弓永欽 王 健(教授)

亞太經(jīng)濟合作組織(APEC)是亞太地區(qū)級別最高、最具影響力的經(jīng)濟合作官方論壇。它在推動區(qū)域貿(mào)易投資自由化和加強成員間經(jīng)濟技術(shù)合作，促進地區(qū)經(jīng)濟發(fā)展和共同繁榮方面做出了突出的貢獻(xiàn)，已成為連接太平洋兩岸國家和地區(qū)的一條重要紐帶。

進入21世紀(jì)以來，電子商務(wù)已經(jīng)成為國際貿(mào)易和國際投資的重要組成部分，跨境網(wǎng)絡(luò)零售、跨境數(shù)據(jù)外包、跨國公司的經(jīng)營活動都涉及個人信息的跨境流動，而各國個人信息保護水平的差異引發(fā)了人們對跨境信息隱私保護的擔(dān)憂。在此情況下，APEC電子商務(wù)指導(dǎo)組數(shù)據(jù)隱私分組歷時十年倡議并構(gòu)建了跨境隱私規(guī)則體系(Cross-Border Privacy Rules, CBPR)，旨在建立跨境電子商務(wù)中的個人信息保護規(guī)則。

CBPR體系于2012年正式啟動，目前已有兩個成員經(jīng)濟體成功加入，即美國(2012年7月)和墨西哥(2013年1月)，澳大利亞和日本也提出了加入申請。隨著更多APEC成員經(jīng)濟體加入到CBPR體系中，該體系將成為亞太區(qū)域規(guī)范跨境貿(mào)易和跨境投資的一個重要規(guī)則。作為亞太地區(qū)的貿(mào)易大國，中國應(yīng)該及時了解CBPR體系，并做出相應(yīng)的對策。

一、跨境隱私規(guī)則體系介紹

(一)CBPR體系的定義和范圍

CBPR體系被APEC組織定義為:“規(guī)范APEC成員經(jīng)濟體企業(yè)個人信息跨境傳輸活動的自愿的多邊數(shù)據(jù)隱私保護計劃?！倍x指出CBPR規(guī)范的對象僅限于亞太地區(qū)涉及個人信息跨境傳輸業(yè)務(wù)的企業(yè)，而不包括政府；自愿的多邊數(shù)據(jù)隱私保護計劃是指該體系只規(guī)范自愿加入的成員經(jīng)濟體的企業(yè)，對體系外的企業(yè)則沒有約束力。從定義上看，CBPR類似于美國的行業(yè)自律體系，即企業(yè)自愿參加隱私保護認(rèn)證，并進行自我約束。然而，CBPR又不等同于行業(yè)自律，因為在其機制設(shè)計中還加入了隱私執(zhí)法機構(gòu)，給自愿認(rèn)證體系增加了法律保障。

CBPR體系規(guī)范各種規(guī)模的企業(yè)，從中小型企業(yè)一直到跨國公司；只要涉及個人信息收集、存儲、加工、傳輸?shù)钠髽I(yè)都在范圍之內(nèi)，還包括指示其他企業(yè)對其所有的個人信息進行加工的企業(yè)?？缇硞鬏?shù)膫€人信息包括消費者信息、員工信息和健康信息等，可以由參加國自己選擇；美國加入該體系時只選擇了消費者信息。該體系對企業(yè)的范圍規(guī)定比較寬泛，不限于電商企業(yè)，而是只要涉及個人信息跨境傳輸業(yè)務(wù)的企業(yè)都屬于其規(guī)范的對象。然而，電子商務(wù)與個人信息的關(guān)系最為緊密，而且廣義的電子商務(wù)包括任何使用電子技術(shù)的商務(wù)活動，從這個意義上講，CBPR體系可以稱為跨境電子商務(wù)中的個人信息保護規(guī)則體系。

(二)CBPR體系的基礎(chǔ)和宗旨

CBPR的宗旨是通過特定的機制保障2004年由APEC部長級會議通過的隱私框架(Privacy Framework)九大原則在成員經(jīng)濟體中得到實現(xiàn)，最終促使區(qū)域內(nèi)個人信息在得到保護的基礎(chǔ)上實現(xiàn)無障礙流動，推動亞太地區(qū)跨境電子商務(wù)的發(fā)展。

