數字經濟時代的個人信息保護：政策梳理與協同演變
——基于153份政策文本的實證分析

范麗莉，龔心娟

(長安大學 人文學院， 陜西 西安 710064)

一、引言

隨著數字經濟時代的到來，數據成為最具時代特征的新生產要素，個人信息作為關鍵數據來源之一，其價值正不斷被挖掘和利用，但個人信息的自決和控制力卻越來越弱[1]，個人信息安全問題日益突出。2009年《刑法修正案(七)》首次將侵犯公民個人信息的行為納入刑法規制范圍，此后我國政府陸續出臺了一系列個人信息保護政策。然而，這些政策是否能夠有效協同并形成政策合力以及未來個人信息保護政策如何修訂與完善都需要我們運用量化工具來進行科學分析。

關于個人信息保護政策的研究，從內容上來看，主要集中于中外個人信息保護政策闡釋或比較研究[2-3]、個人信息保護政策工具研究[4-5]以及具體領域的個人信息保護研究，例如公共圖書館個人信息保護政策研究[6-7]、數據開放中的個人信息保護[8-9]、社交媒體個人信息保護[10-11]等，這些研究對某個國家或領域的個人信息保護政策從內容、工具、效果、不足及對策等方面進行了探討。從研究方法來看，現有研究多為定性分析、規范分析，而基于政策文本的定量分析、實證分析很少，尤其是基于大樣本量化分析政策協同演變問題的實證研究更稀缺。

關于政策協同演變的研究，已經存在一些采用量化分析方法、構建多維政策協同計量模型的研究。其中較為廣泛借鑒和引用的是彭紀生等[12]關于創新政策協同以及張國興等[13]關于節能減排政策協同的成果。

本研究以彭紀生等[12]、張國興等[13]的政策量化研究方法為基礎，制定政策測量標準，構建政策效力、政策部門、政策目標、政策措施分析框架，并對2009—2021年我國國家層面出臺的153份個人信息保護政策文本進行了量化梳理，系統剖析我國個人信息保護政策協同演變狀況及現存問題，以期為我國個人信息保護政策的發展和完善提供參考和建議。

二、基于文本內容的個人信息保護政策量化及協同測量模型

(一)數據來源

本文以“個人信息/數據保護”“個人信息/數據安全”作為關鍵詞系統檢索萬方法律、“北大法寶”“北大法意”等數據庫，收集了2009年1月—2021年8月我國國家層面頒布的個人信息保護政策。為保證準確性及全面性，利用中央人民政府門戶網站進行核對與查漏補缺，初步篩選出包括全國人民代表大會及其常務委員會、中共中央、國務院及其部門發布的512份政策。其中剔除掉與個人信息保護相關度低、表述過于籠統以及批復、回函等間接反映政府意志的文件，最終選取有效政策文本153份。

(二)政策量化標準

本文以彭紀生、張國興等學者的政策量化研究方法為參考[12-13]，結合個人信息保護政策內容，圍繞政策力度、政策目標、政策措施3個維度制定個人信息保護政策量化標準。一般而言，政策頒布機構的級別越高，政策力度得分越高，政策內容越宏觀，因而在政策目標和政策措施上的得分較低。而政策頒布機構的級別越低，政策力度越低，但政策目標及政策措施越明確，更加具有實踐指導意義，因而在政策目標和政策措施上的得分較高。這二者產生的疊加效應，一定程度上可以相互彌補，能夠比較全面真實地反映出個人信息保護政策的內容效度[12]。

1.政策力度量化標準

政策力度是反映政策法律效力高低的指標，政策頒布機構的行政級別與政策類型是影響政策力度大小的重要因素。本文在借鑒相關文獻的基礎上，依據國務院頒布的《行政法規制定程序條例》《規章制定程序條例》，結合153份政策的頒布機構和政策類型，制定了政策力度量化表，依次為5分、4分、3分、2分、1分，得分越高反映政策力度越大、法律效力越高，詳見表1。

