APEC跨境商業個人數據隱私保護規則與實施

徐磊

內容摘要：為了增強消費者參與電子商務的信心，提高電子商務交易的效率，在電子商務領域建立跨境個人數據隱私權保護機制已經刻不容緩。亞太經合組織（APEC）在電子商務的跨境商業個人數據隱私保護方面做出了一系列卓有成效的工作。本文通過對APEC跨境隱私保護規則體系及其實施進行討論，以期對中國早日加入該規則體系有所幫助，這樣才能更加有效地保護中國電子商務中的個人數據隱私。

關鍵詞：商業個人數據 APEC 隱私保護 電子商務

APEC地區電子商務

近年來，APEC地區電子商務的發展速度和規模在全球范圍內均居于領先地位，商業數據也隨之呈級數增長。根據對在線零售產品和服務的分析研究，市場研究公司eMarketer預測，2013年全球B2C電子商務銷售額達1.2萬億美元，同比增長17%，其中APEC地區的增幅最高，為23.1%。2013年B2C電子商務的買家規模將達到10.3億人，其中44.6%的買家來自亞太地區，APEC地區消費者是全球最大網絡購物群體。在未來幾年內，B2C電子商務規模增長的絕大部分由APEC地區貢獻，如表1所示。從中國來看，據預測2013年中國B2C電子商務銷售額增幅將達到65%。中國的網絡買家（14歲或以上，每年至少在網上購物一次的網民）數量將超過2.694億人。中國電子商務研究中心數據顯示，截止到2013年6月，全國電子商務交易額達4.35萬億元，同比增長24.3%。其中，B2B交易額達3.4萬億，同比增長15.25%。網絡零售市場交易規模達7542億元，同比增長47.3%。2013年，中國電子商務市場交易規模將超過12.8萬億元，同比增長50%，如圖1所示。目前來看，由于利益的驅動，以虛擬網絡為載體的電子商務中的商業個人數據正逐漸演變成商家瘋狂追逐的核心競爭力，商業個人數據信息的收集、整理、販賣已經逐漸形成一個鏈條。特別是隨著電子商務中的跨境交易日益活躍，跨境網絡隱私權將是重要商業化規則。如何協調統一跨境交易中各國和地區的數據傳輸規則和標準、實現跨境電子交易中商業個人數據的有效保護已經引起研究者和相關機構的廣泛關注。

APEC跨境商業個人數據隱私權的保護進程

（一）成立個人資料隱私分組

為了保護電子商務中消費者的隱私權，推進電子商務的環境建設，APEC電子商務指導組于2003年2月成立了個人資料隱私分組，旨在建立一個APEC共同的隱私保護方式。

（二）簽署《APEC隱私保護綱領》

APEC經濟體較早地認識到確保電子商務發展的關鍵在于整合并促成有效率的個人信息隱私保護以增進消費者的信賴，為此，2004年各成員國在韓國釜山第17屆APEC部長會議中簽署了《APEC隱私保護綱領》，也稱《APEC隱私保護框架》，框架進一步明確了APEC保護數據隱私的意義，為亞太地區的個人信息隱私保護提供了指導性原則和標準。

（三）簽署《APEC數據隱私探路者倡議》

為了進一步落實《APEC隱私綱領》，2007年9月澳大利亞悉尼舉行的亞太經合組織第19屆部長級會議簽署了《APEC數據隱私探路者倡議》，首次提出建立簡單透明的APEC跨境隱私保護規則體系（CBPRs），用以落實數據隱私權保護，加強消費者的信心和促進跨境數據的交流。

（四）成立APEC跨境隱私規則研究小組

2008年第13次ECSG數據隱私分會通過成立了APEC跨境隱私規則研究小組，當時成員包括美國、澳大利亞、韓國、墨西哥和國際商會，目前成員已擴展到13個，中國于第14次會議時被吸收為成員。該研究小組已開展了對有關成員經濟體的隱私保護和操作程序的調研、跨境隱私規則的制訂、數據隱私探路者項目等工作，得到了電子商務指導組的認可和支持。

