王　楠

(深圳大學(xué) 法學(xué)院，廣東 深圳 518060)

?

個人信息跨境轉(zhuǎn)移的法律保護
——以公司隱私規(guī)則為視角*

王楠

(深圳大學(xué) 法學(xué)院，廣東 深圳 518060)

摘要:個人信息的跨境轉(zhuǎn)移是信息時代下全球化帶來的必然現(xiàn)象，它增加了信息主體受到侵害的風險。以美歐安全港框架、歐盟約束性公司規(guī)則和APEC跨境隱私規(guī)則為代表的公司隱私規(guī)則制度在促進企業(yè)經(jīng)營發(fā)展的同時也為信息主體提供了更便捷的救濟，但其適用范圍及各體系間的互通性仍有待加強。

關(guān)鍵詞:個人信息；跨境轉(zhuǎn)移； 公司隱私規(guī)則；隱私權(quán)

引言

從字面上看，個人信息就是指與個人有關(guān)的信息，具體來說是指與特定個人相關(guān)聯(lián)的、反映個體特征的具有可識別性的符號系統(tǒng)，包括個人身份工作、家庭、財產(chǎn)、健康等各方面的信息。[1]從傳統(tǒng)意義上來說，個人信息與個人隱私密切相關(guān)，但事實上信息主體對其個人信息享有的權(quán)利范圍遠遠大于作為防御性人格權(quán)的隱私權(quán)。在當今社會個人信息可能蘊含著重要的商業(yè)價值。通過掌握大量個人信息，產(chǎn)品和服務(wù)的銷售者不僅可以更精準地鎖定目標客戶，大大提高營銷的成功度，還可以通過對信息的加工和分析，為產(chǎn)品的開發(fā)和服務(wù)的升級提供有益的指引。經(jīng)濟主體通過了解其交易對手的信用情況，可以有效控制并降低交易的信用風險。專門從事個人信息搜集和處理的機構(gòu)亦應(yīng)運而生，如數(shù)據(jù)挖掘企業(yè)和征信企業(yè)，并由此創(chuàng)造出新的商業(yè)機會和商業(yè)模式。[2]由于信息的無形性和易復(fù)制性，加之科學(xué)技術(shù)的飛速發(fā)展，個人信息時刻面臨著被泄露和被濫用的風險。

導(dǎo)致個人信息跨境流動的原因種類繁多，其中私法主體之間的個人信息跨境流動主要涉及信息主體從事跨境活動，跨國公司內(nèi)部的數(shù)據(jù)轉(zhuǎn)移，信息處理服務(wù)外包等情況。首先，當個人介入跨國服務(wù)貿(mào)易時，往往令其個人信息向境外轉(zhuǎn)移。例如境內(nèi)銀行客戶在境外使用信用卡消費時，境內(nèi)發(fā)卡行就要將該客戶的個人信息傳輸?shù)骄惩庖则炞C信用卡。又如，某國授信機構(gòu)需要調(diào)查某人在另一國的信用記錄，其可能會通過本國的征信機構(gòu)發(fā)出請求。如果本國征信機構(gòu)與外國征信機構(gòu)間存在信息交換協(xié)議，即可獲取外國征信機構(gòu)持有的該個人信用記錄并轉(zhuǎn)交給授信機構(gòu)使用。其次，跨國公司的國際化經(jīng)營也會令個人信息向境外轉(zhuǎn)移。例如外國銀行總行取得境外分行在東道國因經(jīng)營而收集并保存的客戶信息。由于集團內(nèi)部的信息共享機制，該外國銀行甚至有可能取得其在東道國設(shè)立的支行所持有的客戶信息。又如，某些專業(yè)的個人信息處理機構(gòu)可以通過海外并購的方式，取得大量的另一國的個人信息。再次，持有個人信息的機構(gòu)也可能會為了數(shù)據(jù)安全、節(jié)約成本、提高效率等目的，將個人信息轉(zhuǎn)移至境外。例如該機構(gòu)選擇在境外設(shè)立數(shù)據(jù)備份中心、數(shù)據(jù)處理中心，或者將本機構(gòu)的信息處理業(yè)務(wù)外包給境外的專業(yè)機構(gòu)。此外，在當前數(shù)字化時代，互聯(lián)網(wǎng)已經(jīng)創(chuàng)造出一個跨越國界的新市場。電子商務(wù)的蓬勃發(fā)展使消費者可以直接透過網(wǎng)絡(luò)與境外的產(chǎn)品服務(wù)的生產(chǎn)者和提供者進行交易，從而導(dǎo)致個人信息的跨境流動。