表1 政策力度量化標準

2.政策目標量化標準

政策目標是指某一條政策所要實現的目的和結果。本文以《中華人民共和國個人信息保護法》為依據，從個人信息主體角度、個人信息處理者角度、信息產業及社會發展角度將政策目標分為3項，分別是保護個人信息權益、規范個人信息處理活動、促進個人信息合理利用。本文對政策目標的量化主要考慮制定的目標是否具體、可行，所采取的方案、措施實現政策目標的可能程度。為了便于對量化標準進行理解和把握，賦值分別為5分、3分、1分，4分及2分的量化標準分別介于5～3分以及3～1分的量化標準之間，詳見表2。

表2 政策目標量化標準

3.政策措施量化標準

政策措施是指政策制定主體為實現政策目標而采取的措施、方法和手段的總和。本文將政策措施分為人事措施、經濟措施、引導措施、行政措施、技術措施、多元主體參與措施6個方面。政策措施的量化主要考慮政策措施執行細則的詳細程度、可操作性以及執行力度，賦值分別為5分、3分、1分，4分及2分的量化標準分別介于5～3分以及3～1分的量化標準之間，詳見表3。

表3 政策措施量化標準

續表(表3)

(三)政策量化過程

為了方便后續對政策文本內容進行分析，本文對收集的153份政策文本進行了編碼及量化處理。分為3個步驟：① 政策編碼：利用Nvivo 12質性分析軟件對個人信息保護政策進行編碼，編碼采用“政策編號—單元編號—政策目標/措施編號”的形式，具體如表4所示。由于政策文本數量較大，本文僅截取部分編碼成果來展示。其中政策目標編號為1～3，分別對應保護個人信息權益、規范個人信息處理活動、促進個人信息合理利用3項政策目標；政策措施編號為4～9，分別對應人事措施、經濟措施、引導措施、行政措施、技術措施、多元主體參與措施6項政策措施。由于部分政策文本的表述具有綜合性，因此在進行分類判斷時，按照其實際反映的情況進行多項選擇。② 量化打分：依據前文制定的政策量化標準對每條政策的政策力度、政策目標、政策措施進行打分。③ 得分總計：計算每一條政策在力度、目標、措施上的總得分。

表4 個人信息保護政策樣本編碼及量化打分表(部分)

(四)協同度測量模型

前文中提到政策力度與政策目標及措施產生疊加效應，相互彌補，共同反映政策內容效度，因此本章節采用政策力度、政策目標、政策措施得分乘積之和來衡量政策效力，利用公式(1)計算各年度個人信息保護政策總效力，利用公式(2)計算各年度個人信息保護政策平均效力：

(1)

(2)

其中，YTPEi表示第i年個人信息保護政策的總效力，YPEi表示第i年個人信息保護政策的平均效力，N表示第i年的政策數量，PEj表示第j條政策的政策力度得分，POj表示第j條政策的政策目標總得分，PGj表示第j條政策的政策措施總得分。

各年度個人信息保護政策目標間的協同度利用公式(3)進行計算:

(3)

各年度個人信息保護政策措施間的協同度利用公式(4)進行計算:

(4)

三、我國個人信息保護政策梳理及政策效力的演變

從圖1可以看出，2009年1月—2021年8月，我國國家層面頒布的政策數量不斷增加，政策總效力總體呈上升趨勢，但政策平均效力總體呈下降趨勢。政策效力的演變與政策體系的發展階段緊密相關，總的來說，2009—2021年個人信息保護政策發展可以分為3個階段：起步階段、行業探索階段、全面發展完善階段，本文將分階段進行政策梳理及政策效力的演變分析。

圖1 政策數量、政策總效力、政策平均效力的演變分析

(一)起步階段(2009—2012年)

2009年，鑒于我國互聯網普及率的提高以及由此帶來層出不窮的隱私信息泄漏、網絡欺詐等安全隱患，《刑法修正案(七)》增設出售、非法提供和獲取公民個人信息罪，將個人信息保護義務相對人設定為“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”，這是我國首次明確地將侵犯公民個人信息的行為納入刑法規制范圍，首次實現了刑事立法層面的個人信息獨立保護[14]。2009年修訂的《中華人民共和國統計法》和2010年的《中華人民共和國社會保險法》進一步細化了“國家機關”的范疇，并明確了相關主體的個人信息保護義務和責任。

