网络个人信息是国家关键战略资产 作者:马志刚


国际社会网络个人信息保护已经日渐成熟,大体形成包括法律、行政、行业、技术、环境等五部分内容组成的完整保护体系。我国在网络个人信息安全保护方面尚存在较大差距,如果不能迎头赶上,将使我国网络个人信息及作为其重要表现形式的互联网流量成为任人攫取的“无国界”公共福利产品,形成制约我互联网发展的“戈尔迪死结”。

(一)我国网络个人信息面临严峻的安全保护形势

1.我国网络个人信息安全形势不容乐观

一是针对网络个人信息的越权侵害事件不断发生。近年以来,服务提供商、网络设备及终端生产商、系统及应用程序开发商未经用户同意,采用隐蔽手段私自收集用户个人信息、擅自扩大使用范围或者供第三方机构使用的越权侵害事件时有发生,各种智能手机窃密软件利用手机操作系统漏洞大肆窃取用户个人敏感信息,各类互联网应用软件也在越权许可他人同步网络个人信息。

二是针对网络个人信息的恶意攻击事件日益频繁。近年以来,网络黑客、内部管理人员及其他恶意第三人利用病毒、木马、蠕虫等恶意代码程序或其他各种手段,对全球范围内运营商、服务商和终端用户的网络或系统进行攻击,以便窃取用户个人信息的恶意攻击事件频频发生。例如2011年12月,CSDN、天涯、新浪、京东商城、网易公司、支付宝等互联网站相继爆出用户个人信息被泄露,甚至工商银行、交通银行和民生银行的用户个人信息也被爆料泄露。

三是公然的贩卖和隐蔽的收集同时存在。掌握用户个人信息的单位成为侵害源头,部分地方国家机关、企事业单位、服务机构中有机会记录公民个人信息的工作人员往往是泄露个人信息的真正源头。侵害个人信息和电信诈骗相互结合,不法分子从医院、商场、车行、房地产公司等单位或通过互联网批量购买个人信息,精心设局实施电信诈骗,大大提高操作的准确率。隐蔽、变相的收集和使用并行不悖,据央视315晚会曝光,大量安卓操作系统应用软件未经许可擅自收集、使用用户个人信息,并对外传送给应用软件的开发商、广告商以及其他第三方网站;大量安卓版预装后装软件在用户完全不知情的情况下,擅自收集用户手机号码、通讯录、微博帐号、微博密码等个人信息,并以明文方式上传至软件开发者的服务器;部分互联网公司默许第三方公司通过在网站投放广告中加载代码,窃取用户邮件内容以及机内储存的浏览记录、IP地址、网卡号、用户名、密码等cookies信息,用以跟踪、分析用户行为习惯,以便更加精准地投放广告。

2.技术发展将使网络个人信息面临功能性持续侵害

一是搜集网络个人信息将日益成为技术发展的主要功能指向。社交网络将通过开放应用开发接口(API),面向不特定第三方开发者大规模开放用户社交图谱、关系图谱、位置信息、业务应用信息等用户个人信息,并且提供跨平台、跨网络、跨业务的同步关联,致使用户个人信息面临大规模窃取和滥用的风险。

二是技术发展为监控并获取个人信息提供了无限可能。随着移动互联网的发展,应用软件被用户从应用商店下载、安装、使用的同时,可能同时打开通往应用软件商店经营者数据汇聚中心(网络云端)的动态监控通道,用户机内短消息、通信录、位置等个人信息均可实时被读取、收集并汇聚在经营者的数据汇聚中心,极端情况下,为了从移动运营商处获取更多的流量分成,经营者甚至在用户未启动应用的情况下便通过远程控制开启用户应用,单向增加流量的同时,同步大量读取、收集并汇聚用户个人信息。

三是数据跨境流动使得个人信息安全风险由境内延伸至境外。移动智能终端生产者通过终端远程控制和数据传输加密,随时随地在全球范围内从任一移动终端收集、分类输出、跨境自由流动和处理其所需要的用户个人信息。2011年12月,某独立安全专家曝称,装有ios操作系统的iPad、iPhone等苹果设备能够追踪用户地理位置信息,经处理后默认存储在未加密数据包中,每隔几个小时便回传至苹果总部服务器,境内用户个人信息直接上传至苹果境外服务器,用于建立用户位置信息数据库。云计算技术蓬勃发展,数据流动突破了国界限制,跨域泄露和窃密风险将日益增加。云计算服务的发展进一步实现了数据和网络的分离,大量个人和企业将其数据业务和计算能力外包给境外云计算服务提供者的同时,随即失去了对其信息资源的实际占有和控制,境外云计算服务提供者既可能以用户未知的方式越权访问用户数据,又可能由于管理不善或者动态资源共享致使用户信息资源发生内部外部泄露。