2004年通過的APEC隱私框架是CBPR體系的基礎(chǔ)，該框架針對個人信息保護提出了九大原則，如表1所示。

APEC隱私框架的九大原則規(guī)定了個人數(shù)據(jù)收集者和控制者在對個人數(shù)據(jù)進行收集、存儲、利用和轉(zhuǎn)移時應(yīng)該遵循的原則，與OECD的八大原則沒有本質(zhì)區(qū)別。并且，九大原則注重個人信息保護和利用的平衡，指出保護的最終目的是實現(xiàn)區(qū)域內(nèi)個人信息的無障礙流動。隱私框架為這些原則的跨境實施提供了指導(dǎo)，鼓勵成員經(jīng)濟體間共享信息，并建議就隱私調(diào)查和執(zhí)法活動進行跨境合作。

隱私框架雖然在2004年由部長們簽字生效，要求各國以其為最低標(biāo)準(zhǔn)建立本國的隱私保護體系，但是由于框架對各國沒有法律效力以及缺乏可操作性，因此一直形同虛設(shè)。為了推進隱私框架在亞太各經(jīng)濟體中的實施，APEC電子商務(wù)指導(dǎo)組數(shù)據(jù)隱私分組于2007年提出了探路者倡議(Pathfinder)，并決定根據(jù)倡議精神構(gòu)建CBPR體系。

(三)CBPR體系的機制設(shè)計

為了保證其宗旨的實現(xiàn)，CBPR體系從隱私執(zhí)法機構(gòu)、問責(zé)代理機構(gòu)和企業(yè)三方面進行了機制設(shè)計，有效地保證了加入CBPR體系的企業(yè)隱私保護水平合乎標(biāo)準(zhǔn)。

1.隱私執(zhí)法機構(gòu)

為了保證加入該體系的成員經(jīng)濟體能夠按照隱私框架的最低要求約束本國企業(yè)，CBPR體系設(shè)定的準(zhǔn)入條件是：申請國至少有一個隱私執(zhí)法機構(gòu)加入跨境隱私執(zhí)法安排(Cross-border Privacy Enforcement Arrangement, CPEA)。CPEA是探路者倡議的一個成果，于2010年制定，為APEC地區(qū)的隱私執(zhí)法機構(gòu)提供了一個就具體隱私執(zhí)法事宜分享信息、尋求幫助、提供跨境合作的機制。由于一個國家沒有權(quán)力懲處侵犯其公民信息隱私的外國企業(yè)，因此只能求助于該企業(yè)所在國的執(zhí)法機構(gòu)對其進行懲罰。CPEA是各國隱私執(zhí)法機構(gòu)之間的非約束性的多邊合作協(xié)議，本著自愿互利的原則展開跨境隱私保護執(zhí)法合作，是隱私框架得以在APEC區(qū)域?qū)嵤┑闹匾Ｕ稀?/p>

表1 APEC隱私框架九大原則

APEC經(jīng)濟體的任何隱私執(zhí)法機構(gòu)均可參加CPEA。CPEA對隱私執(zhí)法機構(gòu)的定義是：“任何負(fù)責(zé)隱私法律的執(zhí)行，并具有開展調(diào)查或提起執(zhí)法訴訟的公共機構(gòu)”。從APEC最新的CPEA參與機構(gòu)來看，目前已有8個國家(地區(qū))的22個隱私執(zhí)法機構(gòu)加入了CPEA,其中澳大利亞、新西蘭、加拿大和中國香港有專門的隱私執(zhí)法機構(gòu)，美國派出的部門是聯(lián)邦貿(mào)易委員會，韓國的代表是行政安全部，墨西哥的代表是聯(lián)邦信息公開與數(shù)據(jù)保護委員會，而日本則有15個部門加入。

成員經(jīng)濟體向APEC提出加入CBPR的申請后，聯(lián)合督導(dǎo)組(Joint Oversight Panel)將對申請國已加入CPEA的隱私執(zhí)法機構(gòu)進行調(diào)查，確定該機構(gòu)在國內(nèi)切實擁有針對隱私框架九大原則50項具體要求的執(zhí)法權(quán)力(加入CPEA只需承諾按照隱私框架進行執(zhí)法，而加入CBPR要具體到50項具體要求)。隱私執(zhí)法機構(gòu)的執(zhí)法權(quán)力通常需要國內(nèi)法給予授權(quán)，比如中國香港的隱私專員公署就是在《個人資料(隱私)條例》授權(quán)之下開展工作的。該審核制度保證了凡是獲準(zhǔn)加入CBPR體系的成員經(jīng)濟體能夠按照隱私框架的最低要求對本國企業(yè)進行執(zhí)法，從而保證了APEC隱私框架在加入國的法律效力，而隱私框架也為協(xié)調(diào)亞太各國隱私保護政策提供了一個法律平臺。

