欧洲企业对跨境流通数据资讯隐私权保护的自律模式*
2012-03-20曾丽洁
曾丽洁
(湖北大学,湖北 武汉 430062)
数据跨境流动使比以前更容易获取的个人数据成为一种有价商品,这给数据所有人的隐私带来很大的威胁。在运用网络的电子商务环境下,隐私问题突出地表现为以“个人数据保护”为中心的“资讯隐私权”(informational privacy)。各国及各国际组织以“个人数据保护”为中心的立法已陆续发展起来。其中,以欧洲国家和欧盟的最为成熟和严格。欧盟通过一系列法规和指令建构了一套比较完备的资讯隐私权保护的法律框架,为用户、企业、政府等各方提供了可遵循的原则。不但要求成员国以极高立法标准对个人资料提供广泛的保护,还限制个人资料传送至第三国的情形。对企业而言,这显而易见的增加了企业的法定义务和责任:详细通知员工和消费者、数据库必须在数据保护机构注册、限制国际数据流通等规定,大大增加了企业在欧盟从事电子商务活动的守法成本,阻碍电子商务的自由发展。各国数据保护法之间协调不够,给各国履行指令的余地过宽,影响企业制定全程协调的数据处理规则。
向欧盟外国家转移个人数据有几条合法根据:“充分性”裁决、当事人同意、欧盟核定的“格式合同”、[1]美国安全港协议。充分性裁决需要耗费时日与对方政府谈判,然后批准。另外几个合法根据主要适用于向没有提供完备数据保护的国家转移数据。所转移数据当事人的同意有时也会受到法律的限制,即数据保护机构和法院不承认同意的效力。欧盟数据出口国与非欧盟数据进口国之间缔结的数据交换的格式合同约定,双方当事人都承诺保护数据。但格式合同的管理和使用都很困难,尤其是跨国公司在全球下属企业之间转移数据,操作难度大、成本高。在欧盟外的机构为了履行与数据被处理人之间的合同而转移数据,就很难获得法院和数据保护机构的认可,适用范围也有限。美国安全港协议是一个自愿选择的自律计划。企业加入了安全港计划后,就被认为对数据提供了“完备保护”。但该计划仅适用于转移至美国的个人数据。故而,在实践中,欧洲企业对跨境流通数据资讯隐私权保护还大量采取自律模式。
一、企业内部规制
自律模式最简单的形式就是企业公开宣布遵守一套最基本的隐私原则。这在因特网上已十分普遍,在大多数企业的网站上都有“隐私政策”。近年来,企业开始将原来仅仅是对不良公共形象的回应或一种公关活动的声明转化为对雇员的明确指南,称为“组织守则”。这种单个企业内部的隐私行为守则比较具有拘束力,也很具体。但适用面很小,仅适用于企业自身。
二、行业协会的行为守则
为整个行业制定的守则比组织守则涵盖范围广得多,而且不同的是,对相应行业或商业协会的成员来说,适用并遵守这些部门或职业守则通常以退出市场为规制手段而具有一定的强制性。它们也可以由专门的第三方组织(如审计服务或顾问公司)提供。许多这类自我规制机构为企业网站提供“隐私图章”(privacy seals),标明该企业是否遵守特定的数据保护标准。行业协会通过专门的课程、培训服务以及简讯,在教育其成员以最佳隐私保护行为中的作用日益增强。
这种方式存在的问题之一是仍趋于罗列一般原则而非具体规范。从理论上讲,它们可适用于特定行业遍布全球的企业。但实践中,这些企业仍只是个别表示赞同并接受这些守则。这些自愿性的协议的参与率相对较低,自然只能规制那些表示对其遵守的企业。[2]其二是,认证对隐私权的保护力度仍不够,只是对某一套数据处理行为准则的遵守,以退出市场而非准入机制作为规制手段。那么,如果消费者没有反对,其数据就可能被用于商业目的。其三是,这种形式的自我规制更接近于“管理”而非“执行”。其四是,认证机构在资金上依赖他们的成员或客户,不太可能对违反守则的企业真正采取强制措施。
三、商业网络中的契约解决方案
包含有关于承包商如何使用数据、谁拥有数据的财产权、是否及如何被转让给第三方等条款的契约通常作为个案补充而被采用。在那些拥有大量消费者和雇员个人数据并将一些相关工作外包的大企业中很常见。
20世纪70年代,已经有国家允许根据依国内数据保护法签订的隐私契约跨境转移数据。在法国,自数据保护规制初期,私人隐私契约就被普遍采用。在其他欧洲国家,通过契约来保证个人数据向其他国家的出口要受到数据来源国法律的限制。国内的数据保护机构在推动使用这种私法文件中起着至关重要的作用。
