個人信息保護的國際協(xié)調

邵朱勵

（安徽財經大學法學院，安徽蚌埠 233030）

個人信息保護的國際協(xié)調

邵朱勵

（安徽財經大學法學院，安徽蚌埠 233030）

雖然很多國家有個人信息保護的相關立法，但這些立法對個人信息的保護內容及水平存在很大差異，從而極大地阻礙了個人信息的跨境商業(yè)流動。為此，相關國際組織、國家和地區(qū)通過制定個人信息保護的“軟法”性文件、制定多邊區(qū)域性統(tǒng)一法規(guī)、簽署多邊區(qū)域性公約以及雙邊協(xié)定的方式，對個人信息跨境流動與保護進行國際協(xié)調，以期在個人信息跨境商業(yè)流動和個人信息隱私保護之間尋求適當的平衡。我國應審視國內個人信息保護立法與他國的差異，通過統(tǒng)一立法、與他國談判達成協(xié)定等方式解決中外個人信息跨境商業(yè)性流動中的個人信息保護問題。

個人信息；隱私；歐美《隱私盾協(xié)議》

一、個人信息保護國際協(xié)調的必要性

（一）個人信息的保護模式及水平因國而異

個人信息是能夠識別出個人身份的任何信息[1]，由兩部分組成：一是個人身份信息，一是個人非身份信息，容納個人社會生活的方方面面，兩者相結合，即是特定個人的隱私，而對于隱私，各國一般都會把它看成是人格權的客體而予以法律保護。由于各國政治、經濟、法律傳統(tǒng)及歷史環(huán)境不同，對包括個人信息在內的隱私保護模式、理念和具體內容也因國而異。

以歐美為例。歐美各國關于個人信息的保護模式、保護水平存在較大差異。就保護模式而言，歐盟以立法保護為原則，行業(yè)自律為補充；個人信息保護立法不區(qū)分政府部門和私營部門，不區(qū)分行業(yè)類別，由政府制定適用于所有部門、所有行業(yè)（金融行業(yè)自然包括在內）的統(tǒng)一法規(guī)，由統(tǒng)一的個人信息保護監(jiān)管機構監(jiān)督法律的實施。與歐盟不同，美國沒有以個人信息保護命名的法規(guī)，其對個人信息的保護包含在“隱私”保護的框架之下，對“信息隱私”的保護義務又區(qū)分公營部門和私營部門：對公營部門，制定聯邦統(tǒng)一《隱私權法》限制政府收集與存儲個人信息的能力；對私營部門，則以行業(yè)自律隱私保護為原則，只在隱私容易被侵犯的行業(yè)，如電信、金融，才制定專門的隱私保護法[2]。

就保護水平而言，歐盟明顯高于美國。歐盟采取統(tǒng)一立法保護模式，且對個人信息的保護涵蓋收集、利用、儲存、披露的所有環(huán)節(jié)[3]，采取“嚴進嚴出”的保護模式。而美國對個人信息保護以行業(yè)自律為主，在特定行業(yè)雖有信息隱私保護法，但非常零散，難以涵蓋個人信息保護的所有環(huán)節(jié)。如1978年的《金融隱私權法》采取了“寬進嚴出”的隱私保護模式，對個人金融信息的收集無任何限制，渠道多且容易，只要求金融機構不得隨意利用、披露個人金融隱私信息，因此美國的個人信息保護水平低于歐盟。

（二）個人信息的跨境流動日益頻繁

隨著全球化背景下國際交往的日益廣泛，從事跨境經營活動的私人部門之間個人信息的跨境流動也日益深入，許多以數據處理為經營核心的行業(yè)，如金融服務、保險、咨詢、新聞、網絡等，越來越頻繁地大量收集、處理和跨國傳輸數據，即使是以制造業(yè)為主和非數據密集型的跨國公司，也需要先進的人力資源信息系統(tǒng)和客戶管理平臺，同時在全球分支機構間傳輸這些數據。但是，由于各國對個人信息的保護水平不同，水平較高的國家擔心如果個人信息被允許傳輸進入保護水平較低的國家，其本國公民的個人隱私會受到侵犯，因此可能會拒絕個人信息的跨境流動，從而使個人信息的正常商業(yè)流動停滯，也阻礙跨境資金的順利流動。