2.問責(zé)代理機構(gòu)

CBPR的另一個機制設(shè)計是通過問責(zé)代理機構(gòu)來衡量加入國認(rèn)證企業(yè)的隱私保護水平。當(dāng)一個成員經(jīng)濟體獲準(zhǔn)加入CBPR體系后，該國還要至少有一個APEC認(rèn)可的問責(zé)代理機構(gòu)(Accountability Agent)為該體系提供服務(wù)，國有或私有都可以。問責(zé)代理機構(gòu)的職責(zé)是：證明企業(yè)制定的跨境隱私保護政策符合APEC隱私框架并為其認(rèn)證；為消費者提供渠道解決其對企業(yè)的隱私保護投訴。APEC對問責(zé)代理機構(gòu)的審核非常嚴(yán)格，確保該機構(gòu)能夠按照隱私框架的原則對企業(yè)進行隱私保護認(rèn)證。只有在所有APEC成員經(jīng)濟體都沒有異議的情況下，APEC才會認(rèn)可其為CBPR體系的問責(zé)代理機構(gòu)，有效期為一年，每年都需要重新審核。在美國加入CBPR體系后，美國著名的隱私認(rèn)證公司TRUSTe已于最近獲準(zhǔn)成為CBPR的問責(zé)代理機構(gòu)。

使用問責(zé)代理機構(gòu)是CBPR體系的一大關(guān)鍵創(chuàng)新。問責(zé)代理機構(gòu)通過提供獨立的第三方認(rèn)證證實某組織的隱私政策和做法符合APEC隱私框架，從而在CBPR體系中發(fā)揮著不可或缺的作用。

3.企業(yè)

CBPR加入國的企業(yè)如果想從事跨境電子商務(wù)活動，可以自愿向問責(zé)代理機構(gòu)申請對其進行隱私保護認(rèn)證，后者需按照CBPR體系的要求對企業(yè)進行評價。企業(yè)首先根據(jù)CBPR體系納新問卷進行自評，涉及隱私框架九大原則50項具體要求，完成后交由問責(zé)代理機構(gòu)審核。通過審核的企業(yè)可以獲得APEC認(rèn)可的隱私保護信賴標(biāo)章，從此在亞太區(qū)域被視為隱私保護良好的企業(yè)，有利于其開展跨境貿(mào)易和投資活動。同時，通過問責(zé)代理機構(gòu)認(rèn)證進入CBPR體系的企業(yè)默認(rèn)接受隱私框架九大原則50項具體要求的法律約束，如若違反，會受到本國隱私執(zhí)法機構(gòu)的法律制裁。

CBPR體系的機制設(shè)計從行業(yè)自律和法律規(guī)制兩個維度對進入該體系企業(yè)的隱私保護水平進行了有效的控制。世界各國在隱私保護的實踐中形成了兩種基本模式，一種是以歐盟為代表的法律規(guī)制模式，另一種是以美國為代表的行業(yè)自律模式。CBPR體系在機制設(shè)計方面結(jié)合了兩者的優(yōu)點，因而更加有效率。問責(zé)代理機構(gòu)代表了行業(yè)自律，通過企業(yè)認(rèn)證和后續(xù)的服務(wù)質(zhì)量追蹤來督促企業(yè)對個人信息的自律保護；隱私執(zhí)法機構(gòu)代表著法律規(guī)制，給自愿認(rèn)證加上了一道執(zhí)法保障，確保加入該體系的企業(yè)行為符合隱私框架，并且在CPEA機制下實現(xiàn)了隱私框架在APEC區(qū)域的跨境實施。