一、個人信息跨境轉(zhuǎn)移的主要模式及存在的問題

個人信息的跨境轉(zhuǎn)移使得個人信息被泄露、破壞、濫用的風險大大增加。這不僅在微觀層面上會給信息主體造成影響，在宏觀層面上還會涉及國家安全及貿(mào)易壁壘等問題。為了在保障個人信息安全的基礎(chǔ)上，促進信息的自由流動，許多國家的立法都就境內(nèi)機構(gòu)向境外第三方轉(zhuǎn)移個人信息的問題做出了規(guī)定，但在不同的政策導(dǎo)向和法律文化下，其具體模式及公權(quán)力介入的程度不盡相同。諸如美國、新西蘭、日本、加拿大、墨西哥、菲律賓等國的法律并未就信息跨境轉(zhuǎn)移制定特殊的規(guī)則，而是統(tǒng)一適用向第三方轉(zhuǎn)移個人信息的規(guī)定。而歐盟1998年10月25日起生效的《關(guān)于對個人數(shù)據(jù)處理中的個體保護及數(shù)據(jù)自由流動的指令》(以下簡稱歐盟《指令》)關(guān)注的重點則包括防止因第三國的保護不足而導(dǎo)致的數(shù)據(jù)濫用。在此框架下，歐盟各國的法律都也專門針對個人信息跨境轉(zhuǎn)移進行了具體規(guī)定。拉美、中東和非洲的一些國家也采取了與之類似的做法。2010年澳大利亞對其1988年隱私法進行了修改，其中APP8以及S16C建立起向境外轉(zhuǎn)移個人信息的法律框架。香港1996年《個人資料(私隱)條例》第33條也規(guī)定了將個人信息轉(zhuǎn)移至香港以外地方應(yīng)滿足的條件，但該條款至今尚未生效。

總的來說，各國法律允許境內(nèi)機構(gòu)向境外機構(gòu)轉(zhuǎn)移個人信息的條件主要包括以下三類：信息主體的同意、境內(nèi)信息轉(zhuǎn)出方與境外信息接收方間的合同、對信息接收國的充分性審查。

(一)信息主體的同意

個人信息權(quán)的核心本質(zhì)在信息主體對其個人信息的控制，包括其有權(quán)決定是否允許境內(nèi)的信息處理者將其個人信息轉(zhuǎn)移至境外。盡管各國法律都允許在取得信息主體明確同意的情況下將個人信息轉(zhuǎn)移至境外，但對同意的形式要求有所不同。歐盟各國、阿根廷、毛里求斯、阿聯(lián)酋和韓國的法律規(guī)定了選入的方式，而加拿大和澳大利亞則采用選退的同意模式。盡管取得信息主體的同意對于境內(nèi)信息處理者(轉(zhuǎn)出方)來說是最為安全的方式，可以在最大程度上避免有關(guān)法律風險，但是其在操作中會遇到不少問題。 例如，某一機構(gòu)基于運營成本的考慮打算將其數(shù)據(jù)中心轉(zhuǎn)移至境外，則需要就此專門征得每一個客戶的意見，并區(qū)別處理表示同意和不同意的客戶信息。這一過程增加了該機構(gòu)在時間、人力和財務(wù)上的支出，相關(guān)的成本可能抵消預(yù)期的收益。另外，即使曾經(jīng)表示同意的客戶也有權(quán)隨時撤回其同意，機構(gòu)要持續(xù)保有相關(guān)的人員和制度來跟進此類變化。在機構(gòu)本身位于歐盟境內(nèi)，個人信息的接收地位于未達到歐盟充分性標準的非歐盟第三國的情況下，由于機構(gòu)必須將該事實明確告知客戶，難免導(dǎo)致絕大部分客戶會出于對個人信息在第三國安全的顧慮而拒絕表示同意，從而令機構(gòu)的商業(yè)安排落空。

(二)信息輸出方與接收方間的合同

各國法律通常也允許在境內(nèi)機構(gòu)通過合同確保第三方能夠?qū)ζ浣邮盏男畔⑻峁┩人降谋Ｗo的情況下，向境外第三方轉(zhuǎn)移個人信息。具體來說，此類合同通常會包括有關(guān)信息安全，對個人信息的進一步使用和披露的限制，信息主體的救濟等內(nèi)容。不過，通過合同的方式保護轉(zhuǎn)移到境外的個人信息并非總是有效。首先，如果境內(nèi)的數(shù)據(jù)輸出方與境外的數(shù)據(jù)接收方之間是總公司與分公司之間的關(guān)系，則無法通過合同來約束前者的行為。其次，針對某一次點對點的信息傳輸行為的合同是靜態(tài)的，無法解決現(xiàn)實中信息傳輸路徑復(fù)雜，涉及多方，頻率巨大等問題。如果法律沒有明確規(guī)定境內(nèi)機構(gòu)對個人信息因向境外轉(zhuǎn)移受到的損害承擔責任，信息主體往往很難獲得實際的救濟。為了加強對本國信息主體的保護，有些國家的法律在一定程度上限制了此類合同的意思自治，要求有關(guān)合同必須經(jīng)過審批后方可向境外轉(zhuǎn)移信息。為了在保障信息主體權(quán)利的前提下便利信息的跨境轉(zhuǎn)移，歐盟委員會專門就此類合同提供了三套示范條款，其中都規(guī)定境內(nèi)信息轉(zhuǎn)出方與境外信息接收方應(yīng)對信息主體的損害承擔連帶責任。位于歐盟境內(nèi)的信息轉(zhuǎn)出方如果使用這些示范條款則有關(guān)合同不必再經(jīng)審批，但諸如丹麥、荷蘭等國還要求對合同進行備案。挪威、塞爾維亞、瑞士等非歐盟國家也采取了與歐盟類似的做法。但無論是審批還是備案，無疑會增加機構(gòu)的負擔，降低其經(jīng)營效率。