2012年，黨的十八大明確提出了健全信息安全保障體系，加強網絡社會管理，推進網絡依法規范有序運行。同年12月發布的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，做出了國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息的決定，將網絡服務提供者和其他事業單位工作人員也納入到個人信息保護義務相對人的范疇，首次從法律層面確認了個人信息處理必須遵循“合法、正當、必要”的原則，這一原則不僅在后續立法中得到了延續，而且有了進一步的發展。

總體而言，這一階段我國個人信息保護政策從數量上看僅有13份，總量維持在一個較低的水平上。但是政策類型多為法律、命令等，政策力度為4分及以上的政策數量占比61.54%，政策頒布機構的行政級別較高，政策總效力和平均效力總體呈上升趨勢。這些高力度政策的出臺充分表明個人信息受到法律保護，對實踐工作發揮了引領、推動作用，標志著我國個人信息保護工作在法治軌道上的起步。

(二)行業探索階段(2013—2015年)

這一階段，基于前一階段個人信息保護政策提供的法律依據和指導原則，部分掌握個人信息較多的重點行業，例如電信、征信、保險、郵政等率先以條例、辦法、規定等政策形式對本行業內用戶個人信息概念及范圍作出界定，明確了用戶個人信息保護基本要求，因此2013年個人信息保護政策數量和政策平均效力均出現了大幅度的增長。其中比較典型的是工業和信息化部出臺的《電信和互聯網用戶個人信息保護管理規定》，該規定以“概括加列舉”的方式說明了由工業和信息化部負責監督管理的用戶個人信息的概念及范圍，規范了電信、互聯網信息服務過程中的用戶個人信息收集、使用等處理活動的范圍，提煉出個人信息“識別性”這一核心法律特征。但限于行政規章的性質與效力，“識別性”這一特征沒能上升到國家法律制度層面[15]。

2014年，政策數量及平均效力有所下降，一方面是因為2013年頒布的高效力政策太多，需要留出一定時間讓已頒布的政策充分發揮效果以及研究制定更加細化的配套性政策；另一方面也與個人信息保護機構的調整有關，2014年我國在對信息化相關管理機構進行組織架構調整及職能整合的基礎上，成立了中央網絡安全和信息化領導小組，涉及從立法，立規及建標準等多個方面進行頂層設計和統籌規劃一系列工作，也需要一定的時間。

2015年，國務院頒布了促進大數據產業、信息產業、電子商務行業發展的相關意見及行動綱要，明確提出研究推動相關行業個人信息保護相關法規與制度，加強個人信息保護知識宣傳，健全數據安全保障體系等要求，因此個人信息保護政策數量有所增加，但鑒于指導性政策的性質，政策目標及政策措施以原則性規定為主，平均效力較低。

總體而言，這一階段我國個人信息保護政策以行業探索為主，形成了“個人信息”定義的雛形，提出了本行業個人信息處理的相關規則，但也導致了個人信息保護政策相關內容分散在各個行業、領域的法律法規及部門規章中，不利于政策體系的戰略性及系統性發展，加大了法律適用的難度。

(三)全面發展完善階段(2016年至今)

這一階段，我國個人信息保護政策在行業監管政策、國家標準、國家法律等方面都有了較大的發展與完善，政策數量及政策總效力增長較快。

從行業監管政策層面來看，行業管理部門為進一步規范行業發展，針對細分領域制定了具體的管理辦法，如工業和信息化部對信息通信行業、大數據產業、互聯網產業、虛擬現實產業、智能網聯汽車產業等均制定了相關管理辦法，使得個人信息保護政策更加貼合行業生產和發展特性。

從國家標準層面來看，這一期間市場監管總局與國家標準委聯合發布了多項與個人信息保護相關的信息安全技術標準，對個人信息去標識化、安全影響評估、移動智能終端業務等方面進行了規范。

