数据跨境流动是数字全球化和经济全球化共同推动的必然结果,它在全球数字经济一体化和促进国际贸易发展方面扮演着关键角色。全球隐私执法合作安排(Global Cooperation Arrangement for Privacy Enforcement,以下简称Global CAPE)是一个旨在加强国际间在隐私和数据安全执法方面的合作的国际多边安排。该安排是对亚太经济合作组织(Asia-Pacific Economic Cooperation,以下简称“APEC”)跨境隐私规则(Cross-Border Privacy Rules,以下简称“CBPR”)的补充。CBPR体系旨在促进亚太组织成员国之间在隐私和数据安全调查方面的合作和协助,而Global CAPE不仅关注亚太地区和东部经济体,还着眼于全球所有具有共同隐私价值观的国家和地区。美国联邦贸易委员会(FTC)[1]已于2024年1月17日宣布加入这一安排,以促进其与国际合作伙伴在涉及隐私和数据安全的执法调查和行动方面的无缝合作。英国信息专员办公室(ICO)[2]与加拿大隐私专员办公室亦于近期相继加入这一安排。2024年4月30日,在全球隐私规则论坛(全球CBPR论坛)成立两周年之际,全球CBPR论坛宣布建立了全球CBPR和全球PRP系统,任命了问责代理机构,并发布了一系列配套文件。经授权的问责代理机构可以对相应司法辖区内的企业颁发全球CBPR和PRP认证,认证的颁发预计从2024年夏季开始。
1 CBPR体系介绍
为建立跨境信息隐私保护规则,CBPR体系于2011年获得APEC领导人的认可。APEC对CBPR体系的定义是 “旨在促进APEC成员经济体之间个人信息跨境传输活动,自愿的多边数据隐私保护体系。”该体系是由政府支持的数据隐私保护认证体系,规范的对象仅限于亚太地区涉及个人信息跨境传输业务的企业,企业可以自愿参与并进行自我约束,通过加入这一体系来证明其符合国际认可的数据隐私保护标准。这是一个政府间自愿性质的、基于问责制的框架,旨在促进APEC经济体之间在尊重隐私的前提下进行数据流动。
CBPR体系在机制设计方面结合了隐私保护实践中形成的两种基本模式,一种是以美国为代表的行业自律模式,另一种是以欧盟为代表的法律规制模式。CBPR体系中问责代理机构代表了行业自律,通过企业认证和后续的服务质量追踪来督促企业对个人信息的自律保护。问责代理机构会提供独立的第三方认证证实某组织的隐私政策和做法符合CBPR体系,从而在CBPR体系中发挥着不可或缺的作用。隐私执法机构代表着法律规制,给自愿认证加上了一道执法保障,确保加入该体系的企业行为符合隐私框架,跨境隐私执法安排(Cross-border Privacy Enforcement Arrangement,以下简称CPEA)保证了隐私框架在APEC区域的跨境实施。[3]
从目的来看,CBPR体系旨在平衡数据跨境自由流动与个人信息及隐私保护。该体系提出了APEC成员在制定或修订其国内法律时应遵守的数据保护的基本最低要求。如果成员国的国内法律未能为数据主体提供充分保护,那仅需满足该体系所要求的最低保护标准即可。APEC不赞成在跨境数据流动中设置不必要的障碍,并认为成员国仅需符合这些最低数据保护标准。[4]正如《APEC隐私框架》序言指出,限制数据自由流动或对其设置障碍会对全球贸易产生不利影响,因而APEC要求各成员国“确保”数据能够自由流动,仅表示“鼓励”数据保护。[5]
相较于欧盟的GDPR,CBPR系统较为简化且规范宽松,对于数据的跨境传输更为有利,这样的宽松标准通常更受企业欢迎。而GDPR则更加注重履行欧盟关于个人信息和隐私保护的人权义务。
2 Global CAPE面向全球
Global CAPE的出台表明,原本主要集中在亚太地区和东部经济体的CBPR体系意图在全球范围内扩张,准备接纳拥有相似隐私价值观的其他国家或地区加入。这一行动反映了在全球数据隐私领域需要更加统一的全球合作、可持续性、长期性和互操作性的需求。目前,超过125个国家和地区独特的数据隐私法律共同构成了一个全球范围内碎片化的法律体系。而CBPR框架通过整合对跨经济体之间安全可靠的数据处理和共享至关重要的共同要求,为这一碎片化的现状提供了统一的解决策略。[6]CBPR论坛目前要求寻求会员资格的成员国都至少要有一个隐私执法机构作为Global CAPE的参与者。参与Global CAPE将有助于成员之间更方便地就隐私和数据安全相关的执法和行动进行合作,而无需与每个参与者单独谈判。
总的来说,Global CAPE是一个旨在促进跨境数据保护和隐私执法的多边合作框架。该安排为加入的国家提供了一个实际且有效的处理跨境数据保护和隐私执法事项的多边合作机制。通过这个安排,参与者之间能够更方便地建立联系,以便在获取证据、交换调查信息、协调执法活动以及将投诉案件引渡到其他司法辖区等方面提供相互协助。
3 主要内容解读
和CPEA类似,Global CAPE的主要目标包括三项。首先,该安排希望促进参与者之间的信息共享。其次,该安排希望通过建立机制来促进参与者在数据保护和隐私执法以及CBPR框架方面的有效跨境合作,包括转交事项和进行联合调查执法行动。第三,鼓励与非参与机构在数据保护和隐私调查执法方面的信息共享和合作,确保Global CAPE能够与类似安排和框架无缝协作。据此Global CAPE的内容要点也主要聚焦在以下三个方向:跨境合作、保密性和信息共享。
(一)跨境合作
第一,Global CAPE要求参与者考虑其他参与者的协助请求,并在数据保护和隐私执法调查方面共享信息和合作。对于跨境合作中多项事务的优先级,鉴于跨境合作的复杂性的和资源密集性,参与者可根据非法侵犯个人信息或隐私保护的严重程度、所涉及的实际或潜在损害等其他相关考虑因素,优先考虑那些性质最严重的事项。另外该安排还要求希望优先处理特定协助请求的参与者在协助请求表格中具体说明理由,并认识到在此安排中执行全球 CBPR框架是合作的优先事项。