商家对商家数据转移的标准合同最初产生于欧盟,作为使数据可以向那些缺乏充分的立法的国家出口的合法工具。1992年,欧洲议会和欧盟委员会与国际商会合作,为跨境数据流动制订了一份样板合同。国际商会向全球的企业建议采用该标准合同条款。其他机构,如德国数据保护专员“Düsseldorfer Kreis”在这一领域也很活跃。[3]欧盟在通过1995年《数据保护指令》后也跟随这种做法。指令接受标准合同条款以保证向第三国跨境流动的数据受保护水平,但这些标准条款必须由欧盟委员会核准或制订。
这种方式更多地是通过标准的内部可操作性及交易成本的降低来发挥作用的。如果合同一方想让它们的合同受数据保护的高标准约束,可以坚持要在商业协议中并入标准的数据保护条款。政府部门因为有强大的购买能力,也可以在政府采购中将这作为相关国家法律中缺乏强制性的数据保护规定时,采用这种合同条款来提高数据保护水平。
这种数据保护合同条款的私法手段是一种将欧盟数据保护标准扩大到其国内法缺位或显得不充分的国家的有用工具。欧盟数据保护标准的运用正慢慢地纳入到全球的私人部门对数据的使用中去。这也表明,私法如何通过运用强制性的数据出口控制条款来推动一个区域性的法律标准的扩展。
这种方法有一定的局限性。如果事实上所影响的合同方(公民、消费者或数据使用者)不应受合同约束,将引起什么后果?这在欧洲大陆法系传统中可能不成问题。但英美普通法国家传统上不承认第三方依双方合同取得权利的概念。虽然,美国现在允许第三方从合同中受益。[4]这种合同的执行也仍然是困难的。合同条款的执行不仅依赖于管辖权的选择,也受进口国的国内某些法律的限制及接收方的利益的影响。
另外,私人契约方法只适用于那些将守则包含进商业契约的贸易伙伴,且大多为建立于欧洲的向第三国转移数据的企业所使用。由于个人数据没有一体化的“供应链”,合同式隐私保护网络仍相当松散,而且没有广泛地向下蔓延的效果。
四、标准化组织的协调作用
隐私标准方面的自律模式还远不止是承认自愿性的行为守则,还有提供一套客观的评价标准和确定的程序来控制标准的遵守情况。国际上一直有对普遍性隐私标准的讨论和努力。“标准”意味着对技术和社会实践如何在一个组织中履行的标准化检测方式。标准通常也有严格的监督和执行机制,所以比企业自愿性守则更进一步,更接近于行业守则。
国际标准化组织ISO、国际电信联盟ITU和国际信息系统审计和控制协会ISACA等在全球信息化进程中扮演着日益突出的角色。ISO制定的与信息安全评价密切相关的标准主要包括:面向对产品和计算机系统实施评测的ISO/IEC15408:信息技术安全评价通用准则(C C),面向工程的ISO/IEC21827:2002(SSE-CMM):信息安全工程能力成熟度模型;以及前面介绍过的面向管理的ISO/IEC17799和ISO/IEC27000 系 列 标 准。“ISO/IEC27004:信息安全管理的评价指标”标准在紧张制定中。
国际标准化组织理事会在其消费者政策委员会的施压下,1996年就提出一个建立国际隐私标准的进程,但迟迟未能就该标准达成一致。一个更为温和的方法在德国标准机构DIN的领导下,于2006年在国际标准化组织启动,要“建立一套通用的隐私术语,确定处理个人信息的隐私原则,对隐私性质进行分类并将所描述的所有隐私方面与现存的安全指南联系起来”。[5]欧洲标准机构ComitéEuropéan de Normalisation(CEN)也与欧盟数据保护署一起,研究全球隐私标准的可行性。
基于对基本原则的全球共识,上述隐私自治机制虽然在范围、适用对象、具体内容及执行机制上各不相同,但它们通过全球私人商业治理结构的网络逐步推行,彼此也越来越具有内在联系。
五、自我规制与政府规制相结合的混合模式
国家主导型的个人资讯隐私保护立法加上独立的数据保护机构的法律设计并不是在所有国家的政治框架中都切实可行。问题的解决应该是建立一个全球商业的隐私底线,然后,由每个国家根据国情具体实施底线的要求。前述经合组织、国际标准化组织都在做这一方面的努力,但进展很缓慢。在全球电子商务市场对消费者个人数据流动的强烈需求的现实下,欧盟开始寻求更好的途径解决法律规制的硬性规定与市场流通的刚性需求之间的矛盾。
(一)美国——欧盟安全港协议
