曾麗潔

（湖北大學(xué)，湖北 武漢 430062）

數(shù)據(jù)跨境流動(dòng)使比以前更容易獲取的個(gè)人數(shù)據(jù)成為一種有價(jià)商品，這給數(shù)據(jù)所有人的隱私帶來(lái)很大的威脅。在運(yùn)用網(wǎng)絡(luò)的電子商務(wù)環(huán)境下，隱私問(wèn)題突出地表現(xiàn)為以“個(gè)人數(shù)據(jù)保護(hù)”為中心的“資訊隱私權(quán)”（informational privacy）。各國(guó)及各國(guó)際組織以“個(gè)人數(shù)據(jù)保護(hù)”為中心的立法已陸續(xù)發(fā)展起來(lái)。其中，以歐洲國(guó)家和歐盟的最為成熟和嚴(yán)格。歐盟通過(guò)一系列法規(guī)和指令建構(gòu)了一套比較完備的資訊隱私權(quán)保護(hù)的法律框架，為用戶、企業(yè)、政府等各方提供了可遵循的原則。不但要求成員國(guó)以極高立法標(biāo)準(zhǔn)對(duì)個(gè)人資料提供廣泛的保護(hù)，還限制個(gè)人資料傳送至第三國(guó)的情形。對(duì)企業(yè)而言，這顯而易見的增加了企業(yè)的法定義務(wù)和責(zé)任：詳細(xì)通知員工和消費(fèi)者、數(shù)據(jù)庫(kù)必須在數(shù)據(jù)保護(hù)機(jī)構(gòu)注冊(cè)、限制國(guó)際數(shù)據(jù)流通等規(guī)定，大大增加了企業(yè)在歐盟從事電子商務(wù)活動(dòng)的守法成本，阻礙電子商務(wù)的自由發(fā)展。各國(guó)數(shù)據(jù)保護(hù)法之間協(xié)調(diào)不夠，給各國(guó)履行指令的余地過(guò)寬，影響企業(yè)制定全程協(xié)調(diào)的數(shù)據(jù)處理規(guī)則。

向歐盟外國(guó)家轉(zhuǎn)移個(gè)人數(shù)據(jù)有幾條合法根據(jù)：“充分性”裁決、當(dāng)事人同意、歐盟核定的“格式合同”、［1］美國(guó)安全港協(xié)議。充分性裁決需要耗費(fèi)時(shí)日與對(duì)方政府談判，然后批準(zhǔn)。另外幾個(gè)合法根據(jù)主要適用于向沒有提供完備數(shù)據(jù)保護(hù)的國(guó)家轉(zhuǎn)移數(shù)據(jù)。所轉(zhuǎn)移數(shù)據(jù)當(dāng)事人的同意有時(shí)也會(huì)受到法律的限制，即數(shù)據(jù)保護(hù)機(jī)構(gòu)和法院不承認(rèn)同意的效力。歐盟數(shù)據(jù)出口國(guó)與非歐盟數(shù)據(jù)進(jìn)口國(guó)之間締結(jié)的數(shù)據(jù)交換的格式合同約定，雙方當(dāng)事人都承諾保護(hù)數(shù)據(jù)。但格式合同的管理和使用都很困難，尤其是跨國(guó)公司在全球下屬企業(yè)之間轉(zhuǎn)移數(shù)據(jù)，操作難度大、成本高。在歐盟外的機(jī)構(gòu)為了履行與數(shù)據(jù)被處理人之間的合同而轉(zhuǎn)移數(shù)據(jù)，就很難獲得法院和數(shù)據(jù)保護(hù)機(jī)構(gòu)的認(rèn)可，適用范圍也有限。美國(guó)安全港協(xié)議是一個(gè)自愿選擇的自律計(jì)劃。企業(yè)加入了安全港計(jì)劃后，就被認(rèn)為對(duì)數(shù)據(jù)提供了“完備保護(hù)”。但該計(jì)劃僅適用于轉(zhuǎn)移至美國(guó)的個(gè)人數(shù)據(jù)。故而，在實(shí)踐中，歐洲企業(yè)對(duì)跨境流通數(shù)據(jù)資訊隱私權(quán)保護(hù)還大量采取自律模式。

一、企業(yè)內(nèi)部規(guī)制

自律模式最簡(jiǎn)單的形式就是企業(yè)公開宣布遵守一套最基本的隱私原則。這在因特網(wǎng)上已十分普遍，在大多數(shù)企業(yè)的網(wǎng)站上都有“隱私政策”。近年來(lái)，企業(yè)開始將原來(lái)僅僅是對(duì)不良公共形象的回應(yīng)或一種公關(guān)活動(dòng)的聲明轉(zhuǎn)化為對(duì)雇員的明確指南，稱為“組織守則”。這種單個(gè)企業(yè)內(nèi)部的隱私行為守則比較具有拘束力，也很具體。但適用面很小，僅適用于企業(yè)自身。

二、行業(yè)協(xié)會(huì)的行為守則

為整個(gè)行業(yè)制定的守則比組織守則涵蓋范圍廣得多，而且不同的是，對(duì)相應(yīng)行業(yè)或商業(yè)協(xié)會(huì)的成員來(lái)說(shuō)，適用并遵守這些部門或職業(yè)守則通常以退出市場(chǎng)為規(guī)制手段而具有一定的強(qiáng)制性。它們也可以由專門的第三方組織（如審計(jì)服務(wù)或顧問(wèn)公司）提供。許多這類自我規(guī)制機(jī)構(gòu)為企業(yè)網(wǎng)站提供“隱私圖章”（privacy seals），標(biāo)明該企業(yè)是否遵守特定的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。行業(yè)協(xié)會(huì)通過(guò)專門的課程、培訓(xùn)服務(wù)以及簡(jiǎn)訊，在教育其成員以最佳隱私保護(hù)行為中的作用日益增強(qiáng)。

