个人信息保护的国际协调
2017-03-11邵朱励
邵朱励
(安徽财经大学法学院,安徽蚌埠 233030)
个人信息保护的国际协调
邵朱励
(安徽财经大学法学院,安徽蚌埠 233030)
虽然很多国家有个人信息保护的相关立法,但这些立法对个人信息的保护内容及水平存在很大差异,从而极大地阻碍了个人信息的跨境商业流动。为此,相关国际组织、国家和地区通过制定个人信息保护的“软法”性文件、制定多边区域性统一法规、签署多边区域性公约以及双边协定的方式,对个人信息跨境流动与保护进行国际协调,以期在个人信息跨境商业流动和个人信息隐私保护之间寻求适当的平衡。我国应审视国内个人信息保护立法与他国的差异,通过统一立法、与他国谈判达成协定等方式解决中外个人信息跨境商业性流动中的个人信息保护问题。
个人信息;隐私;欧美《隐私盾协议》
一、个人信息保护国际协调的必要性
(一)个人信息的保护模式及水平因国而异
个人信息是能够识别出个人身份的任何信息[1],由两部分组成:一是个人身份信息,一是个人非身份信息,容纳个人社会生活的方方面面,两者相结合,即是特定个人的隐私,而对于隐私,各国一般都会把它看成是人格权的客体而予以法律保护。由于各国政治、经济、法律传统及历史环境不同,对包括个人信息在内的隐私保护模式、理念和具体内容也因国而异。
以欧美为例。欧美各国关于个人信息的保护模式、保护水平存在较大差异。就保护模式而言,欧盟以立法保护为原则,行业自律为补充;个人信息保护立法不区分政府部门和私营部门,不区分行业类别,由政府制定适用于所有部门、所有行业(金融行业自然包括在内)的统一法规,由统一的个人信息保护监管机构监督法律的实施。与欧盟不同,美国没有以个人信息保护命名的法规,其对个人信息的保护包含在“隐私”保护的框架之下,对“信息隐私”的保护义务又区分公营部门和私营部门:对公营部门,制定联邦统一《隐私权法》限制政府收集与存储个人信息的能力;对私营部门,则以行业自律隐私保护为原则,只在隐私容易被侵犯的行业,如电信、金融,才制定专门的隐私保护法[2]。
就保护水平而言,欧盟明显高于美国。欧盟采取统一立法保护模式,且对个人信息的保护涵盖收集、利用、储存、披露的所有环节[3],采取“严进严出”的保护模式。而美国对个人信息保护以行业自律为主,在特定行业虽有信息隐私保护法,但非常零散,难以涵盖个人信息保护的所有环节。如1978年的《金融隐私权法》采取了“宽进严出”的隐私保护模式,对个人金融信息的收集无任何限制,渠道多且容易,只要求金融机构不得随意利用、披露个人金融隐私信息,因此美国的个人信息保护水平低于欧盟。
(二)个人信息的跨境流动日益频繁
随着全球化背景下国际交往的日益广泛,从事跨境经营活动的私人部门之间个人信息的跨境流动也日益深入,许多以数据处理为经营核心的行业,如金融服务、保险、咨询、新闻、网络等,越来越频繁地大量收集、处理和跨国传输数据,即使是以制造业为主和非数据密集型的跨国公司,也需要先进的人力资源信息系统和客户管理平台,同时在全球分支机构间传输这些数据。但是,由于各国对个人信息的保护水平不同,水平较高的国家担心如果个人信息被允许传输进入保护水平较低的国家,其本国公民的个人隐私会受到侵犯,因此可能会拒绝个人信息的跨境流动,从而使个人信息的正常商业流动停滞,也阻碍跨境资金的顺利流动。
因此,在国际层面寻求一种既能让个人信息有序跨境流动,又能解决各国关于个人信息保护的法律冲突,有效保护个人信息隐私,是经济全球化背景下必须要解决的问题[4]。
一般来说,在各国法律、政策和程序的冲突之间寻求一个微妙的平衡,最好的方式就是进行国际合作,通过签订条约、非正式的协定,多边合作,促进和便利各国交流。在个人信息保护方面也是如此。在个人金融信息保护的国际协调方面,目前主要是通过双边协定、多边协定,以及大量以“指南(Guidelines)”“建议(Recommendations)”或“行业准则(Codes of Practice)”命名的“软法”来实现的。
二、个人信息保护的国际“软法”协调
“软法”是指国际组织或国际会议上通过的一些不具有法律约束力的决议、宣言、建议、指导方针、行动纲领、文件等[5]。个人信息保护领域的“软法”尽管没有法律拘束力,但在政治和商业层面却有着相当重的份量,对各国立法的发展产生了深远的影响[6]。
人类有关隐私保护的国际法文件可以追溯到1948年12月联合国大会通过的《世界人权宣言》第12条对个人的私生活、家庭、住宅和通信等的保护①。该宣言并无法律约束力,但可看成是国际层面对包括个人信息保护在内的隐私保护的基础性文件。
对发达国家而言,最重要的个人信息保护国际“软法”是1980年OECD发布的《隐私保护和个人数据跨境流动指南》(以下简称OECD《指南》)。OECD《指南》规定了隐私保护和个人数据在各国间自由流动的八个基本原则:一是限制收集原则;二是资料完整正确原则;三是特定目的原则;四是限制利用原则;五是安全保护原则;六是公开原则;七是个人参与原则;八是责任原则[7]。但OECD《指南》本身没有法律约束力,各国可以此为基础自行确定其国内立法。OECD《指南》对一些非欧洲国家(如澳大利亚、新西兰、加拿大)个人数据保护标准和立法产生了非常重要的影响,同时也被美国的许多公司和贸易协会认可。
