进入21世纪以来,亚太经合组织越来越意识到个人数据保护对于发展跨境电子商务以及区域经济一体化的重要性。APEC电子商务指导组(ECSG)自2003年起下设数据隐私分组。2004年10月29日,在韩国釜山召开的第17 届APEC 部长级会议通过《APEC 隐私保护框架》(APEC Privacy Framework)。该框架进一步明确了APEC保护数据隐私的意义,为亚太地区的个人数据保护提供了9项基本原则和50项具体要求,并要求各经济体采取包括立法、行政、行业自律或是多种措施并举的方法,以该框架为最低标准建立本经济体的个人数据保护体系。这9项基本原则分别为预防伤害(Preventing Harm)、通知(Notice)、限制收集(Collection Limitation)、个人信息使用(Uses of Personal Information)、选择性(Choice)、个人信息完整性(Integrity of Personal Information)、安全保障(Security Safeguards)、查询和更正(Access and Correction)以及可问责(Accountability)原则。
《APEC隐私保护框架》以OECD《隐私保护与个人数据跨境流动指南》为主要参考范本,也在一定程度上反映了美国在隐私保护问题上的策略。为谋求商业利益和隐私保护的一致性,该框架争取在个人信息保护与信息的自由流动之间保持平衡,并承认各成员之间的文化和其他方面的差异。目前,APEC各经济体正在谈判修改该框架。
需要指出的是,与OECD《隐私保护与个人数据跨境流动指南》把所有可能的个人数据都纳入管辖范围的做法不同,《APEC 隐私保护框架》对于个人数据的界定排除了政府部门有关数据主体的公开记录、新闻报道、法律要求公开的信息等三种已经处于公开状态的个人数据,如果数据控制者从这三种数据源而非从数据主体处获得个人数据,则不受该框架的约束。
另外,《APEC隐私保护框架》规定的9项基本原则虽与OECD《隐私保护与个人数据跨境流动指南》规定的8项基本原则大体相近,但仍有若干差别。例如,其中列于第一位的防止损害原则(指的是承认个人对于其合法预期的隐私保护,个人数据的保护制度应当设计为防止这些信息的滥用的制度,并且,为应对滥用可能带来的损害危险,成员方在设计法律法规时有必要考虑对数据控制者在收集、使用和转移个人数据上设置特定的义务,提供在侵害可能性和损害程度方面符合比例原则的救济方式)就是OECD 的指南中没有的。而《APEC隐私保护框架》规定的责任原则要求数据控制者对第三者传输数据(不论是境内传输还是跨境传输)时都要事先获得数据主体的同意,或者采取合理措施确保数据接收者遵守其他8项原则,这里前一个方面的要求,也是OECD 指南中的责任原则所没有的。并且,《APEC 隐私保护框架》具体设计数据控制者在向第三方进行跨境数据传输的责任时,提供了两种解决方案,即获得数据主体的同意或者担保数据接收者遵守数据出口国个人数据保护法,这两种方案间存在着一种互动机制,如果数据控制者与数据接收者的关系不复存在,数据控制者就无法担保数据接收者遵守原则,此时,应当有数据主体的同意。
为了推动《APEC隐私保护框架》的实施,从而在保护个人信息隐私的同时,促进企业在亚太地区内的个人信息跨境转移,2007年9月澳大利亚悉尼举行的亚太经合组织第19届部长级会议签署了《APEC数据隐私探路者倡议》,其重要成果之一就是提出建立简单透明的APEC“跨境隐私规则”(Cross-border Privacy Rules,CBPR)体系,用以落实数据隐私权保护,加强消费者的信心和促进跨境数据的交流。
2008年ECSG 第13次会议中,ECSG 数据隐私分组成立了APEC跨境隐私规则研究小组,其当时的成员包括美国、澳大利亚、韩国、墨西哥和国际商会,后成员扩展到13个,中国于ECSG 第14次会议时被吸收为成员。该研究小组已开展了对有关成员经济体的隐私保护和操作程序的调研、跨境隐私规则的制订、数据隐私探路者项目等工作,得到了ECSG 的认可和支持。