這種方式存在的問(wèn)題之一是仍趨于羅列一般原則而非具體規(guī)范。從理論上講，它們可適用于特定行業(yè)遍布全球的企業(yè)。但實(shí)踐中，這些企業(yè)仍只是個(gè)別表示贊同并接受這些守則。這些自愿性的協(xié)議的參與率相對(duì)較低，自然只能規(guī)制那些表示對(duì)其遵守的企業(yè)。［2］其二是，認(rèn)證對(duì)隱私權(quán)的保護(hù)力度仍不夠，只是對(duì)某一套數(shù)據(jù)處理行為準(zhǔn)則的遵守，以退出市場(chǎng)而非準(zhǔn)入機(jī)制作為規(guī)制手段。那么，如果消費(fèi)者沒有反對(duì)，其數(shù)據(jù)就可能被用于商業(yè)目的。其三是，這種形式的自我規(guī)制更接近于“管理”而非“執(zhí)行”。其四是，認(rèn)證機(jī)構(gòu)在資金上依賴他們的成員或客戶，不太可能對(duì)違反守則的企業(yè)真正采取強(qiáng)制措施。

三、商業(yè)網(wǎng)絡(luò)中的契約解決方案

包含有關(guān)于承包商如何使用數(shù)據(jù)、誰(shuí)擁有數(shù)據(jù)的財(cái)產(chǎn)權(quán)、是否及如何被轉(zhuǎn)讓給第三方等條款的契約通常作為個(gè)案補(bǔ)充而被采用。在那些擁有大量消費(fèi)者和雇員個(gè)人數(shù)據(jù)并將一些相關(guān)工作外包的大企業(yè)中很常見。

20世紀(jì)70年代，已經(jīng)有國(guó)家允許根據(jù)依國(guó)內(nèi)數(shù)據(jù)保護(hù)法簽訂的隱私契約跨境轉(zhuǎn)移數(shù)據(jù)。在法國(guó)，自數(shù)據(jù)保護(hù)規(guī)制初期，私人隱私契約就被普遍采用。在其他歐洲國(guó)家，通過(guò)契約來(lái)保證個(gè)人數(shù)據(jù)向其他國(guó)家的出口要受到數(shù)據(jù)來(lái)源國(guó)法律的限制。國(guó)內(nèi)的數(shù)據(jù)保護(hù)機(jī)構(gòu)在推動(dòng)使用這種私法文件中起著至關(guān)重要的作用。

商家對(duì)商家數(shù)據(jù)轉(zhuǎn)移的標(biāo)準(zhǔn)合同最初產(chǎn)生于歐盟，作為使數(shù)據(jù)可以向那些缺乏充分的立法的國(guó)家出口的合法工具。1992年，歐洲議會(huì)和歐盟委員會(huì)與國(guó)際商會(huì)合作，為跨境數(shù)據(jù)流動(dòng)制訂了一份樣板合同。國(guó)際商會(huì)向全球的企業(yè)建議采用該標(biāo)準(zhǔn)合同條款。其他機(jī)構(gòu)，如德國(guó)數(shù)據(jù)保護(hù)專員“Düsseldorfer Kreis”在這一領(lǐng)域也很活躍。［3］歐盟在通過(guò)1995年《數(shù)據(jù)保護(hù)指令》后也跟隨這種做法。指令接受標(biāo)準(zhǔn)合同條款以保證向第三國(guó)跨境流動(dòng)的數(shù)據(jù)受保護(hù)水平，但這些標(biāo)準(zhǔn)條款必須由歐盟委員會(huì)核準(zhǔn)或制訂。

這種方式更多地是通過(guò)標(biāo)準(zhǔn)的內(nèi)部可操作性及交易成本的降低來(lái)發(fā)揮作用的。如果合同一方想讓它們的合同受數(shù)據(jù)保護(hù)的高標(biāo)準(zhǔn)約束，可以堅(jiān)持要在商業(yè)協(xié)議中并入標(biāo)準(zhǔn)的數(shù)據(jù)保護(hù)條款。政府部門因?yàn)橛袕?qiáng)大的購(gòu)買能力，也可以在政府采購(gòu)中將這作為相關(guān)國(guó)家法律中缺乏強(qiáng)制性的數(shù)據(jù)保護(hù)規(guī)定時(shí)，采用這種合同條款來(lái)提高數(shù)據(jù)保護(hù)水平。

這種數(shù)據(jù)保護(hù)合同條款的私法手段是一種將歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)擴(kuò)大到其國(guó)內(nèi)法缺位或顯得不充分的國(guó)家的有用工具。歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的運(yùn)用正慢慢地納入到全球的私人部門對(duì)數(shù)據(jù)的使用中去。這也表明，私法如何通過(guò)運(yùn)用強(qiáng)制性的數(shù)據(jù)出口控制條款來(lái)推動(dòng)一個(gè)區(qū)域性的法律標(biāo)準(zhǔn)的擴(kuò)展。

這種方法有一定的局限性。如果事實(shí)上所影響的合同方（公民、消費(fèi)者或數(shù)據(jù)使用者）不應(yīng)受合同約束，將引起什么后果？這在歐洲大陸法系傳統(tǒng)中可能不成問(wèn)題。但英美普通法國(guó)家傳統(tǒng)上不承認(rèn)第三方依雙方合同取得權(quán)利的概念。雖然，美國(guó)現(xiàn)在允許第三方從合同中受益。［4］這種合同的執(zhí)行也仍然是困難的。合同條款的執(zhí)行不僅依賴于管轄權(quán)的選擇，也受進(jìn)口國(guó)的國(guó)內(nèi)某些法律的限制及接收方的利益的影響。