3.在新一轮国际竞争中我国已逐渐失去数据竞争优势

一是网络个人信息正在发生跨国垄断趋势。随着信息搜捕能力的日益失衡,以国际互联网巨头为中心的数据单向汇聚,正在进一步强化美国等发达国家的信息优势地位。随着互联网巨头在国际上不断进行战略扩张,凭借其在互联网技术和应用方面的绝对优势,随时随地在全球范围内从任一移动终端收集其所需要的数据信息,并可进行跨境自由流动和处理,关键用户数据被非法采集并被分类输出,向其掌控的云端汇聚集中,已经创造出他国永远无法赶超的数据垄断优势,从而使他国永远处于信息劣势和被动地位。

二是我国忽视出口数据的保护,信息资源“空心化”现象异常严重。第一,我国境内信息资源总量占比较小,无法吸引境外流量向境内迁移,从而造成我国互联网流量占全球互联网流量的比例偏低。据统计,我国网站数量为360万,仅为全球网站数量的3.5%;我国互联网流量不足全球互联网流量的6.8%,移动互联网流量仅为全球移动数据流量的5%。第二,我国尚未建立起数据跨境流动的行政审查机制和第三方安全检测认证机制,网络个人信息自境内出口至境外基本未加设防,致使我国网络个人信息事实上已经成为境外组织机构和政府部门可以自由拦截和摄取的“无国界”公共福利产品,海量数据无设防流出国境的同时,境内信息资源总量正在减少,导致构成信息技术产业核心资产的信息资源日益匮乏,信息资源“空心化”现象异常严重。第三,我国尚未建立起针对境外网络数据和流量的监测分析机制,部分搜索引擎服务商虽在从事境外网页数据的抓取和检索业务,但是与雅虎、必应、谷歌、facebook等国际互联网巨头相比,我国互联网企业境外业务比重非常有限,百度在海外汉语世界覆盖率不到20%,在最普及的英语网络世界,中国全部互联网企业所占份额与中国GDP所占份额相距甚远。

三是我国网络个人信息已经成为以美为首西方大国实行国家拦截和监控的重要目标。2013年6月底,据叛逃至香港的美国国家安全局(NSA)前谍情人员斯诺登爆料,美国情报机关曾无数次入侵我国内地和香港的计算机信息系统;通过思科路由器监控中国网络和计算机信息系统,而思科参与了中国几乎所有大型网络项目的建设;对中国内地移动运营商、中国教育和科研计算机网(CERNET)等骨干网络实施长达4年之久的长期监控,以获取网内海量短信数据和流量数据。

(二)我国网络个人信息安全保护须多方面跟进和不断加强

1.法律保护体系开始建立,但是总体上处于起步阶段和较低水平

一方面,国际社会已经形成较为成熟的网络个人信息法律保护体系。国际社会大体采用两种网络个人信息安全保护的法律框架体系,一种是以美国为代表的“网络隐私保护框架”,立法形式多为单行法,强调个人敏感信息的安全保护,侧重于行业自律组织的安全认证;另一种是以欧盟及其成员国为代表的“网络数据保护框架”,立法形式多为法典法,强调个人身份识别信息的安全保护,侧重于行政保护机构的政府职能运行。这两种法律框架体系的共同特点在于,适用于网络个人信息安全保护的法律规则自成体系、细密完整;具有一揽子相互配套、完善有力的民事执法、行政执法措施,以及民事、行政司法救济体制和机制。近年以来,随着网络空间个人信息跨境流动日益频繁以及网络个人信息安全保护国际合作日益加强,国际社会日益广泛地采用了“数据隐私(data privacy)”的概念,显现了两种法律保护框架的融合态势。