從國家法律層面來看，2016年《中華人民共和國網絡安全法》頒布，首次以法律形式界定了個人信息的概念，確認了個人信息“識別性”的特征，比較全面地規定了個人信息處理的基本規則，明確了個人對其網絡信息的刪除權和更正權，進一步提高了信息主體對其個人信息的管控度。2020年，《中華人民共和國民法典》首次對個人信息和隱私權作了明確區分，增加了個人信息主體的查閱權和復制權，并說明了信息處理者的3類免責事由，體現出民法典支持法治框架內合理使用個人信息的立場。

2021年8月20日，《中華人民共和國個人信息保護法》審議通過，該法在吸納整合前文所述各項政策法律中的相關規定和國際經驗的基礎上，立足于數字經濟發展的實踐，進一步細化、完善了個人信息保護制度，成為我國第一部專門針對個人信息保護的系統性、綜合性法律，標志著我國在個人信息立法保護史上邁出了具有里程碑意義的一步，也標志著個人信息保護政策即將邁入規范化發展的新階段。

總體來看，這一階段我國個人信息保護政策在數量、形式、內容等方面都得到了極大的發展與完善，但政策力度總體較低，通知、意見、建議等政策力度僅為1、2分的政策數量占比62.07%，實際操作層面的具體政策措施不夠細化，導致政策平均效力較低，未來還應進一步完善相應的操作細則。

四、我國個人信息保護政策的協同演變分析

以前文中的政策量化結果作為依據，結合政策頒布部門、背景，從部門協同、目標協同、措施協同演變3個方面進行分析。

(一)政策部門間的協同演變分析

政策部門協同是指兩個及以上部門聯合頒布政策的情況，政策部門協同對政策執行力度及實施效果有著顯而易見的影響。通過對政策部門協同演變狀況進行分析，可以了解個人信息保護政策聯合行文趨勢、核心發文部門地位及作用發揮情況。本次收集的個人信息保護政策發文部門共計46個(1)2009—2021年國務院進行了兩次大規模機構改革，為了更精準地統計各政策部門在觀察期內實際發文數量及協同狀況，本文依據國務院機構改革方案，將改革前相關部門及其歷史沿革部門頒布的政策計入當前部門名下。此外，國家互聯網信息辦公室與中央網絡安全和信息化委員會辦公室是一個機構兩塊牌子，二者在個人信息保護工作中的職責、義務與權利基本一致，因此本文不對二者進行區分，統稱為國家網信部門。。

1.個人信息保護政策聯合行文演變分析

我國個人信息保護政策聯合行文的現象越來越普遍，聯合部門數量也逐漸增加。如圖2所示，我國個人信息保護政策聯合行文是從2012年開始的，盡管此時聯合行文政策數量僅為1個，但這表明了我國個人信息保護政策的頒布開始由單一部門向多部門聯合頒布轉變。此后，聯合頒布政策數量呈現出“波浪式”增長，聯合行文比例總體呈上升趨勢，尤其是2017年聯合頒布政策數量超過單獨發文數量，聯合部門數量高達29個，即63%的相關政策部門參與了聯合行文。隨著大數據技術在各個領域的廣泛應用，個人信息保護問題必然會涉及到多個部門的職責，未來參與聯合行文的部門數量還將進一步增加。

圖2 個人信息保護政策聯合行文演變分析

2.政策部門協同的具體情況

為了進一步了解個人信息保護政策部門協同的具體分布情況，本文將各發文部門抽象為節點，一個節點代表一個部門，一條連線代表相連的兩個節點間有一次合作關系，使用復雜網絡分析軟件Gephi繪制出政策發文部門合作網絡圖(見圖3)。根據網絡規模、網絡密度、中心度等指標對部門間協同進行測量。