另外，私人契約方法只適用于那些將守則包含進(jìn)商業(yè)契約的貿(mào)易伙伴，且大多為建立于歐洲的向第三國(guó)轉(zhuǎn)移數(shù)據(jù)的企業(yè)所使用。由于個(gè)人數(shù)據(jù)沒有一體化的“供應(yīng)鏈”，合同式隱私保護(hù)網(wǎng)絡(luò)仍相當(dāng)松散，而且沒有廣泛地向下蔓延的效果。

四、標(biāo)準(zhǔn)化組織的協(xié)調(diào)作用

隱私標(biāo)準(zhǔn)方面的自律模式還遠(yuǎn)不止是承認(rèn)自愿性的行為守則，還有提供一套客觀的評(píng)價(jià)標(biāo)準(zhǔn)和確定的程序來(lái)控制標(biāo)準(zhǔn)的遵守情況。國(guó)際上一直有對(duì)普遍性隱私標(biāo)準(zhǔn)的討論和努力?！皹?biāo)準(zhǔn)”意味著對(duì)技術(shù)和社會(huì)實(shí)踐如何在一個(gè)組織中履行的標(biāo)準(zhǔn)化檢測(cè)方式。標(biāo)準(zhǔn)通常也有嚴(yán)格的監(jiān)督和執(zhí)行機(jī)制，所以比企業(yè)自愿性守則更進(jìn)一步，更接近于行業(yè)守則。

國(guó)際標(biāo)準(zhǔn)化組織ISO、國(guó)際電信聯(lián)盟ITU和國(guó)際信息系統(tǒng)審計(jì)和控制協(xié)會(huì)ISACA等在全球信息化進(jìn)程中扮演著日益突出的角色。ISO制定的與信息安全評(píng)價(jià)密切相關(guān)的標(biāo)準(zhǔn)主要包括：面向?qū)Ξa(chǎn)品和計(jì)算機(jī)系統(tǒng)實(shí)施評(píng)測(cè)的ISO／IEC15408：信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則（C C），面向工程的ISO／IEC21827：2002（SSE－CMM）：信息安全工程能力成熟度模型；以及前面介紹過(guò)的面向管理的ISO／IEC17799和ISO／IEC27000 系 列 標(biāo) 準(zhǔn)?！癐SO／IEC27004：信息安全管理的評(píng)價(jià)指標(biāo)”標(biāo)準(zhǔn)在緊張制定中。

國(guó)際標(biāo)準(zhǔn)化組織理事會(huì)在其消費(fèi)者政策委員會(huì)的施壓下，1996年就提出一個(gè)建立國(guó)際隱私標(biāo)準(zhǔn)的進(jìn)程，但遲遲未能就該標(biāo)準(zhǔn)達(dá)成一致。一個(gè)更為溫和的方法在德國(guó)標(biāo)準(zhǔn)機(jī)構(gòu)DIN的領(lǐng)導(dǎo)下，于2006年在國(guó)際標(biāo)準(zhǔn)化組織啟動(dòng)，要“建立一套通用的隱私術(shù)語(yǔ)，確定處理個(gè)人信息的隱私原則，對(duì)隱私性質(zhì)進(jìn)行分類并將所描述的所有隱私方面與現(xiàn)存的安全指南聯(lián)系起來(lái)”。［5］歐洲標(biāo)準(zhǔn)機(jī)構(gòu)ComitéEuropéan de Normalisation（CEN）也與歐盟數(shù)據(jù)保護(hù)署一起，研究全球隱私標(biāo)準(zhǔn)的可行性。

基于對(duì)基本原則的全球共識(shí)，上述隱私自治機(jī)制雖然在范圍、適用對(duì)象、具體內(nèi)容及執(zhí)行機(jī)制上各不相同，但它們通過(guò)全球私人商業(yè)治理結(jié)構(gòu)的網(wǎng)絡(luò)逐步推行，彼此也越來(lái)越具有內(nèi)在聯(lián)系。

五、自我規(guī)制與政府規(guī)制相結(jié)合的混合模式

國(guó)家主導(dǎo)型的個(gè)人資訊隱私保護(hù)立法加上獨(dú)立的數(shù)據(jù)保護(hù)機(jī)構(gòu)的法律設(shè)計(jì)并不是在所有國(guó)家的政治框架中都切實(shí)可行。問(wèn)題的解決應(yīng)該是建立一個(gè)全球商業(yè)的隱私底線，然后，由每個(gè)國(guó)家根據(jù)國(guó)情具體實(shí)施底線的要求。前述經(jīng)合組織、國(guó)際標(biāo)準(zhǔn)化組織都在做這一方面的努力，但進(jìn)展很緩慢。在全球電子商務(wù)市場(chǎng)對(duì)消費(fèi)者個(gè)人數(shù)據(jù)流動(dòng)的強(qiáng)烈需求的現(xiàn)實(shí)下，歐盟開始尋求更好的途徑解決法律規(guī)制的硬性規(guī)定與市場(chǎng)流通的剛性需求之間的矛盾。

（一）美國(guó)——?dú)W盟安全港協(xié)議

美國(guó)與歐盟關(guān)于個(gè)人資訊隱私權(quán)保護(hù)的價(jià)值取向和模式不同。美國(guó)不符合歐盟的“充分性”標(biāo)準(zhǔn)，在相當(dāng)程度上影響了跨大西洋電子商務(wù)交易市場(chǎng)的發(fā)展。為了調(diào)和美歐之間的矛盾，促進(jìn)個(gè)人信息自由交流，1998年11月4日，美國(guó)商務(wù)部發(fā)布了《國(guó)際安全港隱私保護(hù)原則》。某一特定的在線服務(wù)產(chǎn)業(yè)公布本產(chǎn)業(yè)的網(wǎng)絡(luò)隱私保護(hù)行為指南，該指南由聯(lián)邦貿(mào)易委員會(huì)（FTC）通過(guò)后，即成為“安全港”，有關(guān)的網(wǎng)絡(luò)服務(wù)商只要遵守該指南，就被認(rèn)為遵守了FTC有關(guān)法案的要求。該原則所主張的告知、選擇、轉(zhuǎn)送、安全、資料完整、渠道、執(zhí)行七大隱私保護(hù)原則與歐盟個(gè)人數(shù)據(jù)保護(hù)指令相似，只是采用企業(yè)自愿加入的方式，企業(yè)承諾遵守相關(guān)原則進(jìn)行個(gè)人信息管理與接受消費(fèi)者申訴。但這與歐盟的標(biāo)準(zhǔn)還有一段距離，主要是美國(guó)沒有設(shè)立獨(dú)立的數(shù)據(jù)保護(hù)機(jī)構(gòu)，因而仍未獲得“充分性”裁決。

