邵朱勵(lì)

（安徽財(cái)經(jīng)大學(xué)法學(xué)院，安徽蚌埠 233030）

個(gè)人信息保護(hù)的國(guó)際協(xié)調(diào)

邵朱勵(lì)

（安徽財(cái)經(jīng)大學(xué)法學(xué)院，安徽蚌埠 233030）

雖然很多國(guó)家有個(gè)人信息保護(hù)的相關(guān)立法，但這些立法對(duì)個(gè)人信息的保護(hù)內(nèi)容及水平存在很大差異，從而極大地阻礙了個(gè)人信息的跨境商業(yè)流動(dòng)。為此，相關(guān)國(guó)際組織、國(guó)家和地區(qū)通過(guò)制定個(gè)人信息保護(hù)的“軟法”性文件、制定多邊區(qū)域性統(tǒng)一法規(guī)、簽署多邊區(qū)域性公約以及雙邊協(xié)定的方式，對(duì)個(gè)人信息跨境流動(dòng)與保護(hù)進(jìn)行國(guó)際協(xié)調(diào)，以期在個(gè)人信息跨境商業(yè)流動(dòng)和個(gè)人信息隱私保護(hù)之間尋求適當(dāng)?shù)钠胶?。我?guó)應(yīng)審視國(guó)內(nèi)個(gè)人信息保護(hù)立法與他國(guó)的差異，通過(guò)統(tǒng)一立法、與他國(guó)談判達(dá)成協(xié)定等方式解決中外個(gè)人信息跨境商業(yè)性流動(dòng)中的個(gè)人信息保護(hù)問(wèn)題。

個(gè)人信息；隱私；歐美《隱私盾協(xié)議》

一、個(gè)人信息保護(hù)國(guó)際協(xié)調(diào)的必要性

（一）個(gè)人信息的保護(hù)模式及水平因國(guó)而異

個(gè)人信息是能夠識(shí)別出個(gè)人身份的任何信息[1]，由兩部分組成：一是個(gè)人身份信息，一是個(gè)人非身份信息，容納個(gè)人社會(huì)生活的方方面面，兩者相結(jié)合，即是特定個(gè)人的隱私，而對(duì)于隱私，各國(guó)一般都會(huì)把它看成是人格權(quán)的客體而予以法律保護(hù)。由于各國(guó)政治、經(jīng)濟(jì)、法律傳統(tǒng)及歷史環(huán)境不同，對(duì)包括個(gè)人信息在內(nèi)的隱私保護(hù)模式、理念和具體內(nèi)容也因國(guó)而異。

以歐美為例。歐美各國(guó)關(guān)于個(gè)人信息的保護(hù)模式、保護(hù)水平存在較大差異。就保護(hù)模式而言，歐盟以立法保護(hù)為原則，行業(yè)自律為補(bǔ)充；個(gè)人信息保護(hù)立法不區(qū)分政府部門(mén)和私營(yíng)部門(mén)，不區(qū)分行業(yè)類(lèi)別，由政府制定適用于所有部門(mén)、所有行業(yè)（金融行業(yè)自然包括在內(nèi)）的統(tǒng)一法規(guī)，由統(tǒng)一的個(gè)人信息保護(hù)監(jiān)管機(jī)構(gòu)監(jiān)督法律的實(shí)施。與歐盟不同，美國(guó)沒(méi)有以個(gè)人信息保護(hù)命名的法規(guī)，其對(duì)個(gè)人信息的保護(hù)包含在“隱私”保護(hù)的框架之下，對(duì)“信息隱私”的保護(hù)義務(wù)又區(qū)分公營(yíng)部門(mén)和私營(yíng)部門(mén)：對(duì)公營(yíng)部門(mén)，制定聯(lián)邦統(tǒng)一《隱私權(quán)法》限制政府收集與存儲(chǔ)個(gè)人信息的能力；對(duì)私營(yíng)部門(mén)，則以行業(yè)自律隱私保護(hù)為原則，只在隱私容易被侵犯的行業(yè)，如電信、金融，才制定專(zhuān)門(mén)的隱私保護(hù)法[2]。

就保護(hù)水平而言，歐盟明顯高于美國(guó)。歐盟采取統(tǒng)一立法保護(hù)模式，且對(duì)個(gè)人信息的保護(hù)涵蓋收集、利用、儲(chǔ)存、披露的所有環(huán)節(jié)[3]，采取“嚴(yán)進(jìn)嚴(yán)出”的保護(hù)模式。而美國(guó)對(duì)個(gè)人信息保護(hù)以行業(yè)自律為主，在特定行業(yè)雖有信息隱私保護(hù)法，但非常零散，難以涵蓋個(gè)人信息保護(hù)的所有環(huán)節(jié)。如1978年的《金融隱私權(quán)法》采取了“寬進(jìn)嚴(yán)出”的隱私保護(hù)模式，對(duì)個(gè)人金融信息的收集無(wú)任何限制，渠道多且容易，只要求金融機(jī)構(gòu)不得隨意利用、披露個(gè)人金融隱私信息，因此美國(guó)的個(gè)人信息保護(hù)水平低于歐盟。

（二）個(gè)人信息的跨境流動(dòng)日益頻繁

隨著全球化背景下國(guó)際交往的日益廣泛，從事跨境經(jīng)營(yíng)活動(dòng)的私人部門(mén)之間個(gè)人信息的跨境流動(dòng)也日益深入，許多以數(shù)據(jù)處理為經(jīng)營(yíng)核心的行業(yè)，如金融服務(wù)、保險(xiǎn)、咨詢(xún)、新聞、網(wǎng)絡(luò)等，越來(lái)越頻繁地大量收集、處理和跨國(guó)傳輸數(shù)據(jù)，即使是以制造業(yè)為主和非數(shù)據(jù)密集型的跨國(guó)公司，也需要先進(jìn)的人力資源信息系統(tǒng)和客戶(hù)管理平臺(tái)，同時(shí)在全球分支機(jī)構(gòu)間傳輸這些數(shù)據(jù)。但是，由于各國(guó)對(duì)個(gè)人信息的保護(hù)水平不同，水平較高的國(guó)家擔(dān)心如果個(gè)人信息被允許傳輸進(jìn)入保護(hù)水平較低的國(guó)家，其本國(guó)公民的個(gè)人隱私會(huì)受到侵犯，因此可能會(huì)拒絕個(gè)人信息的跨境流動(dòng)，從而使個(gè)人信息的正常商業(yè)流動(dòng)停滯，也阻礙跨境資金的順利流動(dòng)。