(四)CBPR體系的作用

CBPR體系是規(guī)范APEC成員經(jīng)濟體企業(yè)個人信息跨境傳輸活動的自愿的多邊數(shù)據(jù)隱私保護計劃，其本身對各加入國并沒有強制約束力，只是為它們提供了一個建立進一步合作和正式關(guān)系的基礎(chǔ)。加入國可以在CBPR的基礎(chǔ)上就跨境隱私保護達(dá)成雙邊或多邊協(xié)議，從而對協(xié)議國產(chǎn)生約束力；也可以在兩國或多國之間形成類似于美國與歐盟之間的“安全港”協(xié)議，讓獲得CBPR隱私保護認(rèn)證的企業(yè)受到協(xié)議國的認(rèn)可。另外，CBPR體系正在積極尋求與歐盟BCR體系(Binding Corporation Rules)的合作，使加入CBPR的企業(yè)有望得到歐盟各國的認(rèn)可。雖然這些發(fā)展前景還需要時間和考慮更多的具體問題，但是CBPR體系為這些前景的實現(xiàn)打下了堅實的基礎(chǔ)。

沒有加入該體系的成員經(jīng)濟體將失去上述與別國建立進一步合作關(guān)系的機會。對于企業(yè)來說，加入該體系的企業(yè)將在亞太甚至歐盟地區(qū)獲得消費者的信賴，有利于其開展跨境商務(wù)活動，而體系之外的企業(yè)會因此處于競爭劣勢，失去廣大的國外市場。

二、跨境隱私規(guī)則體系存在的背景和意義

(一)消費者信任是電子商務(wù)發(fā)展的引擎

全球大部分發(fā)達(dá)國家和一部分發(fā)展中國家已經(jīng)對個人信息進行了立法保護；一些區(qū)域性組織則對跨境個人信息保護規(guī)則的建立做出了貢獻(xiàn)，比如歐盟和OECD。CBPR體系只是世界隱私保護陣營中的一分子，但是卻與中國的關(guān)系最為密切。各國無論是通過立法還是行業(yè)自律模式對個人信息進行保護，一方面是出于對信息主體權(quán)利的維護，另一方面也是由于看到了濫用個人信息對電子商務(wù)發(fā)展造成致命性的傷害，從而希望通過在全國乃至世界對個人信息進行保護而重建消費者對電子商務(wù)的信任。

全球著名隱私保護認(rèn)證公司TRUSTe的統(tǒng)計數(shù)據(jù)表明，88%的消費者擔(dān)心其個人信息在網(wǎng)上遭到泄露和濫用，91%的消費者會拒絕在個人信息保護不力的電商網(wǎng)站上購物。很多國外研究也表明，消費者對個人信息保護不力的擔(dān)心(concern)會影響其對電子商務(wù)的信任(trust)，從而降低其提供個人信息的意愿以及購物意愿(purchase intention)；消費者由于對個人信息泄露的擔(dān)心，會采取提供虛假信息、使用隱私保護技術(shù)、拒絕網(wǎng)絡(luò)購物等行為，不利于電子商務(wù)的可持續(xù)發(fā)展。APEC電子商務(wù)指導(dǎo)組正是由于看到了網(wǎng)絡(luò)隱私保護不力對電子商務(wù)產(chǎn)生的致命傷害，因此專門成立了數(shù)據(jù)隱私分組，并推出一系列促進亞太區(qū)域個人信息保護的舉措，CBPR體系就是在亞太各國落實隱私框架的具體機制設(shè)計。

(二)CBPR體系是亞太各國協(xié)調(diào)隱私保護政策的嘗試

APEC包括8個發(fā)達(dá)國家(地區(qū))和13個發(fā)展中國家(地區(qū))，其中15個國家都頒布了自己的個人信息保護法律。各國法律的差異給企業(yè)跨國經(jīng)營和貿(mào)易帶來了不便，也給跨境電子商務(wù)的發(fā)展制造了障礙。CBPR體系就是探索協(xié)調(diào)區(qū)域內(nèi)經(jīng)濟體隱私保護政策折中方案的一個成果。在該體系下，各國以APEC隱私框架為基本準(zhǔn)則，在跨國隱私保護執(zhí)法中實現(xiàn)了合作與對話。CBPR體系具有一定的靈活性，是法律規(guī)制模式和行業(yè)自律模式的結(jié)合；同時，不管隱私保護水平高還是低的國家都可以加入，因為有一個隱私框架可以作為各國對話的平臺。CBPR體系的建立有利于亞太各國隱私保護政策的協(xié)調(diào)，從而推動跨境電子商務(wù)和區(qū)域經(jīng)濟一體化的發(fā)展。