圖3 個人信息保護政策發文部門合作網絡圖

網絡規模即合作網絡中包含的所有行動者的數目,體現為合作網絡圖中的節點總數量。從網絡規模來看，參與個人信息保護政策聯合行文的部門有41個，構成了297條合作邊。

網絡密度指圖中實際存在的邊線與理論上可能存在的所有邊線數量的比例，反映了節點間關系的緊密程度。經計算，網絡密度為0.362，說明從整體來看個人信息保護政策部門合作網絡結構比較緊密，部門間的合作次數較多。為了進一步了解部門間合作的情況，本文將節點度數、聯結頻次分別作為合作廣度、合作深度的考察指標進行分析。節點度數代表與該節點直接相連的節點數量，節點面積越大表示該節點的度數越大，即與該部門聯合行文的部門數量越多，合作廣度越大；連接兩個節點的邊線越粗表示聯結頻次越高，即兩個部門聯合行文次數越多，合作深度越大[16]。從節點度數看，合作網絡中節點度數的值分布在1～33，度數為10以下的部門占比46.34%；聯結頻次的值分布在1～138，頻次為20以下的部門占比43.90%，說明處于中心位置的少數發文部門合作密度顯著高于整體網絡密度，合作網絡中存在局部“聚集”現象，而近50%政策發文部門間合作廣度和深度不足，有待進一步加強。

中心度指標用來反映核心發文機構及其作用。本研究從點度中心度、接近中心度、中介中心度以及特征向量中心度進行了計算，結果如表5所示，發文部門間形成了以公安部、市場監管總局、工業和信息化部、國家網信部門為核心主體的合作網絡。公安部在4項中心度排列中均位居第一，主要是因為公安部對于個人信息處理違法違規行為具有監督管理和行政處罰職權，因此與各領域的監管部門存在著廣泛的合作關系。機構改革后合并組建的市場監管總局因其職責涉及各個領域消費市場的綜合監管，在消費領域個人信息保護方面與其他管理部門存在密切合作。工業和信息化部作為通信和互聯網相關行業的管理部門，是個人信息保護政策制定的當然主體，但因其行政資源有限，因此越來越多地與其他部門聯合頒布政策。國家網信部門是個人信息保護統籌協調部門，近年來其發揮的作用也越來越大，但從中心度數值來看，國家網信部門在4個核心發文主體中排名最低，發揮的統籌協調作用非常有限，這與我國目前個人信息保護行政監管由不同部門分管的現狀密切相關。盡管最新出臺的《個人信息保護法》明確賦予了國家網信部門統籌協調的職權，但這一規定仍未解決個人信息保護執法權歸屬的爭議問題，“統籌協調”不等同于“統一負責”，何為“統籌協調”也有較大的解釋空間[17]。此外，在國家網信部門一個機構、兩塊牌子的編制中，中共中央網絡安全和信息化委員會屬于決策議事協調機構，不是嚴格意義上的實體性組織，專業性和獨立性很難得到保障[18]，因此需要設立獨立、統一的監管機構。

表5 個人信息保護政策發文部門中心度(以點度中心度為降序排列前10位)

(二)政策目標間的協同演變分析

在153份政策中，保護個人信息權益、規范個人信息處理活動、促進個人信息合理利用這3項政策目標得分占政策目標總得分的比例分別為32.75%、38.74%、28.51%。圖4顯示了這3項目標兩兩之間的協同度演變過程，可以看出各目標之間的協同度在不同年份有所波動，但總體都呈現出上升趨勢，尤其是在2018年以后，協同度持續大幅增長，說明我國個人信息保護政策目標協同狀況越來越好。

圖4 政策目標協同的演變分析

具體來看，保護個人信息權益與規范個人信息處理活動之間的協同度最高，規范個人信息處理活動和促進個人信息合理利用之間的協同度在2017年之前總體上略高于保護個人信息權益和促進個人信息合理利用之間的協同度，2017年之后差距逐漸拉大。主要是因為《網絡安全法》于2017年開始施行之后，相關領域對個人信息處理活動作出了更加詳細、具體的要求，也體現了規范個人信息處理活動是現階段個人信息保護政策最直接、最核心的目標，該目標的完成情況直接影響著保護個人信息權益和促進個人信息合理利用目標的實現程度。

