范丽莉，龚心娟

(长安大学 人文学院， 陕西 西安 710064)

一、引言

随着数字经济时代的到来，数据成为最具时代特征的新生产要素，个人信息作为关键数据来源之一，其价值正不断被挖掘和利用，但个人信息的自决和控制力却越来越弱[1]，个人信息安全问题日益突出。2009年《刑法修正案(七)》首次将侵犯公民个人信息的行为纳入刑法规制范围，此后我国政府陆续出台了一系列个人信息保护政策。然而，这些政策是否能够有效协同并形成政策合力以及未来个人信息保护政策如何修订与完善都需要我们运用量化工具来进行科学分析。

关于个人信息保护政策的研究，从内容上来看，主要集中于中外个人信息保护政策阐释或比较研究[2-3]、个人信息保护政策工具研究[4-5]以及具体领域的个人信息保护研究，例如公共图书馆个人信息保护政策研究[6-7]、数据开放中的个人信息保护[8-9]、社交媒体个人信息保护[10-11]等，这些研究对某个国家或领域的个人信息保护政策从内容、工具、效果、不足及对策等方面进行了探讨。从研究方法来看，现有研究多为定性分析、规范分析，而基于政策文本的定量分析、实证分析很少，尤其是基于大样本量化分析政策协同演变问题的实证研究更稀缺。

关于政策协同演变的研究，已经存在一些采用量化分析方法、构建多维政策协同计量模型的研究。其中较为广泛借鉴和引用的是彭纪生等[12]关于创新政策协同以及张国兴等[13]关于节能减排政策协同的成果。

本研究以彭纪生等[12]、张国兴等[13]的政策量化研究方法为基础，制定政策测量标准，构建政策效力、政策部门、政策目标、政策措施分析框架，并对2009—2021年我国国家层面出台的153份个人信息保护政策文本进行了量化梳理，系统剖析我国个人信息保护政策协同演变状况及现存问题，以期为我国个人信息保护政策的发展和完善提供参考和建议。

二、基于文本内容的个人信息保护政策量化及协同测量模型

(一)数据来源

本文以“个人信息/数据保护”“个人信息/数据安全”作为关键词系统检索万方法律、“北大法宝”“北大法意”等数据库，收集了2009年1月—2021年8月我国国家层面颁布的个人信息保护政策。为保证准确性及全面性，利用中央人民政府门户网站进行核对与查漏补缺，初步筛选出包括全国人民代表大会及其常务委员会、中共中央、国务院及其部门发布的512份政策。其中剔除掉与个人信息保护相关度低、表述过于笼统以及批复、回函等间接反映政府意志的文件，最终选取有效政策文本153份。

(二)政策量化标准

本文以彭纪生、张国兴等学者的政策量化研究方法为参考[12-13]，结合个人信息保护政策内容，围绕政策力度、政策目标、政策措施3个维度制定个人信息保护政策量化标准。一般而言，政策颁布机构的级别越高，政策力度得分越高，政策内容越宏观，因而在政策目标和政策措施上的得分较低。而政策颁布机构的级别越低，政策力度越低，但政策目标及政策措施越明确，更加具有实践指导意义，因而在政策目标和政策措施上的得分较高。这二者产生的叠加效应，一定程度上可以相互弥补，能够比较全面真实地反映出个人信息保护政策的内容效度[12]。

1.政策力度量化标准

政策力度是反映政策法律效力高低的指标，政策颁布机构的行政级别与政策类型是影响政策力度大小的重要因素。本文在借鉴相关文献的基础上，依据国务院颁布的《行政法规制定程序条例》《规章制定程序条例》，结合153份政策的颁布机构和政策类型，制定了政策力度量化表，依次为5分、4分、3分、2分、1分，得分越高反映政策力度越大、法律效力越高，详见表1。

