APEC跨境隱私規(guī)則體系與我國(guó)的對(duì)策

弓永欽 王 健(教授)

亞太經(jīng)濟(jì)合作組織(APEC)是亞太地區(qū)級(jí)別最高、最具影響力的經(jīng)濟(jì)合作官方論壇。它在推動(dòng)區(qū)域貿(mào)易投資自由化和加強(qiáng)成員間經(jīng)濟(jì)技術(shù)合作，促進(jìn)地區(qū)經(jīng)濟(jì)發(fā)展和共同繁榮方面做出了突出的貢獻(xiàn)，已成為連接太平洋兩岸國(guó)家和地區(qū)的一條重要紐帶。

進(jìn)入21世紀(jì)以來(lái)，電子商務(wù)已經(jīng)成為國(guó)際貿(mào)易和國(guó)際投資的重要組成部分，跨境網(wǎng)絡(luò)零售、跨境數(shù)據(jù)外包、跨國(guó)公司的經(jīng)營(yíng)活動(dòng)都涉及個(gè)人信息的跨境流動(dòng)，而各國(guó)個(gè)人信息保護(hù)水平的差異引發(fā)了人們對(duì)跨境信息隱私保護(hù)的擔(dān)憂(yōu)。在此情況下，APEC電子商務(wù)指導(dǎo)組數(shù)據(jù)隱私分組歷時(shí)十年倡議并構(gòu)建了跨境隱私規(guī)則體系(Cross-Border Privacy Rules, CBPR)，旨在建立跨境電子商務(wù)中的個(gè)人信息保護(hù)規(guī)則。

CBPR體系于2012年正式啟動(dòng)，目前已有兩個(gè)成員經(jīng)濟(jì)體成功加入，即美國(guó)(2012年7月)和墨西哥(2013年1月)，澳大利亞和日本也提出了加入申請(qǐng)。隨著更多APEC成員經(jīng)濟(jì)體加入到CBPR體系中，該體系將成為亞太區(qū)域規(guī)范跨境貿(mào)易和跨境投資的一個(gè)重要規(guī)則。作為亞太地區(qū)的貿(mào)易大國(guó)，中國(guó)應(yīng)該及時(shí)了解CBPR體系，并做出相應(yīng)的對(duì)策。

一、跨境隱私規(guī)則體系介紹

(一)CBPR體系的定義和范圍

CBPR體系被APEC組織定義為:“規(guī)范APEC成員經(jīng)濟(jì)體企業(yè)個(gè)人信息跨境傳輸活動(dòng)的自愿的多邊數(shù)據(jù)隱私保護(hù)計(jì)劃?！倍x指出CBPR規(guī)范的對(duì)象僅限于亞太地區(qū)涉及個(gè)人信息跨境傳輸業(yè)務(wù)的企業(yè)，而不包括政府；自愿的多邊數(shù)據(jù)隱私保護(hù)計(jì)劃是指該體系只規(guī)范自愿加入的成員經(jīng)濟(jì)體的企業(yè)，對(duì)體系外的企業(yè)則沒(méi)有約束力。從定義上看，CBPR類(lèi)似于美國(guó)的行業(yè)自律體系，即企業(yè)自愿參加隱私保護(hù)認(rèn)證，并進(jìn)行自我約束。然而，CBPR又不等同于行業(yè)自律，因?yàn)樵谄錂C(jī)制設(shè)計(jì)中還加入了隱私執(zhí)法機(jī)構(gòu)，給自愿認(rèn)證體系增加了法律保障。

CBPR體系規(guī)范各種規(guī)模的企業(yè)，從中小型企業(yè)一直到跨國(guó)公司；只要涉及個(gè)人信息收集、存儲(chǔ)、加工、傳輸?shù)钠髽I(yè)都在范圍之內(nèi)，還包括指示其他企業(yè)對(duì)其所有的個(gè)人信息進(jìn)行加工的企業(yè)?？缇硞鬏?shù)膫€(gè)人信息包括消費(fèi)者信息、員工信息和健康信息等，可以由參加國(guó)自己選擇；美國(guó)加入該體系時(shí)只選擇了消費(fèi)者信息。該體系對(duì)企業(yè)的范圍規(guī)定比較寬泛，不限于電商企業(yè)，而是只要涉及個(gè)人信息跨境傳輸業(yè)務(wù)的企業(yè)都屬于其規(guī)范的對(duì)象。然而，電子商務(wù)與個(gè)人信息的關(guān)系最為緊密，而且廣義的電子商務(wù)包括任何使用電子技術(shù)的商務(wù)活動(dòng)，從這個(gè)意義上講，CBPR體系可以稱(chēng)為跨境電子商務(wù)中的個(gè)人信息保護(hù)規(guī)則體系。

(二)CBPR體系的基礎(chǔ)和宗旨

CBPR的宗旨是通過(guò)特定的機(jī)制保障2004年由APEC部長(zhǎng)級(jí)會(huì)議通過(guò)的隱私框架(Privacy Framework)九大原則在成員經(jīng)濟(jì)體中得到實(shí)現(xiàn)，最終促使區(qū)域內(nèi)個(gè)人信息在得到保護(hù)的基礎(chǔ)上實(shí)現(xiàn)無(wú)障礙流動(dòng)，推動(dòng)亞太地區(qū)跨境電子商務(wù)的發(fā)展。