另一方面,我国虽已开始建立网络个人信息安全保护的法律体系,但是总体上处于刚刚起步,法律框架的设计尚处于较低水平。目前我国已经制定发布了《关于加强网络信息保护的决定》、《规范互联网信息服务市场秩序若干规定》、《电信和互联网用户个人信息保护规定》、《信息安全技术公共及商用服务信息系统个人信息保护指南》等法律、规章和标准,个别地方也做过专门保护方面的立法尝试和努力,但是总体而言,立法上缺乏上位专门法,尚未列出个人信息的权利清单,对个人信息保护进行搭载式处理和规范的现象比较普遍,存在以临时决定代替常规立法、以技术标准代行专门立法的情况;执法上以刑事执法为主导,缺乏行政执法和民事执法的机制和程序;司法上以刑事附带民事司法为主导,个人信息侵权案件尚未明确列入司法受案范围,缺乏行政司法和民事司法的机制和程序。

2.行政保护体系虽已筹建,但是尚未建起网络个人信息的行政保护管理体制

一方面,国际社会已经形成较为完善的网络个人信息行政保护体系。一是大多数国家均设有网络个人信息安全保护的专门行政机关。英国内阁府设有英国信息委员会办公室(ICO),法国总统府设有国家信息和自由委员会(CNIL),德国总理府设有联邦数据保护委员会(FCDP),日本内阁府设有信息公开与个人信息保护审查会,分别负责本国网络个人信息安全保护工作;未设专门保护行政机关的国家,大多都通过立法授权形式,指定现设某一行政机关代行网络个人信息安全保护行政职能,在国际社会与专门行政机关享有同等法律地位,如韩国通信委员会(KCC)、美国联邦贸易委员会(FTC)等。二是通过政府主导、第三方认证机构主导等不同模式,对网络个人信息安全保护状况实行强力监管。英、法、德等欧盟国家普遍采取注册登记制、审核批准制等多种措施,对于网络个人信息处理活动实行行政审查和管理;日本采取行政申告制,行政机关须向总务大臣提交行政申告后,才能从事网络个人信息处理活动,独立行政法人、非公共行政部门无需事前行政申告,但须应要求就其网络个人信息处理情况向总务大臣随时提交行政通报;美、日等国还采取广泛、深入的技术评估认证措施,对于网络个人信息安全保护状况进行第三方监督和管理。三是通过行政评估、行政投诉、行政执法、行政救济、行政处罚等一揽子行政保护措施,对网络个人信息提供全方位的安全保护。英国法规定英国信息委员会办公室(ICO)有权采取合理性评估、合法性评估等多种行政评估措施,对网络个人信息处理活动进行事前评析和研判;欧盟相关指令规定,欧盟数据保护机构有权向网络个人信息处理人发出违法通知、陈述通知、强制调查令、警告令、禁止令、强制执行令等多种行政命令,有效贯彻执行网络个人信息安全保护相关法律要求;韩国通信委员会(KCC)互联网安全局(KISA)有权收集、发布个人信息非法侵害相关信息,预报、预警个人信息非法侵害事件、案件,要求信息通信服务提供者采取拦截流量、限制接取路由等紧急措施,防止个人信息侵权损害的扩大。