基于《APEC数据隐私探路者倡议》引申出的成果还包括APEC部长会议在2009年11月签署的《APEC 跨境隐私执行合作安排》和2012年5月由ECSG 通过的《APEC跨境隐私规则之联合监督小组(JOP)协议》。
2011年11月13日APEC 第19次领导人非正式会议发表《檀香山宣言》,声明正式实施CBPR。APEC正在吸纳自愿遵守隐私框架的经济体和企业加入CBPR,希望以点带面地推进《APEC隐私保护框架》的落实。
CBPR是一项自愿的认证体系,也是APEC 跨境商业个人隐私保护的核心内容。CBPR旨在促进APEC 框架内实现无障碍跨境信息交换,推动在参与该体系的APEC成员经济体及其中经营业务的企业就形成保护数据隐私的常规做法达成一致。
在企业层面,加入CBPR 需经过以下程序,并分别产生相应后果。(1)自我评估。自我评估指的是APEC 各经济体的问责代理机构(Accountability Agent)对预加入企业的评估。通常由问责代理机构根据APEC跨境隐私权保护规则的要求提供问卷,其涉及《APEC 隐私保护框架》规定的9项原则和50项具体要求,预加入与企业对照回答。(2)合规审查。欲加入CBPR的企业,需要通过问责代理机构进行的合规审查。(3)认可。通过审查的企业可以获得APEC认可的隐私保护信赖标章。APEC各经济体内部建立可以让公众访问的CBPR 目录网站的联络点,通过联络点完成与CBPR 目录网站相关信息的沟通和对接,经认可的问责代理机构及其认可的企业均被列入该网站的目录。企业一旦得到认可,APEC 跨境隐私权保护规则体系的政策和做法就对其具有约束力,相关行政机构等就将对商业机构进行监督。经认可后的企业应该按照CBPR规则体系的各项要求落实隐私权政策和做法,由问责代理机构按照CBPR 规则体系的要求进行评估。个人在进行电子商务活动时可访问CBPR目录网站,选择其目录中的商业机构,使自己的个人数据得到有效的保护;在个人数据被非法传播、滥用以致个人隐私受到侵犯时,数据主体可向APEC成员方的隐私保护执行机构投诉。隐私保护执行机构首先会在投诉人与被投诉人之间进行调解。若调解无效,隐私保护执行机构可做出正式调查,如调查证实被投诉人确有违反APEC 跨境隐私权保护规则的行为,隐私保护执行机构可以向被投诉人发出执行通知,指令其采取补救措施,也可以起诉被投诉人。被投诉人违反执行通知即属违法,有可能被判处罚款及监禁,同时也将被问责代理机构撤销认可并剔除出CBPR目录网站。
在成员经济体层面,加入CBPR 需要向APEC 电子商务指导组提出申请,经过APEC跨境隐私规则之联合监督小组(Joint Oversight Panel,JOP)的审核才能获准加入。2012年7月,美国首先加入了CBPR;2013年1月16日,墨西哥成为CBPR的第二个加入者;截至目前,日本、加拿大、韩国也已加入。加入CBPR可以帮助APEC成员经济体之间通过更加安全的方式有效地交换数据,保护个人数据隐私。[21]
与OECD的有关做法相似,CBPR 体系中同样有各成员方的数据保护机关的合作机制设计,即所谓“跨境隐私执法安排”(Cross-border Privacy Enforcement Arrangement,CPEA)。凡是申请加入CBPR的APEC成员首先必须派出至少一个“隐私执法当局”(Privacy Enforcement Authority,PEA)加入CPEA,在自愿的基础上对违反CBPR 的企业进行跨境执法合作。CPEA 的调整对象是APEC经济体内的PEA,而不是APEC 经济体本身。任何APEC经济体的PEA 都可以加入CPEA,单个经济体可以指定境内多个PEA 作为该经济体参与CPEA 的境内执行机构。CPEA 为APEC各成员方的PEA 提供了一个就具体隐私执法事宜分享信息、寻求帮助、提供跨境合作的机制。一个国家或地区的当地机构通常难以惩处侵犯其居民数据隐私的域外企业,需要求助于该企业所在地的相关机构对其进行惩罚,CPEA 便是各成员方相关机构之间的非约束性的多边合作协议。本着自愿互利的原则展开跨境隐私保护执法合作,是《APEC 隐私保护框架》得以在APEC各成员方实施的重要保障。