因此，在國(guó)際層面尋求一種既能讓個(gè)人信息有序跨境流動(dòng)，又能解決各國(guó)關(guān)于個(gè)人信息保護(hù)的法律沖突，有效保護(hù)個(gè)人信息隱私，是經(jīng)濟(jì)全球化背景下必須要解決的問(wèn)題[4]。

一般來(lái)說(shuō)，在各國(guó)法律、政策和程序的沖突之間尋求一個(gè)微妙的平衡，最好的方式就是進(jìn)行國(guó)際合作，通過(guò)簽訂條約、非正式的協(xié)定，多邊合作，促進(jìn)和便利各國(guó)交流。在個(gè)人信息保護(hù)方面也是如此。在個(gè)人金融信息保護(hù)的國(guó)際協(xié)調(diào)方面，目前主要是通過(guò)雙邊協(xié)定、多邊協(xié)定，以及大量以“指南（Guidelines）”“建議（Recommendations）”或“行業(yè)準(zhǔn)則（Codes of Practice）”命名的“軟法”來(lái)實(shí)現(xiàn)的。

二、個(gè)人信息保護(hù)的國(guó)際“軟法”協(xié)調(diào)

“軟法”是指國(guó)際組織或國(guó)際會(huì)議上通過(guò)的一些不具有法律約束力的決議、宣言、建議、指導(dǎo)方針、行動(dòng)綱領(lǐng)、文件等[5]。個(gè)人信息保護(hù)領(lǐng)域的“軟法”盡管沒(méi)有法律拘束力，但在政治和商業(yè)層面卻有著相當(dāng)重的份量，對(duì)各國(guó)立法的發(fā)展產(chǎn)生了深遠(yuǎn)的影響[6]。

人類(lèi)有關(guān)隱私保護(hù)的國(guó)際法文件可以追溯到1948年12月聯(lián)合國(guó)大會(huì)通過(guò)的《世界人權(quán)宣言》第12條對(duì)個(gè)人的私生活、家庭、住宅和通信等的保護(hù)①。該宣言并無(wú)法律約束力，但可看成是國(guó)際層面對(duì)包括個(gè)人信息保護(hù)在內(nèi)的隱私保護(hù)的基礎(chǔ)性文件。

對(duì)發(fā)達(dá)國(guó)家而言，最重要的個(gè)人信息保護(hù)國(guó)際“軟法”是1980年OECD發(fā)布的《隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)指南》（以下簡(jiǎn)稱(chēng)OECD《指南》）。OECD《指南》規(guī)定了隱私保護(hù)和個(gè)人數(shù)據(jù)在各國(guó)間自由流動(dòng)的八個(gè)基本原則：一是限制收集原則；二是資料完整正確原則；三是特定目的原則；四是限制利用原則；五是安全保護(hù)原則；六是公開(kāi)原則；七是個(gè)人參與原則；八是責(zé)任原則[7]。但OECD《指南》本身沒(méi)有法律約束力，各國(guó)可以此為基礎(chǔ)自行確定其國(guó)內(nèi)立法。OECD《指南》對(duì)一些非歐洲國(guó)家（如澳大利亞、新西蘭、加拿大）個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)和立法產(chǎn)生了非常重要的影響，同時(shí)也被美國(guó)的許多公司和貿(mào)易協(xié)會(huì)認(rèn)可。

另外，OECD《指南》對(duì)2004年的《亞太經(jīng)合組織隱私保護(hù)框架》（以下簡(jiǎn)稱(chēng)APEC《框架》）也產(chǎn)生了重要影響。后者的核心是建立一套“信息隱私保護(hù)原則”，這些原則其實(shí)就是OECD《指南》中個(gè)人信息保護(hù)的主要原則的翻版。APEC《框架》旨在為亞太地區(qū)國(guó)家提供一套共同的隱私保護(hù)規(guī)則②，它以O(shè)ECD《指南》為基礎(chǔ)，但主要強(qiáng)調(diào)的不是隱私權(quán)，而是全球商務(wù)和信息的自由流動(dòng)的重要性。它對(duì)APEC成員無(wú)約束力，因?yàn)椤斑^(guò)于原則”而被稱(chēng)為“OECD《隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)指南》精簡(jiǎn)版”。正如其引言所說(shuō)，制定APEC《框架》的動(dòng)力是，如若沒(méi)有政府和企業(yè)的合作開(kāi)發(fā)、實(shí)施技術(shù)和政策以解決包括隱私在內(nèi)的問(wèn)題，電子商務(wù)的潛力就無(wú)法實(shí)現(xiàn)。APEC《框架》的作用是平衡和促進(jìn)亞太地區(qū)有效的信息隱私保護(hù)和信息自由流動(dòng)以確保電子商務(wù)的增長(zhǎng)。因此，APEC《框架》不建議制定非必要限制信息流動(dòng)的措施，因?yàn)檫@些措施可能會(huì)對(duì)全球商務(wù)和經(jīng)濟(jì)產(chǎn)生消極影響。

APEC《框架》包括九個(gè)信息隱私原則：一是預(yù)防損害原則；二是通知原則；三是收集限制原則；四是個(gè)人信息的合理使用原則；五是個(gè)人信息主體的選擇權(quán)原則；六是個(gè)人信息的完整性原則；七是安全防護(hù)原則；八是個(gè)人信息主體的獲取權(quán)和要求改正權(quán)原則；九是責(zé)任原則[8]。