美国与欧盟关于个人资讯隐私权保护的价值取向和模式不同。美国不符合欧盟的“充分性”标准,在相当程度上影响了跨大西洋电子商务交易市场的发展。为了调和美欧之间的矛盾,促进个人信息自由交流,1998年11月4日,美国商务部发布了《国际安全港隐私保护原则》。某一特定的在线服务产业公布本产业的网络隐私保护行为指南,该指南由联邦贸易委员会(FTC)通过后,即成为“安全港”,有关的网络服务商只要遵守该指南,就被认为遵守了FTC有关法案的要求。该原则所主张的告知、选择、转送、安全、资料完整、渠道、执行七大隐私保护原则与欧盟个人数据保护指令相似,只是采用企业自愿加入的方式,企业承诺遵守相关原则进行个人信息管理与接受消费者申诉。但这与欧盟的标准还有一段距离,主要是美国没有设立独立的数据保护机构,因而仍未获得“充分性”裁决。
美国及欧盟经过长时间的磋商和谈判,在2000年达成了建立“安全港机制”的协议。该协议内容明确具体,包括上述《国际安全港隐私保护原则》中的七大原则。在企业责任、进入安全港的企业资格及投诉机制方面,都有着更为严格的要求。如果美国产业界对协议表示同意,美国企业向欧盟“安全港”监督机构提出网络数据传输申请,经批准后,方可与欧盟成员国个人或企业进行交易。[6]协议要求任何面向消费者的投诉机制都必须由独立于企业的行业协会或跨行业的非官方组织来运行。当一些企业并不属于任何行业时,他们可以“自愿”接受欧盟成员国的数据保护机构的管理,接受他们的调查,并适用欧盟法律。
安全港协议的惩罚措施主要有:收回认证,公布企业的侵权行为,提交FTC进行法律行动等。它利用美国贸易法中的一项普遍条款,加入了安全港却被审查出违反安全港行业指南的公司将被联邦贸易委员会以“不公平和欺诈性贸易行为”处以罚金。当信息控制企业违反了协议规定,FTC将会通过非官方监督机构和欧盟成员国的重新评估来决定该企业是否已经违反了FTC法案Section5中的对“商业欺诈”的规定。如果FTC确定了违反协议的事实存在,可以命令停止这种侵犯行为或者向联邦地方法院提出起诉,该企业将会面临民事或刑事处罚。FTC还将通知美国商务部(DOC)就此事采取相应行动。如果信息控制企业“坚持不遵守原则”(指当信息控制者拒绝服从来自任何非官方监督机构、政府机构或发现其反复违反协议行为的组织所做出的重要决定时,其所宣称的遵守原则将不再被信任。),DOC必须通知其此种行为将会遭致以“不公平和欺诈性贸易行为”的罪名被诉,并给与30天的期限就此事做出反应。一旦最终事情未能得到满意的处理,该企业将被记录在安全港“坚持不遵守原则”的名单上并被剥夺其自安全港协议所获得的利益,即不得将欧盟成员国公民的个人信息传送到美国。[7]一个被记录在案的信息控制企业以后如果要求加入某个非官方监管机构,必须提供其之前加入安全港协议期间的完整记录。该协议还规定了仲裁程序,仲裁员可以从私人服务者如TRUSTe或权威机构如欧盟数据保护专员中选出。
安全港协议将两种不同的规制方法联系在一起:欧洲的以法律为基础的综合性资讯隐私权保护和美国式以私人部门为基础的行业自律。由此,美国可以使部分数据处理行业不受规制,而欧盟可以在美国公司自愿遵守安全港原则的条件下允许数据转移。由于不同的行业在信息收集和处理的方式和类别上存在较大的差别,对于个人资讯隐私保护的要求也不完全相同,单一的立法往往难以制定划一的标准,而仅具有笼统的规定。安全港协议即可将行业自律和立法规制相结合,弥补立法的不足,同时亦弥补行业自律的缺陷。在法律的执行上也能够充分反映不同行业的特点。官方机构审查的是整个行业的指南,可以实现对某个行业个人资讯隐私保护的宏观控制,使得行业采取较为严格的保护标准,并加强对本行业服务商的管理和监督,敦促其更为有效的执行本行业的指南。加入安全港行业指南的成员商服从指南的审查和执行程序,以代替正式的委员会调查和法律执行程序。依此协议,欧盟委员会所倚重的“充分性”评价的对象不再是一个国家,而是一个公司。裁决企业是否违背相关法律,首先审查是否违反了本行业安全港指南的原则。但该协议仍包含一些公共监督和执行,最终的审批权和裁决权在政府的正式执行机构,为消费者提供最后的申诉场所与救济渠道。行业和政府的双重监督能够赋予行业自律组织的指南及其监督机制这类软法以有效的可执行力,从而使很多争端尚未诉诸官方执行机构即可获得解决。安全港协议的规制机制是多层级的。欧盟设立实体性的数据保护标准,行业制订行为指南,公司自愿承认这些标准和原则,私人的或公共的机构提供仲裁服务,公共执行由一个美国部门实行,欧盟委员会仍有最后的发言权,可以在美国的遵约或公共监督不起作用的情况下终止整个协议。因此,它可以被描述为由跨国自我规制与以主权国家为基础的政府间公共规制两方面相结合的一个混合型安排,产生了一个复杂的、多层级的机制。
