个人信息跨境转移的法律保护.docVIP

个人信息跨境转移的法律保护 　　一、个人信息跨境转移的主要模式及存在的问题 　　个人信息的跨境转移使得个人信息被泄露、破坏、滥用的风险大大增加。这不仅在微观层面上会给信息主体造成影响，在宏观层面上还会涉及国家安全及贸易壁垒等问题。为了在保障个人信息安全的基础上，促进信息的自由流动，许多国家(地区)的立法都就境内机构向境外第三方转移个人信息的问题做出了规定，但在不同的政策导向和法律文化下，其具体模式及公权力介入的程度不尽相同。诸如美国、新西兰、日本、加拿大、墨西哥、菲律宾等国的法律并未就信息跨境转移制定特殊的规则，而是统一适用向第三方转移个人信息的规定。而欧盟1998年10月25日起生效的《关于对个人数据处理中的个体保护及数据自由流动的指令》(以下简称欧盟《指令》)关注的重点则包括防止因第三国的保护不足而导致的数据滥用。在此框架下，欧盟各国的法律都也专门针对个人信息跨境转移进行了具体规定。拉美、中东和非洲的一些国家也采取了与之类似的做法。2010年澳大利亚对其1988年隐私法进行了修改，其中APP8以及S16C建立起向境外转移个人信息的法律框架。香港1996年《个人资料(私隐)条例》第33条也规定了将个人信息转移至香港以外地方应满足的条件，但该条款至今尚未生效。 　　鉴于上述问题，国际各方开始尝试设计新的制度作为补充，以实现个人信息保护与信息跨境流动之间的平衡。这些制度的共同特点在于借助公司自己的隐私规则实现跨境信息保护，以公司自律为基础，辅以行政或司法手段保障其实施效果。与法律这种自上而下普遍适用及强制约束的规则不同，公司隐私规则制度采取的是自下而上的进路，具有更多的自愿性与自主性，可以更好地在保障信息主体权利的同时照顾到不同商业机构自身的需求和特点。目前国际上采用公司隐私规则制度主要包括安全港框架(SafeHarborFramework)、欧盟约束性公司规则(BCR，BindingCorporateRules)和APEC跨境隐私规则(CBPR，Cross-borderPrivacyRules)。 　　(一)公司隐私规则的适用范围 　　安全港框架和BCR都是欧盟数据保护指令下的制度，前者是解决从欧盟向美国企业转移个人信息的问题，其参加者是作为信息接收者的美国企业;后者则针对位于欧盟的公司向位于非欧盟的关联机构转移个人信息，其参加者是跨国公司。由于美国在个人信息保护上的立场与欧盟存在较大差异，缺乏统一的个人信息保护立法，难以通过欧盟委员会的充分性审查。 　　(二)公司隐私规则的审查认证 　　只有建立起一定的审查制度，才能确保企业自愿采用的公司隐私规则对个人信息的保护程度能够达到一定的标准。在安全港框架下，美国商务部负责审查申请加入公司的提交的隐私保护政策是否包含其制定的安全港隐私原则。受到欧盟委员会的敦促，美国商务部近年来加强了审查工作，2013年有12%的公司未获批准进入安全港名单，较2010年增加了一倍。打算采用BCR的跨国公司也需要事先向个人信息输出国的数据保护机关提交申请。有鉴于这些公司往往在多个欧盟国家设有机构，29条工作组专门设计出一套协调程序，以减轻申请的负担。公司只需向某一成员国的数据保护机关，即领导协调机关(leadingcoordinatorauthority)，提交一份申请即可。该领导协调机关将会把申请转交给其他公司机构所在的成员国的数据保护机关，由其根据本国的法律决定是否批准申请。 　　(三)公司隐私规则的监督 　　通过公司自身的个人信息隐私规则保障跨境信息的安全需要有配套的监督以及救济机制。应有制度来确保这些公司能够履行承诺，有效自律，而对于未能充分自律的机构也必须有一定的惩罚机制。因违规而遭受损害的信息主体应享有充分有效的救济。在安全港框架下，美国联邦贸易委员会有权对违反隐私原则的公司处以罚款，甚至以商业欺诈为由对其提起诉讼。如果在联邦贸易委员会采取一系列措施以后，违反行为仍得不到纠正，违反的机构将丧失“安全港”成员的资格。另一方面，欧盟各国的数据保护机关在特定的情况下也可以针对个案中止个人信息向美国转移，例如美国政府部门已经认定美国公司违反了安全港原则，或有证据表明美国公司很可能违反了安全港原则，或有关信息的转移很可能给信息主体造成巨大风险等。 　　二、对公司隐私规则的评价 　　(一)有利于企业的经营发展 　　对于位于法律严格限制个人信息向境外转移的国家/地区的企业而言，公司隐私规则无疑在很大程度上为其提供了方便，避免了通过逐一征得客户同意或对每一次转移都采用合同方式带来的复杂及高成本。企业可以根据有关法律和制度的要求，结合自身的情况，灵活制定隐私规则，从而令其个人信息跨境转移活动合法化。通过加入隐私规则