促進個人信息合理利用體現了個人信息的公共性。個人信息是與已被識別或可以被識別的個體有關的信息，而識別個人是開展社會交往和社會活動所必需的因素[19]，因此個人信息不僅附著了自然人的人格權益，同時也承載了不特定多數人的(公共)利益[20]，具有公共性。但就目前已出臺的個人信息保護政策來看，我國對于個人信息的公共性重視程度不足，未能平衡好保護個人信息權益與促進個人信息利用間的關系。

具體來看，《民法典》在第一千零三十六條中規定了處理個人信息，而行為人不需要承擔民事責任的3種特定情形，第九百九十九條中規定為公共利益可以合理使用民事主體的部分個人信息等，一定程度上對個人信息權益保護與個人信息利用之間的平衡作了規定[21]，但并未體現出個人信息是社會可用資源的屬性。《個人信息保護法》明確提出了“促進個人信息合理利用”的目的，將匿名化的信息排除在“個人信息”含義之外，完善了處理個人信息的多元合法基礎，但是對于個人信息合理利用相關操作層面的細則仍有待進一步完善，比如個人信息轉移需“符合國家網信部門規定條件”，而具體的規定條件和操作細則尚未出臺。此外，個人信息保護法未提及對企業依法合規收集的個人信息數據進行保護，可能會打擊企業發展大數據技術的積極性。其他已出臺的個人信息保護政策對于促進個人信息合理利用也僅停留在鼓勵層面，并未有實質性的促進辦法。

(三)政策措施間的協同演變分析

1.政策措施總體協同情況

政策措施作為實現政策目標的舉措與手段，往往需要多種類型有機結合，形成合力才能充分發揮政策的預期效應。總體而言，我國個人信息保護逐漸由依靠單一政策措施向綜合利用多元政策措施轉變。人事措施、經濟措施、引導措施、行政措施、技術措施、多元主體參與措施得分占比分別為23.92%、12.44%、12.63%、22.03%、16.35%、12.63%。本文對兩兩政策措施之間的協同度進行計算分析，得出15種結果(見圖5)。從圖5可以看出，政策措施協同度總體呈波浪式上升趨勢，但除了人事措施與行政措施協同度較高外，其他14組政策措施協同度多年得分低于100。這說明我國主要是依靠政府的力量來約束個人信息處理者的行為，但個人信息保護是一項系統工程，不能僅靠政府的執法威懾，還需要積極引導信息主體自身把握好“第一道關口”，將政府規制與行業自律相結合，充分調動企業、公民等多元主體共同參與個人信息保護的積極性，豐富多元主體合作形式，形成綜合治理的良好生態環境。

圖5 政策措施協同度總體演變情況

2.具體政策措施之間的協同情況分析

由于人事措施和行政措施是我國個人信息保護政策主要采取的兩種措施，因此本文主要分析人事措施和行政措施這兩種措施與其他各項措施之間的協同情況，如圖6、圖7所示。

(1)人事措施與其他各項措施之間的協同度演變情況。如圖6所示，2012年之前，我國個人信息保護政策處于起步階段，對于政策措施協同還未引起足夠的重視，此時各項政策措施間的協同度都比較低。2012年之后，各領域、行業積極探索制定本行業個人信息保護政策，政策措施協同度也逐漸增長?？傮w來看，行政措施與人事措施表現出最高的協同度，這說明我國個人信息保護政策經常將人事措施與行政措施配合使用，多數政策主要是通過明確相應主管部門的工作職責，并規定失職、違規人員的懲處措施來進行個人信息保護。

圖6 人事措施與其他措施協同的演變分析

人事措施與經濟措施的協同度在不同年份波動相對較大，主要是因為目前個人信息保護政策中對于經濟措施應用最多的是經濟處罰措施，很少提及對個人信息保護工作提供資金支持或稅收減免等獎勵性經濟措施，人事措施也比較側重對違規人員的懲罰，較少提及個人信息保護人才選拔與培訓相關內容，這兩種懲罰性措施往往在法律、條例等力度高的政策中被結合使用，這也體現了人事措施和經濟措施內部發展不均衡的問題。比如2013年《征信業管理條例》《電信和互聯網用戶個人信息保護規定》《中華人民共和國消費者權益保護法》(2013修訂版)相繼頒布，將經濟處罰措施與違規人員懲處措施結合使用,使得人事措施與經濟措施的協同度大幅增長。