APEC虽然只是一个松散的官方论坛,《APEC 隐私保护框架》在推动成员国个人数据跨境传输立法方面的影响也比不上OECD《隐私保护与个人数据跨境流动指南》,但CBPR 的机制设计却是具有可操作性和约束力的。CBPR的机制设计结合了行业自律和法律规制,借助企业自己的隐私规则实现跨境信息保护,以企业自律为基础,辅以行政或司法手段保障其实施效果,涉及PEA、问责代理机构、企业三方,目的是把亚太区域内符合《APEC隐私保护框架》9 大基本原则和50 项具体标准的企业纳入规则体系,建立与美欧安全港协议相近的规则安排,最终实现亚太区域内的个人数据自由流动。
类似CBPR这样的多边区域个人数据保护规则体系,严格地说,目前世界上只有两个(美欧安全港协议和取代它的隐私盾协议均系双边规则体系),除了CBPR,欧盟也专门针对跨国公司设计了“约束性公司规则”(Binding Corporate Rules,BCR)。与CBPR 不同的是,CBPR 适用于APEC范围内的各种商业机构间的个人数据转移,而BCR 只解决跨国企业内部的个人信息跨境转移。BCR由在欧盟经营的跨国企业自愿申请加入,企业应制定一套符合欧盟法的公司隐私政策,经经营所在地的欧盟成员国数据保护机构批准后,就可以在跨国企业内部自由传输个人数据而省去每次签订“标准合同条款”的麻烦。BCR 的内容广泛,涵盖包括诸如透明度、数据质量、数据安全在内的隐私原则;包括诸如审计、培训、投诉处理体系在内的有效性工具以及确保规则具有约束性的要素。BCR 除了对跨国公司集团中的法律实体、公司的雇员具有对内约束力之外,也有对外效力,数据主体可以根据BCR的规定向指定的责任承担机构就自己受到的损害要求侵害人赔偿。与BCR审查机制不同的是,CBPR体系下的审查机构并非政府机关,而是获得JOP认可的独立的第三方问责代理机构(Accountability Agent),当然,问责代理机构与PEA 以及JOP之间也通过有效的协调和信息共享解决在隐私权保护方面出现的各种投诉问题。问责代理机构既可以是公营的也可以私营的,但只有加入CBPR体系的成员方(目前只有美国和墨西哥两国)的机构才可以申请成为问责代理机构。JOP将负责对提出申请的机构进行审查,在其符合标准的情况下就会向APEC成员方进行推荐。如果在规定的时间内没有成员方提出异议,就表明该机构获准成为CBPR 体系的问责代理机构,有效期为一年,每年都需要重新审核。美国著名的隐私认证公司TRUSTe即于2013年6月成功取得该种资格。[22]
CBPR是美国主导设计的个人数据跨境传输规则,在某种意义上可以被理解为美国用来“抗衡”欧盟相当完善的个人数据保护规则体系的一个筹码。美国希望在个人数据跨境传输规则制定上拥有足够的话语权,至少在亚太地区形成绝对的影响力。美国发挥自身的行业自律优势,在CBPR 的机制设计中引入了问责代理机构的角色,这是CBPR 与BCR 的一个显著区别。BCR与CBPR在规范对象和运行机制等方面有诸多不同,各有各的生存空间。美国缺少联邦层面的规范商业领域个人数据(隐私)保护的系统、完整的法律制度,这是在美国和欧盟之间的跨境数据传输合作中,美国往往处于被动地位的重要原因之一。美国主导的APEC积极推动CBPR 与欧盟BCR的互认,其意图很可能是一方面利用BCR 来提高CBPR 的影响力,另一方面将CBPR作为与欧盟谈判的筹码。
【注释】
[1]麦肯锡全球研究院(2014)指出,中国电商交易额占全球的40%以上,超过美国、英国、日本、德国、法国的总额,中国与个人消费相关的第三交易额相当于美国的11倍。该研究院还指出,中国庞大的市场规模、互联网巨头建立并不断拓展延伸的数字化生态圈以及政府的积极推动是中国数字化发展最为主要的驱动力。
[2]INVESTOPDIA,New Economy,https://www.investopedia.com/terms/n/neweconomy.asp.