因此，在國際層面尋求一種既能讓個人信息有序跨境流動，又能解決各國關于個人信息保護的法律沖突，有效保護個人信息隱私，是經濟全球化背景下必須要解決的問題[4]。

一般來說，在各國法律、政策和程序的沖突之間尋求一個微妙的平衡，最好的方式就是進行國際合作，通過簽訂條約、非正式的協(xié)定，多邊合作，促進和便利各國交流。在個人信息保護方面也是如此。在個人金融信息保護的國際協(xié)調方面，目前主要是通過雙邊協(xié)定、多邊協(xié)定，以及大量以“指南（Guidelines）”“建議（Recommendations）”或“行業(yè)準則（Codes of Practice）”命名的“軟法”來實現的。

二、個人信息保護的國際“軟法”協(xié)調

“軟法”是指國際組織或國際會議上通過的一些不具有法律約束力的決議、宣言、建議、指導方針、行動綱領、文件等[5]。個人信息保護領域的“軟法”盡管沒有法律拘束力，但在政治和商業(yè)層面卻有著相當重的份量，對各國立法的發(fā)展產生了深遠的影響[6]。

人類有關隱私保護的國際法文件可以追溯到1948年12月聯合國大會通過的《世界人權宣言》第12條對個人的私生活、家庭、住宅和通信等的保護①。該宣言并無法律約束力，但可看成是國際層面對包括個人信息保護在內的隱私保護的基礎性文件。

對發(fā)達國家而言，最重要的個人信息保護國際“軟法”是1980年OECD發(fā)布的《隱私保護和個人數據跨境流動指南》（以下簡稱OECD《指南》）。OECD《指南》規(guī)定了隱私保護和個人數據在各國間自由流動的八個基本原則：一是限制收集原則；二是資料完整正確原則；三是特定目的原則；四是限制利用原則；五是安全保護原則；六是公開原則；七是個人參與原則；八是責任原則[7]。但OECD《指南》本身沒有法律約束力，各國可以此為基礎自行確定其國內立法。OECD《指南》對一些非歐洲國家（如澳大利亞、新西蘭、加拿大）個人數據保護標準和立法產生了非常重要的影響，同時也被美國的許多公司和貿易協(xié)會認可。

另外，OECD《指南》對2004年的《亞太經合組織隱私保護框架》（以下簡稱APEC《框架》）也產生了重要影響。后者的核心是建立一套“信息隱私保護原則”，這些原則其實就是OECD《指南》中個人信息保護的主要原則的翻版。APEC《框架》旨在為亞太地區(qū)國家提供一套共同的隱私保護規(guī)則②，它以OECD《指南》為基礎，但主要強調的不是隱私權，而是全球商務和信息的自由流動的重要性。它對APEC成員無約束力，因為“過于原則”而被稱為“OECD《隱私保護和個人數據跨境流動指南》精簡版”。正如其引言所說，制定APEC《框架》的動力是，如若沒有政府和企業(yè)的合作開發(fā)、實施技術和政策以解決包括隱私在內的問題，電子商務的潛力就無法實現。APEC《框架》的作用是平衡和促進亞太地區(qū)有效的信息隱私保護和信息自由流動以確保電子商務的增長。因此，APEC《框架》不建議制定非必要限制信息流動的措施，因為這些措施可能會對全球商務和經濟產生消極影響。

APEC《框架》包括九個信息隱私原則：一是預防損害原則；二是通知原則；三是收集限制原則；四是個人信息的合理使用原則；五是個人信息主體的選擇權原則；六是個人信息的完整性原則；七是安全防護原則；八是個人信息主體的獲取權和要求改正權原則；九是責任原則[8]。