表1 政策力度量化标准

2.政策目标量化标准

政策目标是指某一条政策所要实现的目的和结果。本文以《中华人民共和国个人信息保护法》为依据，从个人信息主体角度、个人信息处理者角度、信息产业及社会发展角度将政策目标分为3项，分别是保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用。本文对政策目标的量化主要考虑制定的目标是否具体、可行，所采取的方案、措施实现政策目标的可能程度。为了便于对量化标准进行理解和把握，赋值分别为5分、3分、1分，4分及2分的量化标准分别介于5～3分以及3～1分的量化标准之间，详见表2。

表2 政策目标量化标准

3.政策措施量化标准

政策措施是指政策制定主体为实现政策目标而采取的措施、方法和手段的总和。本文将政策措施分为人事措施、经济措施、引导措施、行政措施、技术措施、多元主体参与措施6个方面。政策措施的量化主要考虑政策措施执行细则的详细程度、可操作性以及执行力度，赋值分别为5分、3分、1分，4分及2分的量化标准分别介于5～3分以及3～1分的量化标准之间，详见表3。

表3 政策措施量化标准

续表(表3)

(三)政策量化过程

为了方便后续对政策文本内容进行分析，本文对收集的153份政策文本进行了编码及量化处理。分为3个步骤：① 政策编码：利用Nvivo 12质性分析软件对个人信息保护政策进行编码，编码采用“政策编号—单元编号—政策目标/措施编号”的形式，具体如表4所示。由于政策文本数量较大，本文仅截取部分编码成果来展示。其中政策目标编号为1～3，分别对应保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用3项政策目标；政策措施编号为4～9，分别对应人事措施、经济措施、引导措施、行政措施、技术措施、多元主体参与措施6项政策措施。由于部分政策文本的表述具有综合性，因此在进行分类判断时，按照其实际反映的情况进行多项选择。② 量化打分：依据前文制定的政策量化标准对每条政策的政策力度、政策目标、政策措施进行打分。③ 得分总计：计算每一条政策在力度、目标、措施上的总得分。

表4 个人信息保护政策样本编码及量化打分表(部分)

(四)协同度测量模型

前文中提到政策力度与政策目标及措施产生叠加效应，相互弥补，共同反映政策内容效度，因此本章节采用政策力度、政策目标、政策措施得分乘积之和来衡量政策效力，利用公式(1)计算各年度个人信息保护政策总效力，利用公式(2)计算各年度个人信息保护政策平均效力：

(1)

(2)

其中，YTPEi表示第i年个人信息保护政策的总效力，YPEi表示第i年个人信息保护政策的平均效力，N表示第i年的政策数量，PEj表示第j条政策的政策力度得分，POj表示第j条政策的政策目标总得分，PGj表示第j条政策的政策措施总得分。

各年度个人信息保护政策目标间的协同度利用公式(3)进行计算:

(3)

各年度个人信息保护政策措施间的协同度利用公式(4)进行计算:

(4)

三、我国个人信息保护政策梳理及政策效力的演变

从图1可以看出，2009年1月—2021年8月，我国国家层面颁布的政策数量不断增加，政策总效力总体呈上升趋势，但政策平均效力总体呈下降趋势。政策效力的演变与政策体系的发展阶段紧密相关，总的来说，2009—2021年个人信息保护政策发展可以分为3个阶段：起步阶段、行业探索阶段、全面发展完善阶段，本文将分阶段进行政策梳理及政策效力的演变分析。

图1 政策数量、政策总效力、政策平均效力的演变分析

(一)起步阶段(2009—2012年)

2009年，鉴于我国互联网普及率的提高以及由此带来层出不穷的隐私信息泄漏、网络欺诈等安全隐患，《刑法修正案(七)》增设出售、非法提供和获取公民个人信息罪，将个人信息保护义务相对人设定为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，这是我国首次明确地将侵犯公民个人信息的行为纳入刑法规制范围，首次实现了刑事立法层面的个人信息独立保护[14]。2009年修订的《中华人民共和国统计法》和2010年的《中华人民共和国社会保险法》进一步细化了“国家机关”的范畴，并明确了相关主体的个人信息保护义务和责任。