美國(guó)及歐盟經(jīng)過(guò)長(zhǎng)時(shí)間的磋商和談判，在2000年達(dá)成了建立“安全港機(jī)制”的協(xié)議。該協(xié)議內(nèi)容明確具體，包括上述《國(guó)際安全港隱私保護(hù)原則》中的七大原則。在企業(yè)責(zé)任、進(jìn)入安全港的企業(yè)資格及投訴機(jī)制方面，都有著更為嚴(yán)格的要求。如果美國(guó)產(chǎn)業(yè)界對(duì)協(xié)議表示同意，美國(guó)企業(yè)向歐盟“安全港”監(jiān)督機(jī)構(gòu)提出網(wǎng)絡(luò)數(shù)據(jù)傳輸申請(qǐng)，經(jīng)批準(zhǔn)后，方可與歐盟成員國(guó)個(gè)人或企業(yè)進(jìn)行交易。［6］協(xié)議要求任何面向消費(fèi)者的投訴機(jī)制都必須由獨(dú)立于企業(yè)的行業(yè)協(xié)會(huì)或跨行業(yè)的非官方組織來(lái)運(yùn)行。當(dāng)一些企業(yè)并不屬于任何行業(yè)時(shí)，他們可以“自愿”接受歐盟成員國(guó)的數(shù)據(jù)保護(hù)機(jī)構(gòu)的管理，接受他們的調(diào)查，并適用歐盟法律。

安全港協(xié)議的懲罰措施主要有：收回認(rèn)證，公布企業(yè)的侵權(quán)行為，提交FTC進(jìn)行法律行動(dòng)等。它利用美國(guó)貿(mào)易法中的一項(xiàng)普遍條款，加入了安全港卻被審查出違反安全港行業(yè)指南的公司將被聯(lián)邦貿(mào)易委員會(huì)以“不公平和欺詐性貿(mào)易行為”處以罰金。當(dāng)信息控制企業(yè)違反了協(xié)議規(guī)定，F(xiàn)TC將會(huì)通過(guò)非官方監(jiān)督機(jī)構(gòu)和歐盟成員國(guó)的重新評(píng)估來(lái)決定該企業(yè)是否已經(jīng)違反了FTC法案Section5中的對(duì)“商業(yè)欺詐”的規(guī)定。如果FTC確定了違反協(xié)議的事實(shí)存在，可以命令停止這種侵犯行為或者向聯(lián)邦地方法院提出起訴，該企業(yè)將會(huì)面臨民事或刑事處罰。FTC還將通知美國(guó)商務(wù)部（DOC）就此事采取相應(yīng)行動(dòng)。如果信息控制企業(yè)“堅(jiān)持不遵守原則”（指當(dāng)信息控制者拒絕服從來(lái)自任何非官方監(jiān)督機(jī)構(gòu)、政府機(jī)構(gòu)或發(fā)現(xiàn)其反復(fù)違反協(xié)議行為的組織所做出的重要決定時(shí)，其所宣稱的遵守原則將不再被信任。），DOC必須通知其此種行為將會(huì)遭致以“不公平和欺詐性貿(mào)易行為”的罪名被訴，并給與30天的期限就此事做出反應(yīng)。一旦最終事情未能得到滿意的處理，該企業(yè)將被記錄在安全港“堅(jiān)持不遵守原則”的名單上并被剝奪其自安全港協(xié)議所獲得的利益，即不得將歐盟成員國(guó)公民的個(gè)人信息傳送到美國(guó)。［7］一個(gè)被記錄在案的信息控制企業(yè)以后如果要求加入某個(gè)非官方監(jiān)管機(jī)構(gòu)，必須提供其之前加入安全港協(xié)議期間的完整記錄。該協(xié)議還規(guī)定了仲裁程序，仲裁員可以從私人服務(wù)者如TRUSTe或權(quán)威機(jī)構(gòu)如歐盟數(shù)據(jù)保護(hù)專員中選出。