另一個范圍比較廣泛的“軟法”是聯合國1990年通過的《關于計算機處理的個人數據文件指南》（以下簡稱UN《指南》）。UN《指南》旨在鼓勵沒有個人信息保護立法的聯合國成員國制定個人信息保護立法，也鼓勵政府間和非政府間國際組織以負責任的、公平的和友好的方式處理個人信息。雖然UN《指南》的影響力似乎要比OECD《指南》和其他國際性文件要小得多，但它的出臺意味著個人信息保護不僅僅是“第一世界”國家和西方國家的事，而是全球范圍內的事[6]。

UN《指南》確立了個人信息保護的十大原則：一是合法、合理原則；二是準確性原則；三是特定目的原則；四是本人參與原則；五是不得歧視原則；六是例外規(guī)定；七是安全原則；八是監(jiān)督與處罰原則；九是個人數據只在對其提供相似保護的國家間傳輸原則；十是政府和私人的電腦和手工處理文件均適用指南原則[9]。這些原則的核心內容和OECD《指南》、APEC《框架》大體相同。

三、個人信息保護的多邊條約及立法協(xié)調

（一）全球性個人信息保護多邊條約

在全球層面首個與個人信息及隱私保護有關的有約束力的多邊條約是1966年12月聯合國大會通過的《公民權利和政治權利國際公約》第17條③，此條規(guī)定和1948年《世界人權宣言》第12條的措辭完全相同。區(qū)域性的人權保護公約包括《歐洲人權和基本自由公約》、《美洲人權公約》等也有類似規(guī)定④。這些文件都明確承認隱私是基本人權，是對包括個人信息在內的隱私進行國際保護的法律基礎，對成員國有約束力。

但迄今為止，國際上并無專門對個人信息保護問題進行協(xié)調的全球性的國際條約，其主要原因在于，各國歷史、文化及法律傳統(tǒng)、社會及政治因素迥異，在個人數據保護的立法模式和具體規(guī)則等方面很難協(xié)調。

（二）區(qū)域性的個人信息保護專門立法及條約

雖然不存在專門的有約束力的全球性的有關個人信息保護的國際條約，一些區(qū)域性的多邊個人信息保護立法性文件卻是存在的。

1.1981年歐洲議會《與個人數據自動化處理有關的個人保護公約》。在個人信息保護方面，第一個具有法律約束力的國際文件是1981年歐洲議會通過的第108號公約——《與個人數據自動化處理有關的個人保護公約》（以下簡稱《歐洲議會第108號公約》。該公約確立了自動化處理的個人信息保護的八大原則：一是社會公正原則；二是有限收集原則；三是數據質量原則；四是目的特定原則；五是安全保護原則；六是公開原則；七是時間限制原則；八是個人參與原則[4]。

該公約和1980年的OECD《指南》是最早的將個人信息保護具體化和細化的兩個國際文件，二者既有共同點，也有區(qū)別。二者都試圖總結私營部門的最佳信息實踐標準（Standard of Fair Information Practice），并旨在解決隱私保護和信息自由流動之間的沖突；二者都涵蓋個人信息的收集、使用、儲存、傳輸和傳播等環(huán)節(jié)；二者涉及的數據處理活動都不僅限于計算機處理的信息。但是二者側重點不一樣。OECD《指南》強調信息的自由流通對經濟發(fā)展更為重要，而《歐洲議會第108號公約》則強調個人權利的保護更為重要。之所以產生這樣的不同，是因為二者制定的目的不同：OECD《指南》是用來促進工業(yè)化國家之間的經濟增長的，而歐盟公約是為了保護人權。正是基于不同的側重點，兩份文件的法律特點也存在很大不同。OECD《指南》強調自愿遵守、強調發(fā)展自我規(guī)制，而《歐洲議會第108號公約》則設定了個人數據最低保護標準，公約簽字國有義務制定和公約保持一致的國內法。指南沒有強制執(zhí)行力，而公約則強調賦予行政機構執(zhí)行公約的監(jiān)督權力。二者都涵蓋有關可識別的個人信息的處理，但公約的適用范圍更廣泛，因為其明確允許適用于法人。