2012年，党的十八大明确提出了健全信息安全保障体系，加强网络社会管理，推进网络依法规范有序运行。同年12月发布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》，做出了国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息的决定，将网络服务提供者和其他事业单位工作人员也纳入到个人信息保护义务相对人的范畴，首次从法律层面确认了个人信息处理必须遵循“合法、正当、必要”的原则，这一原则不仅在后续立法中得到了延续，而且有了进一步的发展。

总体而言，这一阶段我国个人信息保护政策从数量上看仅有13份，总量维持在一个较低的水平上。但是政策类型多为法律、命令等，政策力度为4分及以上的政策数量占比61.54%，政策颁布机构的行政级别较高，政策总效力和平均效力总体呈上升趋势。这些高力度政策的出台充分表明个人信息受到法律保护，对实践工作发挥了引领、推动作用，标志着我国个人信息保护工作在法治轨道上的起步。

(二)行业探索阶段(2013—2015年)

这一阶段，基于前一阶段个人信息保护政策提供的法律依据和指导原则，部分掌握个人信息较多的重点行业，例如电信、征信、保险、邮政等率先以条例、办法、规定等政策形式对本行业内用户个人信息概念及范围作出界定，明确了用户个人信息保护基本要求，因此2013年个人信息保护政策数量和政策平均效力均出现了大幅度的增长。其中比较典型的是工业和信息化部出台的《电信和互联网用户个人信息保护管理规定》，该规定以“概括加列举”的方式说明了由工业和信息化部负责监督管理的用户个人信息的概念及范围，规范了电信、互联网信息服务过程中的用户个人信息收集、使用等处理活动的范围，提炼出个人信息“识别性”这一核心法律特征。但限于行政规章的性质与效力，“识别性”这一特征没能上升到国家法律制度层面[15]。

2014年，政策数量及平均效力有所下降，一方面是因为2013年颁布的高效力政策太多，需要留出一定时间让已颁布的政策充分发挥效果以及研究制定更加细化的配套性政策；另一方面也与个人信息保护机构的调整有关，2014年我国在对信息化相关管理机构进行组织架构调整及职能整合的基础上，成立了中央网络安全和信息化领导小组，涉及从立法，立规及建标准等多个方面进行顶层设计和统筹规划一系列工作，也需要一定的时间。

2015年，国务院颁布了促进大数据产业、信息产业、电子商务行业发展的相关意见及行动纲要，明确提出研究推动相关行业个人信息保护相关法规与制度，加强个人信息保护知识宣传，健全数据安全保障体系等要求，因此个人信息保护政策数量有所增加，但鉴于指导性政策的性质，政策目标及政策措施以原则性规定为主，平均效力较低。

总体而言，这一阶段我国个人信息保护政策以行业探索为主，形成了“个人信息”定义的雏形，提出了本行业个人信息处理的相关规则，但也导致了个人信息保护政策相关内容分散在各个行业、领域的法律法规及部门规章中，不利于政策体系的战略性及系统性发展，加大了法律适用的难度。

(三)全面发展完善阶段(2016年至今)

这一阶段，我国个人信息保护政策在行业监管政策、国家标准、国家法律等方面都有了较大的发展与完善，政策数量及政策总效力增长较快。

从行业监管政策层面来看，行业管理部门为进一步规范行业发展，针对细分领域制定了具体的管理办法，如工业和信息化部对信息通信行业、大数据产业、互联网产业、虚拟现实产业、智能网联汽车产业等均制定了相关管理办法，使得个人信息保护政策更加贴合行业生产和发展特性。

从国家标准层面来看，这一期间市场监管总局与国家标准委联合发布了多项与个人信息保护相关的信息安全技术标准，对个人信息去标识化、安全影响评估、移动智能终端业务等方面进行了规范。