安全港協(xié)議將兩種不同的規(guī)制方法聯(lián)系在一起：歐洲的以法律為基礎(chǔ)的綜合性資訊隱私權(quán)保護(hù)和美國(guó)式以私人部門為基礎(chǔ)的行業(yè)自律。由此，美國(guó)可以使部分?jǐn)?shù)據(jù)處理行業(yè)不受規(guī)制，而歐盟可以在美國(guó)公司自愿遵守安全港原則的條件下允許數(shù)據(jù)轉(zhuǎn)移。由于不同的行業(yè)在信息收集和處理的方式和類別上存在較大的差別，對(duì)于個(gè)人資訊隱私保護(hù)的要求也不完全相同，單一的立法往往難以制定劃一的標(biāo)準(zhǔn)，而僅具有籠統(tǒng)的規(guī)定。安全港協(xié)議即可將行業(yè)自律和立法規(guī)制相結(jié)合，彌補(bǔ)立法的不足，同時(shí)亦彌補(bǔ)行業(yè)自律的缺陷。在法律的執(zhí)行上也能夠充分反映不同行業(yè)的特點(diǎn)。官方機(jī)構(gòu)審查的是整個(gè)行業(yè)的指南，可以實(shí)現(xiàn)對(duì)某個(gè)行業(yè)個(gè)人資訊隱私保護(hù)的宏觀控制，使得行業(yè)采取較為嚴(yán)格的保護(hù)標(biāo)準(zhǔn)，并加強(qiáng)對(duì)本行業(yè)服務(wù)商的管理和監(jiān)督，敦促其更為有效的執(zhí)行本行業(yè)的指南。加入安全港行業(yè)指南的成員商服從指南的審查和執(zhí)行程序，以代替正式的委員會(huì)調(diào)查和法律執(zhí)行程序。依此協(xié)議，歐盟委員會(huì)所倚重的“充分性”評(píng)價(jià)的對(duì)象不再是一個(gè)國(guó)家，而是一個(gè)公司。裁決企業(yè)是否違背相關(guān)法律，首先審查是否違反了本行業(yè)安全港指南的原則。但該協(xié)議仍包含一些公共監(jiān)督和執(zhí)行，最終的審批權(quán)和裁決權(quán)在政府的正式執(zhí)行機(jī)構(gòu)，為消費(fèi)者提供最后的申訴場(chǎng)所與救濟(jì)渠道。行業(yè)和政府的雙重監(jiān)督能夠賦予行業(yè)自律組織的指南及其監(jiān)督機(jī)制這類軟法以有效的可執(zhí)行力，從而使很多爭(zhēng)端尚未訴諸官方執(zhí)行機(jī)構(gòu)即可獲得解決。安全港協(xié)議的規(guī)制機(jī)制是多層級(jí)的。歐盟設(shè)立實(shí)體性的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，行業(yè)制訂行為指南，公司自愿承認(rèn)這些標(biāo)準(zhǔn)和原則，私人的或公共的機(jī)構(gòu)提供仲裁服務(wù)，公共執(zhí)行由一個(gè)美國(guó)部門實(shí)行，歐盟委員會(huì)仍有最后的發(fā)言權(quán)，可以在美國(guó)的遵約或公共監(jiān)督不起作用的情況下終止整個(gè)協(xié)議。因此，它可以被描述為由跨國(guó)自我規(guī)制與以主權(quán)國(guó)家為基礎(chǔ)的政府間公共規(guī)制兩方面相結(jié)合的一個(gè)混合型安排，產(chǎn)生了一個(gè)復(fù)雜的、多層級(jí)的機(jī)制。

這種以雙邊協(xié)議解決個(gè)人信息跨境流通，對(duì)日漸融合的全球經(jīng)濟(jì)來(lái)說(shuō)提供了一個(gè)在立法體制和理念上有諸多不同的雙方都可以接受的解決矛盾的新方向。安全港協(xié)議對(duì)于中小企業(yè)尤其適合。歐洲企業(yè)只要瀏覽美國(guó)商務(wù)部網(wǎng)站（http：／／www．export．gov／safeharbor／）確定將要移轉(zhuǎn)信息的美國(guó)接收方屬于上貼的安全港組織名單即可以確保信息的安全。簽署協(xié)議的組織逐漸上升的事實(shí)表明，安全港協(xié)議實(shí)施所帶來(lái)了良性效果，也將更好更快的為個(gè)人信息流通提供保護(hù)。安全港協(xié)議不但反映了個(gè)人信息保護(hù)全球化的發(fā)展趨勢(shì)，而且必然對(duì)這種趨勢(shì)影響深遠(yuǎn)。［8］

安全港協(xié)議還有許多不盡如雙方之意的地方。這一協(xié)定比歐盟立法在效力上要弱一些。在法律適用和執(zhí)行上，歐盟公民不可能以法律的形式獲得關(guān)于其個(gè)人數(shù)據(jù)在美國(guó)被使用情況的信息，歐洲數(shù)據(jù)保護(hù)專員也不可能審查大西洋彼岸的數(shù)據(jù)處理企業(yè)。歐盟要求以法律的手段強(qiáng)制企業(yè)執(zhí)行，但協(xié)議規(guī)定美國(guó)企業(yè)加入安全港是完全遵循自愿原則的，不得強(qiáng)制。另外，雖然，美國(guó)可以利用自愿性的特點(diǎn)使某些行業(yè)排除在安全港之外而不受歐盟法的約束。但從另一個(gè)角度來(lái)說(shuō)，某些不受美國(guó)聯(lián)邦貿(mào)易委員會(huì)等政府機(jī)構(gòu)監(jiān)管的行業(yè)（如電信業(yè)、銀行業(yè)、保險(xiǎn)業(yè)、信用業(yè)，以及非盈利性機(jī)構(gòu)等）不得加入安全港，卻也使得這些行業(yè)內(nèi)重量級(jí)的美國(guó)企業(yè)在歐洲市場(chǎng)的業(yè)務(wù)受阻。