[3]美国信息技术与创新基金会(The Information Technology and Innovation Foundation,ITIF)1999年首次发布美国新经济指数报告后,分别于2002年、2007年、2008年、2010年、2012年、2014年和2017年发布美国新经济指数报告。数据来源:美国信息技术与创新基金会网站,https://itif.org/publications/2017/11/06/2017-state-new-economy-index。
[4]小艾尔弗雷德·钱德勒著,张逸人等译:《规模与范围:工业资本主义的原动力》,华夏出版社2006 年版,第463页。(www.daowen.com)
[5]小艾尔弗雷德·钱德勒,张逸人等译:《规模与范围:工业资本主义的原动力》,华夏出版社2006 年版,第463页。
[6]World Economic Forum(2012),The Future of Manufacturing Opportunities to Drive Economic Growth,p.31,https://www.nist.gov/sites/default/files/documents/2017/05/09/The-Future-Manufacturing_4_20_12.pdf.
[7]Mehmet Kaytaz,Suleyman Ozmucar.Globalization,Trade,Productivity and Development,S&B World Foundation,2018,p.141.
[8]资料来源:世界银行集团《2016年世界发展报告——数字红利概述》,第9页,http://www-wds.worldbank.org/external/default/WDSContentServer/WDSP/IB/2016/01/13/090224b08405b9fc/1_0/Rendered/PDF/World0developm0l0dividends0overview.pdf,登录时间2016年10月23日。
[9]United States International Trade Commission(2013)Digital Trade in the U.S.and Global Economies,Part 1,Pxvi,https://usitc.gov/publications/332/pub4415.pdf.
[10]工业互联网产业联盟(AII)(2017),工业互联网平台白皮书(2017),第3—4 页,http://www.miit.gov.cn/n973401/n5993937/n5993968/c6002326/part/6002331.pdf。
[11]Manyika et al.(2014)指出网络的运营使得贸易成本平均减少了26%;USITC(2014)指出跨境数据流动比传统货物贸易创造更多的经济价值,2014年,全球GDP中2.8万亿的价值由跨境数据流动所创造。
[12]数据来源:UNCTAD(United Nations Conference on Trade and Development),2017,World Invest Report 2017,http://unctad.org/en/Pages/DIAE/World%20Investment%20Report/World_Investment_Report.aspx。
[13]牛津数字经济合作组织(Oxford Digital Economy Collaboration Group)和美国人口调查局(United States Census Bureau,USCB)有关数字经济测度的定义也转引自:日欧产业中心(EU-J CIC)(2015)《日欧的产业经济》。
[14]数据来源:根据欧盟委员会的数字经济及社会指数数据库整理,EC(European Commission),The Digital Economy and Society Index,https://ec.europa.eu/digital-single-market/en/desi。
[15]数据来源:根据中国信息通信研究院2017年的《G20国家数字经济发展报告》整理。
[16]“Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data”,http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflow-sofpersonaldata;中译文参考刘小燕、贾淼译:《OECD〈关于隐私保护与个人资料跨国流通的指针的建议〉》,《广西政法管理干部学院学报》2005年第1期。
[17]曹建峰、柳雁军、田小军:《美欧个人数据跨境流动20 年政策变迁:从“安全港”到“隐私护盾”》,《人民邮电》2016年3月30日,第006版。
[18]http://export.gov/safeharbor/.
[19]刘耀华,石月:《欧美“隐私盾”协议及对中国网络数据保护的启示》,《现代电信科技》2016 年第5 期,第12—16页。
[20]曹建峰、柳雁军、田小军:《美欧个人数据跨境流动20 年政策变迁:从“安全港”到“隐私护盾”》,《人民邮电》2016年3月30日,第006版。
[21]弓永钦、王健:《APEC跨境隐私规则体系与中国的对策》,《国际贸易》2014年第3期;徐磊:《APEC跨境商业个人数据隐私保护规则与实施》,《商业时代》2014年第30期。
[22]王楠:《个人信息跨境转移的法律保护——以公司隐私规则为视角》,《重庆工商大学学报(社会科学版)》2016年第1期。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。