另一個(gè)范圍比較廣泛的“軟法”是聯(lián)合國(guó)1990年通過(guò)的《關(guān)于計(jì)算機(jī)處理的個(gè)人數(shù)據(jù)文件指南》（以下簡(jiǎn)稱(chēng)UN《指南》）。UN《指南》旨在鼓勵(lì)沒(méi)有個(gè)人信息保護(hù)立法的聯(lián)合國(guó)成員國(guó)制定個(gè)人信息保護(hù)立法，也鼓勵(lì)政府間和非政府間國(guó)際組織以負(fù)責(zé)任的、公平的和友好的方式處理個(gè)人信息。雖然UN《指南》的影響力似乎要比OECD《指南》和其他國(guó)際性文件要小得多，但它的出臺(tái)意味著個(gè)人信息保護(hù)不僅僅是“第一世界”國(guó)家和西方國(guó)家的事，而是全球范圍內(nèi)的事[6]。

UN《指南》確立了個(gè)人信息保護(hù)的十大原則：一是合法、合理原則；二是準(zhǔn)確性原則；三是特定目的原則；四是本人參與原則；五是不得歧視原則；六是例外規(guī)定；七是安全原則；八是監(jiān)督與處罰原則；九是個(gè)人數(shù)據(jù)只在對(duì)其提供相似保護(hù)的國(guó)家間傳輸原則；十是政府和私人的電腦和手工處理文件均適用指南原則[9]。這些原則的核心內(nèi)容和OECD《指南》、APEC《框架》大體相同。

三、個(gè)人信息保護(hù)的多邊條約及立法協(xié)調(diào)

（一）全球性個(gè)人信息保護(hù)多邊條約

在全球?qū)用媸讉€(gè)與個(gè)人信息及隱私保護(hù)有關(guān)的有約束力的多邊條約是1966年12月聯(lián)合國(guó)大會(huì)通過(guò)的《公民權(quán)利和政治權(quán)利國(guó)際公約》第17條③，此條規(guī)定和1948年《世界人權(quán)宣言》第12條的措辭完全相同。區(qū)域性的人權(quán)保護(hù)公約包括《歐洲人權(quán)和基本自由公約》、《美洲人權(quán)公約》等也有類(lèi)似規(guī)定④。這些文件都明確承認(rèn)隱私是基本人權(quán)，是對(duì)包括個(gè)人信息在內(nèi)的隱私進(jìn)行國(guó)際保護(hù)的法律基礎(chǔ)，對(duì)成員國(guó)有約束力。

但迄今為止，國(guó)際上并無(wú)專(zhuān)門(mén)對(duì)個(gè)人信息保護(hù)問(wèn)題進(jìn)行協(xié)調(diào)的全球性的國(guó)際條約，其主要原因在于，各國(guó)歷史、文化及法律傳統(tǒng)、社會(huì)及政治因素迥異，在個(gè)人數(shù)據(jù)保護(hù)的立法模式和具體規(guī)則等方面很難協(xié)調(diào)。

（二）區(qū)域性的個(gè)人信息保護(hù)專(zhuān)門(mén)立法及條約

雖然不存在專(zhuān)門(mén)的有約束力的全球性的有關(guān)個(gè)人信息保護(hù)的國(guó)際條約，一些區(qū)域性的多邊個(gè)人信息保護(hù)立法性文件卻是存在的。

1.1981年歐洲議會(huì)《與個(gè)人數(shù)據(jù)自動(dòng)化處理有關(guān)的個(gè)人保護(hù)公約》。在個(gè)人信息保護(hù)方面，第一個(gè)具有法律約束力的國(guó)際文件是1981年歐洲議會(huì)通過(guò)的第108號(hào)公約——《與個(gè)人數(shù)據(jù)自動(dòng)化處理有關(guān)的個(gè)人保護(hù)公約》（以下簡(jiǎn)稱(chēng)《歐洲議會(huì)第108號(hào)公約》。該公約確立了自動(dòng)化處理的個(gè)人信息保護(hù)的八大原則：一是社會(huì)公正原則；二是有限收集原則；三是數(shù)據(jù)質(zhì)量原則；四是目的特定原則；五是安全保護(hù)原則；六是公開(kāi)原則；七是時(shí)間限制原則；八是個(gè)人參與原則[4]。

該公約和1980年的OECD《指南》是最早的將個(gè)人信息保護(hù)具體化和細(xì)化的兩個(gè)國(guó)際文件，二者既有共同點(diǎn)，也有區(qū)別。二者都試圖總結(jié)私營(yíng)部門(mén)的最佳信息實(shí)踐標(biāo)準(zhǔn)（Standard of Fair Information Practice），并旨在解決隱私保護(hù)和信息自由流動(dòng)之間的沖突；二者都涵蓋個(gè)人信息的收集、使用、儲(chǔ)存、傳輸和傳播等環(huán)節(jié)；二者涉及的數(shù)據(jù)處理活動(dòng)都不僅限于計(jì)算機(jī)處理的信息。但是二者側(cè)重點(diǎn)不一樣。OECD《指南》強(qiáng)調(diào)信息的自由流通對(duì)經(jīng)濟(jì)發(fā)展更為重要，而《歐洲議會(huì)第108號(hào)公約》則強(qiáng)調(diào)個(gè)人權(quán)利的保護(hù)更為重要。之所以產(chǎn)生這樣的不同，是因?yàn)槎咧贫ǖ哪康牟煌篛ECD《指南》是用來(lái)促進(jìn)工業(yè)化國(guó)家之間的經(jīng)濟(jì)增長(zhǎng)的，而歐盟公約是為了保護(hù)人權(quán)。正是基于不同的側(cè)重點(diǎn)，兩份文件的法律特點(diǎn)也存在很大不同。OECD《指南》強(qiáng)調(diào)自愿遵守、強(qiáng)調(diào)發(fā)展自我規(guī)制，而《歐洲議會(huì)第108號(hào)公約》則設(shè)定了個(gè)人數(shù)據(jù)最低保護(hù)標(biāo)準(zhǔn)，公約簽字國(guó)有義務(wù)制定和公約保持一致的國(guó)內(nèi)法。指南沒(méi)有強(qiáng)制執(zhí)行力，而公約則強(qiáng)調(diào)賦予行政機(jī)構(gòu)執(zhí)行公約的監(jiān)督權(quán)力。二者都涵蓋有關(guān)可識(shí)別的個(gè)人信息的處理，但公約的適用范圍更廣泛，因?yàn)槠涿鞔_允許適用于法人。