从国家法律层面来看，2016年《中华人民共和国网络安全法》颁布，首次以法律形式界定了个人信息的概念，确认了个人信息“识别性”的特征，比较全面地规定了个人信息处理的基本规则，明确了个人对其网络信息的删除权和更正权，进一步提高了信息主体对其个人信息的管控度。2020年，《中华人民共和国民法典》首次对个人信息和隐私权作了明确区分，增加了个人信息主体的查阅权和复制权，并说明了信息处理者的3类免责事由，体现出民法典支持法治框架内合理使用个人信息的立场。

2021年8月20日，《中华人民共和国个人信息保护法》审议通过，该法在吸纳整合前文所述各项政策法律中的相关规定和国际经验的基础上，立足于数字经济发展的实践，进一步细化、完善了个人信息保护制度，成为我国第一部专门针对个人信息保护的系统性、综合性法律，标志着我国在个人信息立法保护史上迈出了具有里程碑意义的一步，也标志着个人信息保护政策即将迈入规范化发展的新阶段。

总体来看，这一阶段我国个人信息保护政策在数量、形式、内容等方面都得到了极大的发展与完善，但政策力度总体较低，通知、意见、建议等政策力度仅为1、2分的政策数量占比62.07%，实际操作层面的具体政策措施不够细化，导致政策平均效力较低，未来还应进一步完善相应的操作细则。

四、我国个人信息保护政策的协同演变分析

以前文中的政策量化结果作为依据，结合政策颁布部门、背景，从部门协同、目标协同、措施协同演变3个方面进行分析。

(一)政策部门间的协同演变分析

政策部门协同是指两个及以上部门联合颁布政策的情况，政策部门协同对政策执行力度及实施效果有着显而易见的影响。通过对政策部门协同演变状况进行分析，可以了解个人信息保护政策联合行文趋势、核心发文部门地位及作用发挥情况。本次收集的个人信息保护政策发文部门共计46个(1)2009—2021年国务院进行了两次大规模机构改革，为了更精准地统计各政策部门在观察期内实际发文数量及协同状况，本文依据国务院机构改革方案，将改革前相关部门及其历史沿革部门颁布的政策计入当前部门名下。此外，国家互联网信息办公室与中央网络安全和信息化委员会办公室是一个机构两块牌子，二者在个人信息保护工作中的职责、义务与权利基本一致，因此本文不对二者进行区分，统称为国家网信部门。。

1.个人信息保护政策联合行文演变分析

我国个人信息保护政策联合行文的现象越来越普遍，联合部门数量也逐渐增加。如图2所示，我国个人信息保护政策联合行文是从2012年开始的，尽管此时联合行文政策数量仅为1个，但这表明了我国个人信息保护政策的颁布开始由单一部门向多部门联合颁布转变。此后，联合颁布政策数量呈现出“波浪式”增长，联合行文比例总体呈上升趋势，尤其是2017年联合颁布政策数量超过单独发文数量，联合部门数量高达29个，即63%的相关政策部门参与了联合行文。随着大数据技术在各个领域的广泛应用，个人信息保护问题必然会涉及到多个部门的职责，未来参与联合行文的部门数量还将进一步增加。

图2 个人信息保护政策联合行文演变分析

2.政策部门协同的具体情况

为了进一步了解个人信息保护政策部门协同的具体分布情况，本文将各发文部门抽象为节点，一个节点代表一个部门，一条连线代表相连的两个节点间有一次合作关系，使用复杂网络分析软件Gephi绘制出政策发文部门合作网络图(见图3)。根据网络规模、网络密度、中心度等指标对部门间协同进行测量。