（五）制定《APEC跨境隱私執行安排》（CPEA）

為了進一步落實《APEC數據隱私探路者倡議》，盡早建立起CBPRs，2009年新加坡舉行的第21屆APEC部長級會議批準實施了《APEC跨境隱私執行合作安排》，這是根據APEC隱私框架朝向建立自愿跨境隱私法規體系的關鍵一步。安排旨在通過建立APEC區域法律合作框架體系保護網上個人數據信息，加強APEC各經濟體在保護跨境個人信息流動方面的合作程度，促進跨境電子商務數據流動，規范企業和處理個人數據行為。

（六）實施APEC跨境隱私規則體系（CBPRs）

2011年11月13日APEC第19次領導人非正式會議發表《檀香山宣言》，宣言中聲明實施由美國、澳大利亞、韓國、墨西哥、中國臺灣、新加坡等經濟體和國際商會組成的跨境隱私研究小組制訂的跨境隱私規則體系（CBPRs），該體系的實施是國際數據保護史上的重要里程碑。表2為APEC跨境商業個人隱私保護的主要進程。

APEC跨境商業個人隱私權保護規則體系

APEC跨境商業個人隱私保護規則體系于2011年11月夏威夷APEC領導人非正式會議上通過建立。它是一項自愿的認證體系，也是APEC 跨境商業個人隱私保護的核心內容。該體系旨在促進APEC框架內實現無障礙跨境信息交換，推動在參與該體系的APEC成員經濟體中經營業務的公司就形成保護數據隱私的常規慣例達成一致。加入該體系需相關機構就跨境隱私程序制定符合該體系的內部業務規則：

自我評估。指的是各經濟體的責任代理機構對預參與商業機構的評估。通常由責任代理機構根據APEC 跨境隱私權保護規則的要求來提供問卷，預參與商業機構來對照回答。

合規審查。合規審查包括兩個層面：第一，對于欲成為認可的責任代理機構，需要通過APEC 跨境隱私權保護規則的審查標準，并得到認可。第二，欲成為APEC 認可的遵守隱私權保護的商業機構則需要通過責任代理機構的合規審查。

認可/接受。APEC 各經濟體將建立一個可以讓公眾訪問的目錄網站，把經認可的責任代理機構及其認證通過的商業機構列入網站的目錄。endprint

爭議解決和執行。指由APEC 跨境隱私權保護規則體系建立的這些組織，包括責任代理機構、隱私權保護執行機構，以及APEC 隱私權保護聯合監督小組等能夠通過有效地協調和信息共享來解決在隱私權保護方面出現的各種投訴問題。

美國是CBPRs首個參與國。2013年1月16日，墨西哥成為CBPRs的第二個參與國。目前，澳大利亞也正在積極推進。加入CBPRs將幫助加入國與APEC成員經濟體通過更加安全的方式有效地交換數據，保護消費者隱私。

APEC跨境商業個人隱私權保護規則體系的實施

APEC跨境商業個人隱私保護規則體系的實施主要包括APEC和各經濟體兩個層面的工作，如圖2所示。

（一）APEC層面的實施

一是“APEC 跨境隱私權保護規則聯合監督小組”。在數據隱私探路者倡議批準后，按照跨境隱私保護規則的要求，APEC建立“APEC 跨境隱私權保護規則聯合監督小組”，負責APEC區域內跨境隱私權保護的監督、協調和實施。二是CBPRs認證目錄網站。該網站將公布APEC 認可的CBPRs 責任代理機構，以及CBPRs認證的商業機構名錄。如果參加CBPRs的商業機構侵犯了消費者的隱私權，責任代理機構可撤銷對該商業機構的認證，并從CBPRs認證目錄網站中將其剔除。

（二）各經濟體層面的實施

在各經濟體層面APEC指導建立了以下三個保護機制：第一，“隱私權保護執行機構”。“隱私權保護執行機構”具體監督落實各經濟體內對個人隱私權和跨境隱私權保護規則，同時，該機構還要負責與其他經濟體和APEC 聯合監督小組進行協調來處理跨境隱私權保護的問題。例如中國香港、加拿大、澳大利亞、新西蘭等經濟體的個人資料（隱私）公署。公署除履行經濟體內隱私權保護職責外，還負責參與APEC跨境隱私保護規則體系。