2.1995年歐盟《關(guān)于個(gè)人數(shù)據(jù)處理及自由流通個(gè)人保護(hù)指令》。歐盟1995年出臺(tái)了《關(guān)于個(gè)人數(shù)據(jù)處理及自由流通個(gè)人保護(hù)指令》（以下簡(jiǎn)稱(chēng)歐盟《指令》）⑤。歐盟《指令》確立了歐盟個(gè)人數(shù)據(jù)保護(hù)的八個(gè)重要的基本原則：一是目的有限原則；二是數(shù)據(jù)質(zhì)量和比例性原則；三是透明度原則；四是獲取、修改和反對(duì)原則；五是安全原則；六是充分水平保護(hù)原則；七是對(duì)特殊數(shù)據(jù)進(jìn)行特殊處理的原則；八是實(shí)施措施和補(bǔ)救措施的確定原則[10]。

歐盟《指令》有兩個(gè)并行的目標(biāo)，一是促進(jìn)個(gè)人信息在歐盟境內(nèi)的順暢傳輸，一是高標(biāo)準(zhǔn)保護(hù)個(gè)人的個(gè)人信息隱私。它對(duì)歐盟成員國(guó)具有約束力，但只規(guī)定了各國(guó)必須達(dá)到的個(gè)人數(shù)據(jù)保護(hù)的最低水準(zhǔn)，具體立法方式、是否給予更多保護(hù)則由各國(guó)自行決定。雖然它只對(duì)歐盟成員國(guó)有約束力，但對(duì)其他很多國(guó)家也產(chǎn)生了相當(dāng)大的影響，因?yàn)榈?5-26條規(guī)定了禁止將個(gè)人數(shù)據(jù)傳輸給個(gè)人數(shù)據(jù)保護(hù)水平不“充分”的國(guó)家。許多非歐盟成員國(guó)為此以《指令》為藍(lán)本通過(guò)立法以滿足其“充分性”標(biāo)準(zhǔn)的要求。另外，一些非歐盟成員國(guó)如挪威、愛(ài)爾蘭和列支敦士登因是1992年《歐洲經(jīng)濟(jì)區(qū)協(xié)定》（European Economic Area Agreement）的成員國(guó)，也受它的約束。

此外，歐盟還公布了《電信行業(yè)個(gè)人數(shù)據(jù)處理和隱私保護(hù)的指令》（2002），與1995年的歐盟《指令》和1981年的《歐洲議會(huì)第108號(hào)公約》共同構(gòu)成了歐盟個(gè)人數(shù)據(jù)保護(hù)法的基石。

四、個(gè)人信息保護(hù)的雙邊條約協(xié)調(diào)

如上所述，目前在個(gè)人信息保護(hù)方面并沒(méi)有全球性的、專(zhuān)門(mén)的、有法律約束力的個(gè)人信息保護(hù)國(guó)際條約，而區(qū)域性的對(duì)成員國(guó)有法律約束力的個(gè)人信息保護(hù)文件只對(duì)本區(qū)域范圍內(nèi)的國(guó)家有法律約束力，如若區(qū)域內(nèi)國(guó)家與區(qū)域外國(guó)家有個(gè)人信息跨境流動(dòng)的需求，則可能因?yàn)閰^(qū)域內(nèi)外個(gè)人信息保護(hù)規(guī)則存在很大差異，而使區(qū)域內(nèi)國(guó)家與區(qū)域外國(guó)家的個(gè)人信息跨境流動(dòng)面臨很大障礙。此時(shí)，對(duì)于相互有個(gè)人信息跨境流動(dòng)需求的兩個(gè)國(guó)家或地區(qū)而言，基于雙方的國(guó)情，尋找雙方都滿意的解決方法，可能更為容易。以下就以歐美之間達(dá)成的為商業(yè)目的進(jìn)行的個(gè)人信息跨境流動(dòng)與保護(hù)的雙邊協(xié)議為例說(shuō)明。

歐美是相互間最大的貿(mào)易伙伴，為商業(yè)目的進(jìn)行的個(gè)人信息跨境流動(dòng)日益頻繁。據(jù)統(tǒng)計(jì)，2010年美國(guó)與歐盟的貿(mào)易額約為5 600億美元。數(shù)據(jù)傳輸是許多企業(yè)的命脈和電子商務(wù)的主要支柱。跨國(guó)公司之間各自不同的分支機(jī)構(gòu)也經(jīng)常需要分享繁多的個(gè)人信息，這些信息可以是很簡(jiǎn)單的諸如人員電話號(hào)碼的信息，也可能涉及更多的敏感信息，如人事檔案、醫(yī)療索賠、信用卡賬單或進(jìn)行醫(yī)學(xué)研究必不可少的患者信息等等。但1995年歐盟《指令》的出臺(tái)卻給兩國(guó)為商業(yè)目的而進(jìn)行的個(gè)人數(shù)據(jù)跨境流動(dòng)蒙上了陰影。如何既能解決二者對(duì)個(gè)人信息保護(hù)的沖突，又能有效促進(jìn)歐美個(gè)人信息的正常商業(yè)流動(dòng)，就成了擺在歐美面前的大課題。