另一方面,我国尚未建起网络个人信息的行政保护管理体制。在工信部部门规章框架下,我国虽已开始建立网络个人信息安全保护的行政调查、行政警告和行政处罚等实践机制,但是总体而言,我国尚未建起网络个人信息的行政保护管理体制。一是我国缺乏行使网络个人信息安全保护的专门行政机构。从国家层面,我国十分重视网络个人信息的刑事司法保护,但是立法和相关文件尚未明确授权某一行政机关专门行使网络个人信息安全保护行政职能,据不完全统计,截至目前,工信部、公安部、国家保密局、国家密码管理局、卫生部、食品药品监督管理局、银监会、证监会、铁道部等多个部门所颁行的多个规章文件中,均涉及个人信息保护的内容,缺乏顶层设计和综合协调;从部委层面,工信部依据《电信和互联网用户个人信息保护规定》,已经明确部内电信管理局、通信保障局在网络个人信息安全保护方面的职能分工,具体由电信管理局负责贯彻实施“信息收集和使用规范”相关行政事务,由通信保障局负责贯彻实施“安全保障措施”相关行政事务,但是由于国家层面缺乏明确的“三定”授权或者立法授权,因此,电信管理局、通信保障局尚不能被合理地“推定”为在网络个人信息安全方面行使安全保护职能的专门行政机关。二是我国尚未建立起网络个人信息安全保护的行政管理制度我国相关法律法规尚未规定,从事网络个人信息收集和处理活动的主体应当取得相关主管政府部门的行政许可或者须向相关政府主管部门进行登记或予以申告;实践中,虽有部分企业会在用户注册协议等内容中对收集和使用用户个人信息进行简单申明,但其最终使用了用户哪些个人信息以及这些个人信息被用于何处,往往并未如实告知用户。国际社会广泛通行的信息处理行政许可制、行政登记制、行政申告制以及信息跨境流动的第三方安全认证制,在我国尚未成为政府行政管理的基本制度。三是我国尚未建立起网络个人信息安全保护的行政实践框架。在工信部部门规章框架下,我国虽已开始建立网络个人信息安全保护行政调查、行政警告和行政处罚等实践机制,但是仍然缺乏包括行政评估、行政投诉、行政救济、行政联动处置等在内的行政实践整体框架。行政评估方面,我国尚未有任何行政机关开始酝酿或实施网络个人信息安全保护方面的合规性行政评估;行政投诉方面,我国尚未有任何行政机关设有任何形式的举报投诉受理机制,专门负责受理并处理针对网络个人信息安全保护方面的社会举报和公共投诉;行政救济方面,我国尚未有任何行政机关开始推进或实施针对网络个人信息安全侵害事件的行政禁止、行政支持诉讼、诉前保全、诉前先行给付、行政裁决赔偿、行政追诉等措施,救济渠道不畅,救济制度不完善,使得本已脆弱的损害救济机制变得更加举轻若微;行政联动方面,有权实施行政处罚、治安管理处罚、刑事处罚的行政机关之间尚未建立起有效的执法联动机制,使得法律责任认定常常出现误诊和漏判情况。

3.技术保护体系已有初步行动,但是赖以实施的技术基础脆弱、技术认证阙如

从全球范围看,网络个人信息安全保护的技术体系包含通用和专用保护技术、安全保护标准指南、安全保护技术平台、网络可信生态体系、第三方评估体系等内容。一方面,国际社会技术保护体系建设实践较早,相关成果已经较为成熟。一是用于网络个人信息安全保护的密钥加密、访问控制等防入侵防攻击通用保护技术较为成熟且应用广泛。二是用于网络个人信息安全保护的匿名、数据保护模型等专用保护技术研究较早、参与机构较多,目前取得的成果较为丰硕,在行业企业的推广和应用较为深入和普及。三是开始设计、采用诸如移动智能终端操作系统API分类分级控制和调用管控技术等适用于移动互联网、云计算等新技术新业务领域网络个人信息安全保护的专用保护技术。四是广泛采用可有效识别并定位网络个人信息加害人的网络身份识别和追溯技术,实行网络空间身份管理制度,构建覆盖各行各业的网络信任体系,如2011年1月5日美国白宫发布《网络空间可信身份国家战略(NSTIC)》,2011年11月经合组织(OECD)又发布了《自然人数字身份管理:促进互联网经济创新与信任》。五是国际社会已经形成较为成熟的网络个人信息安全保护第三方认证评估体系,例如2011年德国一家创业公司开始创建国际反绑架项目(Unhost Project),标记互联网应用服务条款存在或者可能存在的问题,用于创建允许用户自行控制其网络个人信的web应用系统;亚太经合组织(APEC)电子商务指导组数据隐私保护分组(DPS)已经制定形成《APEC跨境隐私规则体系(CBPR)》,通过引入电子商务指导组(ECSG)主席、数据隐私保护分组联合督导组(JOP)认可的认证责任机构,在亚太经合组织(APEC)框架下开展网络个人信息跨境流动的安全认证活动;美国TRUSTe组织是享誉全球的用户隐私权保护第三方评估机构,其设立的用户隐私权保护认证项目(the Privacy Seal Program),通过向遵守特定信息收集规则并服从特定形式监督管理的民间组织、私营机构颁发“隐私权保护认证标志”,督促相关组织和机构加强个人信息的保护,目前业务范围已从美国本土扩展至包括欧盟成员国、亚太经合组织(APEC)经济体在内的跨国数据流动活动;日本政府推行P-MARK认证机制,由日本情报处理开发协会等第三方认证机构对本国企事业单位从事个人信息处理的管理体系进行安全评估和认证,确保本国企事业单位的电子信息在跨境流动过程中能够得到有效的安全保护,同时不影响数据跨境的自由流动;韩国实行ePrivacy Mark认证机制,由韩国信息通信产业协会等第三方认证机构向网络个人信息安全保护成效显著的企事业单位颁发“个人信息保护认证标识(ePRIVACY Mark)”,推动建立健全完善的网络个人信息安全保护体系;欧洲委员会2011年1月12日发布《欧盟RFID隐私和数据保护影响评估系统》,旨在帮助RFID应用运营商揭露与RFID应用相关的隐私风险,评估其可能性,并记录应对这些风险所采取的措施。