图3 个人信息保护政策发文部门合作网络图

网络规模即合作网络中包含的所有行动者的数目,体现为合作网络图中的节点总数量。从网络规模来看，参与个人信息保护政策联合行文的部门有41个，构成了297条合作边。

网络密度指图中实际存在的边线与理论上可能存在的所有边线数量的比例，反映了节点间关系的紧密程度。经计算，网络密度为0.362，说明从整体来看个人信息保护政策部门合作网络结构比较紧密，部门间的合作次数较多。为了进一步了解部门间合作的情况，本文将节点度数、联结频次分别作为合作广度、合作深度的考察指标进行分析。节点度数代表与该节点直接相连的节点数量，节点面积越大表示该节点的度数越大，即与该部门联合行文的部门数量越多，合作广度越大；连接两个节点的边线越粗表示联结频次越高，即两个部门联合行文次数越多，合作深度越大[16]。从节点度数看，合作网络中节点度数的值分布在1～33，度数为10以下的部门占比46.34%；联结频次的值分布在1～138，频次为20以下的部门占比43.90%，说明处于中心位置的少数发文部门合作密度显著高于整体网络密度，合作网络中存在局部“聚集”现象，而近50%政策发文部门间合作广度和深度不足，有待进一步加强。

中心度指标用来反映核心发文机构及其作用。本研究从点度中心度、接近中心度、中介中心度以及特征向量中心度进行了计算，结果如表5所示，发文部门间形成了以公安部、市场监管总局、工业和信息化部、国家网信部门为核心主体的合作网络。公安部在4项中心度排列中均位居第一，主要是因为公安部对于个人信息处理违法违规行为具有监督管理和行政处罚职权，因此与各领域的监管部门存在着广泛的合作关系。机构改革后合并组建的市场监管总局因其职责涉及各个领域消费市场的综合监管，在消费领域个人信息保护方面与其他管理部门存在密切合作。工业和信息化部作为通信和互联网相关行业的管理部门，是个人信息保护政策制定的当然主体，但因其行政资源有限，因此越来越多地与其他部门联合颁布政策。国家网信部门是个人信息保护统筹协调部门，近年来其发挥的作用也越来越大，但从中心度数值来看，国家网信部门在4个核心发文主体中排名最低，发挥的统筹协调作用非常有限，这与我国目前个人信息保护行政监管由不同部门分管的现状密切相关。尽管最新出台的《个人信息保护法》明确赋予了国家网信部门统筹协调的职权，但这一规定仍未解决个人信息保护执法权归属的争议问题，“统筹协调”不等同于“统一负责”，何为“统筹协调”也有较大的解释空间[17]。此外，在国家网信部门一个机构、两块牌子的编制中，中共中央网络安全和信息化委员会属于决策议事协调机构，不是严格意义上的实体性组织，专业性和独立性很难得到保障[18]，因此需要设立独立、统一的监管机构。

表5 个人信息保护政策发文部门中心度(以点度中心度为降序排列前10位)

(二)政策目标间的协同演变分析

在153份政策中，保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用这3项政策目标得分占政策目标总得分的比例分别为32.75%、38.74%、28.51%。图4显示了这3项目标两两之间的协同度演变过程，可以看出各目标之间的协同度在不同年份有所波动，但总体都呈现出上升趋势，尤其是在2018年以后，协同度持续大幅增长，说明我国个人信息保护政策目标协同状况越来越好。

图4 政策目标协同的演变分析

具体来看，保护个人信息权益与规范个人信息处理活动之间的协同度最高，规范个人信息处理活动和促进个人信息合理利用之间的协同度在2017年之前总体上略高于保护个人信息权益和促进个人信息合理利用之间的协同度，2017年之后差距逐渐拉大。主要是因为《网络安全法》于2017年开始施行之后，相关领域对个人信息处理活动作出了更加详细、具体的要求，也体现了规范个人信息处理活动是现阶段个人信息保护政策最直接、最核心的目标，该目标的完成情况直接影响着保护个人信息权益和促进个人信息合理利用目标的实现程度。

促进个人信息合理利用体现了个人信息的公共性。个人信息是与已被识别或可以被识别的个体有关的信息，而识别个人是开展社会交往和社会活动所必需的因素[19]，因此个人信息不仅附着了自然人的人格权益，同时也承载了不特定多数人的(公共)利益[20]，具有公共性。但就目前已出台的个人信息保护政策来看，我国对于个人信息的公共性重视程度不足，未能平衡好保护个人信息权益与促进个人信息利用间的关系。