(三)對信息輸入國的充分性審查

歐盟《指令》在個人信息跨境轉(zhuǎn)移方面最有影響力的規(guī)則是對非歐盟第三國個人信息保護程度的審查，體現(xiàn)出最大程度的公權(quán)力介入。根據(jù)《指令》規(guī)定，位于歐盟境內(nèi)的信息控制者在符合最初收集和處理信息目的的前提下，對于其合法收集和處理的信息可以自由向其他歐盟國家或被認定達到充分性標準的非歐盟第三國轉(zhuǎn)移。歐盟的充分性審查不僅要考查一國個人信息保護的法律規(guī)定的內(nèi)容，還包括這些規(guī)定實施的情況。就前者而言，主要包括目的限制、數(shù)據(jù)質(zhì)量與比例原則、透明度、安全性、查閱權(quán)、修改權(quán)、反對權(quán)、轉(zhuǎn)移限制、敏感信息、對直銷的選退、對自動化處理決定的特殊規(guī)定；后者則主要涉及規(guī)則的遵守程度、信息主體權(quán)利的行使和對受害方的救濟。為了避免政治上的爭議，歐盟委員會采取了白名單的認定方式。迄今為止，歐盟委員會已經(jīng)認定安道爾、阿根廷、澳大利亞、加拿大、瑞士、法羅群島、格恩西島、以色列、曼島、澤西島、新西蘭和東烏拉圭等國家和地區(qū)的法律以及美國商務(wù)部的安全港隱私原則達到了充分保護的程度。[3]由于白名單上的國家數(shù)量有限，歐盟各成員國也會根據(jù)本國法律對第三國的個人信息保護充分性進行審查。與歐盟的做法類似，阿根廷、毛里求斯、突尼斯和阿聯(lián)酋等國的法律也規(guī)定了充分性要求。對信息輸入國的充分性審查通常較為耗時，例如歐盟委員會對新西蘭的安全性審查就長達三年之久。另一方面，它也會在國際上引發(fā)將一個國家/地區(qū)的個人信息保護標準延伸至境外的質(zhì)疑。事實上，這種自上而下的方式也不能絕對確保本國的個人信息在通過充分性審查的國家不會受到損害，以及信息主體在受到損害時可以取得有效的賠償。信息主體利用信息輸入國的法律在當?shù)貙で缶葷鷷r往往會遇到操作上的實際困難。

二、主要公司隱私規(guī)則的比較

鑒于上述問題，國際各方開始嘗試設(shè)計新的制度作為補充，以實現(xiàn)個人信息保護與信息跨境流動之間的平衡。這些制度的共同特點在于借助公司自己的隱私規(guī)則實現(xiàn)跨境信息保護，以公司自律為基礎(chǔ)，輔以行政或司法手段保障其實施效果。與法律這種自上而下普遍適用及強制約束的規(guī)則不同，公司隱私規(guī)則制度采取的是自下而上的進路，具有更多的自愿性與自主性，可以更好地在保障信息主體權(quán)利的同時照顧到不同商業(yè)機構(gòu)自身的需求和特點。目前國際上采用公司隱私規(guī)則制度主要包括安全港框架(Safe Harbor Framework)、歐盟約束性公司規(guī)則(BCR, Binding Corporate Rules)和 APEC跨境隱私規(guī)則(CBPR, Cross-border Privacy Rules)。

(一)公司隱私規(guī)則的適用范圍

安全港框架和BCR都是歐盟數(shù)據(jù)保護指令下的制度，前者是解決從歐盟向美國企業(yè)轉(zhuǎn)移個人信息的問題，其參加者是作為信息接收者的美國企業(yè)；后者則針對位于歐盟的公司向位于非歐盟的關(guān)聯(lián)機構(gòu)轉(zhuǎn)移個人信息，其參加者是跨國公司。由于美國在個人信息保護上的立場與歐盟存在較大差異，缺乏統(tǒng)一的個人信息保護立法，難以通過歐盟委員會的充分性審查。但美歐作為世界上最重要的兩大經(jīng)濟體，其間的跨境信息轉(zhuǎn)移的現(xiàn)實需求巨大。為了避免因法律障礙影響商業(yè)利益，2000年美國商務(wù)部作為負責消費者保護的政府部門與歐盟委員會達成了安全港框架協(xié)議。歐盟委員會認定商務(wù)部制定的安全港隱私原則符合充分性標準。根據(jù)協(xié)議，美國聯(lián)邦貿(mào)易委員會(The Federal Trade Commission)和交通運輸部(Department of Transportation)轄下的任何公司，只要自愿根據(jù)上述隱私原則制定公司隱私規(guī)則，并承諾遵守，就可以成為“安全港”的一員，獲準接收來自歐盟的個人信息。