2.1995年歐盟《關于個人數據處理及自由流通個人保護指令》。歐盟1995年出臺了《關于個人數據處理及自由流通個人保護指令》（以下簡稱歐盟《指令》）⑤。歐盟《指令》確立了歐盟個人數據保護的八個重要的基本原則：一是目的有限原則；二是數據質量和比例性原則；三是透明度原則；四是獲取、修改和反對原則；五是安全原則；六是充分水平保護原則；七是對特殊數據進行特殊處理的原則；八是實施措施和補救措施的確定原則[10]。

歐盟《指令》有兩個并行的目標，一是促進個人信息在歐盟境內的順暢傳輸，一是高標準保護個人的個人信息隱私。它對歐盟成員國具有約束力，但只規(guī)定了各國必須達到的個人數據保護的最低水準，具體立法方式、是否給予更多保護則由各國自行決定。雖然它只對歐盟成員國有約束力，但對其他很多國家也產生了相當大的影響，因為第25-26條規(guī)定了禁止將個人數據傳輸給個人數據保護水平不“充分”的國家。許多非歐盟成員國為此以《指令》為藍本通過立法以滿足其“充分性”標準的要求。另外，一些非歐盟成員國如挪威、愛爾蘭和列支敦士登因是1992年《歐洲經濟區(qū)協(xié)定》（European Economic Area Agreement）的成員國，也受它的約束。

此外，歐盟還公布了《電信行業(yè)個人數據處理和隱私保護的指令》（2002），與1995年的歐盟《指令》和1981年的《歐洲議會第108號公約》共同構成了歐盟個人數據保護法的基石。

四、個人信息保護的雙邊條約協(xié)調

如上所述，目前在個人信息保護方面并沒有全球性的、專門的、有法律約束力的個人信息保護國際條約，而區(qū)域性的對成員國有法律約束力的個人信息保護文件只對本區(qū)域范圍內的國家有法律約束力，如若區(qū)域內國家與區(qū)域外國家有個人信息跨境流動的需求，則可能因為區(qū)域內外個人信息保護規(guī)則存在很大差異，而使區(qū)域內國家與區(qū)域外國家的個人信息跨境流動面臨很大障礙。此時，對于相互有個人信息跨境流動需求的兩個國家或地區(qū)而言，基于雙方的國情，尋找雙方都滿意的解決方法，可能更為容易。以下就以歐美之間達成的為商業(yè)目的進行的個人信息跨境流動與保護的雙邊協(xié)議為例說明。

歐美是相互間最大的貿易伙伴，為商業(yè)目的進行的個人信息跨境流動日益頻繁。據統(tǒng)計，2010年美國與歐盟的貿易額約為5 600億美元。數據傳輸是許多企業(yè)的命脈和電子商務的主要支柱?？鐕局g各自不同的分支機構也經常需要分享繁多的個人信息，這些信息可以是很簡單的諸如人員電話號碼的信息，也可能涉及更多的敏感信息，如人事檔案、醫(yī)療索賠、信用卡賬單或進行醫(yī)學研究必不可少的患者信息等等。但1995年歐盟《指令》的出臺卻給兩國為商業(yè)目的而進行的個人數據跨境流動蒙上了陰影。如何既能解決二者對個人信息保護的沖突，又能有效促進歐美個人信息的正常商業(yè)流動，就成了擺在歐美面前的大課題。