第二，“APEC 認可的責任代理機構”。“APEC 認可的責任代理機構”主要負責對商業機構的隱私權保護進行審核，使其符合APEC 跨境隱私權保護的規則并給予認證。如果需要，各經濟體可以允許多個該性質的機構存在。

第三，參與APEC跨境隱私保護規則體系的認證目錄網站的聯絡點。各經濟體內部建立CBPRs認證目錄網站的聯絡點，通過聯絡點完成與CBPRs認證目錄網站相關信息的溝通和對接。

參與APEC跨境隱私保護規則體系的商業機構應該按照CBPRs的各項要求落實隱私權政策和做法，由APEC 認可的責任代理機構按照規則體系要求進行評估。這些商業機構一旦被批準和被認證參與該體系，APEC 跨境隱私權保護規則體系的政策和做法就對其具有約束力。相關權威機構，例如行政監管部門等就將對商業機構進行監督。

（三）該規則實施對消費者的影響

APEC跨境商業個人隱私權保護規則的實施能夠增強消費者參與電子商務的信心，提高電子商務交易的效率。消費者在進行電子商務交易時，可訪問CBPRs的認證目錄網站，選擇參加CBPRs的商業機構，以使自己的個人數據得到有效的保護。

此外，在個人數據被非法傳播、濫用導致個人隱私權受到侵犯時，消費者可向隱私權保護執行機構提起投訴。隱私保護執行機構首先會在投訴人與被投訴人之間進行調解。若調解無效，隱私保護執行機構可做出正式調查，如調查證實被訴人確有違反條例的規定，隱私保護執行機構可向其發出執行通知，指令其采取補救措施，或予以起訴。違反執行通知即屬違法，可被判罰款及監禁。同時，也將被APEC責任代理機構剔除出CBPRs認證目錄。

綜上所述，政府部門應積極推進中國加入APEC跨境商業個人隱私權保護規則體系，引導我國互聯網交易企業走出去，進一步參與世界市場，分享利潤，得到外國消費者的信任與認可。但是，我國目前還沒有有關隱私權保護的自律機制，因此，也要盡快完成商業數據隱私權的立法工作，選定合適的隱私權保護執行機構。同時也要特別注意平衡隱私權利與公共利益。

參考文獻：

1.APEC （2004） - APEC Privacy Framework [EB/OL]. http：//www.doc88.com/p-308888086774.html.

2.APEC Cross-border Privacy Enforcement Arrangement （CPEA） [EB/OL] http：//www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group/Cross-border-Privacy-Enforcement-Arrangement.aspx.

3.2011 APEC Ministerial Meeting： Statement[EB/OL] http：//www.apec.org/Meeting-Papers/Ministerial-Statements/Annual/2011/2011_amm.aspx.endprint

爭議解決和執行。指由APEC 跨境隱私權保護規則體系建立的這些組織，包括責任代理機構、隱私權保護執行機構，以及APEC 隱私權保護聯合監督小組等能夠通過有效地協調和信息共享來解決在隱私權保護方面出現的各種投訴問題。

美國是CBPRs首個參與國。2013年1月16日，墨西哥成為CBPRs的第二個參與國。目前，澳大利亞也正在積極推進。加入CBPRs將幫助加入國與APEC成員經濟體通過更加安全的方式有效地交換數據，保護消費者隱私。

APEC跨境商業個人隱私權保護規則體系的實施

APEC跨境商業個人隱私保護規則體系的實施主要包括APEC和各經濟體兩個層面的工作，如圖2所示。

（一）APEC層面的實施

一是“APEC 跨境隱私權保護規則聯合監督小組”。在數據隱私探路者倡議批準后，按照跨境隱私保護規則的要求，APEC建立“APEC 跨境隱私權保護規則聯合監督小組”，負責APEC區域內跨境隱私權保護的監督、協調和實施。二是CBPRs認證目錄網站。該網站將公布APEC 認可的CBPRs 責任代理機構，以及CBPRs認證的商業機構名錄。如果參加CBPRs的商業機構侵犯了消費者的隱私權，責任代理機構可撤銷對該商業機構的認證，并從CBPRs認證目錄網站中將其剔除。