跨國公司的內(nèi)部信息流動在全部信息跨境流動中占有較大比例，如何有效解決該問題對于公司的經(jīng)營效率至關(guān)重要。歐盟《指令》第26(2)條規(guī)定如果公司證明自己能夠充分保障隱私保護和基本權(quán)利和自由，成員國可以允許其向位于白名單之外的非歐盟國家轉(zhuǎn)移個人信息。基于此，歐盟29條工作組針對跨國公司從歐盟向未達到充分性標準的國家的集團內(nèi)部機構(gòu)轉(zhuǎn)移個人信息的情況推出了BCR制度。BCR的內(nèi)容廣泛，涵蓋包括諸如透明度、數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全在內(nèi)的隱私原則；包括諸如審計、培訓(xùn)、投訴處理體系在內(nèi)的有效性工具以及確保規(guī)則具有約束性的要素。BCR除了對跨國公司集團中的法律實體、公司的雇員具有對內(nèi)約束力之外，還有對外效力。信息主體可以根據(jù)BCR的規(guī)定向指定的責任承擔機構(gòu)就自己受到的損害主張賠償。

為了推動2004年部長級會議通過的APEC隱私框架的實施，構(gòu)建簡單透明的體系，從而在保護個人信息隱私的同時，促進企業(yè)在亞太地區(qū)內(nèi)的個人信息跨境轉(zhuǎn)移，APEC數(shù)據(jù)隱私小組于2007年9月推出了“數(shù)據(jù)隱私探路者計劃”，其中重要的一項內(nèi)容就是CBPR體系。與BCR只解決跨國公司內(nèi)部的個人信息跨境轉(zhuǎn)移不同，跨境隱私規(guī)則適用于APEC范圍內(nèi)的各種商業(yè)機構(gòu)間的個人信息轉(zhuǎn)移。目前美國、墨西哥和日本已經(jīng)加入了該體系，來自于APEC隱私框架成員方的企業(yè)可以自愿制定并實施與APEC隱私保護原則相一致的跨境隱私規(guī)則，從而成為CBPR認證企業(yè)。

(二)公司隱私規(guī)則的審查認證

只有建立起一定的審查制度，才能確保企業(yè)自愿采用的公司隱私規(guī)則對個人信息的保護程度能夠達到一定的標準。在安全港框架下，美國商務(wù)部負責審查申請加入公司的提交的隱私保護政策是否包含其制定的安全港隱私原則。受到歐盟委員會的敦促，美國商務(wù)部近年來加強了審查工作，2013年有12%的公司未獲批準進入安全港名單，較2010年增加了一倍。[4]打算采用BCR的跨國公司也需要事先向個人信息輸出國的數(shù)據(jù)保護機關(guān)提交申請。有鑒于這些公司往往在多個歐盟國家設(shè)有機構(gòu)，29條工作組專門設(shè)計出一套協(xié)調(diào)程序，以減輕申請的負擔。公司只需向某一成員國的數(shù)據(jù)保護機關(guān)，即領(lǐng)導(dǎo)協(xié)調(diào)機關(guān)(leading coordinator authority)，提交一份申請即可。該領(lǐng)導(dǎo)協(xié)調(diào)機關(guān)將會把申請轉(zhuǎn)交給其他公司機構(gòu)所在的成員國的數(shù)據(jù)保護機關(guān)，由其根據(jù)本國的法律決定是否批準申請。*如果集團總部或母公司或者集團歐洲總部位于某一成員國，應(yīng)由該國主管部門作為領(lǐng)導(dǎo)協(xié)調(diào)機關(guān)，如果沒有的話也可以由集團內(nèi)部承擔數(shù)據(jù)保護責任機構(gòu)、最便于實施公司約束規(guī)則的機構(gòu)、數(shù)據(jù)收集處理方式?jīng)Q策機構(gòu)以及向第三國轉(zhuǎn)移數(shù)據(jù)最多的機構(gòu)所在國的主管部門作為領(lǐng)導(dǎo)協(xié)調(diào)機關(guān)。與BCR審查機制不同的是，CBPR體系下的審查機構(gòu)并非政府機關(guān)，而是獲得APEC認可的獨立的第三方問責代理機構(gòu)(Accountability Agent)。問責代理機構(gòu)既可以是公營的也可以私營的。但只有屬于加入CBPR體系的成員方的機構(gòu)才可以申請成為問責代理機構(gòu)。聯(lián)合督導(dǎo)組將負責對申請機構(gòu)進行審查，在其符合標準的情況下就會向APEC成員方進行推薦。如果在規(guī)定的時間內(nèi)沒有成員方提出異議即表明該機構(gòu)獲準成為 CBPR 體系的問責代理機構(gòu)。美國著名的隱私認證公司TRUSTe已于2013年6月成功取得該資格。