1.歐盟《指令》第25條“充分水平保護”門檻的設置。依據歐盟《指令》第四章第25條第1款的規(guī)定，歐盟各國只能將個人數據傳輸給對其提供了“充分水平保護”的第三國。指令還規(guī)定了評定第三國是否提供了充分保護的關鍵要素⑥。而指令的執(zhí)行機構——第29條工作組對這些要素進行了嚴苛的運用，最終評定的達到“充分水平保護”要求的第三國寥寥無幾⑦。美國毫無懸念地被第29條工作組認定為未達到“充分性”保護的水平。由于美歐雙方私營部門之間為商業(yè)目的進行的個人信息流動非常頻繁，歐盟《指令》第25條的規(guī)定無疑將大大阻礙歐美之間為商業(yè)目的進行的正常的個人信息流動，美國因此指責歐盟《指令》第25條的規(guī)定是歐洲人對抗美國公司所創(chuàng)立的“非關稅貿易壁壘”[11]，使得美國公司無法正常從歐盟公司那里獲得與商業(yè)目的有關的個人信息。

但是，歐盟《指令》也并未堵死向未提供充分水平保護的國家傳輸數據的大門。按照它的指令安排，各成員國可與該第三國進行談判，如果后者采取措施確保達到指令要求的充分保護水平，則可以向其傳遞數據⑧。因此，從指令規(guī)定看，盡管歐盟認為美國未對個人數據提供“充分”水平的保護，美國也并非完全不能從歐盟獲取個人數據。只要滿足一定的條件，歐盟的個人數據就可以跨境傳輸到美國。

2.歐美《安全港協(xié)議》的達成。歐盟《指令》出臺后，美方就特別關注其第25條的實施將很大程度上破壞歐美之間的數據流動和商業(yè)往來。作為對此關注的回應，美國商務部和歐洲委員會于1998年3月開始進行一場高水平的、非正式的對話，旨在通過談判達成確保歐美之間個人數據自由流動的協(xié)議，最終雙方于2000年簽署了《安全港協(xié)議》。按照協(xié)議的規(guī)定，受聯邦貿易委員會和美國運輸部監(jiān)管的組織可以自愿選擇是否加入《安全港協(xié)議》。加入該協(xié)議的企業(yè)要保證遵守由聯邦貿易委員會強制執(zhí)行的《安全港協(xié)議》的七個原則。只有保證遵守這些原則才能享有《安全港協(xié)議》帶來的利益，如果一個企業(yè)加入了《安全港協(xié)議》，卻未能遵守這些原則，則聯邦貿易委員會有權把這種行為檢舉為欺詐性的貿易行為[12]。

《安全港協(xié)議》規(guī)定的數據傳輸的七條原則是：一是告知原則；二是同意原則；三是轉送原則；四是安全性原則；五是資料品質原則；六是參與原則；七是救濟原則[12]。

3.歐美《安全港協(xié)議》的廢止及歐美《隱私盾協(xié)議》的出臺。2013年6月，前美國中央情報局職員愛德華·斯諾登披露了美國國家安全局實施的PRISM秘密監(jiān)聽項目，引發(fā)了各國對美國以保護國家安全為由大范圍侵犯個人隱私的譴責。歐盟公民、奧地利法律學者施雷姆斯注意到，美國臉譜等網絡公司將其歐盟用戶的個人信息傳輸回美國存儲，為配合PRISM項目的實施，網站又將這些個人信息提供給了美國國家安全局。此學者認為自己登陸臉譜網的個人信息被美國政府隨意監(jiān)控，而歐美安全港協(xié)議對此限制不足，未能使自己的個人信息在美國得到充分保護，遂向歐洲法院起訴。2015年歐洲法院作出判決，認為依據歐美《安全港協(xié)議》，歐洲公民在美國的個人信息得不到充分保護，因而此協(xié)議是無效的[13]。這意味著，所有美國公司應立即停止將其收集到的歐洲公民的個人信息傳輸至美國，以臉譜公司為代表的美國企業(yè)只能將其歐洲用戶的個人信息存儲在歐洲，而這在技術上需做大成本的調整，一些美國公司可能因難以承受這些成本而退出歐洲市場[14]。

為應對歐美《安全港協(xié)議》無效給歐美貿易往來造成的沖擊，2016年2月29日，歐美又達成了《隱私盾協(xié)議》。該協(xié)議對《安全港協(xié)議》做了補充更新，增加了信息主體的權利，加大了監(jiān)管措施的執(zhí)行力度。