（二）經(jīng)官方審計(jì)的行業(yè)規(guī)則

國(guó)家開始對(duì)隱私自我規(guī)制的社會(huì)守則進(jìn)行公共審計(jì)和認(rèn)證程序來(lái)對(duì)行業(yè)自律本身進(jìn)行規(guī)范。歐盟1995年指令也包括由公共機(jī)構(gòu)對(duì)私人自我治理工具進(jìn)行認(rèn)證的選擇，讓隱私專員和行業(yè)協(xié)會(huì)在國(guó)家層面進(jìn)行協(xié)商以達(dá)成全國(guó)范圍的行為守則，還允許“第29條工作組”審查歐盟范圍的立法。但只是被當(dāng)做例外，很少使用。但自從美歐安全港協(xié)議突破后，就連歐洲的數(shù)據(jù)保護(hù)專員們也積極支持并促進(jìn)這種做法：讓商業(yè)協(xié)會(huì)制訂隱私行為守則，但將它們納入一個(gè)法律框架中，并使之可以由公共機(jī)構(gòu)加以認(rèn)證。有一些這種經(jīng)認(rèn)證的自我規(guī)制已在國(guó)家層面采納。依改革后的2001年德國(guó)聯(lián)邦數(shù)據(jù)保護(hù)法，商業(yè)協(xié)會(huì)可將它們的行為守則交付數(shù)據(jù)保護(hù)機(jī)構(gòu)，由后者檢驗(yàn)是否遵守?cái)?shù)據(jù)保護(hù)法。然而，數(shù)據(jù)保護(hù)機(jī)構(gòu)的決定并不是有約束力的。因此，個(gè)體的數(shù)據(jù)處理者（企業(yè)、網(wǎng)站經(jīng)營(yíng)商、其他實(shí)體）可以將它們的產(chǎn)品或隱私政策交由一個(gè)審計(jì)機(jī)制并由此獲得官方認(rèn)證或通過(guò)的簽章。德國(guó)的Federal State of Schleswig－Holstein自2001年以來(lái)一直提供此類審計(jì)機(jī)制，以數(shù)據(jù)保護(hù)專員作為官方的公共認(rèn)證機(jī)構(gòu)。企業(yè)對(duì)這種官方審計(jì)的興趣很大，顯示出對(duì)國(guó)家合法化功能比對(duì)私人部門更大的信任。隱私簽章已被歐盟資助的“European Privacy Seal”（ICCP，2008）計(jì)劃推及歐洲層面。第一個(gè)獲得“European Privacy Seal”的是搜索引擎Ixquick。這種做法的好處在于，減輕了企業(yè)在希望從事商業(yè)活動(dòng)的每一個(gè)管轄區(qū)都要進(jìn)行新的隱私認(rèn)證的行政負(fù)擔(dān)。

（三）經(jīng)官方數(shù)據(jù)保護(hù)機(jī)構(gòu)批準(zhǔn)的有約束力的企業(yè)規(guī)則

歐盟所承認(rèn)的個(gè)人數(shù)據(jù)流通的合法根據(jù)（充分性、合同、當(dāng)事人同意等）都局限于個(gè)案解決。對(duì)于跨國(guó)企業(yè)來(lái)說(shuō)，需要有一個(gè)立足于企業(yè)的內(nèi)部數(shù)據(jù)處理方案，不需每項(xiàng)業(yè)務(wù)都簽訂合同，實(shí)現(xiàn)個(gè)人數(shù)據(jù)在歐盟內(nèi)外的企業(yè)集團(tuán)成員之間自由流通。有些跨國(guó)企業(yè)如Daimler Chrysler，General E－lectric，Siemens開始創(chuàng)設(shè)一種新的企業(yè)內(nèi)部關(guān)于數(shù)據(jù)保護(hù)的隱私權(quán)規(guī)則的形式——“有約束力的企業(yè)規(guī)制”，賦權(quán)給企業(yè)，由企業(yè)或企業(yè)集團(tuán)制定數(shù)據(jù)處理規(guī)則，適用于企業(yè)集團(tuán)遍布全球的附屬機(jī)構(gòu)，同時(shí)也要求企業(yè)在全球范圍內(nèi)實(shí)行數(shù)據(jù)保護(hù)。［9］有約束力的企業(yè)規(guī)則使整個(gè)企業(yè)集團(tuán)成了“安全港”，個(gè)人數(shù)據(jù)在集團(tuán)內(nèi)部可以自由地從一家企業(yè)流向另一家企業(yè)，不論它們所處的國(guó)家是否有隱私立法，都受到同樣保護(hù)。許多企業(yè)還建立了內(nèi)部的監(jiān)督機(jī)制來(lái)保障這些隱私守則的遵守。這種模式可追溯到早期德國(guó)的數(shù)據(jù)保護(hù)立法，從一開始就有一種獨(dú)特的模式：企業(yè)如果任命一個(gè)獨(dú)立的企業(yè)數(shù)據(jù)保護(hù)專員——“首席隱私官”（chief privacy officers），就可以免除向公共監(jiān)督機(jī)構(gòu)登記其數(shù)據(jù)庫(kù)的責(zé)任。這些“首席隱私官”歸跨國(guó)專業(yè)機(jī)構(gòu)如International Association of Privacy Professionals（IAPP），他們定期與官方隱私專員會(huì)面。這種使在私人部門中進(jìn)行自我規(guī)制制度化的模式被納入95／46／EC（recital49），并自此被整個(gè)企業(yè)界廣泛采用。德國(guó)等成員國(guó)的經(jīng)驗(yàn)表明，在《數(shù)據(jù)保護(hù)指令》允許的情況下，用企業(yè)隱私官替代強(qiáng)制登記，對(duì)促進(jìn)企業(yè)遵守?cái)?shù)據(jù)保護(hù)法的效果十分顯著，同時(shí)又無(wú)須增設(shè)負(fù)責(zé)登記的行政機(jī)構(gòu)。歐盟越來(lái)越多的數(shù)據(jù)保護(hù)機(jī)構(gòu)贊同有約束力企業(yè)規(guī)則，其中有些數(shù)據(jù)保護(hù)機(jī)構(gòu)（如奧地利、德國(guó)和英國(guó)）已經(jīng)承認(rèn)企業(yè)有約束力的企業(yè)規(guī)則可以作為國(guó)際數(shù)據(jù)流通的合法根據(jù)。