(三)CBPR體系的建立促進跨境數(shù)據(jù)流動

進入信息時代，個人信息被視為一種正在崛起的新興資產(chǎn)。信息流已經(jīng)實現(xiàn)了與物流、資金流的平起平坐，因為信息流動也可以創(chuàng)造財富。對于電子商務(wù)來說，個人信息的收集、利用、加工、轉(zhuǎn)移就可以創(chuàng)造價值，而跨境電子商務(wù)的發(fā)展需要大量個人信息的跨境流動。近些年，跨境電子商務(wù)迅速增加，成為電子商務(wù)發(fā)展的新趨勢。據(jù)ebay數(shù)據(jù)，2012年，跨境支付占Paypal營業(yè)額的15%；跨境電子商務(wù)交易量占其電子商務(wù)交易總量的20%。同年，中國跨境電子商務(wù)交易額達(dá)到2萬億元，比去年增長30%?？缇畴娮由虅?wù)的發(fā)展伴隨著大量個人信息的跨境流動，據(jù)統(tǒng)計，全球有9億網(wǎng)民參與網(wǎng)絡(luò)購物，如果參照ebay跨境電子商務(wù)占電子商務(wù)交易總量的比例20%來計算，則全球有1.8億網(wǎng)民的個人信息參與了跨境流動。

如此大規(guī)模的個人信息跨境流動引發(fā)了人們對信息安全和隱私保護的擔(dān)憂。由于各國個人信息保護水平不同，保護水平高的國家通常禁止其個人信息流動到保護水平低的國家，因此跨境電子商務(wù)的發(fā)展受到一定的制約。與此同時，跨境電子商務(wù)和個人信息的跨境流動成為世界經(jīng)濟發(fā)展的新趨勢，在信息創(chuàng)造財富的時代，各國應(yīng)該創(chuàng)造條件促進個人信息的無障礙流動。CBPR體系的出現(xiàn)有利于平衡各國的隱私保護政策，讓成員經(jīng)濟體在一個共同的體系下遵守隱私框架的最低標(biāo)準(zhǔn)，從而促進亞太區(qū)域個人信息的跨境流動。

(四)CBPR體系推動亞太經(jīng)濟體個人信息保護立法進程

CBPR體系的建立是為了保障隱私框架九大原則在成員經(jīng)濟體的落實，要求加入國的隱私執(zhí)法機構(gòu)擁有針對隱私框架九大原則50項具體要求的執(zhí)法權(quán)力。執(zhí)法權(quán)力需要國內(nèi)法授予，因此推動了成員經(jīng)濟體個人信息保護立法的進程。隱私框架體現(xiàn)了大多數(shù)國家個人信息保護立法認(rèn)可的原則，50項具體要求又使隱私框架增加了可操作性，成員經(jīng)濟體可以借鑒隱私框架完善國內(nèi)的個人信息保護立法。隱私執(zhí)法機構(gòu)在CPEA機制下，就企業(yè)跨境個人信息保護案件進行執(zhí)法合作，也能夠促進不同國家間的法律交流，提高其執(zhí)法能力。

(五)CBPR體系建立了數(shù)字時代的商業(yè)規(guī)則

CBPR從表面上看是一個推動區(qū)域內(nèi)成員經(jīng)濟體個人信息保護的自愿認(rèn)證體系，然而其更深層次的意義在于，它建立了數(shù)字時代的商業(yè)規(guī)則。

社會經(jīng)濟發(fā)展到現(xiàn)在已經(jīng)經(jīng)歷了三個階段：農(nóng)業(yè)時代、工業(yè)時代和信息時代。每個時代都有其最根本的規(guī)則，是一切經(jīng)濟現(xiàn)象的根源。從價值創(chuàng)造的角度來看，農(nóng)業(yè)時代的規(guī)則是土地，工業(yè)時代的規(guī)則是知識產(chǎn)權(quán)，而信息時代的規(guī)則就是信息。進入信息時代，信息就是創(chuàng)造財富的源泉，信息的收集、利用、轉(zhuǎn)移都會帶來財富的增加。要想在信息時代取得商務(wù)的成功，就必須掌握信息生成和使用的規(guī)則。