2004年通過(guò)的APEC隱私框架是CBPR體系的基礎(chǔ)，該框架針對(duì)個(gè)人信息保護(hù)提出了九大原則，如表1所示。

APEC隱私框架的九大原則規(guī)定了個(gè)人數(shù)據(jù)收集者和控制者在對(duì)個(gè)人數(shù)據(jù)進(jìn)行收集、存儲(chǔ)、利用和轉(zhuǎn)移時(shí)應(yīng)該遵循的原則，與OECD的八大原則沒(méi)有本質(zhì)區(qū)別。并且，九大原則注重個(gè)人信息保護(hù)和利用的平衡，指出保護(hù)的最終目的是實(shí)現(xiàn)區(qū)域內(nèi)個(gè)人信息的無(wú)障礙流動(dòng)。隱私框架為這些原則的跨境實(shí)施提供了指導(dǎo)，鼓勵(lì)成員經(jīng)濟(jì)體間共享信息，并建議就隱私調(diào)查和執(zhí)法活動(dòng)進(jìn)行跨境合作。

隱私框架雖然在2004年由部長(zhǎng)們簽字生效，要求各國(guó)以其為最低標(biāo)準(zhǔn)建立本國(guó)的隱私保護(hù)體系，但是由于框架對(duì)各國(guó)沒(méi)有法律效力以及缺乏可操作性，因此一直形同虛設(shè)。為了推進(jìn)隱私框架在亞太各經(jīng)濟(jì)體中的實(shí)施，APEC電子商務(wù)指導(dǎo)組數(shù)據(jù)隱私分組于2007年提出了探路者倡議(Pathfinder)，并決定根據(jù)倡議精神構(gòu)建CBPR體系。

(三)CBPR體系的機(jī)制設(shè)計(jì)

為了保證其宗旨的實(shí)現(xiàn)，CBPR體系從隱私執(zhí)法機(jī)構(gòu)、問(wèn)責(zé)代理機(jī)構(gòu)和企業(yè)三方面進(jìn)行了機(jī)制設(shè)計(jì)，有效地保證了加入CBPR體系的企業(yè)隱私保護(hù)水平合乎標(biāo)準(zhǔn)。

1.隱私執(zhí)法機(jī)構(gòu)

為了保證加入該體系的成員經(jīng)濟(jì)體能夠按照隱私框架的最低要求約束本國(guó)企業(yè)，CBPR體系設(shè)定的準(zhǔn)入條件是：申請(qǐng)國(guó)至少有一個(gè)隱私執(zhí)法機(jī)構(gòu)加入跨境隱私執(zhí)法安排(Cross-border Privacy Enforcement Arrangement, CPEA)。CPEA是探路者倡議的一個(gè)成果，于2010年制定，為APEC地區(qū)的隱私執(zhí)法機(jī)構(gòu)提供了一個(gè)就具體隱私執(zhí)法事宜分享信息、尋求幫助、提供跨境合作的機(jī)制。由于一個(gè)國(guó)家沒(méi)有權(quán)力懲處侵犯其公民信息隱私的外國(guó)企業(yè)，因此只能求助于該企業(yè)所在國(guó)的執(zhí)法機(jī)構(gòu)對(duì)其進(jìn)行懲罰。CPEA是各國(guó)隱私執(zhí)法機(jī)構(gòu)之間的非約束性的多邊合作協(xié)議，本著自愿互利的原則展開(kāi)跨境隱私保護(hù)執(zhí)法合作，是隱私框架得以在APEC區(qū)域?qū)嵤┑闹匾Ｕ稀?/p>

表1 APEC隱私框架九大原則

APEC經(jīng)濟(jì)體的任何隱私執(zhí)法機(jī)構(gòu)均可參加CPEA。CPEA對(duì)隱私執(zhí)法機(jī)構(gòu)的定義是：“任何負(fù)責(zé)隱私法律的執(zhí)行，并具有開(kāi)展調(diào)查或提起執(zhí)法訴訟的公共機(jī)構(gòu)”。從APEC最新的CPEA參與機(jī)構(gòu)來(lái)看，目前已有8個(gè)國(guó)家(地區(qū))的22個(gè)隱私執(zhí)法機(jī)構(gòu)加入了CPEA,其中澳大利亞、新西蘭、加拿大和中國(guó)香港有專(zhuān)門(mén)的隱私執(zhí)法機(jī)構(gòu)，美國(guó)派出的部門(mén)是聯(lián)邦貿(mào)易委員會(huì)，韓國(guó)的代表是行政安全部，墨西哥的代表是聯(lián)邦信息公開(kāi)與數(shù)據(jù)保護(hù)委員會(huì)，而日本則有15個(gè)部門(mén)加入。

成員經(jīng)濟(jì)體向APEC提出加入CBPR的申請(qǐng)后，聯(lián)合督導(dǎo)組(Joint Oversight Panel)將對(duì)申請(qǐng)國(guó)已加入CPEA的隱私執(zhí)法機(jī)構(gòu)進(jìn)行調(diào)查，確定該機(jī)構(gòu)在國(guó)內(nèi)切實(shí)擁有針對(duì)隱私框架九大原則50項(xiàng)具體要求的執(zhí)法權(quán)力(加入CPEA只需承諾按照隱私框架進(jìn)行執(zhí)法，而加入CBPR要具體到50項(xiàng)具體要求)。隱私執(zhí)法機(jī)構(gòu)的執(zhí)法權(quán)力通常需要國(guó)內(nèi)法給予授權(quán)，比如中國(guó)香港的隱私專(zhuān)員公署就是在《個(gè)人資料(隱私)條例》授權(quán)之下開(kāi)展工作的。該審核制度保證了凡是獲準(zhǔn)加入CBPR體系的成員經(jīng)濟(jì)體能夠按照隱私框架的最低要求對(duì)本國(guó)企業(yè)進(jìn)行執(zhí)法，從而保證了APEC隱私框架在加入國(guó)的法律效力，而隱私框架也為協(xié)調(diào)亞太各國(guó)隱私保護(hù)政策提供了一個(gè)法律平臺(tái)。

