安全港協議

美國與歐盟簽署的個人信息跨國流通安全港協議暗示着,在商業利益的驅動下,以美國為代表的行業自律和市場調節機制為主的鬆散立法體制向以歐盟為代表的統一立法體制暫時做出了讓步。在該協議中,美歐就其協議基本原則和取得,執行以及制裁機制做出了一系列具體規定。

安全港協議要求：收集個人數據的企業必須通知個人其數據被收集，並告知他們將對數據所進行的處理，企業必須得到允許才能把信息傳遞給第三方，必須允許個人訪問被收集的數據，並保證數據的真實性和安全性以及採取措施保證這些條款得到遵從。

安全港協議（SafeHarbor）確立了折衷處理美國和歐聯之間隱私手續的框架。15個成員國都服從該協議，這意味着可不經個人授權而進行數據轉移，而未加入安全港的美國企業必須單獨從各個歐洲國家獲取授權。

20世紀70年代，美國與歐盟在隱私權保護上的巨大差異成為貿易爭端的焦點。美國堅持靈活保護的策略，通過自律機制配合政府的執法保障來實現保護隱私權的目的，歐盟卻傾向於通過嚴厲的立法對個人數據跨國流動進行保護。歐盟《個人數據處理和自由流動中個體權利保護指令》（以下簡稱《個人數據保護指令》或《指令》）第25條規定，只有當第三國確保能夠為個人數據提供充分程度（adequatelevel）的保護時，才能將個人資料移轉或傳送至第三國，這條規定被稱為歐盟的“充分保護”標準。“充分保護”標準為美國企業在歐盟開展業務設置了限制性的門檻。為解決這個問題，歐盟和美國於2000年達成了《安全港協定》。“安全港”的目標是在確保美國企業達到歐盟的較高保護標準的同時，維持美國長久以來一直採用的自律機制。

“安全港”是指美國商務部建立一個公共目錄，在聯邦交易委員會和美國交通運輸部管轄下的任何組織，自願遵守“安全港”的規則就可以加入這個公共目錄，成為“安全港”的一員。要達到“安全港”的要求並得到其保護，機構必須採取以下措施之一：（1）參加符合“安全港”原則的自律性隱私權保護項目；（2）制定符合“安全港”原則的自律政策；（3）遵守有關保護個人隱私權的法律規範。機構採取上述三項措施之一，並以“安全港”成員的身份從事電子商務，自願做出承諾遵守“安全港”的七條隱私保護原則，這些機構就被假定達到了“充分保護”的要求，可以繼續接受、傳輸來自歐盟的個人數據。加入“安全港”的機構也必須承擔一定的義務，即要保證遵守“安全港”的七條原則，包括：（1）通知原則；（2）選擇原則；（3）向外移轉原則；（4）安全原則；（5）資料完整原則；（6）獲取原則；（7）執行原則。“安全港”在隱私權保護標準上體現了歐、美雙方的妥協。首先，在聯營機構數據共享方面，歐盟《指令》規定了明確的“選進”程序，只有經過數據主體的明確同意才能在聯營機構之間進行數據共享。而“安全港”規定，聯營機構間信息共享時，消費者有“選退”的權利，即在聯營機構間共享非公開個人信息時，給消費者選擇終止共享這些信息的權利，但是“選退”必須遵守“安全港”的原則。其次，和非聯營第三方之間的信息傳輸方面，《指令》也採取“選進”標準，需要消費者明確的同意，“安全港”採用的是“選退”方法。可以説，“安全港”協定要求美國的機構為歐盟的個人提供充分的隱私權保護，但是也沒有完全採用《指令》的標準，而是歐盟和美國兩種隱私權保護標準的妥協。 ^[1]