技術措施與人事措施在2018年之前協同度較低，2018—2020年協同度大幅提升，主要是因為2018年國務院機構改革，將市場監管和標準化工作統一劃歸給新組建的市場監管總局，市場監管總局聯合國家標準委制定發布了一系列信息安全技術標準，從安全技術和安全管理兩個方面提出了個人信息保護在具體實踐上的操作要求。

引導措施、多元主體參與措施與人事措施的協同度較低，主要是因為我國個人信息保護政策對于引導措施和多元主體措施的運用較少，對于引導公民、企業、組織等樹立個人信息保護意識，提高個人信息保護能力的關注度不夠，較少落實相關部門的引導職責，也未能發揮行業、社會等其他主體參與的積極作用。《中華人民共和國個人信息保護法》第十一條明確提出要推動政府、企業、公眾、社會組織共同參與個人信息保護，但具體的參與制度與管理辦法還有待相關配套政策的完善。

(2)行政措施與其他各項措施之間的協同度演變情況。人事措施與行政措施間協同度顯著高于其他措施與行政措施間協同度，在前面已經分析過。2020年政策數量大幅增加，但經濟措施、技術措施、多元主體參與措施與行政措施間的協同度并沒有顯著增長，引導措施與人事措施協同度略微下降(見圖7)，主要是因為2020年新冠疫情爆發，出于疫情防控的需要，個人信息被頻繁收集，在線教育、在線辦公、在線醫療等在線服務成為剛需，政府不得不迅速出臺一系列相關政策規范疫情期間個人信息處理行為，這些政策從制定到出臺時間較短，比較側重于對人事措施的運用，因此行政措施并未顯著增加，且部分政策只針對疫情防控工作的某一方面或某一環節進行規范,適用范圍比較狹窄，措施協同度較低。

圖7 行政措施與其他措施協同的演變分析

五、研究結論與建議

(一)研究結論

第一，在互聯網、大數據、云計算等信息技術的推動下和中共中央、國務院的指導下，我國個人信息保護政策經歷了起步階段、行業探索階段、全面發展完善階段。政策數量和政策總效力持續增加，但政策力度較低，原則性、方向性的政策內容較多，政策措施可操作性不強等問題導致政策平均效力總體呈下降趨勢，給個人信息保護政策的有效執行與落實帶來了一定難度。

第二，我國政府越來越注重以部門協同來共同推進個人信息保護，形成了以公安部、市場監管總局、工業和信息化部、國家網信部門為核心主體的合作網絡，但部門合作網絡存在局部“聚集”現象，導致近半數發文部門間的協同廣度和深度不足。

第三，長期以來，我國個人信息保護行政監管呈現出多頭并舉的狀態，不同監管主體間協調難度大，國家網信部門專業性和獨立性不足，國家機關間存在利益糾葛等問題，從而導致國家網信部門的統籌協調作用難以有效發揮。

第四，我國個人信息保護政策目標協同度持續增長，但未能統籌平衡個人信息權益保護與促進個人信息利用間的關系，從目前已頒布的個人信息保護政策來看，較少有真正能促進個人信息合理利用及相關信息產業發展的實質性政策內容，個人信息利用細則不完善，未對企業數據財產保護問題進行規定，不利于數字經濟的持續健康發展。

第五，我國個人信息保護政策措施由依靠單一政策措施向綜合利用多元政策措施轉變，但政策措施協同分布不均情況比較明顯，行政措施與人事措施協同度顯著高于其他政策措施間的協同度，經濟措施、引導措施、多元主體參與措施運用過少。政策措施內部發展也不均衡，人事措施側重于規定主管部門相應職責及對失職、違規人員的懲處措施，對個人信息保護人才選拔與培養重視程度不足；經濟政策側重于經濟處罰措施，較少對個人信息保護工作提供經濟上的支持與鼓勵，一定程度上影響了個人信息保護政策效果。

