安全港協議
出自 MBA智库百科(https://wiki.mbalib.com/)
安全港協議(Safe Harbor)
目錄 |
安全港協議是指是2000年12月美國商業部跟歐洲聯盟建立的協議,它用於調整美國企業出口以及處理歐洲公民的個人數據(例如名字和住址)。該協議不同於美國跟歐洲之間的傳統商業過程,是響應歐洲的意圖而建立的折衷政策。
2007 年 10 月 31 日,Merck & Co., Inc. 安全港隱私政策聲明標準的範圍擴大到從瑞士傳送個人信息到美國。2009 年,Merck 通過了“安全港架構”(Safe Harbor Framework) 認證。該協議是瑞士聯邦數據保護和信息委員會與美國商務部之間簽訂的針對從瑞士傳送個人信息到美國的隱私保護協議。
安全港協議要求收集個人數據的企業必須通知個人其數據被收集,並告知他們將對數據所進行的處理,企業必須得到允許才能把信息傳遞給第三方,必須允許個人訪問被收集的數據,並保證數據的真實性和安全性以及採取措施保證這些條款得到遵從。
安全港協議確立了折衷處理美國和歐聯之間隱私手續的框架。15個成員國都服從該協議,這意味著可不經個人授權而進行數據轉移,而未加入安全港的美國企業必須單獨從各個歐洲國家獲取授權。
安全港協議的內容[1]
《安全港協議》規定:受聯邦貿易委員會(FTC)和美國運輸部監管的組織才能加入《安 全港協議》。加入該協議的企業要保證遵守由聯邦貿易委員會強制執行的《安全港協議》的七個原則。那些宣稱遵循這些原則的組織必須切實遵守這些原則才能享有《安全港協議》帶來的利益,並且要公開聲明他們這一舉動。要是一個公司加入了《安全港協議》,卻未能遵守這些原則,那麼聯邦貿易委員會就有權把這種行為檢舉為為欺詐性的貿易行為。一旦某公司在商務部登記,聲明遵守這些原則,《安全港協議》的利益立即適用於它。儘管起初美國
對《安全港協議》的價值和合理性存在一些異議,這些協議依然於 2000 年 11 月 1 日正式生效。從那時起,已有 392 個組織加入了《安全港協議》。因此,這個協議一直是令歐盟監管者和美國公司滿意的最好的方式,儘管遵守《安全港協議》勢必會迫使美國公司改變長期的商務實踐作為進入歐洲市場的代價。
美國商務部在廣泛聽取了產業界及公眾的意見後,參照《數據隱私保護指令》的標準, 提出了《安全港協議〉的七條原則。這些原則——加上美國商務部發行的簡要說明和常見問題及答案,構成了在遵守《安全港協議》和獲得源於歐洲的數據傳輸的使用權時所應遵循的具體章程。這七大原則是:1、告知原則;2、同意原則;3、轉送原則;4、安全性原則;5、資料品質原則;6、參與原則;7、救濟原則。
“告知原則”:公司有義務以發送說明書的方式,用清楚明白的語言,告知消費者收集 信息的原因。此外,這份說明書還應就如何聯繫信息收集者進行以查詢及投訴。公司必須在收集信息之後,或當這些信息被用於與其最初收集目的不同的用途及向第三方披露之前,儘快向消費者發出說明書。
“選擇原則”:公司在試圖將信息向第三方披露、或是用於與其最初收集目的不同的其 他用途時,客戶有權選退(即作出明確反對)該傳輸活動。“敏感信息”在進行傳輸和用於與最初收集信息目的不相同的其他用途時,必須在信息主體選進(即作出明確同意)之後才能進行。
“轉送原則”:公司只能向符合安全港原則的第三方轉送資料。轉移之前,信息轉出公 司必須遵循前述的告知及選擇原則。遵守轉送原則的公司受法律保護。若公司已遵守安全港原則,而收受信息的第三方濫用信息,僅在信息轉出公司已知悉或應知悉該情形發生時,才須為此負責。
“安全性原則”:要求保管個人信息的組織必須採用合理的預防措施,以防止信息被“丟失、濫用和未經授權的獲取”。安全性原則側重於企業內部的安全措施,而不是由監管機構提供的安全措施。《安全港協議》工作手冊給予了說明,“不論隱私保護規範如何完備,如果公司任何員工可任意取得客戶個人信息,或是電腦系統及文件檔案無安保措施,客戶信息仍得不到有效保護。”處理敏感資料時,公司須採取更嚴密的保護措施。
“資料品質原則”:要求公司所搜集的信息必須準確並與預期用途相關。公司不能以與 最初搜集信息目的不一致或是與遞交信息人之授權不一致的方式處理個人信息。這一原則降低了信息遭不當使用的風險,因為如果公司僅僅只是收集相關且準確的信息,這樣遭不當使用的幾率就比較小。
“參與原則”:公司應容許信息主體取得其信息,並更正其中的錯誤。《安全港協議》 對於這一原則只有一個例外,即:遵循該原則時,若成本過高,遠遠超出了客戶隱私權遭侵犯時受到的損失,或侵犯了他人權利,可以不遵循該原則。這一例外的適用程度因所查詢個人信息的敏感度及重要性而異。美國商務部表示:為踐行參與原則的基本精神,公司應有足夠的誠意為信息主體提供行使這一權利的途徑。
“救濟原則”:這個原則或許是七原則中最棘手的問題,它意味著必須有一機制確保公 司遵守這些原則、保障個人追索的權利及對侵權行為的依法懲處。糾紛調節制度要麼是由獨 立於該糾紛的第三方來執行——如 BBB OnLine、TRUSTe;要麼由歐洲數據保護部門來執行。
根據美國商務部指令,對未遵守該原則行為的製裁必須足夠嚴厲以確保公司遵守這些原則。
聯邦貿易委員會將“採納隱私保護自律組織的建議優先審查”貿易實務中是否存在《聯邦貿易委員會法案》中列舉的不公平或欺詐性做法。因此,《安全港協議》的執行由雙重機制來完成:一是行業自律機制;二是必要情況下的政府機構強制執行機制。下文將詳細說明,政府機構的職能在《安全港協議》原則應用於金融服務業方面是主要的難題之一。
儘管《安全港協議》對美國大多數企業是合理的、切實可行的體制,但對有些經濟部門 並不適用。正如前面已經提到過的那樣,由聯邦貿易委員會或美國運輸部規制下的美國航空公司以及機票代理商組織針對欺詐性或不公平貿易行為會採取相應的救濟措施,那些服從救濟措施的組織才符合加入《安全港協議》的條件。《聯邦貿易委員會法案》授權聯邦貿易委員會管轄大多數行業,但金融機構(銀行、儲蓄和貸款、聯邦信用合作社)及保險公司並不服從聯邦貿易委員會或運輸美國部的管轄。因此,金融機構和保險公司不符合加入《安全港協議》的條件。正是由於這個原因,《安全港協議》的隱私保護制度存在著一個主要問題,即:儘管歐盟在過渡時期尚未實施其《數據隱私保護指令》,但如果這個問題得不到解決,金融服務業和保險公司最終將無法在歐洲和美國地區之間進行數據傳輸,從而影響其在兩個地區經營業務的能力。