以有約束力的企業(yè)規(guī)則作為向歐盟外轉(zhuǎn)移個(gè)人數(shù)據(jù)的法律根據(jù)，必須由數(shù)據(jù)輸出國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)批準(zhǔn)。理論上，它需要獲得歐盟所有成員國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)的批準(zhǔn)。為此，“第29條工作組”設(shè)計(jì)了一個(gè)在歐盟數(shù)據(jù)保護(hù)專員之中的協(xié)調(diào)機(jī)制，企業(yè)僅需要向某個(gè)成員國(guó)的數(shù)據(jù)保護(hù)機(jī)構(gòu)申請(qǐng)批準(zhǔn)即可。雖然這個(gè)協(xié)調(diào)機(jī)制運(yùn)作得還不是十分快捷有效，獲準(zhǔn)使用有約束力的企業(yè)規(guī)則仍然費(fèi)時(shí)又費(fèi)錢，但歐盟用這種受規(guī)制的自律模式來(lái)認(rèn)證跨國(guó)公司內(nèi)部對(duì)其數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)在全球范圍的遵守，為整個(gè)歐盟提供了“一站式”認(rèn)證機(jī)制。歐盟委員會(huì)在2003年第一份95指令實(shí)施報(bào)告中認(rèn)為，這種模式起著至關(guān)重要的作用。［10］

2005年5月，Daimler Chryser成為第一家接受此項(xiàng)認(rèn)證的企業(yè)，由法國(guó)監(jiān)督機(jī)構(gòu)CNRL對(duì)它的全球隱私行為守則進(jìn)行認(rèn)證，該認(rèn)證在整個(gè)歐盟有效。Daimler Chrysler的有約束力的企業(yè)規(guī)則本只適用于企業(yè)的雇員和數(shù)據(jù)承包商，經(jīng)過(guò)官方數(shù)據(jù)保護(hù)機(jī)構(gòu)認(rèn)證后，可以從歐盟各成員國(guó)向位于其他國(guó)家的附屬機(jī)構(gòu)轉(zhuǎn)移個(gè)人數(shù)據(jù)，從而使該規(guī)則在全世界范圍內(nèi)是有效和可執(zhí)行的。其他公司如General Electric也一直緊隨其后，使IATA隱私行為守則適用于屬于該組織成員的所有的航空運(yùn)營(yíng)商。因特網(wǎng)和全球經(jīng)濟(jì)日趨一體化帶來(lái)的距離的消除，也使隱私自我規(guī)制文件外溢而在全球范圍內(nèi)被采納。有約束力的企業(yè)規(guī)則對(duì)于在下屬企業(yè)之間轉(zhuǎn)移個(gè)人數(shù)據(jù)的跨國(guó)企業(yè)而言，已經(jīng)成為最有效、最簡(jiǎn)捷的辦法。

綜上，在電子商務(wù)的發(fā)展過(guò)程中，行業(yè)自律在許多方面都體現(xiàn)了其不可替代的作用，甚至有些方面超過(guò)了人們對(duì)立法的需要。在安全港機(jī)制下，私人部門的作用比它在以公共監(jiān)督和審查機(jī)構(gòu)為基礎(chǔ)的傳統(tǒng)的歐洲規(guī)制模式中的作用要重要得多。行業(yè)自律作為一種最初的和產(chǎn)業(yè)層面的申訴場(chǎng)所，在實(shí)現(xiàn)網(wǎng)絡(luò)隱私保護(hù)上是處于第一線的、基礎(chǔ)的保護(hù)。大多數(shù)規(guī)制功能以及日常監(jiān)督，都是由私人部門自己實(shí)施的。國(guó)家只是建立最低數(shù)據(jù)保護(hù)水準(zhǔn)，但提供嚴(yán)重不遵守的情況下的救濟(jì)途徑。上述認(rèn)證計(jì)劃因?yàn)橛姓畢⑴c，顯然彌補(bǔ)了行業(yè)自律最薄弱的環(huán)節(jié)——執(zhí)行和救濟(jì)。而國(guó)家亦可以通過(guò)立法來(lái)規(guī)制和調(diào)節(jié)行業(yè)自律。如果希望維護(hù)產(chǎn)業(yè)利益，可于立法中規(guī)定相應(yīng)的責(zé)任限制限度，如限制賠償?shù)慕痤~和方式、限制訴訟權(quán)利的行使、或在舉證責(zé)任上做出相應(yīng)的規(guī)定。如果行業(yè)自律制度能夠日趨完善，事實(shí)上立法規(guī)制的負(fù)擔(dān)就會(huì)相對(duì)減輕，而最終需要執(zhí)行機(jī)構(gòu)和司法機(jī)構(gòu)解決的案件數(shù)目亦將減少。［11］

歐美安全港協(xié)議的達(dá)成是一個(gè)重要的轉(zhuǎn)折點(diǎn)。達(dá)成協(xié)議的過(guò)程本身也提高了歐洲數(shù)據(jù)保護(hù)專員和立法者對(duì)私人部門自我規(guī)制的接受程度。在這種國(guó)家法律規(guī)制和組織自律模式集合的雙重模式下，國(guó)家的作用也發(fā)生了變化。國(guó)家并不直接進(jìn)行公共的隱私規(guī)制，而是控制和駕馭作為標(biāo)準(zhǔn)和程序制訂的重要機(jī)構(gòu)，通過(guò)接受其隱私行為守則得到簽章認(rèn)證的行業(yè)協(xié)會(huì)、開發(fā)認(rèn)證管理系統(tǒng)的技術(shù)公司、標(biāo)準(zhǔn)化組織、在國(guó)家明確的強(qiáng)行要求下開發(fā)新的系統(tǒng)設(shè)計(jì)的國(guó)際財(cái)團(tuán)（如歐盟資助下的“Privacy and Identity”項(xiàng)目或P3P開發(fā)、制訂私人當(dāng)事人之間跨境數(shù)據(jù)流動(dòng)的示范合同的組織（如國(guó)際商會(huì)）。這些中間組織都是在法律的框架內(nèi)進(jìn)行規(guī)制，但是，私營(yíng)部門自治仍起著重要作用。數(shù)據(jù)保護(hù)的機(jī)構(gòu)和手段是多樣的，國(guó)家的作用再次增長(zhǎng)，但其角色由一個(gè)執(zhí)行者悄然轉(zhuǎn)變?yōu)橐粋€(gè)能力的締造者、一個(gè)合作者。