第二,参与者应在各自权限范围内尽最大努力与私营部门组织、自律机构和非参与机构合作,这些机构的责任包括解决个人的数据保护和隐私投诉。此外,该安排特别鼓励参与者和参与全球CBPR框架执行的问责代理机构合作。
第三,在请求机构向接收机构提出协助请求之前,请求机构应该首先确认该请求与Global CAPE和CBPR框架的目标相一致,其次在适当和可行的情况下,应该执行初步调查,以确定在接收机构司法管辖区内,哪个实体具有与拟议的协助请求一致的第一责任。除此之外请求机构还应该采取如检查接收机构政策等相关措施。
最后,在适当和可行的情况下,参与者应与其他参与者协调其调查和执法活动,以进行更有效的调查和执法。而对于从跨境合作中获得的信息,请求机构和接收机构应在双边的基础上,根据适用的法律和政策,确定共享信息的允许使用用途。
(二)保密性
第一,在适用请求机构和接收机构的司法管辖区法律的情况下,参与者之间进行的咨询、沟通或信息共享是保密的,不会被披露。每个参与者在其司法管辖区法律允许的范围内,应该尽最大努力保护其他参与者向其传达的信息的机密性,并尊重其他参与者希望采取的保护措施。另外,该安排不会阻止接收机构根据本国法律要求向第三方披露机密信息,但是参与者应在其实践、政策和活动声明中清楚说明所有可能的披露要求,并在向其他参与者请求协助时附上最新的实践、政策和活动声明。如果接收机构由于法定要求必须披露机密信息,应尽最大努力在披露之前尽快通知信息提供者。
第二,如果参与者不再参与Global CAPE,该隐私执行机构应保护其他参与者提供信息的机密性。参与者应该保护通过Global CAPE提供的任何信息的安全和机密性,并根据信息提供者的意愿归还或处理。
第三,在尽可能符合本国法律和与信息提供者进行磋商的情况下,参与者应拒绝第三方对其收到的机密信息或材料的披露申请。总的来说,参与者应努力保护通过Global CAPE收到的信息的安全性。为此,参与者应采取措施防止通过Global CAPE获取的信息遗失、未经授权访问、处理、使用或披露。通过Global CAPE获取的信息不应保留超过国内法律规定的时间,也不应超过达到信息使用的目的所需的时间。
(三)信息共享
第一,参与者应为Global CAPE中所述的目的指定一个联络点,作为与其他参与者主要的联络点。参与者应准备一份涉及其执法实践、政策和其他相关活动的信息声明,同时参与者应采取步骤使其他人可以访问这一声明,例如参与者可以将其发布在网站上。这些声明的可获得性将提高参与者对各自司法管辖区内执法方式的理解,并有助于促进特定协助请求的进行。
第二,该安排鼓励参与者在可行和适当的情况下,向其他参与者提供其掌握的与Global CAPE范围内事项相关的发展情况,包括:执法事项的公众态度调查;涉及执法或跨境合作的项目信息;执法培训计划;立法更新;数据保护和隐私侵犯及监管策略的经验;投诉纠纷的发展趋势;数据保护和隐私执法人员培训和就业的机会。
4 总结
与欧盟GDPR更为关注个人信息和隐私保护的“充分性认定”机制相比,CBPR体系核心在于建立一个较低标准的数据跨境流动框架,以免参与国家由于本国对数据跨境流动的更高要求无法合作,进而阻碍跨境数据流动。通过在CBPR体系下引入Global CAPE这一安排,更多的国家有机会加入这一数据流动标准相对较低的安排,APEC希望可以进一步推进全球数据自由流动政策主张,从而可以降低数字贸易壁垒,创造更大的发展空间。
[1] 联邦贸易委员会(英语:Federal Trade Commission,缩写:FTC)是一个美国政府独立机构,成立于1914年。其主要任务是促进消费者保护及消除强迫性垄断等反竞争性商业行为。
[2] 信息专员办公室(ICO)是一个非部门公共机构,直接向英国议会报告,由科学、创新和技术部主办。
[3] 弓永钦,王健.APEC跨境隐私规则体系与我国的对策[J].国际贸易,2014(03):30-35.DOI:10.14114/j. cnki.itrade.2014.03.005.
[4] 安全内参:“欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析”,来源: https://www.secrss.com/articles/42244,访问时间:2024年4月16日。
[5] APEC:“APEC Privacy Framework 2015”,Graham Greenleaf and David Lindsay, Public Rights, Cambridge: Cambridge University, 2018, pp. 91-120.
[6] BBB National Programs" Global Privacy Division:The FTC Joins the Global CBPR Party,来源:https://bbbprograms.org/media-center/bd/insights/2024/01/29/ftc-global-cbpr-party,访问时间:2024年4月16日。
撰稿 | 程越,清华大学智能法治研究院实习生
选题&指导 | 刘云
编辑 | 沈廖佳
注:本公众号原创文章的著作权均归属于清华大学智能法治研究院,需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn,申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。
声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