2.問(wèn)責(zé)代理機(jī)構(gòu)

CBPR的另一個(gè)機(jī)制設(shè)計(jì)是通過(guò)問(wèn)責(zé)代理機(jī)構(gòu)來(lái)衡量加入國(guó)認(rèn)證企業(yè)的隱私保護(hù)水平。當(dāng)一個(gè)成員經(jīng)濟(jì)體獲準(zhǔn)加入CBPR體系后，該國(guó)還要至少有一個(gè)APEC認(rèn)可的問(wèn)責(zé)代理機(jī)構(gòu)(Accountability Agent)為該體系提供服務(wù)，國(guó)有或私有都可以。問(wèn)責(zé)代理機(jī)構(gòu)的職責(zé)是：證明企業(yè)制定的跨境隱私保護(hù)政策符合APEC隱私框架并為其認(rèn)證；為消費(fèi)者提供渠道解決其對(duì)企業(yè)的隱私保護(hù)投訴。APEC對(duì)問(wèn)責(zé)代理機(jī)構(gòu)的審核非常嚴(yán)格，確保該機(jī)構(gòu)能夠按照隱私框架的原則對(duì)企業(yè)進(jìn)行隱私保護(hù)認(rèn)證。只有在所有APEC成員經(jīng)濟(jì)體都沒(méi)有異議的情況下，APEC才會(huì)認(rèn)可其為CBPR體系的問(wèn)責(zé)代理機(jī)構(gòu)，有效期為一年，每年都需要重新審核。在美國(guó)加入CBPR體系后，美國(guó)著名的隱私認(rèn)證公司TRUSTe已于最近獲準(zhǔn)成為CBPR的問(wèn)責(zé)代理機(jī)構(gòu)。

使用問(wèn)責(zé)代理機(jī)構(gòu)是CBPR體系的一大關(guān)鍵創(chuàng)新。問(wèn)責(zé)代理機(jī)構(gòu)通過(guò)提供獨(dú)立的第三方認(rèn)證證實(shí)某組織的隱私政策和做法符合APEC隱私框架，從而在CBPR體系中發(fā)揮著不可或缺的作用。

3.企業(yè)

CBPR加入國(guó)的企業(yè)如果想從事跨境電子商務(wù)活動(dòng)，可以自愿向問(wèn)責(zé)代理機(jī)構(gòu)申請(qǐng)對(duì)其進(jìn)行隱私保護(hù)認(rèn)證，后者需按照CBPR體系的要求對(duì)企業(yè)進(jìn)行評(píng)價(jià)。企業(yè)首先根據(jù)CBPR體系納新問(wèn)卷進(jìn)行自評(píng)，涉及隱私框架九大原則50項(xiàng)具體要求，完成后交由問(wèn)責(zé)代理機(jī)構(gòu)審核。通過(guò)審核的企業(yè)可以獲得APEC認(rèn)可的隱私保護(hù)信賴(lài)標(biāo)章，從此在亞太區(qū)域被視為隱私保護(hù)良好的企業(yè)，有利于其開(kāi)展跨境貿(mào)易和投資活動(dòng)。同時(shí)，通過(guò)問(wèn)責(zé)代理機(jī)構(gòu)認(rèn)證進(jìn)入CBPR體系的企業(yè)默認(rèn)接受隱私框架九大原則50項(xiàng)具體要求的法律約束，如若違反，會(huì)受到本國(guó)隱私執(zhí)法機(jī)構(gòu)的法律制裁。

CBPR體系的機(jī)制設(shè)計(jì)從行業(yè)自律和法律規(guī)制兩個(gè)維度對(duì)進(jìn)入該體系企業(yè)的隱私保護(hù)水平進(jìn)行了有效的控制。世界各國(guó)在隱私保護(hù)的實(shí)踐中形成了兩種基本模式，一種是以歐盟為代表的法律規(guī)制模式，另一種是以美國(guó)為代表的行業(yè)自律模式。CBPR體系在機(jī)制設(shè)計(jì)方面結(jié)合了兩者的優(yōu)點(diǎn)，因而更加有效率。問(wèn)責(zé)代理機(jī)構(gòu)代表了行業(yè)自律，通過(guò)企業(yè)認(rèn)證和后續(xù)的服務(wù)質(zhì)量追蹤來(lái)督促企業(yè)對(duì)個(gè)人信息的自律保護(hù)；隱私執(zhí)法機(jī)構(gòu)代表著法律規(guī)制，給自愿認(rèn)證加上了一道執(zhí)法保障，確保加入該體系的企業(yè)行為符合隱私框架，并且在CPEA機(jī)制下實(shí)現(xiàn)了隱私框架在APEC區(qū)域的跨境實(shí)施。

(四)CBPR體系的作用

CBPR體系是規(guī)范APEC成員經(jīng)濟(jì)體企業(yè)個(gè)人信息跨境傳輸活動(dòng)的自愿的多邊數(shù)據(jù)隱私保護(hù)計(jì)劃，其本身對(duì)各加入國(guó)并沒(méi)有強(qiáng)制約束力，只是為它們提供了一個(gè)建立進(jìn)一步合作和正式關(guān)系的基礎(chǔ)。加入國(guó)可以在CBPR的基礎(chǔ)上就跨境隱私保護(hù)達(dá)成雙邊或多邊協(xié)議，從而對(duì)協(xié)議國(guó)產(chǎn)生約束力；也可以在兩國(guó)或多國(guó)之間形成類(lèi)似于美國(guó)與歐盟之間的“安全港”協(xié)議，讓獲得CBPR隱私保護(hù)認(rèn)證的企業(yè)受到協(xié)議國(guó)的認(rèn)可。另外，CBPR體系正在積極尋求與歐盟BCR體系(Binding Corporation Rules)的合作，使加入CBPR的企業(yè)有望得到歐盟各國(guó)的認(rèn)可。雖然這些發(fā)展前景還需要時(shí)間和考慮更多的具體問(wèn)題，但是CBPR體系為這些前景的實(shí)現(xiàn)打下了堅(jiān)實(shí)的基礎(chǔ)。