1.歐盟《指令》第25條“充分水平保護(hù)”門(mén)檻的設(shè)置。依據(jù)歐盟《指令》第四章第25條第1款的規(guī)定，歐盟各國(guó)只能將個(gè)人數(shù)據(jù)傳輸給對(duì)其提供了“充分水平保護(hù)”的第三國(guó)。指令還規(guī)定了評(píng)定第三國(guó)是否提供了充分保護(hù)的關(guān)鍵要素⑥。而指令的執(zhí)行機(jī)構(gòu)——第29條工作組對(duì)這些要素進(jìn)行了嚴(yán)苛的運(yùn)用，最終評(píng)定的達(dá)到“充分水平保護(hù)”要求的第三國(guó)寥寥無(wú)幾⑦。美國(guó)毫無(wú)懸念地被第29條工作組認(rèn)定為未達(dá)到“充分性”保護(hù)的水平。由于美歐雙方私營(yíng)部門(mén)之間為商業(yè)目的進(jìn)行的個(gè)人信息流動(dòng)非常頻繁，歐盟《指令》第25條的規(guī)定無(wú)疑將大大阻礙歐美之間為商業(yè)目的進(jìn)行的正常的個(gè)人信息流動(dòng)，美國(guó)因此指責(zé)歐盟《指令》第25條的規(guī)定是歐洲人對(duì)抗美國(guó)公司所創(chuàng)立的“非關(guān)稅貿(mào)易壁壘”[11]，使得美國(guó)公司無(wú)法正常從歐盟公司那里獲得與商業(yè)目的有關(guān)的個(gè)人信息。

但是，歐盟《指令》也并未堵死向未提供充分水平保護(hù)的國(guó)家傳輸數(shù)據(jù)的大門(mén)。按照它的指令安排，各成員國(guó)可與該第三國(guó)進(jìn)行談判，如果后者采取措施確保達(dá)到指令要求的充分保護(hù)水平，則可以向其傳遞數(shù)據(jù)⑧。因此，從指令規(guī)定看，盡管歐盟認(rèn)為美國(guó)未對(duì)個(gè)人數(shù)據(jù)提供“充分”水平的保護(hù)，美國(guó)也并非完全不能從歐盟獲取個(gè)人數(shù)據(jù)。只要滿足一定的條件，歐盟的個(gè)人數(shù)據(jù)就可以跨境傳輸?shù)矫绹?guó)。

2.歐美《安全港協(xié)議》的達(dá)成。歐盟《指令》出臺(tái)后，美方就特別關(guān)注其第25條的實(shí)施將很大程度上破壞歐美之間的數(shù)據(jù)流動(dòng)和商業(yè)往來(lái)。作為對(duì)此關(guān)注的回應(yīng)，美國(guó)商務(wù)部和歐洲委員會(huì)于1998年3月開(kāi)始進(jìn)行一場(chǎng)高水平的、非正式的對(duì)話，旨在通過(guò)談判達(dá)成確保歐美之間個(gè)人數(shù)據(jù)自由流動(dòng)的協(xié)議，最終雙方于2000年簽署了《安全港協(xié)議》。按照協(xié)議的規(guī)定，受聯(lián)邦貿(mào)易委員會(huì)和美國(guó)運(yùn)輸部監(jiān)管的組織可以自愿選擇是否加入《安全港協(xié)議》。加入該協(xié)議的企業(yè)要保證遵守由聯(lián)邦貿(mào)易委員會(huì)強(qiáng)制執(zhí)行的《安全港協(xié)議》的七個(gè)原則。只有保證遵守這些原則才能享有《安全港協(xié)議》帶來(lái)的利益，如果一個(gè)企業(yè)加入了《安全港協(xié)議》，卻未能遵守這些原則，則聯(lián)邦貿(mào)易委員會(huì)有權(quán)把這種行為檢舉為欺詐性的貿(mào)易行為[12]。

《安全港協(xié)議》規(guī)定的數(shù)據(jù)傳輸?shù)钠邨l原則是：一是告知原則；二是同意原則；三是轉(zhuǎn)送原則；四是安全性原則；五是資料品質(zhì)原則；六是參與原則；七是救濟(jì)原則[12]。

3.歐美《安全港協(xié)議》的廢止及歐美《隱私盾協(xié)議》的出臺(tái)。2013年6月，前美國(guó)中央情報(bào)局職員愛(ài)德華·斯諾登披露了美國(guó)國(guó)家安全局實(shí)施的PRISM秘密監(jiān)聽(tīng)項(xiàng)目，引發(fā)了各國(guó)對(duì)美國(guó)以保護(hù)國(guó)家安全為由大范圍侵犯?jìng)€(gè)人隱私的譴責(zé)。歐盟公民、奧地利法律學(xué)者施雷姆斯注意到，美國(guó)臉譜等網(wǎng)絡(luò)公司將其歐盟用戶(hù)的個(gè)人信息傳輸回美國(guó)存儲(chǔ)，為配合PRISM項(xiàng)目的實(shí)施，網(wǎng)站又將這些個(gè)人信息提供給了美國(guó)國(guó)家安全局。此學(xué)者認(rèn)為自己登陸臉譜網(wǎng)的個(gè)人信息被美國(guó)政府隨意監(jiān)控，而歐美安全港協(xié)議對(duì)此限制不足，未能使自己的個(gè)人信息在美國(guó)得到充分保護(hù)，遂向歐洲法院起訴。2015年歐洲法院作出判決，認(rèn)為依據(jù)歐美《安全港協(xié)議》，歐洲公民在美國(guó)的個(gè)人信息得不到充分保護(hù)，因而此協(xié)議是無(wú)效的[13]。這意味著，所有美國(guó)公司應(yīng)立即停止將其收集到的歐洲公民的個(gè)人信息傳輸至美國(guó)，以臉譜公司為代表的美國(guó)企業(yè)只能將其歐洲用戶(hù)的個(gè)人信息存儲(chǔ)在歐洲，而這在技術(shù)上需做大成本的調(diào)整，一些美國(guó)公司可能因難以承受這些成本而退出歐洲市場(chǎng)[14]。