具体来看，《民法典》在第一千零三十六条中规定了处理个人信息，而行为人不需要承担民事责任的3种特定情形，第九百九十九条中规定为公共利益可以合理使用民事主体的部分个人信息等，一定程度上对个人信息权益保护与个人信息利用之间的平衡作了规定[21]，但并未体现出个人信息是社会可用资源的属性。《个人信息保护法》明确提出了“促进个人信息合理利用”的目的，将匿名化的信息排除在“个人信息”含义之外，完善了处理个人信息的多元合法基础，但是对于个人信息合理利用相关操作层面的细则仍有待进一步完善，比如个人信息转移需“符合国家网信部门规定条件”，而具体的规定条件和操作细则尚未出台。此外，个人信息保护法未提及对企业依法合规收集的个人信息数据进行保护，可能会打击企业发展大数据技术的积极性。其他已出台的个人信息保护政策对于促进个人信息合理利用也仅停留在鼓励层面，并未有实质性的促进办法。

(三)政策措施间的协同演变分析

1.政策措施总体协同情况

政策措施作为实现政策目标的举措与手段，往往需要多种类型有机结合，形成合力才能充分发挥政策的预期效应。总体而言，我国个人信息保护逐渐由依靠单一政策措施向综合利用多元政策措施转变。人事措施、经济措施、引导措施、行政措施、技术措施、多元主体参与措施得分占比分别为23.92%、12.44%、12.63%、22.03%、16.35%、12.63%。本文对两两政策措施之间的协同度进行计算分析，得出15种结果(见图5)。从图5可以看出，政策措施协同度总体呈波浪式上升趋势，但除了人事措施与行政措施协同度较高外，其他14组政策措施协同度多年得分低于100。这说明我国主要是依靠政府的力量来约束个人信息处理者的行为，但个人信息保护是一项系统工程，不能仅靠政府的执法威慑，还需要积极引导信息主体自身把握好“第一道关口”，将政府规制与行业自律相结合，充分调动企业、公民等多元主体共同参与个人信息保护的积极性，丰富多元主体合作形式，形成综合治理的良好生态环境。

图5 政策措施协同度总体演变情况

2.具体政策措施之间的协同情况分析

由于人事措施和行政措施是我国个人信息保护政策主要采取的两种措施，因此本文主要分析人事措施和行政措施这两种措施与其他各项措施之间的协同情况，如图6、图7所示。

(1)人事措施与其他各项措施之间的协同度演变情况。如图6所示，2012年之前，我国个人信息保护政策处于起步阶段，对于政策措施协同还未引起足够的重视，此时各项政策措施间的协同度都比较低。2012年之后，各领域、行业积极探索制定本行业个人信息保护政策，政策措施协同度也逐渐增长。总体来看，行政措施与人事措施表现出最高的协同度，这说明我国个人信息保护政策经常将人事措施与行政措施配合使用，多数政策主要是通过明确相应主管部门的工作职责，并规定失职、违规人员的惩处措施来进行个人信息保护。

图6 人事措施与其他措施协同的演变分析

人事措施与经济措施的协同度在不同年份波动相对较大，主要是因为目前个人信息保护政策中对于经济措施应用最多的是经济处罚措施，很少提及对个人信息保护工作提供资金支持或税收减免等奖励性经济措施，人事措施也比较侧重对违规人员的惩罚，较少提及个人信息保护人才选拔与培训相关内容，这两种惩罚性措施往往在法律、条例等力度高的政策中被结合使用，这也体现了人事措施和经济措施内部发展不均衡的问题。比如2013年《征信业管理条例》《电信和互联网用户个人信息保护规定》《中华人民共和国消费者权益保护法》(2013修订版)相继颁布，将经济处罚措施与违规人员惩处措施结合使用,使得人事措施与经济措施的协同度大幅增长。