在工業(yè)時代，發(fā)達(dá)國家由于發(fā)展早，積累了很多發(fā)明和專利，知識產(chǎn)權(quán)的產(chǎn)生加大了發(fā)展中國家獲得新技術(shù)的難度，增加了學(xué)習(xí)進步的成本，拉大了兩者的距離。如果說，知識產(chǎn)權(quán)是工業(yè)時代的游戲規(guī)則，那么隱私保護很可能就是信息時代的游戲規(guī)則。將來有可能出現(xiàn)，凡是隱私保護不力的發(fā)展中國家的企業(yè)都會被發(fā)達(dá)國家拒之門外。如果不能參與制定規(guī)則，那么最好早點掌握它，以避免將來被動。CBPR體系剛剛起步，影響力還不是很大，但是縱觀世界各國隱私保護的呼聲正高，該體系應(yīng)該代表了世界發(fā)展的方向。因此，早點加入它，掌握它，才能在未來的競爭中不處于被動地位。

三、我國的對策

(一)加入CBPR體系的決策與時機

我國對CBPR體系的態(tài)度應(yīng)該是：要加入，而且越早越好。具體原因如下：

1.加入CBPR體系有利于我國電子商務(wù)的可持續(xù)發(fā)展

近年來，我國電子商務(wù)發(fā)展勢頭良好，2012年電子商務(wù)銷售額突破8萬億元，網(wǎng)絡(luò)零售達(dá)到1.3萬億元，成為繼美國之后的世界第二大網(wǎng)絡(luò)零售國。然而，我國的個人信息保護水平卻遠(yuǎn)遠(yuǎn)落后于歐美等發(fā)達(dá)國家，個人信息泄露嚴(yán)重、信息買賣猖獗，由于法律缺位，無法對這些行為進行有效的治理。據(jù)前面所述，個人信息保護不力會降低消費者對電子商務(wù)的信任，從而減少網(wǎng)絡(luò)購物，不利于電子商務(wù)的可持續(xù)發(fā)展。因此，為了避免不良后果的出現(xiàn)，我國應(yīng)該盡快規(guī)范電商行業(yè)的隱私保護行為，完善我國的個人信息保護立法，建立健全部門法規(guī)，培育行業(yè)自律體系。CBPR體系提供了一個很好的平臺，從執(zhí)法機構(gòu)、行業(yè)自律和企業(yè)三個方面，全方位立體地促進成員國電商企業(yè)提高隱私保護水平，我國可以趁此機會完善電子商務(wù)行業(yè)的隱私保護機制，促進我國電子商務(wù)的可持續(xù)發(fā)展。

2.加入CBPR體系有利于我國電商企業(yè)“走出去”

那些獲得隱私保護認(rèn)證而加入CBPR體系的企業(yè)在亞太區(qū)域更容易贏得消費者的信賴，有利于其成功進入他國市場。近些年，我國跨境電子商務(wù)發(fā)展迅速，有分享亞太地區(qū)其他國家消費者信息的需要，因此我國加入CBPR體系將為希望“走出去”的電商企業(yè)提供便利通道。我國企業(yè)將不僅可以分享亞太各國的電子商務(wù)市場、承接發(fā)達(dá)國家的個人數(shù)據(jù)外包服務(wù)，還可以直接到國外注冊經(jīng)營。騰訊公司已經(jīng)在美國的移動聊天業(yè)務(wù)中開辟了一片天地，最近與TRUSTe公司建立了合作關(guān)系?？梢姡冗M的電商企業(yè)已經(jīng)敏銳地意識到隱私保護認(rèn)證對其發(fā)展國外業(yè)務(wù)的重要性。如果該體系將來與歐盟BCR體系建立了合作關(guān)系，我國企業(yè)還可能因此進入歐盟市場。

3.加入CBPR體系有利于我國盡早掌握數(shù)字時代的商務(wù)規(guī)則

從價值創(chuàng)造的角度來看，信息是信息時代的規(guī)則，而隱私保護很可能就是信息規(guī)則的關(guān)鍵。只有對信息隱私進行保護，對個人信息進行合理的使用，消費者才愿意提供更多的個人信息，以個人信息為基礎(chǔ)的電子商務(wù)才能夠正常運轉(zhuǎn)下去。CBPR體系是規(guī)范跨境個人信息保護的規(guī)則體系，而且APEC組織又是我國在亞太區(qū)域重要的對話平臺，因此我國應(yīng)該盡快了解它，掌握它。另外，我國是亞太地區(qū)的電子商務(wù)大國，如果被該體系排除在外，將使我國電商企業(yè)在亞太區(qū)域受到排擠，處于不利的競爭地位。綜上所述，我國對待CBPR的態(tài)度應(yīng)該是：要加入，而且要盡早加入。