為應(yīng)對(duì)歐美《安全港協(xié)議》無(wú)效給歐美貿(mào)易往來(lái)造成的沖擊，2016年2月29日，歐美又達(dá)成了《隱私盾協(xié)議》。該協(xié)議對(duì)《安全港協(xié)議》做了補(bǔ)充更新，增加了信息主體的權(quán)利，加大了監(jiān)管措施的執(zhí)行力度。

《隱私盾協(xié)議》增加了信息控制者的義務(wù)的落實(shí)措施?！栋踩蹍f(xié)議》的一大缺陷是入港企業(yè)即使不遵守協(xié)議規(guī)定也不會(huì)得到懲罰，而在《隱私盾協(xié)議》下，入盾企業(yè)必須公示其入盾承諾及隱私政策，且需進(jìn)行定期自證審查，接受相關(guān)部門(mén)監(jiān)督，否則將被撤銷(xiāo)入盾資格。美國(guó)商務(wù)部應(yīng)定期公布入盾及退盾企業(yè)名單，使之透明化，避免過(guò)去有企業(yè)“謊稱(chēng)入港”“蒙混入港”的現(xiàn)象。

《隱私盾協(xié)議》為歐洲人提供了個(gè)人信息保護(hù)的救濟(jì)途徑。當(dāng)歐洲個(gè)人發(fā)現(xiàn)美國(guó)企業(yè)未遵守協(xié)議時(shí)，可以向企業(yè)申訴，企業(yè)如果在45日內(nèi)未回復(fù)，則歐洲個(gè)人可提起強(qiáng)制性仲裁。

《隱私盾協(xié)議》還對(duì)美國(guó)政府獲取入盾企業(yè)存儲(chǔ)的歐洲公民的數(shù)據(jù)進(jìn)行了限制。一是對(duì)大規(guī)模監(jiān)控進(jìn)行限制，美國(guó)情報(bào)機(jī)構(gòu)原則上不能批量獲取個(gè)人信息，為國(guó)家安全等特定目的除外；美國(guó)國(guó)務(wù)院專(zhuān)設(shè)一監(jiān)察專(zhuān)員，以監(jiān)督情報(bào)部門(mén)的信息獲取情況，并負(fù)責(zé)處理歐盟公民的投訴與查詢(xún)。美國(guó)情報(bào)機(jī)構(gòu)和歐盟個(gè)人信息保護(hù)機(jī)構(gòu)聯(lián)合進(jìn)行年度審查，監(jiān)督協(xié)定的執(zhí)行情況[15]。

五、個(gè)人信息保護(hù)國(guó)際協(xié)調(diào)的中國(guó)應(yīng)對(duì)

個(gè)人信息保護(hù)國(guó)際協(xié)調(diào)是在個(gè)人信息跨境流動(dòng)日益頻繁，而各國(guó)個(gè)人信息保護(hù)立法差異阻礙了這種流動(dòng)的情形下產(chǎn)生，并旨在消除這種阻礙的。欲達(dá)到這一目的，最好的方式是設(shè)定統(tǒng)一的個(gè)人信息保護(hù)原則，讓各國(guó)自愿或強(qiáng)制遵守，這樣整平個(gè)人信息保護(hù)的游戲場(chǎng)地，促進(jìn)個(gè)人信息順利跨境流動(dòng)。但是，由于各國(guó)國(guó)情不同，試圖通過(guò)談判達(dá)成全球性的個(gè)人信息保護(hù)公約、統(tǒng)一世界所有國(guó)家的個(gè)人信息保護(hù)立法是不可行的，因此目前只是達(dá)成了一些區(qū)域性個(gè)人信息保護(hù)規(guī)則，這些規(guī)則盡管效力不同、參與主體不同、表述不同，但其中的個(gè)人信息保護(hù)原則的核心內(nèi)容卻是大體相同的，即都是在個(gè)人信息跨境流動(dòng)和保護(hù)之間尋求一種適度的平衡。

這些協(xié)調(diào)規(guī)則對(duì)各國(guó)的個(gè)人信息保護(hù)立法產(chǎn)生的影響不言而喻。歐盟通過(guò)區(qū)域性個(gè)人信息保護(hù)立法統(tǒng)一了區(qū)域內(nèi)部各國(guó)的個(gè)人信息保護(hù)立法的基本原則，而在美國(guó)，私營(yíng)部門(mén)的個(gè)人信息保護(hù)以自律為主，沒(méi)有統(tǒng)一的個(gè)人信息保護(hù)立法，但各行業(yè)設(shè)定的個(gè)人信息自律規(guī)則很顯然受到個(gè)人信息保護(hù)多邊協(xié)調(diào)規(guī)則的影響，和這些規(guī)則逐漸趨同；而其特定領(lǐng)域的個(gè)人信息保護(hù)專(zhuān)門(mén)立法盡管保護(hù)水平不及個(gè)人信息保護(hù)多邊協(xié)調(diào)設(shè)定的原則廣泛，但也受到了個(gè)人信息保護(hù)多邊協(xié)調(diào)規(guī)則的很大影響，對(duì)個(gè)人信息保護(hù)的力度也逐漸在增大。在個(gè)人信息保護(hù)水平不對(duì)稱(chēng)的國(guó)家之間達(dá)成的雙邊協(xié)議（如歐美雙邊協(xié)議）中，一般要求，高水平保護(hù)國(guó)的個(gè)人信息流向低水平保護(hù)國(guó)時(shí)，低水平保護(hù)國(guó)企業(yè)要按照高水平保護(hù)國(guó)的個(gè)人信息保護(hù)標(biāo)準(zhǔn)保護(hù)流入的個(gè)人信息。這說(shuō)明，高水平保護(hù)國(guó)的個(gè)人信息保護(hù)標(biāo)準(zhǔn)和個(gè)人信息多邊協(xié)調(diào)后設(shè)定的標(biāo)準(zhǔn)大體一致，這也說(shuō)明，個(gè)人信息保護(hù)國(guó)際協(xié)調(diào)最終取得了這樣的效果：參與協(xié)調(diào)的各國(guó)個(gè)人信息保護(hù)的整體水平得到了顯著的提高。