这种以双边协议解决个人信息跨境流通,对日渐融合的全球经济来说提供了一个在立法体制和理念上有诸多不同的双方都可以接受的解决矛盾的新方向。安全港协议对于中小企业尤其适合。欧洲企业只要浏览美国商务部网站(http://www.export.gov/safeharbor/)确定将要移转信息的美国接收方属于上贴的安全港组织名单即可以确保信息的安全。签署协议的组织逐渐上升的事实表明,安全港协议实施所带来了良性效果,也将更好更快的为个人信息流通提供保护。安全港协议不但反映了个人信息保护全球化的发展趋势,而且必然对这种趋势影响深远。[8]
安全港协议还有许多不尽如双方之意的地方。这一协定比欧盟立法在效力上要弱一些。在法律适用和执行上,欧盟公民不可能以法律的形式获得关于其个人数据在美国被使用情况的信息,欧洲数据保护专员也不可能审查大西洋彼岸的数据处理企业。欧盟要求以法律的手段强制企业执行,但协议规定美国企业加入安全港是完全遵循自愿原则的,不得强制。另外,虽然,美国可以利用自愿性的特点使某些行业排除在安全港之外而不受欧盟法的约束。但从另一个角度来说,某些不受美国联邦贸易委员会等政府机构监管的行业(如电信业、银行业、保险业、信用业,以及非盈利性机构等)不得加入安全港,却也使得这些行业内重量级的美国企业在欧洲市场的业务受阻。
(二)经官方审计的行业规则
国家开始对隐私自我规制的社会守则进行公共审计和认证程序来对行业自律本身进行规范。欧盟1995年指令也包括由公共机构对私人自我治理工具进行认证的选择,让隐私专员和行业协会在国家层面进行协商以达成全国范围的行为守则,还允许“第29条工作组”审查欧盟范围的立法。但只是被当做例外,很少使用。但自从美欧安全港协议突破后,就连欧洲的数据保护专员们也积极支持并促进这种做法:让商业协会制订隐私行为守则,但将它们纳入一个法律框架中,并使之可以由公共机构加以认证。有一些这种经认证的自我规制已在国家层面采纳。依改革后的2001年德国联邦数据保护法,商业协会可将它们的行为守则交付数据保护机构,由后者检验是否遵守数据保护法。然而,数据保护机构的决定并不是有约束力的。因此,个体的数据处理者(企业、网站经营商、其他实体)可以将它们的产品或隐私政策交由一个审计机制并由此获得官方认证或通过的签章。德国的Federal State of Schleswig-Holstein自2001年以来一直提供此类审计机制,以数据保护专员作为官方的公共认证机构。企业对这种官方审计的兴趣很大,显示出对国家合法化功能比对私人部门更大的信任。隐私签章已被欧盟资助的“European Privacy Seal”(ICCP,2008)计划推及欧洲层面。第一个获得“European Privacy Seal”的是搜索引擎Ixquick。这种做法的好处在于,减轻了企业在希望从事商业活动的每一个管辖区都要进行新的隐私认证的行政负担。
(三)经官方数据保护机构批准的有约束力的企业规则
欧盟所承认的个人数据流通的合法根据(充分性、合同、当事人同意等)都局限于个案解决。对于跨国企业来说,需要有一个立足于企业的内部数据处理方案,不需每项业务都签订合同,实现个人数据在欧盟内外的企业集团成员之间自由流通。有些跨国企业如Daimler Chrysler,General E-lectric,Siemens开始创设一种新的企业内部关于数据保护的隐私权规则的形式——“有约束力的企业规制”,赋权给企业,由企业或企业集团制定数据处理规则,适用于企业集团遍布全球的附属机构,同时也要求企业在全球范围内实行数据保护。[9]有约束力的企业规则使整个企业集团成了“安全港”,个人数据在集团内部可以自由地从一家企业流向另一家企业,不论它们所处的国家是否有隐私立法,都受到同样保护。许多企业还建立了内部的监督机制来保障这些隐私守则的遵守。这种模式可追溯到早期德国的数据保护立法,从一开始就有一种独特的模式:企业如果任命一个独立的企业数据保护专员——“首席隐私官”(chief privacy officers),就可以免除向公共监督机构登记其数据库的责任。这些“首席隐私官”归跨国专业机构如International Association of Privacy Professionals(IAPP),他们定期与官方隐私专员会面。这种使在私人部门中进行自我规制制度化的模式被纳入95/46/EC(recital49),并自此被整个企业界广泛采用。德国等成员国的经验表明,在《数据保护指令》允许的情况下,用企业隐私官替代强制登记,对促进企业遵守数据保护法的效果十分显著,同时又无须增设负责登记的行政机构。欧盟越来越多的数据保护机构赞同有约束力企业规则,其中有些数据保护机构(如奥地利、德国和英国)已经承认企业有约束力的企业规则可以作为国际数据流通的合法根据。