另一方面,我国技术保护体系虽已开始建立,但仍存在重大空白和缺陷。一是用于网络个人信息安全保护的防攻击防入侵等通用保护技术虽有应用,但我国互联网业务系统的安全防护能力整体薄弱。二是用于网络个人信息安全保护的匿名、数据保护模型等专用保护技术在我国的研发和应用不足,尚存在较大的技术空白。三是近年开始重视并从行业、企业等层面研究制定网络个人信息安全保护相关标准,但是尚未形成完善的网络个人信息安全保护技术和管理标准体系,缺乏对网络个人信息范畴、管理技术具体要求等方面的明确规定。四是为防止企业内网和业务系统的非授权接入,我国在企业层面虽然建有集中管控和统一认证等技术平台,但是尚未建有针对网络个人信息安全保护的企业级或国家级监督管理技术平台,不能对网络个人信息安全威胁实施有效的仿真测试、态势感知和监测预警。五是我国相关政府部门虽在进行网络实名制的不懈努力,但是尚未制定并实施相应的网络身份管理国家战略,没有建设起以市场为导向的多层次网络身份服务体系和可信管理生态体系。六是目前大连软件行业协会依据《大连软件及信息服务业个人信息保护规范》、《辽宁省软件及信息服务业个人信息保护规范》、《辽宁省个人信息保护规范(DB21/T 1628-2008)》等地方行业标准,创立并实施“个人信息保护评估认证机制(PIPA认证)”;中国软件评测中心依据《信息安全技术、公共及商用服务信息系统个人信息保护指南》等国家标准,建立并运行个人信息保护管理体系认证机制,并对企业级的个人信息保护能力进行总体评价,但是,我国总体上缺乏国家战略指导和统筹协调,尚未建立起针对电信互联网行业网络个人信息安全保护的全国性评估和认证体系,更没有针对云计算、大数据、移动互联网、物联网等新兴技术领域网络个人信息跨境流动活动的安全评估和认证机制。

4.行业保护体系正在酝酿,但是缺乏网络个人信息安全保护的集体行动

一方面,国际上已经形成相对成熟的网络个人信息安全保护行业自律规范体系。一是国际上有关网络个人信息安全保护的自律规范较为完备。目前为止,已有50多个国家或组织制定发布了有关网络个人信息安全保护的行业自律规范和标准。美国国会、联邦政府和相关行业联盟鼓励并支持以行业自律政策作为成文立法的重要补充,以在线隐私联盟(OPA)于1998年6月22日发布的《在线隐私指引》为代表,构成美国较为完备的行业自律规范体系。二是世界各国较早地成立了网络个人信息安全保护的专门行业自律组织。美国设立并运行着在线隐私联盟、TRUSTe、BBBOn-Line等著名的网络隐私保护专门组织,其中在线隐私联盟成立于1998年,由超过80家的跨国企业及行业自律协会所组成;TRUSTe组织成立于1997年6月10日,是美国商业网络财团和电子前线基金会发起筹建的独立性非营利组织,也是美国首家获得联邦贸易委员会(FTC)认可的网络隐私认证民间机构;BBBonline成立于1999年3月17日,属于“美国促进良好商业顾问局”的附属机构,自成立以来一直致力于实施隐私认证计划。