在全球化和信息社會(huì)背景下，我國(guó)與世界其他國(guó)家的政治、經(jīng)濟(jì)、文化交往日益頻繁，這其中不可避免地涉及到個(gè)人信息的跨境流動(dòng)。特別是以數(shù)據(jù)處理為經(jīng)營(yíng)核心的服務(wù)貿(mào)易領(lǐng)域，如電子商務(wù)、金融、保險(xiǎn)、網(wǎng)絡(luò)服務(wù)等，與外國(guó)的個(gè)人信息跨境傳輸日益常態(tài)化，而我國(guó)對(duì)個(gè)人信息及隱私保護(hù)不力的現(xiàn)狀會(huì)不可避免地阻礙與外國(guó)的經(jīng)貿(mào)活動(dòng)的開(kāi)展。而上述個(gè)人信息保護(hù)國(guó)際協(xié)調(diào)的成果與經(jīng)驗(yàn)無(wú)疑為解決中外個(gè)人信息商業(yè)性跨境流通與保護(hù)提供了良好的路徑。

第一，加快制定專(zhuān)門(mén)個(gè)人信息保護(hù)國(guó)內(nèi)立法。我國(guó)目前沒(méi)有專(zhuān)門(mén)的、綜合性的個(gè)人信息保護(hù)國(guó)內(nèi)立法，對(duì)包括個(gè)人信息在內(nèi)的隱私的保護(hù)分原則性規(guī)定和分散性規(guī)定兩類(lèi)。

對(duì)個(gè)人信息及隱私的原則性規(guī)定反映在憲法、侵權(quán)責(zé)任法中。《中華人民共和國(guó)憲法》第39、40條規(guī)定，公民的“住宅、通信自由和通信秘密”受法律保護(hù)?！吨腥A人民共和國(guó)侵權(quán)責(zé)任法》第2條把“隱私權(quán)”確定為獨(dú)立的一項(xiàng)民事權(quán)益。這些規(guī)定總括性地為保護(hù)個(gè)人信息提供了原則依據(jù)，但并沒(méi)有說(shuō)明個(gè)人信息保護(hù)的具體內(nèi)容，甚至沒(méi)有明確提到對(duì)個(gè)人信息的保護(hù)，因此保護(hù)個(gè)人信息的作用有限。

對(duì)個(gè)人信息的分散性規(guī)定散見(jiàn)于各種法律法規(guī)中。如《中華人民共和國(guó)刑法》第253之一條單獨(dú)規(guī)定了侵犯公民個(gè)人信息罪；《消費(fèi)者權(quán)益保護(hù)法》第29條規(guī)定了對(duì)“消費(fèi)者個(gè)人信息的保護(hù)”；《征信業(yè)管理?xiàng)l例》對(duì)“個(gè)人信用信息”進(jìn)行了保護(hù)；《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》對(duì)“公民個(gè)人電子信息”進(jìn)行了保護(hù)，等等。這些規(guī)定只側(cè)重于對(duì)某種特定類(lèi)型的個(gè)人信息進(jìn)行保護(hù)，且目前我國(guó)并無(wú)對(duì)所有類(lèi)型的個(gè)人信息進(jìn)行統(tǒng)一保護(hù)的專(zhuān)門(mén)立法，對(duì)全面保護(hù)特定個(gè)人的所有個(gè)人信息而言未免存在疏漏，也容易給他國(guó)留下我國(guó)未對(duì)個(gè)人信息進(jìn)行充分保護(hù)的印象。

因此，我國(guó)應(yīng)充分借鑒個(gè)人信息保護(hù)的國(guó)際協(xié)調(diào)經(jīng)驗(yàn)，從個(gè)人信息保護(hù)國(guó)際“軟法”、歐盟等區(qū)域性組織的個(gè)人信息保護(hù)指令及公約中吸取精華，結(jié)合我國(guó)的實(shí)際情況，把我國(guó)零散的關(guān)于個(gè)人信息保護(hù)的規(guī)定統(tǒng)一成一部專(zhuān)門(mén)的個(gè)人信息保護(hù)法，以國(guó)際通行的個(gè)人信息保護(hù)的原則為基礎(chǔ)設(shè)計(jì)具體保護(hù)內(nèi)容，以避免因國(guó)內(nèi)個(gè)人信息保護(hù)的立法保護(hù)不力，影響與他國(guó)的個(gè)人信息商業(yè)流動(dòng)。

第二，積極參與個(gè)人信息跨境流動(dòng)與保護(hù)的國(guó)際談判。如前所述，目前各國(guó)個(gè)人信息保護(hù)的水平和模式各異，而迄今為止國(guó)際上還沒(méi)有專(zhuān)門(mén)對(duì)個(gè)人信息跨境保護(hù)進(jìn)行規(guī)制和協(xié)調(diào)的全球性條約，但個(gè)人信息保護(hù)國(guó)際“軟法”、區(qū)域性的個(gè)人信息保護(hù)立法卻會(huì)影響個(gè)人信息的跨境流動(dòng)，如歐盟可能就會(huì)以我國(guó)對(duì)個(gè)人數(shù)據(jù)未提供“充分水平保護(hù)”為借口拒絕向我國(guó)出口服務(wù)貿(mào)易數(shù)據(jù)，從而對(duì)個(gè)人信息跨國(guó)流動(dòng)作單方面限制，進(jìn)而影響國(guó)際貿(mào)易的正常進(jìn)行。

為解決個(gè)人信息跨境流動(dòng)和保護(hù)的協(xié)調(diào)問(wèn)題，我國(guó)應(yīng)該積極參與個(gè)人信息跨境流動(dòng)與保護(hù)的國(guó)際談判活動(dòng)，在當(dāng)前國(guó)際社會(huì)難以達(dá)成全球性個(gè)人信息保護(hù)多邊公約的背景下，我國(guó)解決與他國(guó)個(gè)人信息跨境流動(dòng)障礙的最佳途徑無(wú)疑是達(dá)成雙邊解決方案。就私人和私人之間個(gè)人信息的跨境流動(dòng)而言，我國(guó)可以借鑒歐美《安全港協(xié)議》的做法，與他國(guó)達(dá)成恰當(dāng)?shù)膫€(gè)人信息跨境流動(dòng)法律框架。