(二)加入CBPR體系的程序和步驟

要加入CBPR體系，首先要向APEC電子商務(wù)指導(dǎo)組提出申請，經(jīng)過聯(lián)合督導(dǎo)組的審核，合格后才能獲準(zhǔn)加入。目前只有美國和墨西哥成功加入該體系，日本和澳大利亞正在申請中。我國要想啟動加入程序，還需要做些準(zhǔn)備工作，建議分成四個階段：

1.第一階段：加強企業(yè)隱私保護的宣傳和培訓(xùn)，提交單邊行動計劃

由于CBPR體系對于我國企業(yè)來說還是個新鮮事物，而同時企業(yè)才是CBPR體系的主要參與者，因此，我國要加入該體系，首先要對電商企業(yè)進行跨境隱私規(guī)則的培訓(xùn)，讓其意識到隱私保護對于電子商務(wù)的意義，了解CBPR體系對企業(yè)隱私保護的標(biāo)準(zhǔn)要求，借此普遍提高我國電商企業(yè)的隱私保護意識和水平。CBPR體系還涉及第三方認(rèn)證機構(gòu)和相關(guān)政府部門，因此二者也在培訓(xùn)范圍之內(nèi)。

APEC隱私框架第39段引入了框架在國內(nèi)實施情況的匯報機制：“成員經(jīng)濟體應(yīng)當(dāng)通過完成并定期更新信息隱私單邊行動計劃(Individual Action Plan, IAP)，向APEC公布隱私框架的國內(nèi)實施情況。成員經(jīng)濟體應(yīng)當(dāng)盡力實施隱私框架，用最適合經(jīng)濟體的各種方法確保個人(信息)隱私保護，包括法律、行政監(jiān)管、行業(yè)自律或者以上方法的集合。”IAP有助于提高成員經(jīng)濟體數(shù)據(jù)保護框架的透明度，也是CBPR體系考慮是否接納某個申請國的重要參考依據(jù)。該計劃始于2006年，到目前為止，共有14個經(jīng)濟體完成了IAP，并通過APEC網(wǎng)站將其公布，我國還沒有提交過。我國要想加入CBPR體系，應(yīng)該先向APEC提交我國的IAP，讓成員經(jīng)濟體了解我國在隱私保護方面的進展，表明我國努力提高國內(nèi)個人信息保護水平的態(tài)度。

2.第二階段：設(shè)立隱私執(zhí)法機構(gòu)，給予國內(nèi)法授權(quán)

CBPR體系制定的入門標(biāo)準(zhǔn)是該國至少有一個隱私執(zhí)法機構(gòu)加入CPEA，并且該機構(gòu)由國內(nèi)法授權(quán)擁有針對隱私框架九大原則50項具體要求的執(zhí)法權(quán)力。

我國要加入CBPR體系面臨著隱私執(zhí)法部門的選擇，選擇某一個與個人信息保護關(guān)系最密切的部門，或者設(shè)置一個獨立的隱私執(zhí)法部門。目前，我國有多個政府部門涉及對個人信息和隱私的保護，各部門在自己的管轄范圍內(nèi)對個人信息和隱私數(shù)據(jù)保護進行分散的監(jiān)督管理。這些部門主要包括國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、商務(wù)部、國家新聞出版廣電總局、工商總局等。各個部門的工作重點有交叉，在個人信息保護方面都沒有絕對的控制力。鑒于我國各部門在個人信息保護方面權(quán)力和責(zé)任分散，建議設(shè)立一個專門的隱私執(zhí)法機構(gòu)。

為了賦予該機構(gòu)以CBPR所要求的執(zhí)法權(quán)力，還需要根據(jù)隱私框架50項具體要求進行國內(nèi)立法。根據(jù)我國的情況，可以由人大常委會頒布個人信息保護立法，也可以由國務(wù)院頒布一個條例。2012年12月由人大常委會頒布的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》屬于我國個人信息保護方面的第一部立法，但是不能滿足CBPR對隱私執(zhí)法機構(gòu)執(zhí)法權(quán)力的要求。由于人大常委會頒布的法律級別很高，程序比較復(fù)雜，需要時間較長，而且一旦形成不宜輕易修改，因此建議先由國務(wù)院頒布一個專門規(guī)范隱私執(zhí)法機構(gòu)的條例，授權(quán)它根據(jù)隱私框架50項具體要求對加入CBPR體系的國內(nèi)企業(yè)進行執(zhí)法。中國香港有專門的隱私執(zhí)法機構(gòu)，叫做個人資料隱私專員公署(Privacy Commissioner)，是一個香港獨立法定機構(gòu)，是在1996年12月20日正式生效的《香港法例》第486章《個人資料(隱私)條例》授權(quán)之下開展執(zhí)法工作的。該條例對隱私執(zhí)法保護做了具體規(guī)定，對于違規(guī)企業(yè)可以處以最高不超過5萬港幣的罰款，以及入獄兩年的刑罰；如果繼續(xù)違規(guī)，則每天罰款1000港幣?！秱€人資料(隱私)條例》英文稱ordinance，其法律效力相當(dāng)于我國國務(wù)院頒布的條例。由于該條例僅與隱私執(zhí)法機構(gòu)和加入CBPR的企業(yè)有關(guān)，因此立法相對容易。經(jīng)過一段時間的實踐后，可以考慮根據(jù)條例形成我國的個人信息保護立法。