由于有些公司向境外轉(zhuǎn)移個人信息的需求巨大，目的地眾多，各認證制度的平行存在增加了公司的運營成本和管理難度。為了減輕公司在這方面的負擔，協(xié)調(diào)相關(guān)制度，歐盟和APEC已經(jīng)開始積極合作，于2013年1月召開了首次BCR/CBPR委員會會議。歐盟29條工作組也于2014年2月發(fā)布報告，對BCR和CBPR的申請要求進行了詳細比較，[5]以便為同時加入BCR和CBPR的跨國公司制定內(nèi)部隱私政策并獲得批準/認證提供有益的指引。

(三)公司隱私規(guī)則的監(jiān)督

通過公司自身的個人信息隱私規(guī)則保障跨境信息的安全需要有配套的監(jiān)督以及救濟機制。應(yīng)有制度來確保這些公司能夠履行承諾，有效自律，而對于未能充分自律的機構(gòu)也必須有一定的懲罰機制。因違規(guī)而遭受損害的信息主體應(yīng)享有充分有效的救濟。在安全港框架下，美國聯(lián)邦貿(mào)易委員會有權(quán)對違反隱私原則的公司處以罰款，甚至以商業(yè)欺詐為由對其提起訴訟。如果在聯(lián)邦貿(mào)易委員會采取一系列措施以后，違反行為仍得不到糾正，違反的機構(gòu)將喪失“安全港”成員的資格。另一方面，歐盟各國的數(shù)據(jù)保護機關(guān)在特定的情況下也可以針對個案中止個人信息向美國轉(zhuǎn)移，例如美國政府部門已經(jīng)認定美國公司違反了安全港原則，或有證據(jù)表明美國公司很可能違反了安全港原則，或有關(guān)信息的轉(zhuǎn)移很可能給信息主體造成巨大風險等。

歐盟要求申請采用BCR來進行個人信息跨境轉(zhuǎn)移的公司對BCR進行內(nèi)部或外部審計,并應(yīng)數(shù)據(jù)保護機關(guān)的要求提供審計報告。但是基于BCR的法律性質(zhì)以及各成員國數(shù)據(jù)保護機關(guān)的權(quán)限，數(shù)據(jù)保護機關(guān)并不一定有權(quán)對違反BCR的公司進行處罰或提起訴訟。但是也有學(xué)者主張將BCR作為單邊承諾或公開承諾，并根據(jù)不公平貿(mào)易行為法以及反虛假陳述法等法律由有權(quán)機關(guān)對違反BCR的公司采取執(zhí)法行動。違反BCR就構(gòu)成了2005年通過的歐盟《不正當貿(mào)易行為指令》下的不正當貿(mào)易行為。[6]

CBPR體系要求加入國至少有一個負責隱私法律的執(zhí)行，并有權(quán)進行調(diào)查或起訴的公共機構(gòu)作為隱私執(zhí)法機構(gòu)加入跨境隱私執(zhí)法安排，從而令各國隱私執(zhí)法機構(gòu)間可以就具體隱私執(zhí)法事宜分享信息，尋求幫助，提供跨境合作。但是這些執(zhí)法機構(gòu)只能調(diào)查并處理公司違反國內(nèi)個人信息保護法律的情況，在國內(nèi)法規(guī)定的權(quán)限內(nèi)采取執(zhí)法行動，并不一定有直接的權(quán)責來監(jiān)督認證公司遵守隱私規(guī)則的情況。問責代理機構(gòu)應(yīng)對信息主體就認證企業(yè)違反隱私規(guī)則而提出的投訴進行調(diào)查，并有權(quán)撤銷認證。如果問責代理機構(gòu)認為認證企業(yè)的行為違反了有關(guān)國家的個人信息保護法，則應(yīng)將案件移交給有關(guān)國內(nèi)執(zhí)法機構(gòu)?？偟膩碚f，與安全港框架和BCR體系下的監(jiān)督制度一樣，CBPR下的公權(quán)力監(jiān)督也有賴于加入國不公平貿(mào)易法及反虛假陳述法等的規(guī)定。*目前在APEC成員中，諸如澳大利亞、新西蘭、印度尼西亞、日本、韓國、菲律賓、泰國、美國、墨西哥、智利等國的法律都有有關(guān)虛假陳述的規(guī)定，并有具體的執(zhí)法機構(gòu)對有關(guān)公司采取諸如罰款、禁令等行政處罰。