(二)政策建議

第一，適當提高我國個人信息保護政策平均效力。一方面以《個人信息保護法》的基本原則和總體思路為依據，對現有政策進行全面系統的梳理，適當頒布一些政策力度較高的條例、規定、綱要等，進一步完善個人信息保護政策體系的總體框架，并為各領域的個人信息保護工作提供更高階位的政策依據[22]。另一方面要提高政策的可操行性，全面考慮政策措施的實際應用場景，盡快制定并出臺相關實施細則、標準、規范等配套性政策，如公權機關的個人信息處理行為規范，個人信息保護評估和認證規范，個人信息保護行政監管與私法訴訟機制實施細則，敏感個人信息保護相關規定等，并根據不同行業特性完善區塊鏈、數據加密、脫敏、隱私計算、訪問控制等技術合規標準，以此來解決個人信息保護政策實際操作層面的問題。

第二，增強個人信息保護政策部門協同廣度和深度。如今個人信息保護行政執法工作走向常規化，不同于過去集中時間進行“專項整治”的執法方式，因此在協同廣度上，除了繼續發揮公安部、市場監管總局、工業和信息化部、國家網信部門等核心主體的作用之外，還應當更加注重發揮其他部門的協作職能，例如在推動個人信息保護工作方面起關鍵經濟作用的財政部、對民間資本流向起引導和撬動作用的銀保監會、對個人信息保護人才政策起重要作用的人力資源和社會保障部等。在協同深度上，要厘清各協作部門的職能范圍，提前進行資源的確認和調動，保障資源供給，加強信息溝通，實現各部門間的長期深度協同。

第三，設立獨立、統一的個人信息保護監管機構，明確個人信息保護行政規制體制。隨著社會信息化的發展，個人信息保護問題客觀上涉及到多個領域，多部門分散監管模式雖然能貼合各行業特性，但長期來看容易使得監管主體不斷增加，出現權力交叉、職責混淆、執法權歸屬爭議等問題，國家網信部門統籌協調難度也不斷加大。因此，有必要設立獨立的監管機構對個人信息保護工作統一負責，并配置相應的行政、經濟、人力等資源，保留兜底性的執法權，以保證其獨立性、公正性、權威性，真正做到嚴格執法、高效執法，有效落實個人信息保護政策。

第四，統籌平衡個人信息權益保護與個人信息利用之間的關系。一是在理念上應當充分認識到個人信息既是促進經濟發展的重要資源，也是推動社會整合、制度變遷的動力，要以個人利益與公共利益平衡為出發點和落腳點，兼顧個人信息權益保護與個人信息利用；二是基于敏感度和利益受損風險等級對個人信息進行準確的分級分類，針對不同安全等級的個人信息分別實行不同程度的“脫敏 + 禁溯源”處理[23]，并完善相應的個人信息利用細則；三是個人信息跨境傳輸，應根據不同的適用對象與情景，設計多元的補充認定機制，積極促進國際貿易往來[24]；四是將個人信息保護規制重點轉向信息流通與利用階段，全面掌控企業在流通和利用階段的個人信息處理行為[25]；五是對企業依法合規取得的個人信息資源進行保護，切實保障企業的合法數據權益，推動數字經濟行穩致遠。

第五，進一步強化政策措施的協同發展與均衡發展。以人的現代化為落腳點[26]，一方面要增加引導措施，加強多元主體參與措施的運用，深入開展個人信息保護宣傳教育工作，培育企業將個人信息保護能力作為核心競爭力的意識，引導個人信息處理者主動承擔個人信息保護責任，建立內部治理機制，促進行業自律，完善多元主體參與互動機制，將行政規制與自我規制相結合，并逐漸強化與其他各項措施之間的協同。另一方面要促進經濟措施和人事措施內部均衡發展，對于人事措施，要更加注重個人信息保護相關人才的選拔與培養，在高校設立數據合規、隱私保護、信息安全等相關專業，積極推動政、產、學、研多方合作，加快構建立體化人才培養機制；對于經濟措施，應當持續加大對信息安全基礎設施建設、人才隊伍建設、信息安全技術研發的資金扶持力度，為個人信息保護提供資金保障。