3.第三階段：申請加入CPEA和CBPR

在隱私執(zhí)法機構(gòu)設(shè)立和相關(guān)立法出臺之后，我國可以向APEC組織提交加入CPEA的申請。由于我國對隱私執(zhí)法機構(gòu)的立法是根據(jù)CBPR的要求制定的，因此高于CPEA的入門要求，被接受是理所應(yīng)當(dāng)?shù)摹?/p>

我國隱私執(zhí)法機構(gòu)加入CPEA后，我國就可以向電子商務(wù)指導(dǎo)組提出加入CBPR的申請。申請文件主要包括：加入意向書、至少一個隱私執(zhí)法機構(gòu)加入CPEA的確認(rèn)函、將來至少有一個問責(zé)代理機構(gòu)為CBPR體系服務(wù)的承諾書。聯(lián)合督導(dǎo)組收到意向書后，將確認(rèn)隱私執(zhí)法機構(gòu)是否擁有針對隱私框架50項具體要求的執(zhí)法權(quán)力，如無疑問，則接納該成員經(jīng)濟體進入CBPR體系。

4.第四階段：推薦第三方認(rèn)證機構(gòu)

我國加入CBPR體系后，需按照承諾提供至少一個第三方認(rèn)證機構(gòu)，按照該體系要求對我國企業(yè)進行隱私保護認(rèn)證。我國隱私保護水平總體較低，電商行業(yè)中沒有專門針對個人信息保護認(rèn)證的第三方代理，但是有幾家機構(gòu)可以對電商企業(yè)服務(wù)水平進行全面認(rèn)證，其中涉及隱私保護方面。此類第三方認(rèn)證機構(gòu)主要有中國軟件測評中心、公安部信息安全等級保護評估中心、公安部信息安全產(chǎn)品檢驗中心等事業(yè)單位，以及行業(yè)自律組織旗下的一系列評估機構(gòu)，包括中國互聯(lián)網(wǎng)協(xié)會信用評價中心、中國電子商務(wù)協(xié)會誠信評價中心、國富泰信用平臺、網(wǎng)上交易保障中心、大連軟件行業(yè)協(xié)會等。政府可以結(jié)合這些認(rèn)證機構(gòu)的興趣和實力，向APEC組織做出推薦。

四、總結(jié)

CBPR體系對我國電子商務(wù)的發(fā)展有著重要意義，它通過提高電商企業(yè)的隱私保護意識和水平增強了消費者的信心，有利于我國電子商務(wù)的可持續(xù)發(fā)展；我國企業(yè)獲得CBPR隱私保護認(rèn)證后，能夠贏得亞太地區(qū)消費者的信賴，有利于其開拓亞太各國市場。

APEC組織是我國與亞太各國重要的對話平臺。加入CBPR體系有利于我國增加在區(qū)域貿(mào)易和投資的發(fā)言權(quán)，增進與成員經(jīng)濟體的交流合作，為我國企業(yè)跨境貿(mào)易和投資創(chuàng)造條件，并促進我國盡早掌握數(shù)字時代的規(guī)則。

CBPR體系僅是規(guī)范亞太區(qū)域企業(yè)隱私保護的自愿認(rèn)證體系，不涉及政府；隱私執(zhí)法機構(gòu)和相關(guān)立法也僅涉及自愿認(rèn)證企業(yè)，因此加入該體系并不會損害我國的實質(zhì)利益。該體系有利于我國電子商務(wù)的發(fā)展，因此我國應(yīng)該積極加入。