沒(méi)有加入該體系的成員經(jīng)濟(jì)體將失去上述與別國(guó)建立進(jìn)一步合作關(guān)系的機(jī)會(huì)。對(duì)于企業(yè)來(lái)說(shuō)，加入該體系的企業(yè)將在亞太甚至歐盟地區(qū)獲得消費(fèi)者的信賴(lài)，有利于其開(kāi)展跨境商務(wù)活動(dòng)，而體系之外的企業(yè)會(huì)因此處于競(jìng)爭(zhēng)劣勢(shì)，失去廣大的國(guó)外市場(chǎng)。

二、跨境隱私規(guī)則體系存在的背景和意義

(一)消費(fèi)者信任是電子商務(wù)發(fā)展的引擎

全球大部分發(fā)達(dá)國(guó)家和一部分發(fā)展中國(guó)家已經(jīng)對(duì)個(gè)人信息進(jìn)行了立法保護(hù)；一些區(qū)域性組織則對(duì)跨境個(gè)人信息保護(hù)規(guī)則的建立做出了貢獻(xiàn)，比如歐盟和OECD。CBPR體系只是世界隱私保護(hù)陣營(yíng)中的一分子，但是卻與中國(guó)的關(guān)系最為密切。各國(guó)無(wú)論是通過(guò)立法還是行業(yè)自律模式對(duì)個(gè)人信息進(jìn)行保護(hù)，一方面是出于對(duì)信息主體權(quán)利的維護(hù)，另一方面也是由于看到了濫用個(gè)人信息對(duì)電子商務(wù)發(fā)展造成致命性的傷害，從而希望通過(guò)在全國(guó)乃至世界對(duì)個(gè)人信息進(jìn)行保護(hù)而重建消費(fèi)者對(duì)電子商務(wù)的信任。

全球著名隱私保護(hù)認(rèn)證公司TRUSTe的統(tǒng)計(jì)數(shù)據(jù)表明，88%的消費(fèi)者擔(dān)心其個(gè)人信息在網(wǎng)上遭到泄露和濫用，91%的消費(fèi)者會(huì)拒絕在個(gè)人信息保護(hù)不力的電商網(wǎng)站上購(gòu)物。很多國(guó)外研究也表明，消費(fèi)者對(duì)個(gè)人信息保護(hù)不力的擔(dān)心(concern)會(huì)影響其對(duì)電子商務(wù)的信任(trust)，從而降低其提供個(gè)人信息的意愿以及購(gòu)物意愿(purchase intention)；消費(fèi)者由于對(duì)個(gè)人信息泄露的擔(dān)心，會(huì)采取提供虛假信息、使用隱私保護(hù)技術(shù)、拒絕網(wǎng)絡(luò)購(gòu)物等行為，不利于電子商務(wù)的可持續(xù)發(fā)展。APEC電子商務(wù)指導(dǎo)組正是由于看到了網(wǎng)絡(luò)隱私保護(hù)不力對(duì)電子商務(wù)產(chǎn)生的致命傷害，因此專(zhuān)門(mén)成立了數(shù)據(jù)隱私分組，并推出一系列促進(jìn)亞太區(qū)域個(gè)人信息保護(hù)的舉措，CBPR體系就是在亞太各國(guó)落實(shí)隱私框架的具體機(jī)制設(shè)計(jì)。

(二)CBPR體系是亞太各國(guó)協(xié)調(diào)隱私保護(hù)政策的嘗試

APEC包括8個(gè)發(fā)達(dá)國(guó)家(地區(qū))和13個(gè)發(fā)展中國(guó)家(地區(qū))，其中15個(gè)國(guó)家都頒布了自己的個(gè)人信息保護(hù)法律。各國(guó)法律的差異給企業(yè)跨國(guó)經(jīng)營(yíng)和貿(mào)易帶來(lái)了不便，也給跨境電子商務(wù)的發(fā)展制造了障礙。CBPR體系就是探索協(xié)調(diào)區(qū)域內(nèi)經(jīng)濟(jì)體隱私保護(hù)政策折中方案的一個(gè)成果。在該體系下，各國(guó)以APEC隱私框架為基本準(zhǔn)則，在跨國(guó)隱私保護(hù)執(zhí)法中實(shí)現(xiàn)了合作與對(duì)話。CBPR體系具有一定的靈活性，是法律規(guī)制模式和行業(yè)自律模式的結(jié)合；同時(shí)，不管隱私保護(hù)水平高還是低的國(guó)家都可以加入，因?yàn)橛幸粋€(gè)隱私框架可以作為各國(guó)對(duì)話的平臺(tái)。CBPR體系的建立有利于亞太各國(guó)隱私保護(hù)政策的協(xié)調(diào)，從而推動(dòng)跨境電子商務(wù)和區(qū)域經(jīng)濟(jì)一體化的發(fā)展。

(三)CBPR體系的建立促進(jìn)跨境數(shù)據(jù)流動(dòng)