《隱私盾協(xié)議》增加了信息控制者的義務的落實措施?！栋踩蹍f(xié)議》的一大缺陷是入港企業(yè)即使不遵守協(xié)議規(guī)定也不會得到懲罰，而在《隱私盾協(xié)議》下，入盾企業(yè)必須公示其入盾承諾及隱私政策，且需進行定期自證審查，接受相關部門監(jiān)督，否則將被撤銷入盾資格。美國商務部應定期公布入盾及退盾企業(yè)名單，使之透明化，避免過去有企業(yè)“謊稱入港”“蒙混入港”的現象。

《隱私盾協(xié)議》為歐洲人提供了個人信息保護的救濟途徑。當歐洲個人發(fā)現美國企業(yè)未遵守協(xié)議時，可以向企業(yè)申訴，企業(yè)如果在45日內未回復，則歐洲個人可提起強制性仲裁。

《隱私盾協(xié)議》還對美國政府獲取入盾企業(yè)存儲的歐洲公民的數據進行了限制。一是對大規(guī)模監(jiān)控進行限制，美國情報機構原則上不能批量獲取個人信息，為國家安全等特定目的除外；美國國務院專設一監(jiān)察專員，以監(jiān)督情報部門的信息獲取情況，并負責處理歐盟公民的投訴與查詢。美國情報機構和歐盟個人信息保護機構聯合進行年度審查，監(jiān)督協(xié)定的執(zhí)行情況[15]。

五、個人信息保護國際協(xié)調的中國應對

個人信息保護國際協(xié)調是在個人信息跨境流動日益頻繁，而各國個人信息保護立法差異阻礙了這種流動的情形下產生，并旨在消除這種阻礙的。欲達到這一目的，最好的方式是設定統(tǒng)一的個人信息保護原則，讓各國自愿或強制遵守，這樣整平個人信息保護的游戲場地，促進個人信息順利跨境流動。但是，由于各國國情不同，試圖通過談判達成全球性的個人信息保護公約、統(tǒng)一世界所有國家的個人信息保護立法是不可行的，因此目前只是達成了一些區(qū)域性個人信息保護規(guī)則，這些規(guī)則盡管效力不同、參與主體不同、表述不同，但其中的個人信息保護原則的核心內容卻是大體相同的，即都是在個人信息跨境流動和保護之間尋求一種適度的平衡。

這些協(xié)調規(guī)則對各國的個人信息保護立法產生的影響不言而喻。歐盟通過區(qū)域性個人信息保護立法統(tǒng)一了區(qū)域內部各國的個人信息保護立法的基本原則，而在美國，私營部門的個人信息保護以自律為主，沒有統(tǒng)一的個人信息保護立法，但各行業(yè)設定的個人信息自律規(guī)則很顯然受到個人信息保護多邊協(xié)調規(guī)則的影響，和這些規(guī)則逐漸趨同；而其特定領域的個人信息保護專門立法盡管保護水平不及個人信息保護多邊協(xié)調設定的原則廣泛，但也受到了個人信息保護多邊協(xié)調規(guī)則的很大影響，對個人信息保護的力度也逐漸在增大。在個人信息保護水平不對稱的國家之間達成的雙邊協(xié)議（如歐美雙邊協(xié)議）中，一般要求，高水平保護國的個人信息流向低水平保護國時，低水平保護國企業(yè)要按照高水平保護國的個人信息保護標準保護流入的個人信息。這說明，高水平保護國的個人信息保護標準和個人信息多邊協(xié)調后設定的標準大體一致，這也說明，個人信息保護國際協(xié)調最終取得了這樣的效果：參與協(xié)調的各國個人信息保護的整體水平得到了顯著的提高。