(四)信息主體的救濟

歐盟示范合同條款通常規(guī)定了信息輸出方與接收方的連帶責任，并且信息主體有權(quán)選擇非訴訟糾紛解決程序ADR(Alternative Dispute Resolution)或歐盟成員國法院訴訟的方式尋求救濟。與此不同的是，安全港框架下的信息主體救濟排除了歐盟成員國法院的管轄權(quán)，而主要是借助獨立第三方的ADR。目前解決爭議數(shù)量最多的三家機構(gòu)依次是歐盟數(shù)據(jù)保護組(EU Data Protection Panel)、美國商業(yè)改進局(Better Business Bureau)和TRUSTe。盡管并非所有的爭端解決機構(gòu)都有權(quán)對違反隱私政策的公司進行處罰，但如果公司拒絕執(zhí)行ADR裁定，有關(guān)個案將會被移交給商務(wù)部進行進一步調(diào)查并采取執(zhí)法行動。

BCR體系下的信息主體有權(quán)向數(shù)據(jù)主管機關(guān)提出投訴，也可以通過訴訟尋求救濟。他可以選擇信息輸出國、總部所在國或承擔數(shù)據(jù)保護責任的機構(gòu)所在國的法院進行訴訟?？鐕緫?yīng)在申請中明確信息主體尋求救濟的步驟，并確保集團有足夠的資產(chǎn)承擔有關(guān)法律責任。此外，為了加強對信息主體的保護，歐盟的BCR制度還采用了舉證責任倒置原則。信息主體只要受到損害并提供公司可能違反BCR的事實，就要由承擔責任的機構(gòu)證明公司并未違反BCR。

CBPR體系下的信息主體可以就認證企業(yè)違反隱私規(guī)則向問責代理機構(gòu)提出投訴，并且通過問責代理機構(gòu)的爭議解決機制尋求救濟。信息主體還有權(quán)向APEC聯(lián)合監(jiān)督委員會投訴問責代理機構(gòu)。至于信息主體針對認證公司的訴訟救濟，則依然取決于成員國個人信息保護法的具體規(guī)定。

三、對公司隱私規(guī)則的評價

(一)有利于企業(yè)的經(jīng)營發(fā)展

對于位于法律嚴格限制個人信息向境外轉(zhuǎn)移的國家/地區(qū)的企業(yè)而言，公司隱私規(guī)則無疑在很大程度上為其提供了方便，避免了通過逐一征得客戶同意或?qū)γ恳淮无D(zhuǎn)移都采用合同方式帶來的復(fù)雜及高成本。企業(yè)可以根據(jù)有關(guān)法律和制度的要求，結(jié)合自身的情況，靈活制定隱私規(guī)則，從而令其個人信息跨境轉(zhuǎn)移活動合法化。通過加入隱私規(guī)則體系，公司甚至可以將個人信息轉(zhuǎn)移至尚未就此進行立法的國家和地區(qū)?？鐕具€可以在整個集團內(nèi)部采用統(tǒng)一的隱私規(guī)則，降低跨國經(jīng)營的行政管理成本。對于企業(yè)而言，與取得ISO、SA8000等認證一樣，加入公司隱私規(guī)則體系也可以被視為獲得隱私認證，表明該企業(yè)對個人信息的保護較為重視，并達到了一定標準，從而消除客戶的疑慮，提升企業(yè)美譽度。另一方面，通過在企業(yè)內(nèi)部實施隱私規(guī)則，有助于令企業(yè)的全部員工都能夠了解個人信息保護的重要性及自己的責任，從而使作為外部規(guī)則的個人信息保護法律得到更加充分的貫徹。目前，公司隱私規(guī)則已經(jīng)得到諸多企業(yè)的認可。截至2013年9月底，已經(jīng)有3246家公司加入了安全港體系，在很大程度上消除了個人信息從歐盟流向美國的障礙。[7]超過40家跨國公司獲準加入BCR體系，其中包括美國運通、花旗銀行、JP摩根等跨國銀行。[8]由于CBPR認證制度剛推行不久，目前僅有包括IBM在內(nèi)的6家公司獲得認證。

