互聯網企業(yè)個人信息采集、存儲、使用等行為的市場準入機制和市場退出機制。對不具備安全保護能力的互聯網企業(yè)限制其采集個人信息的規(guī)模，或對其提出相應的整改要求，以提高互聯網企業(yè)的個人信息保護能力。

3.構建動態(tài)巡查及信息安全預警平臺的責任

網絡環(huán)境下，個人信息的買賣或濫用，通常十分隱秘，如何發(fā)現個人信息安全風險是非常困難的。立法是基礎，如何讓各項法律、制度得以有效落實也是政府職能部門需要履行的重要責任。因此，需要建立動態(tài)的網絡個人信息安全風險發(fā)現機制。這主要體現為主動巡查和接受舉報兩種渠道。

一是針對互聯網企業(yè)的個人信息安全保護的動態(tài)巡查機制，加強對核心互聯網企業(yè)尤其是實名社交網絡平臺、有限實名的社交網絡平臺的動態(tài)巡查，對其個人信息安全保護的制度、技術、人員管理等方面進行動態(tài)評估。二是建立暢通的個人信息安全預警平臺，通過漏洞檢測和接受網民舉報等方式，及時發(fā)現互聯網平臺存在的信息安全漏洞和風險，發(fā)布個人信息安全預警，提高互聯網平臺應對個人信息安全風險的及時性。

4.完善個人信息安全事件的追責機制的責任

個人信息作為一種重要的資源受到政府職能部門、互聯網企業(yè)以及非法使用者等各個方面的關注。在利益的驅動下，個人信息泄露、濫用、買賣等情形層出不窮。加強個人信息保護，需要對個人信息使用中的不法行為進行必要的追責，既要追究非法獲取者、買賣者、使用者的責任，也要追究個人信息保護不力者的責任，而如何構建有效的個人信息安全事件追責機制，也是當下政府職能部門進行互聯網管理的一項重要職責。

(二)互聯網企業(yè)的內部監(jiān)管責任

經營實名網絡平臺、有限實名網絡平臺的互聯網企業(yè)是個人信息采集、存儲、使用的關鍵主體，也是進行個人信息保護的關鍵環(huán)節(jié)。因此，從責權對等的角度看，互聯網企業(yè)既要享受個人信息帶來的利益，也需承擔相應的個人信息保護的責任。

1.完善企業(yè)內部個人信息安全管理制度的責任

建立健全互聯網企業(yè)的內部個人信息安全管理制度，是進行個人信息保護的前提和基礎，是互聯網企業(yè)進行自我行為規(guī)范的依據。參照《全國人大常委會關于加強網絡信息保護的規(guī)定》，互聯網企業(yè)應認識自身在個人信息保護方面的責任，進一步完善企業(yè)內部的個人信息管理制度。

互聯網企業(yè)的個人信息安全管理制度應主要包括數據安全、密碼與權限安全、網絡設備安全以及操作人員安全等方面的管理制度，從基礎設備層、數據層、業(yè)務層和管理層設計更為完善的個人信息安全管理制度。

2.完善企業(yè)個人信息技術保護手段的責任

針對來自企業(yè)外部、內部的個人信息安全風險，既需要制度保障，又需要必要的安全技術手段。互聯網企業(yè)需要對采集到的個人信息履行安全保護的責任，因此需要不斷完善企業(yè)在個人信息保護方面的技術投入。這主要包括加密技術的使用、訪問控制權限的劃分以及網絡安全防護措施等。

在加密技術方面，要采用必要的加密措施加強個人關鍵信息的密文存儲，即使個人信息被非法訪問，也無法得到有價值的密文。在訪問控制權限劃分方面，企業(yè)對個人信息的使用并非面向企業(yè)內部所有人員，差異化的權限劃分十分必要，這將有利于強化對個人信息安全的保護，降低個人信息在企業(yè)內部的濫用和泄露風險。在網絡安全防護措施方面，要加強對防火墻技術、入侵檢測技術、VPN等網絡安全技術的應用，構建更加全面的安全防護體系。

3.企業(yè)人員安全保密的管理責任

制度的完善、技術的應用，落實關鍵在人。強化互聯網企業(yè)內部操作人員的安全保密責任意識十分重要。相對于外部入侵的信息安全風險，內部人員安全風險更加難以防護。因此，加強企業(yè)人員的安全保密管理也是互聯網企業(yè)履行個人信息安全保護的重要責任。

加強企業(yè)操作人員的安全保密管理，主要包括三方面內容：一是切實履行信息安全保密協(xié)議，通過簽訂個人信息安全保密協(xié)議，明確企業(yè)操作人員在個人信息安全保護方面的責任。二是強化企業(yè)操作人員在個人信息安全方面的技術培訓，在提高其安全意識的同時，提高其操作的規(guī)范性。三是在權限劃分方面切實履行最小化原則和數據庫雙人操作原則，盡量避免個人信息在企業(yè)內部的泄露。