在全球化和信息社會背景下，我國與世界其他國家的政治、經濟、文化交往日益頻繁，這其中不可避免地涉及到個人信息的跨境流動。特別是以數據處理為經營核心的服務貿易領域，如電子商務、金融、保險、網絡服務等，與外國的個人信息跨境傳輸日益常態(tài)化，而我國對個人信息及隱私保護不力的現狀會不可避免地阻礙與外國的經貿活動的開展。而上述個人信息保護國際協(xié)調的成果與經驗無疑為解決中外個人信息商業(yè)性跨境流通與保護提供了良好的路徑。

第一，加快制定專門個人信息保護國內立法。我國目前沒有專門的、綜合性的個人信息保護國內立法，對包括個人信息在內的隱私的保護分原則性規(guī)定和分散性規(guī)定兩類。

對個人信息及隱私的原則性規(guī)定反映在憲法、侵權責任法中?！吨腥A人民共和國憲法》第39、40條規(guī)定，公民的“住宅、通信自由和通信秘密”受法律保護。《中華人民共和國侵權責任法》第2條把“隱私權”確定為獨立的一項民事權益。這些規(guī)定總括性地為保護個人信息提供了原則依據，但并沒有說明個人信息保護的具體內容，甚至沒有明確提到對個人信息的保護，因此保護個人信息的作用有限。

對個人信息的分散性規(guī)定散見于各種法律法規(guī)中。如《中華人民共和國刑法》第253之一條單獨規(guī)定了侵犯公民個人信息罪；《消費者權益保護法》第29條規(guī)定了對“消費者個人信息的保護”；《征信業(yè)管理條例》對“個人信用信息”進行了保護；《全國人大常委會關于加強網絡信息保護的決定》對“公民個人電子信息”進行了保護，等等。這些規(guī)定只側重于對某種特定類型的個人信息進行保護，且目前我國并無對所有類型的個人信息進行統(tǒng)一保護的專門立法，對全面保護特定個人的所有個人信息而言未免存在疏漏，也容易給他國留下我國未對個人信息進行充分保護的印象。

因此，我國應充分借鑒個人信息保護的國際協(xié)調經驗，從個人信息保護國際“軟法”、歐盟等區(qū)域性組織的個人信息保護指令及公約中吸取精華，結合我國的實際情況，把我國零散的關于個人信息保護的規(guī)定統(tǒng)一成一部專門的個人信息保護法，以國際通行的個人信息保護的原則為基礎設計具體保護內容，以避免因國內個人信息保護的立法保護不力，影響與他國的個人信息商業(yè)流動。

第二，積極參與個人信息跨境流動與保護的國際談判。如前所述，目前各國個人信息保護的水平和模式各異，而迄今為止國際上還沒有專門對個人信息跨境保護進行規(guī)制和協(xié)調的全球性條約，但個人信息保護國際“軟法”、區(qū)域性的個人信息保護立法卻會影響個人信息的跨境流動，如歐盟可能就會以我國對個人數據未提供“充分水平保護”為借口拒絕向我國出口服務貿易數據，從而對個人信息跨國流動作單方面限制，進而影響國際貿易的正常進行。

為解決個人信息跨境流動和保護的協(xié)調問題，我國應該積極參與個人信息跨境流動與保護的國際談判活動，在當前國際社會難以達成全球性個人信息保護多邊公約的背景下，我國解決與他國個人信息跨境流動障礙的最佳途徑無疑是達成雙邊解決方案。就私人和私人之間個人信息的跨境流動而言，我國可以借鑒歐美《安全港協(xié)議》的做法，與他國達成恰當的個人信息跨境流動法律框架。

注釋：

①《世界人權宣言》第12條規(guī)定：“任何人的私生活、家庭、住宅和通信不得任意干涉，其榮譽和名譽不得加以攻擊。人人有權享受法律保護，以免受這種干涉或攻擊?！?/p>

②APEC是亞太國家政府間的國際組織。與WTO和其他多邊貿易體不同的是，APEC不為成員國設定條約義務，除了日常會議外無正式機構。因此APEC成員是協(xié)商一致達成決議并在自愿基礎上履行。