注釋?zhuān)?/p>

①《世界人權(quán)宣言》第12條規(guī)定：“任何人的私生活、家庭、住宅和通信不得任意干涉，其榮譽(yù)和名譽(yù)不得加以攻擊。人人有權(quán)享受法律保護(hù)，以免受這種干涉或攻擊。”

②APEC是亞太國(guó)家政府間的國(guó)際組織。與WTO和其他多邊貿(mào)易體不同的是，APEC不為成員國(guó)設(shè)定條約義務(wù)，除了日常會(huì)議外無(wú)正式機(jī)構(gòu)。因此APEC成員是協(xié)商一致達(dá)成決議并在自愿基礎(chǔ)上履行。

③《公民權(quán)利和政治權(quán)利國(guó)際公約》第17條規(guī)定：“任何人的私生活、家庭、住宅和通信不得任意干涉，其榮譽(yù)和名譽(yù)不得加以攻擊。人人有權(quán)享受法律保護(hù)，以免受這種干涉或攻擊?！?/p>

④如，《歐洲人權(quán)和基本自由公約》第8條第1款規(guī)定：“人人有權(quán)享有使自己的私人和家庭生活、家庭和通信得到尊重的權(quán)利?！?/p>

⑤歐盟《指令》是歐洲聯(lián)盟的一種立法。制定指令的法理基礎(chǔ)是《歐盟運(yùn)作方式條約》第288條（前《建立歐洲共同體條約》第249條）：“為使聯(lián)盟之完全，本制度可頒布?xì)W盟規(guī)章、指令、決定、建議及意見(jiàn)?！?/p>

⑥依據(jù)1995年歐盟《數(shù)據(jù)保護(hù)指令》第25條第2款規(guī)定，應(yīng)特別考慮以下因素來(lái)評(píng)定第三國(guó)是否提供了充分的保護(hù)：數(shù)據(jù)的性質(zhì)、擬議中的處理操作或操作的目的和持續(xù)時(shí)間、始發(fā)國(guó)和目的地、在所討論的第三國(guó)的一般性和部門(mén)性的有效法規(guī)，以及在當(dāng)?shù)厮袷氐穆殬I(yè)規(guī)定和安全措施。

⑦僅加拿大、阿根廷、瑞士、匈牙利、根西島等少數(shù)幾個(gè)國(guó)家符合其標(biāo)準(zhǔn)。

⑧參見(jiàn)1995年歐盟《數(shù)據(jù)保護(hù)指令》第25條第4、5、6款。

[1]齊愛(ài)民.個(gè)人信息保護(hù)法研究[J]．河北法學(xué)，2008（4）：15-33．

[2]郭瑜.個(gè)人數(shù)據(jù)保護(hù)法研究[M]．北京：北京大學(xué)出版社，2012：154．

[3]潘建珊.實(shí)質(zhì)損害原則——美國(guó)信息隱私保護(hù)利益平衡原則[J]．情報(bào)科學(xué)，2007（11）：1726.

[4]Graig T.Beling.Transborder Data Flows：International Privacy Protection and the Free Flow of Information[J].Boston.College International&Comparative Law Review,1983,6（2）：591-624．

[5]邵津.國(guó)際法[M].北京：北京大學(xué)出版社，高等教育出版社，2000：16.

[6]LeeA.Bygrave.PrivacyandDataProtectioninanInternationalPerspective [J].Scandinavian Studies in Law，2010（56）:165-200．

[7]周漢華.域外個(gè)人數(shù)據(jù)保護(hù)法匯編[M]．北京：法律出版社，2006：10-34.

[8]Stuart Hargreaves.Inadequate:The APEC PrivacyFramework&Article 25 of the European Data Protection Directive[J].Can.J.Law&Tech.，2010（8）：1-30.

[9]齊愛(ài)民.個(gè)人資料保護(hù)法原理及其跨國(guó)流通法律問(wèn)題研究[M]．武漢：武漢大學(xué)出版社，2004：58.

[10]VirginiaBoyd.Financial Privacyin the United Statesand the European Union:A Path to Transatlantic Regulatory Harmonization[J].Berkeley Journal of International Law,2006,24（3）：959.

[11][德]尼古拉·杰因茨.金融隱私——征信制度國(guó)際比較[M].萬(wàn)存知，譯.北京：中國(guó)金融出版社，2009：150．

[12]Kyle Thomas Sammin.安全港、《格朗-利奇金融服務(wù)現(xiàn)代化法案》及金融服務(wù)的隱私問(wèn)題[J].梁志堅(jiān)，張義東，譯.經(jīng)濟(jì)資料譯叢，2011（3）：84.

[13]趙小娜，梁淋淋.歐洲法院宣布?xì)W美數(shù)據(jù)《安全港協(xié)議》無(wú)效[N].經(jīng)濟(jì)參考報(bào)，2015-10-08（4）.

[14]武曉婷.《安全港協(xié)議》被判無(wú)效，是隱私取勝還是美企災(zāi)難[J].信息安全與通信保密，2015（1）：64-65.

[15]桂暢旎.美歐跨境數(shù)據(jù)傳輸《隱私盾協(xié)議》前瞻[J].中國(guó)信息安全，2016（3）：83-85.

（責(zé)任編輯：沈紅宇）

D996.1

A

1674-9014（2017）01-0087-06

2016-11-09

安徽省哲學(xué)社會(huì)科學(xué)規(guī)劃項(xiàng)目“涉稅個(gè)人信息的法律保護(hù)”（AHSKY2014D01）。

邵朱勵(lì)，女，安徽蚌埠人，安徽財(cái)經(jīng)大學(xué)法學(xué)院副教授，博士，研究方向?yàn)槊裆谭ê蛧?guó)際法。