進(jìn)入信息時(shí)代，個(gè)人信息被視為一種正在崛起的新興資產(chǎn)。信息流已經(jīng)實(shí)現(xiàn)了與物流、資金流的平起平坐，因?yàn)樾畔⒘鲃?dòng)也可以創(chuàng)造財(cái)富。對(duì)于電子商務(wù)來(lái)說(shuō)，個(gè)人信息的收集、利用、加工、轉(zhuǎn)移就可以創(chuàng)造價(jià)值，而跨境電子商務(wù)的發(fā)展需要大量個(gè)人信息的跨境流動(dòng)。近些年，跨境電子商務(wù)迅速增加，成為電子商務(wù)發(fā)展的新趨勢(shì)。據(jù)ebay數(shù)據(jù)，2012年，跨境支付占Paypal營(yíng)業(yè)額的15%；跨境電子商務(wù)交易量占其電子商務(wù)交易總量的20%。同年，中國(guó)跨境電子商務(wù)交易額達(dá)到2萬(wàn)億元，比去年增長(zhǎng)30%?？缇畴娮由虅?wù)的發(fā)展伴隨著大量個(gè)人信息的跨境流動(dòng)，據(jù)統(tǒng)計(jì)，全球有9億網(wǎng)民參與網(wǎng)絡(luò)購(gòu)物，如果參照ebay跨境電子商務(wù)占電子商務(wù)交易總量的比例20%來(lái)計(jì)算，則全球有1.8億網(wǎng)民的個(gè)人信息參與了跨境流動(dòng)。

如此大規(guī)模的個(gè)人信息跨境流動(dòng)引發(fā)了人們對(duì)信息安全和隱私保護(hù)的擔(dān)憂(yōu)。由于各國(guó)個(gè)人信息保護(hù)水平不同，保護(hù)水平高的國(guó)家通常禁止其個(gè)人信息流動(dòng)到保護(hù)水平低的國(guó)家，因此跨境電子商務(wù)的發(fā)展受到一定的制約。與此同時(shí)，跨境電子商務(wù)和個(gè)人信息的跨境流動(dòng)成為世界經(jīng)濟(jì)發(fā)展的新趨勢(shì)，在信息創(chuàng)造財(cái)富的時(shí)代，各國(guó)應(yīng)該創(chuàng)造條件促進(jìn)個(gè)人信息的無(wú)障礙流動(dòng)。CBPR體系的出現(xiàn)有利于平衡各國(guó)的隱私保護(hù)政策，讓成員經(jīng)濟(jì)體在一個(gè)共同的體系下遵守隱私框架的最低標(biāo)準(zhǔn)，從而促進(jìn)亞太區(qū)域個(gè)人信息的跨境流動(dòng)。

(四)CBPR體系推動(dòng)亞太經(jīng)濟(jì)體個(gè)人信息保護(hù)立法進(jìn)程

CBPR體系的建立是為了保障隱私框架九大原則在成員經(jīng)濟(jì)體的落實(shí)，要求加入國(guó)的隱私執(zhí)法機(jī)構(gòu)擁有針對(duì)隱私框架九大原則50項(xiàng)具體要求的執(zhí)法權(quán)力。執(zhí)法權(quán)力需要國(guó)內(nèi)法授予，因此推動(dòng)了成員經(jīng)濟(jì)體個(gè)人信息保護(hù)立法的進(jìn)程。隱私框架體現(xiàn)了大多數(shù)國(guó)家個(gè)人信息保護(hù)立法認(rèn)可的原則，50項(xiàng)具體要求又使隱私框架增加了可操作性，成員經(jīng)濟(jì)體可以借鑒隱私框架完善國(guó)內(nèi)的個(gè)人信息保護(hù)立法。隱私執(zhí)法機(jī)構(gòu)在CPEA機(jī)制下，就企業(yè)跨境個(gè)人信息保護(hù)案件進(jìn)行執(zhí)法合作，也能夠促進(jìn)不同國(guó)家間的法律交流，提高其執(zhí)法能力。

(五)CBPR體系建立了數(shù)字時(shí)代的商業(yè)規(guī)則

CBPR從表面上看是一個(gè)推動(dòng)區(qū)域內(nèi)成員經(jīng)濟(jì)體個(gè)人信息保護(hù)的自愿認(rèn)證體系，然而其更深層次的意義在于，它建立了數(shù)字時(shí)代的商業(yè)規(guī)則。

社會(huì)經(jīng)濟(jì)發(fā)展到現(xiàn)在已經(jīng)經(jīng)歷了三個(gè)階段：農(nóng)業(yè)時(shí)代、工業(yè)時(shí)代和信息時(shí)代。每個(gè)時(shí)代都有其最根本的規(guī)則，是一切經(jīng)濟(jì)現(xiàn)象的根源。從價(jià)值創(chuàng)造的角度來(lái)看，農(nóng)業(yè)時(shí)代的規(guī)則是土地，工業(yè)時(shí)代的規(guī)則是知識(shí)產(chǎn)權(quán)，而信息時(shí)代的規(guī)則就是信息。進(jìn)入信息時(shí)代，信息就是創(chuàng)造財(cái)富的源泉，信息的收集、利用、轉(zhuǎn)移都會(huì)帶來(lái)財(cái)富的增加。要想在信息時(shí)代取得商務(wù)的成功，就必須掌握信息生成和使用的規(guī)則。

在工業(yè)時(shí)代，發(fā)達(dá)國(guó)家由于發(fā)展早，積累了很多發(fā)明和專(zhuān)利，知識(shí)產(chǎn)權(quán)的產(chǎn)生加大了發(fā)展中國(guó)家獲得新技術(shù)的難度，增加了學(xué)習(xí)進(jìn)步的成本，拉大了兩者的距離。如果說(shuō)，知識(shí)產(chǎn)權(quán)是工業(yè)時(shí)代的游戲規(guī)則，那么隱私保護(hù)很可能就是信息時(shí)代的游戲規(guī)則。將來(lái)有可能出現(xiàn)，凡是隱私保護(hù)不力的發(fā)展中國(guó)家的企業(yè)都會(huì)被發(fā)達(dá)國(guó)家拒之門(mén)外。如果不能參與制定規(guī)則，那么最好早點(diǎn)掌握它，以避免將來(lái)被動(dòng)。CBPR體系剛剛起步，影響力還不是很大，但是縱觀世界各國(guó)隱私保護(hù)的呼聲正高，該體系應(yīng)該代表了世界發(fā)展的方向。因此，早點(diǎn)加入它，掌握它，才能在未來(lái)的競(jìng)爭(zhēng)中不處于被動(dòng)地位。