技术措施与人事措施在2018年之前协同度较低，2018—2020年协同度大幅提升，主要是因为2018年国务院机构改革，将市场监管和标准化工作统一划归给新组建的市场监管总局，市场监管总局联合国家标准委制定发布了一系列信息安全技术标准，从安全技术和安全管理两个方面提出了个人信息保护在具体实践上的操作要求。

引导措施、多元主体参与措施与人事措施的协同度较低，主要是因为我国个人信息保护政策对于引导措施和多元主体措施的运用较少，对于引导公民、企业、组织等树立个人信息保护意识，提高个人信息保护能力的关注度不够，较少落实相关部门的引导职责，也未能发挥行业、社会等其他主体参与的积极作用。《中华人民共和国个人信息保护法》第十一条明确提出要推动政府、企业、公众、社会组织共同参与个人信息保护，但具体的参与制度与管理办法还有待相关配套政策的完善。

(2)行政措施与其他各项措施之间的协同度演变情况。人事措施与行政措施间协同度显著高于其他措施与行政措施间协同度，在前面已经分析过。2020年政策数量大幅增加，但经济措施、技术措施、多元主体参与措施与行政措施间的协同度并没有显著增长，引导措施与人事措施协同度略微下降(见图7)，主要是因为2020年新冠疫情爆发，出于疫情防控的需要，个人信息被频繁收集，在线教育、在线办公、在线医疗等在线服务成为刚需，政府不得不迅速出台一系列相关政策规范疫情期间个人信息处理行为，这些政策从制定到出台时间较短，比较侧重于对人事措施的运用，因此行政措施并未显著增加，且部分政策只针对疫情防控工作的某一方面或某一环节进行规范,适用范围比较狭窄，措施协同度较低。

图7 行政措施与其他措施协同的演变分析

五、研究结论与建议

(一)研究结论

第一，在互联网、大数据、云计算等信息技术的推动下和中共中央、国务院的指导下，我国个人信息保护政策经历了起步阶段、行业探索阶段、全面发展完善阶段。政策数量和政策总效力持续增加，但政策力度较低，原则性、方向性的政策内容较多，政策措施可操作性不强等问题导致政策平均效力总体呈下降趋势，给个人信息保护政策的有效执行与落实带来了一定难度。

第二，我国政府越来越注重以部门协同来共同推进个人信息保护，形成了以公安部、市场监管总局、工业和信息化部、国家网信部门为核心主体的合作网络，但部门合作网络存在局部“聚集”现象，导致近半数发文部门间的协同广度和深度不足。

第三，长期以来，我国个人信息保护行政监管呈现出多头并举的状态，不同监管主体间协调难度大，国家网信部门专业性和独立性不足，国家机关间存在利益纠葛等问题，从而导致国家网信部门的统筹协调作用难以有效发挥。

第四，我国个人信息保护政策目标协同度持续增长，但未能统筹平衡个人信息权益保护与促进个人信息利用间的关系，从目前已颁布的个人信息保护政策来看，较少有真正能促进个人信息合理利用及相关信息产业发展的实质性政策内容，个人信息利用细则不完善，未对企业数据财产保护问题进行规定，不利于数字经济的持续健康发展。

第五，我国个人信息保护政策措施由依靠单一政策措施向综合利用多元政策措施转变，但政策措施协同分布不均情况比较明显，行政措施与人事措施协同度显著高于其他政策措施间的协同度，经济措施、引导措施、多元主体参与措施运用过少。政策措施内部发展也不均衡，人事措施侧重于规定主管部门相应职责及对失职、违规人员的惩处措施，对个人信息保护人才选拔与培养重视程度不足；经济政策侧重于经济处罚措施，较少对个人信息保护工作提供经济上的支持与鼓励，一定程度上影响了个人信息保护政策效果。