4.接受政府職能部門、網民個人監(jiān)督的責任

互聯網企業(yè)在個人信息安全保護方面的措施以及對個人信息的使用需要接受政府職能部門和網民個人的監(jiān)督。如何保障這樣的監(jiān)督具有可操作性，則需要互聯網企業(yè)進行必要的信息公開。目前，互聯網企業(yè)對于自身信息安全防護措施等信息的公開還處于空白階段。此外，對于互聯網企業(yè)采集、存儲的個人信息，網民個人并沒有相應的處置權利，因此，互聯網企業(yè)還應面向網民個人開通暢通的個人信息維護渠道。

互聯網企業(yè)的信息公開主要包括個人信息安全保護措施的公開和個人信息采集、使用規(guī)則以及個人信息安全事件的公開3個方面。個人信息維護渠道方面，網民個體應該享有維護存儲在互聯網平臺的個人信息，其中包括申請刪除、注銷等權利。

(三)網民個人的監(jiān)管責任

作為個人信息的關鍵權益方，網民個人卻很難對網絡平臺的信息采集和信息使用享有相應的處置權利，使得網民個人的權益難以得到保障。一方面是網民自身信息安全意識還較為薄弱，另一方面是網民主張其利益的渠道還不暢通。但就個人信息保護而言，網民個人的監(jiān)督對于提升互聯網平臺的個人信息安全水平至關重要。

1.提高自身個人信息安全意識的責任

網民個人需要進一步提升自身信息安全的意識，充分認識個人信息的價值以及個人信息泄露的不利影響。在獲取網絡服務的同時，對網絡平臺的個人信息采集進行必要的甄別，對缺乏信用體系認證和技術防護能力的網絡平臺、互聯網企業(yè)予以關注。減少不必要的個人信息登記，強化個人密碼管理，自覺維護自身信息安全。

網民個人的信息安全意識的提升應主要表現在以下方面：一是加強對個人信息保護相關法律法規(guī)的了解，在個人信息安全受到侵害時，能夠更好地利用法律手段維護自身利益；二是加強個人信息的保密意識，減少不必要的個人信息登記、發(fā)布，加強自身網絡平臺的密碼管理。

2.監(jiān)督互聯網企業(yè)個人信息管理行為的責任

目前，網民個人對互聯網企業(yè)監(jiān)管責任的體現還很不充分，究其原因，既有互聯網企業(yè)信息安全措施和使用信息公開的空白，也有相關法律法規(guī)的滯后。在此情形下，網民個人維護自身信息安全利益仍然需要加強對互聯網企業(yè)信息采集、使用行為的監(jiān)督，并主要從個人信息維護和侵權行為舉報、投訴兩個方面展開。一是加強個人信息維護，網民個人要對存留在網絡平臺的個人信息及時地進行注銷、清理；二是對互聯網企業(yè)個人信息過度采集、個人信息濫用等現象進行舉報和投訴。

3.監(jiān)督政府職能部門個人信息保護措施的責任

加強互聯網管理是政府職能部門的一項重要職能，強化對政府職能部門在追責方面的監(jiān)督，是網民個人的權利，同樣也是維護自身信息安全的責任。有效的監(jiān)督，可以促使政府職能部門更加高效地履行各自在個人信息安全保護的職責。針對政府職能部門在個人信息保護方面立法、評估、巡查、追責等責任，網民個人的監(jiān)督責任主要體現在提供建議、配合評估、積極舉報等方面。一是要對政府職能部門的法律法規(guī)制定提供意見和建議；二是要對積極參與配合政府職能部門在互聯網企業(yè)誠信、信息安全等級方面的評估；三是要對政府職能部門在追責過程中的行為進行必要的監(jiān)督。

四、結語

對有限實名網絡中的個人信息安全使用進行必要的監(jiān)管是實現個人信息有序采集、合理使用、有效保護的重要手段。長久以來，由于相關法律法規(guī)的滯后，相關的監(jiān)管工作存在諸多問題。強化對有限實名網絡中個人信息的監(jiān)管，需要對監(jiān)管主體、監(jiān)管權責進行劃分和界定。

本文從政府職能部門、互聯網企業(yè)、網民個人3個維度劃分監(jiān)管主體，并從這3個監(jiān)管主體出發(fā)，研究分析不同主體的監(jiān)管職責。首先，政府職能部門的監(jiān)管職責應集中在完善立法、完善互聯網企業(yè)個人信息保護能力評估、構建動態(tài)巡查及信息安全預警平臺、完善個人信息安全事件的追責機制等方面。其次，互聯網企業(yè)的監(jiān)管職責應集中在完善安全管理制度、完善技術保護手段、人員安全保密管理等方面。第三，網民個人監(jiān)管職責主要表現在監(jiān)督政府職能部門和互聯網企業(yè)，并提高自身的信息安全意識。

同時，由于互聯網企業(yè)數量眾多，規(guī)模差異大以及個人信息在存儲、使用、銷毀等環(huán)節(jié)各項操作的隱蔽性，政府職能部門、互聯網企業(yè)及網民個人不可避免地出現監(jiān)管不足的問題。因此，在未來的監(jiān)管研究中，還應進一步研究引入諸如權威第三方等新的監(jiān)管主體來填補監(jiān)管環(huán)節(jié)上的盲區(qū)。