(二)為信息主體提供較為便利的救濟

在獲得信息主體同意的情況下，境內(nèi)的信息控制者可以將個人信息轉(zhuǎn)移至境外。在個人信息權(quán)被侵犯的情況下，信息主體往往要通過境外的相關(guān)法律尋求救濟。但并非所有的國家都有個人信息保護立法，即便有法可依，跨境訴訟對于處于弱勢地位的信息主體來說也是極為不利的。而上述三種公司隱私規(guī)則體系則較為明確地規(guī)定了信息主體可以直接訴諸的多樣化爭端解決機制。首先，這三種公司隱私規(guī)則制度都要求公司隱私規(guī)則本身應(yīng)包含投訴處理機制，受到侵害信息主體可以直接據(jù)此通過內(nèi)部程序解決爭議。其次，在外部機制方面，信息主體還可以借助于多種本地爭議解決機制。例如在BCR體系下，信息主體不需再追究損害是由跨國公司的哪個機構(gòu)在哪個國家造成的，可以選擇向信息輸出國、跨國公司總部或其歐洲總部或承擔責任的跨國公司機構(gòu)所在國的法院進行訴訟。這些國家有可能就包括信息主體所在國。除此之外，他還可以向本國數(shù)據(jù)保護主管機關(guān)投訴。在安全港框架下，為了調(diào)查并處理信息主體對企業(yè)違反安全港隱私保護原則提出的投訴，專門設(shè)立了由歐盟各國的數(shù)據(jù)保護機關(guān)代表組成的歐盟數(shù)據(jù)保護組。但是需要注意的是，如果有關(guān)個人信息并非人力資源信息，只有當有關(guān)企業(yè)事先表明愿意通過數(shù)據(jù)保護組解決爭議的情況下，數(shù)組保護組才對爭議享有管轄權(quán)。否則，信息主體只能選用企業(yè)事先制定的其他爭端解決機制，比如BBB在線和TRUSTe。在CBPR體系下，由于問責代理機構(gòu)必須來自加入該體系的成員國，令信息主體得以通過位于本國的問責代理機構(gòu)進行仲裁。

(三)適用范圍依然有限

盡管公司隱私規(guī)則對企業(yè)和信息主體提供了一定的便利，但其適用范圍依然有限，目前只能作為通過其他方式合法化個人信息跨境轉(zhuǎn)移的補充。安全港框架和BCR體系屬于歐盟個人數(shù)據(jù)保護制度的組成部分，促進了歐盟向其他國家/地區(qū)的個人信息流動。但前者僅適用于信息接受者是美國聯(lián)邦貿(mào)易委員會和交通運輸部轄下企業(yè)的情況，而后者則只解決跨國公司內(nèi)部的個人信息跨境轉(zhuǎn)移問題。APEC成員眾多，其CBPR影響力似乎應(yīng)較大，但事實并非如此。一國企業(yè)獲得CBPR認證的前提是該國已經(jīng)加入，而目前在全部21個成員方中只有美國、日本和墨西哥國家加入。也就是說目前只有來自美、日、墨這三個國家的機構(gòu)可能取得問責代理機構(gòu)資格，并且只有來自這些國家的認證企業(yè)可以向其他兩個國家較為自由地轉(zhuǎn)移個人信息。APEC成員如欲加入CBPR體系，還必須有隱私執(zhí)法機構(gòu)已經(jīng)加入跨境隱私執(zhí)法安排(Cross-border Privacy Enforcement Arrangement, CPEA)。迄今為止共有 8 個國家/地區(qū)的 22 個隱私執(zhí)法機構(gòu)加入了CPEA。*澳大利亞、新西蘭、加拿大和中國香港有專門的隱私執(zhí)法機構(gòu)，美國的隱私執(zhí)法機構(gòu)是聯(lián)邦貿(mào)易委員會，韓國的隱私執(zhí)法機構(gòu)是行政安全部，墨西哥的隱私執(zhí)法機構(gòu)是聯(lián)邦信息公開與數(shù)據(jù)保護委員會，而日本的隱私執(zhí)法機構(gòu)則有15 個部門加入。APEC成員方只需承諾按照隱私框架進行執(zhí)法即可加入 CPEA，但其如要加入CBPR體系卻應(yīng)滿足更加具體的條件，即隱私執(zhí)法該機構(gòu)要基于國內(nèi)法的授權(quán)擁有APEC隱私框架九大原則下50項具體要求的執(zhí)法權(quán)力。

(四)體系之間缺乏互通性

當前包括公司隱私規(guī)則體系在內(nèi)的區(qū)域性個人信息保護制度無法為跨國公司的全球化經(jīng)營提供最大程度的便利。 2013年9月OECD發(fā)布了修改后的《隱私保護與個人數(shù)據(jù)跨境流動指南》，提出有必要在全球范圍內(nèi)提高互通性(interoperability)，加強不同的個人信息保護制度間的協(xié)調(diào)合作。盡管安全港協(xié)議、BCR和CBPR確實在一定程度上促進了個人信息的合法跨境轉(zhuǎn)移，但是這些體系之間缺乏聯(lián)系，給全球化經(jīng)營的大型公司帶來額外的負擔。例如總部位于歐洲的某跨國公司需要向位于日本的分支機構(gòu)轉(zhuǎn)移個人信息，而后者又需要向墨西哥的另一家機構(gòu)轉(zhuǎn)移個人信息。該公司可能需要同時申請BCR和CBPR認證從而令轉(zhuǎn)移合法化。同樣，一家美國的數(shù)據(jù)處理公司如欲合法地從歐洲和日本獲得個人信息，則要加入安全港并取得CBPR認證。