以有约束力的企业规则作为向欧盟外转移个人数据的法律根据,必须由数据输出国数据保护机构批准。理论上,它需要获得欧盟所有成员国数据保护机构的批准。为此,“第29条工作组”设计了一个在欧盟数据保护专员之中的协调机制,企业仅需要向某个成员国的数据保护机构申请批准即可。虽然这个协调机制运作得还不是十分快捷有效,获准使用有约束力的企业规则仍然费时又费钱,但欧盟用这种受规制的自律模式来认证跨国公司内部对其数据保护标准在全球范围的遵守,为整个欧盟提供了“一站式”认证机制。欧盟委员会在2003年第一份95指令实施报告中认为,这种模式起着至关重要的作用。[10]
2005年5月,Daimler Chryser成为第一家接受此项认证的企业,由法国监督机构CNRL对它的全球隐私行为守则进行认证,该认证在整个欧盟有效。Daimler Chrysler的有约束力的企业规则本只适用于企业的雇员和数据承包商,经过官方数据保护机构认证后,可以从欧盟各成员国向位于其他国家的附属机构转移个人数据,从而使该规则在全世界范围内是有效和可执行的。其他公司如General Electric也一直紧随其后,使IATA隐私行为守则适用于属于该组织成员的所有的航空运营商。因特网和全球经济日趋一体化带来的距离的消除,也使隐私自我规制文件外溢而在全球范围内被采纳。有约束力的企业规则对于在下属企业之间转移个人数据的跨国企业而言,已经成为最有效、最简捷的办法。
综上,在电子商务的发展过程中,行业自律在许多方面都体现了其不可替代的作用,甚至有些方面超过了人们对立法的需要。在安全港机制下,私人部门的作用比它在以公共监督和审查机构为基础的传统的欧洲规制模式中的作用要重要得多。行业自律作为一种最初的和产业层面的申诉场所,在实现网络隐私保护上是处于第一线的、基础的保护。大多数规制功能以及日常监督,都是由私人部门自己实施的。国家只是建立最低数据保护水准,但提供严重不遵守的情况下的救济途径。上述认证计划因为有政府参与,显然弥补了行业自律最薄弱的环节——执行和救济。而国家亦可以通过立法来规制和调节行业自律。如果希望维护产业利益,可于立法中规定相应的责任限制限度,如限制赔偿的金额和方式、限制诉讼权利的行使、或在举证责任上做出相应的规定。如果行业自律制度能够日趋完善,事实上立法规制的负担就会相对减轻,而最终需要执行机构和司法机构解决的案件数目亦将减少。[11]
欧美安全港协议的达成是一个重要的转折点。达成协议的过程本身也提高了欧洲数据保护专员和立法者对私人部门自我规制的接受程度。在这种国家法律规制和组织自律模式集合的双重模式下,国家的作用也发生了变化。国家并不直接进行公共的隐私规制,而是控制和驾驭作为标准和程序制订的重要机构,通过接受其隐私行为守则得到签章认证的行业协会、开发认证管理系统的技术公司、标准化组织、在国家明确的强行要求下开发新的系统设计的国际财团(如欧盟资助下的“Privacy and Identity”项目或P3P开发、制订私人当事人之间跨境数据流动的示范合同的组织(如国际商会)。这些中间组织都是在法律的框架内进行规制,但是,私营部门自治仍起着重要作用。数据保护的机构和手段是多样的,国家的作用再次增长,但其角色由一个执行者悄然转变为一个能力的缔造者、一个合作者。
六、结语
从欧盟关于电子商务中消费者个人资讯隐私权保护的企业责任的立法对欧盟内外国家的影响来看,国际社会上加强对个人资讯隐私权保护的一个通常的做法,就是对网络隐私权进行单独立法,已有专门的隐私权法的国家和还没有隐私权单独立法的国家都是是如此。而我国目前既没有专门的隐私权法,更没有专门保护个人数据等网络隐私权的立法。已有的分散立法只体现了对部分网络隐私权进行保护,而且缺乏可操作性。
自然,欧盟不可能裁定中国是数据保护“充分”的国家。因而,从欧盟向中国转移数据仅能依据其他合法根据。欧盟限制数据国际流通的规定对全球电子商务产生了重要经济影响,对企业外购行为的影响尤其严重,大大增加了企业外购的成本和难度,企业没有合法根据,不得向中国的企业转移个人数据,这严重阻滞了我国电子商务的发展。