另一方面,我国尚未建立网络个人信息安全保护行业自律规范体系。一是缺乏针对网络个人信息安全保护的自律规范。早在2002年中国互联网协会发布的《中国互联网行业自律公约》中就提到要保护网络隐私权,但是迄今为止,我国行业企业及其自律组织尚未制定并发布过网络个人信息安全保护方面的专门性行业自律规范。二是缺乏针对网络个人信息安全保护的标准指南。2012年4月工信部直属中国软件测评中心联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》虽已通过评审并报国家标准化管理委员会批准,但是尚未制定发布有关网络个人信息安全保护技术、评估、认证等方面的细化标准指南,尚未形成网络个人信息安全保护方面的标准规范体系。三是行业企业缺乏行为自觉,很少开展相关集体自治行动。行业企业鲜有联合开展网络个人信息安全保护的相关集体自治行动,相反,大凡发生网络个人信息泄漏事件,涉案单位均选择保持沉默,鲜有公开道歉或对外公布内部问责情况;内部员工屡屡通谋买卖、转让网络个人信息,单位鲜有被认定为共犯,主管人员或相关负责人员被追究刑责的情况更为少见。

5.社会保护体系刚刚启动,缺乏网络个人信息安全保护的社会广泛自觉

一方面,国际社会已经形成较为成熟的网络个人信息安全保护社会环境。在传统人文精神、舆论监督和个人自觉等因素的作用和影响下,国际社会早已形成广泛的社会共识和集体自觉,构成网络个人信息安全保护的重要社会环境。另一方面,我国网络个人信息安全保护的社会环境较差。一是个人信息价值意识不强,人们尚未充分认识到个人信息的重要性及其内在价值。二是个人信息的防护意识不强,人们往往心存侥幸,认为有限的信息披露不会暴露真实身份,也不足以威胁到个人隐私的安全。三是针对个人信息的维权意识不强,据工业和信息化部科学技术情报研究所调查显示,个人信息被滥用后采取相应维权措施的情况占被调查对象的比例不足10%。

(三)我国网络个人信息安全保护面临不进则退的复杂国际环境

1.发达国家规则体系已经成熟,依旧不断推出适应新技术新业务发展形势的各种新法

欧盟1995年制定了《关于个人数据处理保护与自由流动指(95/46/EC)》,2012年1月25日欧盟委员会又发布了《有关“1995年个人数据保护指令”的立法建议》,提议对《1995年个人数据保护指令》进行全面修订。法国1978年即制定有《信息、档案与自由法》,2004年修订为《数据处理、数据文件及个人自由法》,2012年6月25日又发布《云计算数据保护指南》,规范了云计算环境下网络个人信息安全保护相关问题。日本已制定《个人信息保护法》、《行政机关所持有之个人信息保护法》、《独立行政法人等所持有之个人信息保护法》、《信息公开与个人信息保护审查会设置法》等多部个人信息保护法,2011年4月,日本政府又发布《云服务信息安全管理指南》,规定了云服务环境下个人信息保护须注意的事项和问题;2011年8月,总务省还发布了《智能手机用户信息处理措施(草案)》,规定了智能手机用户个人信息保护的具体措施。2011年3月29日,韩国废除旧法《1999年公共机关个人信息保护法》,颁布新法《个人信息保护法》;2012年,韩国修订了《信息通信网络的促进利用与信息保护法》,同年7月韩国通信委员会(KCC)又发布《云计算发展与用户保护法(提案)》。美国历史上曾经制定发布过《1986年电子通信隐私法》、《1997年数据隐私法》、《1997年电子信箱保护法》、《1998年儿童在线隐私保护法》等多部网络隐私权保护法律,2012年2月23日,美国白宫又发布了《用户隐私权利宪章(the Consumer Privacy Bill of Rights)》,作为非强制指导性政府倡议指南,供互联网企业自愿选择遵守并将其吸收、完善在自己的企业隐私政策框架之中。