三、我國(guó)的對(duì)策

(一)加入CBPR體系的決策與時(shí)機(jī)

我國(guó)對(duì)CBPR體系的態(tài)度應(yīng)該是：要加入，而且越早越好。具體原因如下：

1.加入CBPR體系有利于我國(guó)電子商務(wù)的可持續(xù)發(fā)展

近年來(lái)，我國(guó)電子商務(wù)發(fā)展勢(shì)頭良好，2012年電子商務(wù)銷(xiāo)售額突破8萬(wàn)億元，網(wǎng)絡(luò)零售達(dá)到1.3萬(wàn)億元，成為繼美國(guó)之后的世界第二大網(wǎng)絡(luò)零售國(guó)。然而，我國(guó)的個(gè)人信息保護(hù)水平卻遠(yuǎn)遠(yuǎn)落后于歐美等發(fā)達(dá)國(guó)家，個(gè)人信息泄露嚴(yán)重、信息買(mǎi)賣(mài)猖獗，由于法律缺位，無(wú)法對(duì)這些行為進(jìn)行有效的治理。據(jù)前面所述，個(gè)人信息保護(hù)不力會(huì)降低消費(fèi)者對(duì)電子商務(wù)的信任，從而減少網(wǎng)絡(luò)購(gòu)物，不利于電子商務(wù)的可持續(xù)發(fā)展。因此，為了避免不良后果的出現(xiàn)，我國(guó)應(yīng)該盡快規(guī)范電商行業(yè)的隱私保護(hù)行為，完善我國(guó)的個(gè)人信息保護(hù)立法，建立健全部門(mén)法規(guī)，培育行業(yè)自律體系。CBPR體系提供了一個(gè)很好的平臺(tái)，從執(zhí)法機(jī)構(gòu)、行業(yè)自律和企業(yè)三個(gè)方面，全方位立體地促進(jìn)成員國(guó)電商企業(yè)提高隱私保護(hù)水平，我國(guó)可以趁此機(jī)會(huì)完善電子商務(wù)行業(yè)的隱私保護(hù)機(jī)制，促進(jìn)我國(guó)電子商務(wù)的可持續(xù)發(fā)展。

2.加入CBPR體系有利于我國(guó)電商企業(yè)“走出去”

那些獲得隱私保護(hù)認(rèn)證而加入CBPR體系的企業(yè)在亞太區(qū)域更容易贏得消費(fèi)者的信賴(lài)，有利于其成功進(jìn)入他國(guó)市場(chǎng)。近些年，我國(guó)跨境電子商務(wù)發(fā)展迅速，有分享亞太地區(qū)其他國(guó)家消費(fèi)者信息的需要，因此我國(guó)加入CBPR體系將為希望“走出去”的電商企業(yè)提供便利通道。我國(guó)企業(yè)將不僅可以分享亞太各國(guó)的電子商務(wù)市場(chǎng)、承接發(fā)達(dá)國(guó)家的個(gè)人數(shù)據(jù)外包服務(wù)，還可以直接到國(guó)外注冊(cè)經(jīng)營(yíng)。騰訊公司已經(jīng)在美國(guó)的移動(dòng)聊天業(yè)務(wù)中開(kāi)辟了一片天地，最近與TRUSTe公司建立了合作關(guān)系?？梢?jiàn)，先進(jìn)的電商企業(yè)已經(jīng)敏銳地意識(shí)到隱私保護(hù)認(rèn)證對(duì)其發(fā)展國(guó)外業(yè)務(wù)的重要性。如果該體系將來(lái)與歐盟BCR體系建立了合作關(guān)系，我國(guó)企業(yè)還可能因此進(jìn)入歐盟市場(chǎng)。

3.加入CBPR體系有利于我國(guó)盡早掌握數(shù)字時(shí)代的商務(wù)規(guī)則

從價(jià)值創(chuàng)造的角度來(lái)看，信息是信息時(shí)代的規(guī)則，而隱私保護(hù)很可能就是信息規(guī)則的關(guān)鍵。只有對(duì)信息隱私進(jìn)行保護(hù)，對(duì)個(gè)人信息進(jìn)行合理的使用，消費(fèi)者才愿意提供更多的個(gè)人信息，以個(gè)人信息為基礎(chǔ)的電子商務(wù)才能夠正常運(yùn)轉(zhuǎn)下去。CBPR體系是規(guī)范跨境個(gè)人信息保護(hù)的規(guī)則體系，而且APEC組織又是我國(guó)在亞太區(qū)域重要的對(duì)話平臺(tái)，因此我國(guó)應(yīng)該盡快了解它，掌握它。另外，我國(guó)是亞太地區(qū)的電子商務(wù)大國(guó)，如果被該體系排除在外，將使我國(guó)電商企業(yè)在亞太區(qū)域受到排擠，處于不利的競(jìng)爭(zhēng)地位。綜上所述，我國(guó)對(duì)待CBPR的態(tài)度應(yīng)該是：要加入，而且要盡早加入。

(二)加入CBPR體系的程序和步驟

要加入CBPR體系，首先要向APEC電子商務(wù)指導(dǎo)組提出申請(qǐng)，經(jīng)過(guò)聯(lián)合督導(dǎo)組的審核，合格后才能獲準(zhǔn)加入。目前只有美國(guó)和墨西哥成功加入該體系，日本和澳大利亞正在申請(qǐng)中。我國(guó)要想啟動(dòng)加入程序，還需要做些準(zhǔn)備工作，建議分成四個(gè)階段：