(二)政策建议

第一，适当提高我国个人信息保护政策平均效力。一方面以《个人信息保护法》的基本原则和总体思路为依据，对现有政策进行全面系统的梳理，适当颁布一些政策力度较高的条例、规定、纲要等，进一步完善个人信息保护政策体系的总体框架，并为各领域的个人信息保护工作提供更高阶位的政策依据[22]。另一方面要提高政策的可操行性，全面考虑政策措施的实际应用场景，尽快制定并出台相关实施细则、标准、规范等配套性政策，如公权机关的个人信息处理行为规范，个人信息保护评估和认证规范，个人信息保护行政监管与私法诉讼机制实施细则，敏感个人信息保护相关规定等，并根据不同行业特性完善区块链、数据加密、脱敏、隐私计算、访问控制等技术合规标准，以此来解决个人信息保护政策实际操作层面的问题。

第二，增强个人信息保护政策部门协同广度和深度。如今个人信息保护行政执法工作走向常规化，不同于过去集中时间进行“专项整治”的执法方式，因此在协同广度上，除了继续发挥公安部、市场监管总局、工业和信息化部、国家网信部门等核心主体的作用之外，还应当更加注重发挥其他部门的协作职能，例如在推动个人信息保护工作方面起关键经济作用的财政部、对民间资本流向起引导和撬动作用的银保监会、对个人信息保护人才政策起重要作用的人力资源和社会保障部等。在协同深度上，要厘清各协作部门的职能范围，提前进行资源的确认和调动，保障资源供给，加强信息沟通，实现各部门间的长期深度协同。

第三，设立独立、统一的个人信息保护监管机构，明确个人信息保护行政规制体制。随着社会信息化的发展，个人信息保护问题客观上涉及到多个领域，多部门分散监管模式虽然能贴合各行业特性，但长期来看容易使得监管主体不断增加，出现权力交叉、职责混淆、执法权归属争议等问题，国家网信部门统筹协调难度也不断加大。因此，有必要设立独立的监管机构对个人信息保护工作统一负责，并配置相应的行政、经济、人力等资源，保留兜底性的执法权，以保证其独立性、公正性、权威性，真正做到严格执法、高效执法，有效落实个人信息保护政策。

第四，统筹平衡个人信息权益保护与个人信息利用之间的关系。一是在理念上应当充分认识到个人信息既是促进经济发展的重要资源，也是推动社会整合、制度变迁的动力，要以个人利益与公共利益平衡为出发点和落脚点，兼顾个人信息权益保护与个人信息利用；二是基于敏感度和利益受损风险等级对个人信息进行准确的分级分类，针对不同安全等级的个人信息分别实行不同程度的“脱敏 + 禁溯源”处理[23]，并完善相应的个人信息利用细则；三是个人信息跨境传输，应根据不同的适用对象与情景，设计多元的补充认定机制，积极促进国际贸易往来[24]；四是将个人信息保护规制重点转向信息流通与利用阶段，全面掌控企业在流通和利用阶段的个人信息处理行为[25]；五是对企业依法合规取得的个人信息资源进行保护，切实保障企业的合法数据权益，推动数字经济行稳致远。

第五，进一步强化政策措施的协同发展与均衡发展。以人的现代化为落脚点[26]，一方面要增加引导措施，加强多元主体参与措施的运用，深入开展个人信息保护宣传教育工作，培育企业将个人信息保护能力作为核心竞争力的意识，引导个人信息处理者主动承担个人信息保护责任，建立内部治理机制，促进行业自律，完善多元主体参与互动机制，将行政规制与自我规制相结合，并逐渐强化与其他各项措施之间的协同。另一方面要促进经济措施和人事措施内部均衡发展，对于人事措施，要更加注重个人信息保护相关人才的选拔与培养，在高校设立数据合规、隐私保护、信息安全等相关专业，积极推动政、产、学、研多方合作，加快构建立体化人才培养机制；对于经济措施，应当持续加大对信息安全基础设施建设、人才队伍建设、信息安全技术研发的资金扶持力度，为个人信息保护提供资金保障。