③《公民權利和政治權利國際公約》第17條規(guī)定：“任何人的私生活、家庭、住宅和通信不得任意干涉，其榮譽和名譽不得加以攻擊。人人有權享受法律保護，以免受這種干涉或攻擊。”

④如，《歐洲人權和基本自由公約》第8條第1款規(guī)定：“人人有權享有使自己的私人和家庭生活、家庭和通信得到尊重的權利?！?/p>

⑤歐盟《指令》是歐洲聯盟的一種立法。制定指令的法理基礎是《歐盟運作方式條約》第288條（前《建立歐洲共同體條約》第249條）：“為使聯盟之完全，本制度可頒布歐盟規(guī)章、指令、決定、建議及意見?！?/p>

⑥依據1995年歐盟《數據保護指令》第25條第2款規(guī)定，應特別考慮以下因素來評定第三國是否提供了充分的保護：數據的性質、擬議中的處理操作或操作的目的和持續(xù)時間、始發(fā)國和目的地、在所討論的第三國的一般性和部門性的有效法規(guī)，以及在當地所遵守的職業(yè)規(guī)定和安全措施。

⑦僅加拿大、阿根廷、瑞士、匈牙利、根西島等少數幾個國家符合其標準。

⑧參見1995年歐盟《數據保護指令》第25條第4、5、6款。

[1]齊愛民.個人信息保護法研究[J]．河北法學，2008（4）：15-33．

[2]郭瑜.個人數據保護法研究[M]．北京：北京大學出版社，2012：154．

[3]潘建珊.實質損害原則——美國信息隱私保護利益平衡原則[J]．情報科學，2007（11）：1726.

[4]Graig T.Beling.Transborder Data Flows：International Privacy Protection and the Free Flow of Information[J].Boston.College International&Comparative Law Review,1983,6（2）：591-624．

[5]邵津.國際法[M].北京：北京大學出版社，高等教育出版社，2000：16.

[6]LeeA.Bygrave.PrivacyandDataProtectioninanInternationalPerspective [J].Scandinavian Studies in Law，2010（56）:165-200．

[7]周漢華.域外個人數據保護法匯編[M]．北京：法律出版社，2006：10-34.

[8]Stuart Hargreaves.Inadequate:The APEC PrivacyFramework&Article 25 of the European Data Protection Directive[J].Can.J.Law&Tech.，2010（8）：1-30.

[9]齊愛民.個人資料保護法原理及其跨國流通法律問題研究[M]．武漢：武漢大學出版社，2004：58.

[10]VirginiaBoyd.Financial Privacyin the United Statesand the European Union:A Path to Transatlantic Regulatory Harmonization[J].Berkeley Journal of International Law,2006,24（3）：959.

[11][德]尼古拉·杰因茨.金融隱私——征信制度國際比較[M].萬存知，譯.北京：中國金融出版社，2009：150．

[12]Kyle Thomas Sammin.安全港、《格朗-利奇金融服務現代化法案》及金融服務的隱私問題[J].梁志堅，張義東，譯.經濟資料譯叢，2011（3）：84.

[13]趙小娜，梁淋淋.歐洲法院宣布歐美數據《安全港協(xié)議》無效[N].經濟參考報，2015-10-08（4）.

[14]武曉婷.《安全港協(xié)議》被判無效，是隱私取勝還是美企災難[J].信息安全與通信保密，2015（1）：64-65.

[15]桂暢旎.美歐跨境數據傳輸《隱私盾協(xié)議》前瞻[J].中國信息安全，2016（3）：83-85.

（責任編輯：沈紅宇）

D996.1

A

1674-9014（2017）01-0087-06

2016-11-09

安徽省哲學社會科學規(guī)劃項目“涉稅個人信息的法律保護”（AHSKY2014D01）。

邵朱勵，女，安徽蚌埠人，安徽財經大學法學院副教授，博士，研究方向為民商法和國際法。