六、結(jié)語(yǔ)

從歐盟關(guān)于電子商務(wù)中消費(fèi)者個(gè)人資訊隱私權(quán)保護(hù)的企業(yè)責(zé)任的立法對(duì)歐盟內(nèi)外國(guó)家的影響來(lái)看，國(guó)際社會(huì)上加強(qiáng)對(duì)個(gè)人資訊隱私權(quán)保護(hù)的一個(gè)通常的做法，就是對(duì)網(wǎng)絡(luò)隱私權(quán)進(jìn)行單獨(dú)立法，已有專門的隱私權(quán)法的國(guó)家和還沒有隱私權(quán)單獨(dú)立法的國(guó)家都是是如此。而我國(guó)目前既沒有專門的隱私權(quán)法，更沒有專門保護(hù)個(gè)人數(shù)據(jù)等網(wǎng)絡(luò)隱私權(quán)的立法。已有的分散立法只體現(xiàn)了對(duì)部分網(wǎng)絡(luò)隱私權(quán)進(jìn)行保護(hù)，而且缺乏可操作性。

自然，歐盟不可能裁定中國(guó)是數(shù)據(jù)保護(hù)“充分”的國(guó)家。因而，從歐盟向中國(guó)轉(zhuǎn)移數(shù)據(jù)僅能依據(jù)其他合法根據(jù)。歐盟限制數(shù)據(jù)國(guó)際流通的規(guī)定對(duì)全球電子商務(wù)產(chǎn)生了重要經(jīng)濟(jì)影響，對(duì)企業(yè)外購(gòu)行為的影響尤其嚴(yán)重，大大增加了企業(yè)外購(gòu)的成本和難度，企業(yè)沒有合法根據(jù)，不得向中國(guó)的企業(yè)轉(zhuǎn)移個(gè)人數(shù)據(jù)，這嚴(yán)重阻滯了我國(guó)電子商務(wù)的發(fā)展。

由于美國(guó)和歐盟兩個(gè)市場(chǎng)在在電子商務(wù)領(lǐng)域的重要地位，我國(guó)與它們的交流和聯(lián)系一定會(huì)越來(lái)越緊密，而我國(guó)的個(gè)人資訊隱私權(quán)保護(hù)不力的現(xiàn)狀已經(jīng)開始成為一個(gè)嚴(yán)重的阻礙因素。目前我國(guó)兩岸四地對(duì)于電子商務(wù)消費(fèi)者個(gè)人信息保護(hù)的不平衡現(xiàn)狀，也引起相似的問(wèn)題。所以，我們關(guān)注歐盟對(duì)電子商務(wù)中消費(fèi)者個(gè)人資訊隱私權(quán)保護(hù)的企業(yè)責(zé)任的規(guī)制模式，吸取其經(jīng)驗(yàn)，可以更快、更好地在電子商務(wù)消費(fèi)者個(gè)人資訊隱私權(quán)保護(hù)方面與國(guó)際接軌。

［1］Christopher Kuner．The E．U．Alternative Standard Contractual Clauses for International Data Transfers［R／OL］．（2005－02－13）［2010－09－16］．http：／／www．hunton．com／files／tbl＿s47Details／File－Upload265／2865／EU＿Standard＿Contractual＿Clauses＿Intl＿Data＿Processors．pdf．

［2］Bennett and Raab．The Governance of Privacy．Policy Instruments in Global Perspective（2nd edition）［M］．Cambridge MA：MIT Press，2006：14．

［3］［4］Reidenberg．Resolving Conflicting International Data Privacy Rules in Cyberspace［J］．Stanford Law Review．1999，（52）：1315－1371．

［5］ISO／IEC．New Work Item Proposal on a Privacy Framework．ISO Joint Technical Committee1，Docu－ment ISO JTC N8172［R／OL］．（2006－06－22）［2010 － 10 － 02］．http：／／isotc．iso．org／livelink／livelink／fetch／－ 8913189／8913214／8913250／8913253／JTC001－N－8172．pdf？nodeid＝5446056＆vernum＝－2．

［6］新浪科技．歐盟保護(hù)網(wǎng)民隱私的方法和經(jīng)驗(yàn)［EB／OL］．（2006－03－08）［2010－08－16］．http：／／tech．sina．com．cn／i／2006－03－08／1757861518．shtml．

［7］Pinsent Masons．Concerns over Data Protection Safe Harbor［EB／OL］．（2004－11－01）［2010－5－18］．http：／／www．out－law．com／page－5028．

［8］王孛．美國(guó)與歐盟個(gè)人信息跨國(guó)流通安全港協(xié)議簡(jiǎn)論［J］．知識(shí)經(jīng)濟(jì)，2008，（4）：46－47．

［9］Christopher Kuner．ICC Report on Binding Corporate Rules for International Transfers of Personal Data［EB／OL］．（2004－10－28）［2012－11－27］．http：／／www．iccwbo．org／Data／．．．／ICC－report－on－Binding－Corporate．

［10］EU Commission．Data Protection，Copyright and Related Rights［EB／OL］．（2003－05－20）［2010－10－06］．http：／／www．europa．eu．int／comm／justice＿h(yuǎn)ome／fsj／privacy／lawreport／report＿en．htm．

［11］阿里巴巴集團(tuán)研究中心．商業(yè)數(shù)據(jù)保護(hù)相關(guān)法律問(wèn)題分析［EB／OL］．（2010－08－06）［2010－09－26］．http：／／www．a(chǎn)liresearch．com／wp－content／uploads／2010／08／Business－ data－ protection．pdf．