2.国际社会加紧进行数据跨境流动的对话磋商,已经形成横跨多边双边多种机制的综合法律框架体系

一是经济合作与发展组织(OECD)早已制定并形成了网络个人信息安全保护的公认性国际法律准据。其所制定的《关于保护隐私与跨境个人数据流动的指南》、《在全球网络上保护个人隐私的宣言》等法律文件,确立了全球范围内网络个人信息安全保护赖以实施的基本方针和公共原则。是美欧早已达成基于安全港(safe harber)认证、公司绑定规则(BCR)认证以及标准合同范本(Model Contracts)认证的双边多边认证机制。依据2000年7月26日美欧之间达成的“安全港协定”,美欧双方共同建立“安全港认证”机制,美国企业公司必须承诺,表明愿意遵守由美国商务部和欧盟委员会内部市场司共同制定的一系列隐私权保护原则,之后,这些企业公司即被视为假定达到了欧盟委员会的“充分性保护标准”,可以继续接受来自欧盟及其成员国的个人数据。依据公司绑定规则(BCR),由欧盟成员国数据保护机构组成的G29峰会制定并颁布适用于个人数据跨境流动的多个规则范本,供在欧盟范围内有业务往来的国际跨国公司基于自愿原则进行选择适用,一旦选定,国际跨国公司必须依据选定的公司绑定规则(BCR)对集团公司内部数据保护政策进行全面修订,确保其内部个人数据从欧盟境内流向欧盟境外第三国时必须符合《欧盟数据保护指令》框架确定的安全保护水平。依据标准合同范本(Model Contracts),欧盟委员会有权依据《欧盟数据保护指令》第26条第2款有关规定,制定并发布一系列指导数据跨境流动的标准合同范本(ModelContracts),供数据传送者、接收者自主选择采用;数据传送者、接收者一旦选择采用欧盟委员会发布的某一标准合同范本(Model Contracts),即被视为接受了《欧盟数据保护指令》框架下确定的安全保护要求,须接受欧盟委员会或其成员国数据保护机构依据《欧盟数据保护指令》实施的数据安全保护监管。三是亚太经合组织(APEC)框架下正在形成完整的法律框架体系。早在2004年11月,APEC领导人峰会就表决通过了《APEC隐私保护框架》。APEC电子商务指导组数据隐私保护分组(DPS)目前正在研究起草《欧盟公司绑定规则(BCR)和APEC跨境隐私规则(CBPR)框架指引》,依据未来APEC和欧盟委员会之间即将达成的国际协议,通过APEC跨境隐私规则(CBPR)体系认证的企业组织和通过欧盟公司绑定规则(BCR)体系认证的企业组织之间,未来可以进行个人信息和数据的跨境自由流动和贸易。

3.不进则退的倒逼效应日益明显,我在国际规则体系中应享的优惠空间日益狭窄

为了在APEC框架下对跨境流动的网络数据和个人信息提供完善的法律保护,依据《APEC隐私保护框架》,APEC电子商务指导组数据隐私保护分组(DPS)经过长期讨论和修订,制定完成了《APEC跨境隐私规则体系(CBPR)》,在APEC范围内向跨境流动的数据及个人信息提供基于APEC法律原则框架的评估和保护活动。《APEC跨境隐私规则体系(CBPR)》规定,经济体可以自主选择加入这一规则体系,但是申请加入方国内必须设有独立的网络个人信息安全保护专门行政机关。目前,美国、墨西哥等国已经加入该体系,日本已经提交申请,正在等待APEC电子商务指导组(ECSG)主席和电子商务指导组数据隐私保护分组联合督导组(JOP)的核准。《APEC跨境隐私规则体系(CBPR)》确定的保护框架,就是以APEC电子商务指导组(ECSG)主席认可的形式,在APEC经济体范围内确定具有合格资格的隐私权保护评估认证组织(APEC认可的认证责任机构);经APEC电子商务指导组(ECSG)主席授权,由APEC认可的认证责任机构在APEC经济体范围内进行数据隐私权保护状况的评估和认证,APEC经济体范围内所有个人、企业、组织、机构以及国家和超国家实体,一经APEC认可的认证责任机构评估并认证合格,即被APEC电子商务指导组(ECSG)主席自然推定属于已经达到《APEC隐私保护框架》水平,享有在APEC经济体范围内从事数据及个人信息自由流动的权利,APEC经济体应当向该类主体所从事的数据及个人信息跨境流动活动给予优先通行权。当前,美国TrustE组织已经获得APEC电子商务指导组(ECSG)主席的认可和授权,在APEC经济体范围内开始实施基于《APEC隐私保护框架》的数据和个人信息安全保护认证活动。作为APEC经济体,我国针对《APEC跨境隐私规则体系(CBPR)》框架既没有形成国家参与的共识,也没有发布任何国家表述;面对国际法规则体系日益完善,我国网络个人信息安全保护不进则退,国际社会规则体系为我预留的规则优惠空间日益狭窄。

2016-03-10 11:24
来源: CAICT互联网法律研究中心
热门推荐更多
热点新闻更多