1.第一階段：加強(qiáng)企業(yè)隱私保護(hù)的宣傳和培訓(xùn)，提交單邊行動(dòng)計(jì)劃

由于CBPR體系對(duì)于我國(guó)企業(yè)來(lái)說(shuō)還是個(gè)新鮮事物，而同時(shí)企業(yè)才是CBPR體系的主要參與者，因此，我國(guó)要加入該體系，首先要對(duì)電商企業(yè)進(jìn)行跨境隱私規(guī)則的培訓(xùn)，讓其意識(shí)到隱私保護(hù)對(duì)于電子商務(wù)的意義，了解CBPR體系對(duì)企業(yè)隱私保護(hù)的標(biāo)準(zhǔn)要求，借此普遍提高我國(guó)電商企業(yè)的隱私保護(hù)意識(shí)和水平。CBPR體系還涉及第三方認(rèn)證機(jī)構(gòu)和相關(guān)政府部門(mén)，因此二者也在培訓(xùn)范圍之內(nèi)。

APEC隱私框架第39段引入了框架在國(guó)內(nèi)實(shí)施情況的匯報(bào)機(jī)制：“成員經(jīng)濟(jì)體應(yīng)當(dāng)通過(guò)完成并定期更新信息隱私單邊行動(dòng)計(jì)劃(Individual Action Plan, IAP)，向APEC公布隱私框架的國(guó)內(nèi)實(shí)施情況。成員經(jīng)濟(jì)體應(yīng)當(dāng)盡力實(shí)施隱私框架，用最適合經(jīng)濟(jì)體的各種方法確保個(gè)人(信息)隱私保護(hù)，包括法律、行政監(jiān)管、行業(yè)自律或者以上方法的集合。”IAP有助于提高成員經(jīng)濟(jì)體數(shù)據(jù)保護(hù)框架的透明度，也是CBPR體系考慮是否接納某個(gè)申請(qǐng)國(guó)的重要參考依據(jù)。該計(jì)劃始于2006年，到目前為止，共有14個(gè)經(jīng)濟(jì)體完成了IAP，并通過(guò)APEC網(wǎng)站將其公布，我國(guó)還沒(méi)有提交過(guò)。我國(guó)要想加入CBPR體系，應(yīng)該先向APEC提交我國(guó)的IAP，讓成員經(jīng)濟(jì)體了解我國(guó)在隱私保護(hù)方面的進(jìn)展，表明我國(guó)努力提高國(guó)內(nèi)個(gè)人信息保護(hù)水平的態(tài)度。

2.第二階段：設(shè)立隱私執(zhí)法機(jī)構(gòu)，給予國(guó)內(nèi)法授權(quán)

CBPR體系制定的入門(mén)標(biāo)準(zhǔn)是該國(guó)至少有一個(gè)隱私執(zhí)法機(jī)構(gòu)加入CPEA，并且該機(jī)構(gòu)由國(guó)內(nèi)法授權(quán)擁有針對(duì)隱私框架九大原則50項(xiàng)具體要求的執(zhí)法權(quán)力。

我國(guó)要加入CBPR體系面臨著隱私執(zhí)法部門(mén)的選擇，選擇某一個(gè)與個(gè)人信息保護(hù)關(guān)系最密切的部門(mén)，或者設(shè)置一個(gè)獨(dú)立的隱私執(zhí)法部門(mén)。目前，我國(guó)有多個(gè)政府部門(mén)涉及對(duì)個(gè)人信息和隱私的保護(hù)，各部門(mén)在自己的管轄范圍內(nèi)對(duì)個(gè)人信息和隱私數(shù)據(jù)保護(hù)進(jìn)行分散的監(jiān)督管理。這些部門(mén)主要包括國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、商務(wù)部、國(guó)家新聞出版廣電總局、工商總局等。各個(gè)部門(mén)的工作重點(diǎn)有交叉，在個(gè)人信息保護(hù)方面都沒(méi)有絕對(duì)的控制力。鑒于我國(guó)各部門(mén)在個(gè)人信息保護(hù)方面權(quán)力和責(zé)任分散，建議設(shè)立一個(gè)專(zhuān)門(mén)的隱私執(zhí)法機(jī)構(gòu)。

為了賦予該機(jī)構(gòu)以CBPR所要求的執(zhí)法權(quán)力，還需要根據(jù)隱私框架50項(xiàng)具體要求進(jìn)行國(guó)內(nèi)立法。根據(jù)我國(guó)的情況，可以由人大常委會(huì)頒布個(gè)人信息保護(hù)立法，也可以由國(guó)務(wù)院頒布一個(gè)條例。2012年12月由人大常委會(huì)頒布的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》屬于我國(guó)個(gè)人信息保護(hù)方面的第一部立法，但是不能滿(mǎn)足CBPR對(duì)隱私執(zhí)法機(jī)構(gòu)執(zhí)法權(quán)力的要求。由于人大常委會(huì)頒布的法律級(jí)別很高，程序比較復(fù)雜，需要時(shí)間較長(zhǎng)，而且一旦形成不宜輕易修改，因此建議先由國(guó)務(wù)院頒布一個(gè)專(zhuān)門(mén)規(guī)范隱私執(zhí)法機(jī)構(gòu)的條例，授權(quán)它根據(jù)隱私框架50項(xiàng)具體要求對(duì)加入CBPR體系的國(guó)內(nèi)企業(yè)進(jìn)行執(zhí)法。中國(guó)香港有專(zhuān)門(mén)的隱私執(zhí)法機(jī)構(gòu)，叫做個(gè)人資料隱私專(zhuān)員公署(Privacy Commissioner)，是一個(gè)香港獨(dú)立法定機(jī)構(gòu)，是在1996年12月20日正式生效的《香港法例》第486章《個(gè)人資料(隱私)條例》授權(quán)之下開(kāi)展執(zhí)法工作的。該條例對(duì)隱私執(zhí)法保護(hù)做了具體規(guī)定，對(duì)于違規(guī)企業(yè)可以處以最高不超過(guò)5萬(wàn)港幣的罰款，以及入獄兩年的刑罰；如果繼續(xù)違規(guī)，則每天罰款1000港幣?！秱€(gè)人資料(隱私)條例》英文稱(chēng)ordinance，其法律效力相當(dāng)于我國(guó)國(guó)務(wù)院頒布的條例。由于該條例僅與隱私執(zhí)法機(jī)構(gòu)和加入CBPR的企業(yè)有關(guān)，因此立法相對(duì)容易。經(jīng)過(guò)一段時(shí)間的實(shí)踐后，可以考慮根據(jù)條例形成我國(guó)的個(gè)人信息保護(hù)立法。