（二）各經濟體層面的實施

在各經濟體層面APEC指導建立了以下三個保護機制：第一，“隱私權保護執行機構”。“隱私權保護執行機構”具體監督落實各經濟體內對個人隱私權和跨境隱私權保護規則，同時，該機構還要負責與其他經濟體和APEC 聯合監督小組進行協調來處理跨境隱私權保護的問題。例如中國香港、加拿大、澳大利亞、新西蘭等經濟體的個人資料（隱私）公署。公署除履行經濟體內隱私權保護職責外，還負責參與APEC跨境隱私保護規則體系。

第二，“APEC 認可的責任代理機構”。“APEC 認可的責任代理機構”主要負責對商業機構的隱私權保護進行審核，使其符合APEC 跨境隱私權保護的規則并給予認證。如果需要，各經濟體可以允許多個該性質的機構存在。

第三，參與APEC跨境隱私保護規則體系的認證目錄網站的聯絡點。各經濟體內部建立CBPRs認證目錄網站的聯絡點，通過聯絡點完成與CBPRs認證目錄網站相關信息的溝通和對接。

參與APEC跨境隱私保護規則體系的商業機構應該按照CBPRs的各項要求落實隱私權政策和做法，由APEC 認可的責任代理機構按照規則體系要求進行評估。這些商業機構一旦被批準和被認證參與該體系，APEC 跨境隱私權保護規則體系的政策和做法就對其具有約束力。相關權威機構，例如行政監管部門等就將對商業機構進行監督。

（三）該規則實施對消費者的影響

APEC跨境商業個人隱私權保護規則的實施能夠增強消費者參與電子商務的信心，提高電子商務交易的效率。消費者在進行電子商務交易時，可訪問CBPRs的認證目錄網站，選擇參加CBPRs的商業機構，以使自己的個人數據得到有效的保護。

此外，在個人數據被非法傳播、濫用導致個人隱私權受到侵犯時，消費者可向隱私權保護執行機構提起投訴。隱私保護執行機構首先會在投訴人與被投訴人之間進行調解。若調解無效，隱私保護執行機構可做出正式調查，如調查證實被訴人確有違反條例的規定，隱私保護執行機構可向其發出執行通知，指令其采取補救措施，或予以起訴。違反執行通知即屬違法，可被判罰款及監禁。同時，也將被APEC責任代理機構剔除出CBPRs認證目錄。

綜上所述，政府部門應積極推進中國加入APEC跨境商業個人隱私權保護規則體系，引導我國互聯網交易企業走出去，進一步參與世界市場，分享利潤，得到外國消費者的信任與認可。但是，我國目前還沒有有關隱私權保護的自律機制，因此，也要盡快完成商業數據隱私權的立法工作，選定合適的隱私權保護執行機構。同時也要特別注意平衡隱私權利與公共利益。

參考文獻：

1.APEC （2004） - APEC Privacy Framework [EB/OL]. http：//www.doc88.com/p-308888086774.html.

2.APEC Cross-border Privacy Enforcement Arrangement （CPEA） [EB/OL] http：//www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group/Cross-border-Privacy-Enforcement-Arrangement.aspx.

3.2011 APEC Ministerial Meeting： Statement[EB/OL] http：//www.apec.org/Meeting-Papers/Ministerial-Statements/Annual/2011/2011_amm.aspx.endprint

爭議解決和執行。指由APEC 跨境隱私權保護規則體系建立的這些組織，包括責任代理機構、隱私權保護執行機構，以及APEC 隱私權保護聯合監督小組等能夠通過有效地協調和信息共享來解決在隱私權保護方面出現的各種投訴問題。

美國是CBPRs首個參與國。2013年1月16日，墨西哥成為CBPRs的第二個參與國。目前，澳大利亞也正在積極推進。加入CBPRs將幫助加入國與APEC成員經濟體通過更加安全的方式有效地交換數據，保護消費者隱私。