由于美国和欧盟两个市场在在电子商务领域的重要地位,我国与它们的交流和联系一定会越来越紧密,而我国的个人资讯隐私权保护不力的现状已经开始成为一个严重的阻碍因素。目前我国两岸四地对于电子商务消费者个人信息保护的不平衡现状,也引起相似的问题。所以,我们关注欧盟对电子商务中消费者个人资讯隐私权保护的企业责任的规制模式,吸取其经验,可以更快、更好地在电子商务消费者个人资讯隐私权保护方面与国际接轨。
[1]Christopher Kuner.The E.U.Alternative Standard Contractual Clauses for International Data Transfers[R/OL].(2005-02-13)[2010-09-16].http://www.hunton.com/files/tbl_s47Details/File-Upload265/2865/EU_Standard_Contractual_Clauses_Intl_Data_Processors.pdf.
[2]Bennett and Raab.The Governance of Privacy.Policy Instruments in Global Perspective(2nd edition)[M].Cambridge MA:MIT Press,2006:14.
[3][4]Reidenberg.Resolving Conflicting International Data Privacy Rules in Cyberspace[J].Stanford Law Review.1999,(52):1315-1371.
[5]ISO/IEC.New Work Item Proposal on a Privacy Framework.ISO Joint Technical Committee1,Docu-ment ISO JTC N8172[R/OL].(2006-06-22)[2010 - 10 - 02].http://isotc.iso.org/livelink/livelink/fetch/- 8913189/8913214/8913250/8913253/JTC001-N-8172.pdf?nodeid=5446056&vernum=-2.
[6]新浪科技.欧盟保护网民隐私的方法和经验[EB/OL].(2006-03-08)[2010-08-16].http://tech.sina.com.cn/i/2006-03-08/1757861518.shtml.
[7]Pinsent Masons.Concerns over Data Protection Safe Harbor[EB/OL].(2004-11-01)[2010-5-18].http://www.out-law.com/page-5028.
[8]王孛.美国与欧盟个人信息跨国流通安全港协议简论[J].知识经济,2008,(4):46-47.
[9]Christopher Kuner.ICC Report on Binding Corporate Rules for International Transfers of Personal Data[EB/OL].(2004-10-28)[2012-11-27].http://www.iccwbo.org/Data/.../ICC-report-on-Binding-Corporate.
[10]EU Commission.Data Protection,Copyright and Related Rights[EB/OL].(2003-05-20)[2010-10-06].http://www.europa.eu.int/comm/justice_home/fsj/privacy/lawreport/report_en.htm.
[11]阿里巴巴集团研究中心.商业数据保护相关法律问题分析[EB/OL].(2010-08-06)[2010-09-26].http://www.aliresearch.com/wp-content/uploads/2010/08/Business- data- protection.pdf.