3.第三階段：申請(qǐng)加入CPEA和CBPR

在隱私執(zhí)法機(jī)構(gòu)設(shè)立和相關(guān)立法出臺(tái)之后，我國(guó)可以向APEC組織提交加入CPEA的申請(qǐng)。由于我國(guó)對(duì)隱私執(zhí)法機(jī)構(gòu)的立法是根據(jù)CBPR的要求制定的，因此高于CPEA的入門(mén)要求，被接受是理所應(yīng)當(dāng)?shù)摹?/p>

我國(guó)隱私執(zhí)法機(jī)構(gòu)加入CPEA后，我國(guó)就可以向電子商務(wù)指導(dǎo)組提出加入CBPR的申請(qǐng)。申請(qǐng)文件主要包括：加入意向書(shū)、至少一個(gè)隱私執(zhí)法機(jī)構(gòu)加入CPEA的確認(rèn)函、將來(lái)至少有一個(gè)問(wèn)責(zé)代理機(jī)構(gòu)為CBPR體系服務(wù)的承諾書(shū)。聯(lián)合督導(dǎo)組收到意向書(shū)后，將確認(rèn)隱私執(zhí)法機(jī)構(gòu)是否擁有針對(duì)隱私框架50項(xiàng)具體要求的執(zhí)法權(quán)力，如無(wú)疑問(wèn)，則接納該成員經(jīng)濟(jì)體進(jìn)入CBPR體系。

4.第四階段：推薦第三方認(rèn)證機(jī)構(gòu)

我國(guó)加入CBPR體系后，需按照承諾提供至少一個(gè)第三方認(rèn)證機(jī)構(gòu)，按照該體系要求對(duì)我國(guó)企業(yè)進(jìn)行隱私保護(hù)認(rèn)證。我國(guó)隱私保護(hù)水平總體較低，電商行業(yè)中沒(méi)有專(zhuān)門(mén)針對(duì)個(gè)人信息保護(hù)認(rèn)證的第三方代理，但是有幾家機(jī)構(gòu)可以對(duì)電商企業(yè)服務(wù)水平進(jìn)行全面認(rèn)證，其中涉及隱私保護(hù)方面。此類(lèi)第三方認(rèn)證機(jī)構(gòu)主要有中國(guó)軟件測(cè)評(píng)中心、公安部信息安全等級(jí)保護(hù)評(píng)估中心、公安部信息安全產(chǎn)品檢驗(yàn)中心等事業(yè)單位，以及行業(yè)自律組織旗下的一系列評(píng)估機(jī)構(gòu)，包括中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)信用評(píng)價(jià)中心、中國(guó)電子商務(wù)協(xié)會(huì)誠(chéng)信評(píng)價(jià)中心、國(guó)富泰信用平臺(tái)、網(wǎng)上交易保障中心、大連軟件行業(yè)協(xié)會(huì)等。政府可以結(jié)合這些認(rèn)證機(jī)構(gòu)的興趣和實(shí)力，向APEC組織做出推薦。

四、總結(jié)

CBPR體系對(duì)我國(guó)電子商務(wù)的發(fā)展有著重要意義，它通過(guò)提高電商企業(yè)的隱私保護(hù)意識(shí)和水平增強(qiáng)了消費(fèi)者的信心，有利于我國(guó)電子商務(wù)的可持續(xù)發(fā)展；我國(guó)企業(yè)獲得CBPR隱私保護(hù)認(rèn)證后，能夠贏得亞太地區(qū)消費(fèi)者的信賴(lài)，有利于其開(kāi)拓亞太各國(guó)市場(chǎng)。

APEC組織是我國(guó)與亞太各國(guó)重要的對(duì)話平臺(tái)。加入CBPR體系有利于我國(guó)增加在區(qū)域貿(mào)易和投資的發(fā)言權(quán)，增進(jìn)與成員經(jīng)濟(jì)體的交流合作，為我國(guó)企業(yè)跨境貿(mào)易和投資創(chuàng)造條件，并促進(jìn)我國(guó)盡早掌握數(shù)字時(shí)代的規(guī)則。

CBPR體系僅是規(guī)范亞太區(qū)域企業(yè)隱私保護(hù)的自愿認(rèn)證體系，不涉及政府；隱私執(zhí)法機(jī)構(gòu)和相關(guān)立法也僅涉及自愿認(rèn)證企業(yè)，因此加入該體系并不會(huì)損害我國(guó)的實(shí)質(zhì)利益。該體系有利于我國(guó)電子商務(wù)的發(fā)展，因此我國(guó)應(yīng)該積極加入。