APEC跨境商業個人隱私權保護規則體系的實施

APEC跨境商業個人隱私保護規則體系的實施主要包括APEC和各經濟體兩個層面的工作，如圖2所示。

（一）APEC層面的實施

一是“APEC 跨境隱私權保護規則聯合監督小組”。在數據隱私探路者倡議批準后，按照跨境隱私保護規則的要求，APEC建立“APEC 跨境隱私權保護規則聯合監督小組”，負責APEC區域內跨境隱私權保護的監督、協調和實施。二是CBPRs認證目錄網站。該網站將公布APEC 認可的CBPRs 責任代理機構，以及CBPRs認證的商業機構名錄。如果參加CBPRs的商業機構侵犯了消費者的隱私權，責任代理機構可撤銷對該商業機構的認證，并從CBPRs認證目錄網站中將其剔除。

（二）各經濟體層面的實施

在各經濟體層面APEC指導建立了以下三個保護機制：第一，“隱私權保護執行機構”。“隱私權保護執行機構”具體監督落實各經濟體內對個人隱私權和跨境隱私權保護規則，同時，該機構還要負責與其他經濟體和APEC 聯合監督小組進行協調來處理跨境隱私權保護的問題。例如中國香港、加拿大、澳大利亞、新西蘭等經濟體的個人資料（隱私）公署。公署除履行經濟體內隱私權保護職責外，還負責參與APEC跨境隱私保護規則體系。

第二，“APEC 認可的責任代理機構”。“APEC 認可的責任代理機構”主要負責對商業機構的隱私權保護進行審核，使其符合APEC 跨境隱私權保護的規則并給予認證。如果需要，各經濟體可以允許多個該性質的機構存在。

第三，參與APEC跨境隱私保護規則體系的認證目錄網站的聯絡點。各經濟體內部建立CBPRs認證目錄網站的聯絡點，通過聯絡點完成與CBPRs認證目錄網站相關信息的溝通和對接。

參與APEC跨境隱私保護規則體系的商業機構應該按照CBPRs的各項要求落實隱私權政策和做法，由APEC 認可的責任代理機構按照規則體系要求進行評估。這些商業機構一旦被批準和被認證參與該體系，APEC 跨境隱私權保護規則體系的政策和做法就對其具有約束力。相關權威機構，例如行政監管部門等就將對商業機構進行監督。

（三）該規則實施對消費者的影響

APEC跨境商業個人隱私權保護規則的實施能夠增強消費者參與電子商務的信心，提高電子商務交易的效率。消費者在進行電子商務交易時，可訪問CBPRs的認證目錄網站，選擇參加CBPRs的商業機構，以使自己的個人數據得到有效的保護。

此外，在個人數據被非法傳播、濫用導致個人隱私權受到侵犯時，消費者可向隱私權保護執行機構提起投訴。隱私保護執行機構首先會在投訴人與被投訴人之間進行調解。若調解無效，隱私保護執行機構可做出正式調查，如調查證實被訴人確有違反條例的規定，隱私保護執行機構可向其發出執行通知，指令其采取補救措施，或予以起訴。違反執行通知即屬違法，可被判罰款及監禁。同時，也將被APEC責任代理機構剔除出CBPRs認證目錄。

綜上所述，政府部門應積極推進中國加入APEC跨境商業個人隱私權保護規則體系，引導我國互聯網交易企業走出去，進一步參與世界市場，分享利潤，得到外國消費者的信任與認可。但是，我國目前還沒有有關隱私權保護的自律機制，因此，也要盡快完成商業數據隱私權的立法工作，選定合適的隱私權保護執行機構。同時也要特別注意平衡隱私權利與公共利益。

參考文獻：

1.APEC （2004） - APEC Privacy Framework [EB/OL]. http：//www.doc88.com/p-308888086774.html.

2.APEC Cross-border Privacy Enforcement Arrangement （CPEA） [EB/OL] http：//www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group/Cross-border-Privacy-Enforcement-Arrangement.aspx.

3.2011 APEC Ministerial Meeting： Statement[EB/OL] http：//www.apec.org/Meeting-Papers/Ministerial-Statements/Annual/2011/2011_amm.aspx.endprint