四、結(jié)語

誠然，公司隱私規(guī)則制度作為正在興起的制度，在實踐中尚未真正實現(xiàn)低成本高效率地平衡個人信息保護與信息跨境流動。但國際各方已經(jīng)開始做出努力推動其影響力，并解決現(xiàn)實中存在的具體問題。加拿大正準備提起加入BBPR體系的申請，新西蘭和澳大利亞也在考慮加入。歐盟和APEC亦都認識到其公司隱私規(guī)則制度間缺乏互通性帶來的問題。歐盟29條工作組于2014年2月發(fā)布文件，對BCR和CBPR的27項具體內(nèi)容進行了詳細比較。盡管兩種制度間的互認尚未實現(xiàn)，但該文件無疑給需要進行雙重認證的公司提供了可行的指引，在一定程度上減輕了申請負擔。

我國目前尚未就個人信息保護進行專門立法，對于個人信息跨境轉(zhuǎn)移的限制也極為有限。*2011年中國人民銀行發(fā)布的《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》要求在中國境內(nèi)收集的個人金融信息的儲存、處理和分析應(yīng)當在中國境內(nèi)進行。除法律法規(guī)及中國人民銀行另有規(guī)定外，銀行業(yè)金融機構(gòu)不得向境外提供境內(nèi)個人金融信息。這令包括跨國公司在內(nèi)的境內(nèi)機構(gòu)可以較為隨意地在中國境內(nèi)搜集個人信息，并轉(zhuǎn)移至境外，不僅可能侵害信息主體的個人隱私，更會影響國家經(jīng)濟安全。另一方面，個人信息保護法制的欠缺也大大影響了個人信息從境外向境內(nèi)的流動，阻礙了我國電子商務(wù)、數(shù)據(jù)處理等行業(yè)的國際化發(fā)展。我國應(yīng)加快個人信息保護立法的進程，設(shè)立個人信息隱私保護的執(zhí)法機構(gòu)，進而申請加入CEPA和CBPR體系，以促進跨境的個人信息流動。

[參考文獻]

[1] 王利明. 論個人信息權(quán)的法律保護[J].現(xiàn)代法學(xué)，2013，35(4)：62-72.

[2] 巫月娥.網(wǎng)絡(luò)生態(tài)視域下感知網(wǎng)絡(luò)商業(yè)倫理對顧客忠誠的影響[J].重慶理工大學(xué)學(xué)報(社會科學(xué))，2015(4)：73.

[3] Commission decisions on the adequacy of the protection of personal data in third countries，[EB/OL].(2014-12-25)[2015-01-07]http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm.

[4] European Commission. Communication from the Commission to the European Parliament and the Council on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU [R/OL].(2013-11-27)[2015-01-07] http://ec.europa.eu/justice/data-protection/files/com_2013_847_en.pdf.

[5] Article 29 Working Party. Opinion 02/2014 on a referential for requirements for Binding Corporate Rules submitted to national Data Protection Authorities in the EU and Cross Border Privacy Rules submitted to APEC CBPR Accountability Agents [R/OL].(2014-02-27)[2015-01-07] http://www.cnil.fr/fileadmin/documents/Vos_responsabilites/Transferts/wp212_en.pdf.

[6] NAVAS. The New Directive on the Unfair Commercial Practices in the Internal Market as a Promising Tool for the Uptake of Binding Corporate Rules [J]. International Review of Law Computers & Technology，2006,20(3) :343-359.

[7] European Commission. Restoring Trust in EU-US data flows - Frequently Asked Questions[EB/OL].(2013-11-27)[2015-01-07] http://europa.eu/rapid/press-release_MEMO-13-1059_en.htm.

[8] ALLEN，OVERY. Binding Corporate Rules [EB/OL].(2013-01-01)[2015-01-07]http://www.allenovery.com/sitecollectiondocuments/bcrs.pdf.

(責任編校：楊睿)

Legal Protection for Cross-border Transfer of Personal Information

from a Perspective of Corporate Privacy Rules

WANG Nan

(SchoolofLaw,ShenzhenUniversity,GuangdongShenzhen518060,China)

Abstract:As a natural result of globalization in this information era, the cross-border transfer of personal information increases the risk for individuals. The present corporate privacy rules regime including US-EU Safe Harbor Framework, EU CBRC and APEC CBPR facilitates the development of corporations as well as provides flexible remedies to individuals, but its applicability and interoperability should be further enhanced.

Key words:personal information; cross-border transfer; corporate privacy rules； privacy right

中圖分類號：D993.9

文獻標志碼：A

文章編號：1672- 0598(2016)01- 0068- 07

[作者簡介]王楠(1977—)，女，河南鄭州人；深圳大學(xué)法學(xué)院副教授，主要從事國際經(jīng)濟法、金融法研究。

[基金項目]深圳市哲學(xué)社會科學(xué)十二五規(guī)劃項目“前海深港現(xiàn)代服務(wù)業(yè)合作區(qū)金融法制環(huán)境研究”

[收稿日期]*2015-05-24

doi:12.3969/j.issn.1672- 0598.2016.01.011