另外,OECD《指南》对2004年的《亚太经合组织隐私保护框架》(以下简称APEC《框架》)也产生了重要影响。后者的核心是建立一套“信息隐私保护原则”,这些原则其实就是OECD《指南》中个人信息保护的主要原则的翻版。APEC《框架》旨在为亚太地区国家提供一套共同的隐私保护规则②,它以OECD《指南》为基础,但主要强调的不是隐私权,而是全球商务和信息的自由流动的重要性。它对APEC成员无约束力,因为“过于原则”而被称为“OECD《隐私保护和个人数据跨境流动指南》精简版”。正如其引言所说,制定APEC《框架》的动力是,如若没有政府和企业的合作开发、实施技术和政策以解决包括隐私在内的问题,电子商务的潜力就无法实现。APEC《框架》的作用是平衡和促进亚太地区有效的信息隐私保护和信息自由流动以确保电子商务的增长。因此,APEC《框架》不建议制定非必要限制信息流动的措施,因为这些措施可能会对全球商务和经济产生消极影响。
APEC《框架》包括九个信息隐私原则:一是预防损害原则;二是通知原则;三是收集限制原则;四是个人信息的合理使用原则;五是个人信息主体的选择权原则;六是个人信息的完整性原则;七是安全防护原则;八是个人信息主体的获取权和要求改正权原则;九是责任原则[8]。
另一个范围比较广泛的“软法”是联合国1990年通过的《关于计算机处理的个人数据文件指南》(以下简称UN《指南》)。UN《指南》旨在鼓励没有个人信息保护立法的联合国成员国制定个人信息保护立法,也鼓励政府间和非政府间国际组织以负责任的、公平的和友好的方式处理个人信息。虽然UN《指南》的影响力似乎要比OECD《指南》和其他国际性文件要小得多,但它的出台意味着个人信息保护不仅仅是“第一世界”国家和西方国家的事,而是全球范围内的事[6]。
UN《指南》确立了个人信息保护的十大原则:一是合法、合理原则;二是准确性原则;三是特定目的原则;四是本人参与原则;五是不得歧视原则;六是例外规定;七是安全原则;八是监督与处罚原则;九是个人数据只在对其提供相似保护的国家间传输原则;十是政府和私人的电脑和手工处理文件均适用指南原则[9]。这些原则的核心内容和OECD《指南》、APEC《框架》大体相同。
三、个人信息保护的多边条约及立法协调
(一)全球性个人信息保护多边条约
在全球层面首个与个人信息及隐私保护有关的有约束力的多边条约是1966年12月联合国大会通过的《公民权利和政治权利国际公约》第17条③,此条规定和1948年《世界人权宣言》第12条的措辞完全相同。区域性的人权保护公约包括《欧洲人权和基本自由公约》、《美洲人权公约》等也有类似规定④。这些文件都明确承认隐私是基本人权,是对包括个人信息在内的隐私进行国际保护的法律基础,对成员国有约束力。
但迄今为止,国际上并无专门对个人信息保护问题进行协调的全球性的国际条约,其主要原因在于,各国历史、文化及法律传统、社会及政治因素迥异,在个人数据保护的立法模式和具体规则等方面很难协调。
(二)区域性的个人信息保护专门立法及条约
虽然不存在专门的有约束力的全球性的有关个人信息保护的国际条约,一些区域性的多边个人信息保护立法性文件却是存在的。
1.1981年欧洲议会《与个人数据自动化处理有关的个人保护公约》。在个人信息保护方面,第一个具有法律约束力的国际文件是1981年欧洲议会通过的第108号公约——《与个人数据自动化处理有关的个人保护公约》(以下简称《欧洲议会第108号公约》。该公约确立了自动化处理的个人信息保护的八大原则:一是社会公正原则;二是有限收集原则;三是数据质量原则;四是目的特定原则;五是安全保护原则;六是公开原则;七是时间限制原则;八是个人参与原则[4]。
该公约和1980年的OECD《指南》是最早的将个人信息保护具体化和细化的两个国际文件,二者既有共同点,也有区别。二者都试图总结私营部门的最佳信息实践标准(Standard of Fair Information Practice),并旨在解决隐私保护和信息自由流动之间的冲突;二者都涵盖个人信息的收集、使用、储存、传输和传播等环节;二者涉及的数据处理活动都不仅限于计算机处理的信息。但是二者侧重点不一样。OECD《指南》强调信息的自由流通对经济发展更为重要,而《欧洲议会第108号公约》则强调个人权利的保护更为重要。之所以产生这样的不同,是因为二者制定的目的不同:OECD《指南》是用来促进工业化国家之间的经济增长的,而欧盟公约是为了保护人权。正是基于不同的侧重点,两份文件的法律特点也存在很大不同。OECD《指南》强调自愿遵守、强调发展自我规制,而《欧洲议会第108号公约》则设定了个人数据最低保护标准,公约签字国有义务制定和公约保持一致的国内法。指南没有强制执行力,而公约则强调赋予行政机构执行公约的监督权力。二者都涵盖有关可识别的个人信息的处理,但公约的适用范围更广泛,因为其明确允许适用于法人。
2.1995年欧盟《关于个人数据处理及自由流通个人保护指令》。欧盟1995年出台了《关于个人数据处理及自由流通个人保护指令》(以下简称欧盟《指令》)⑤。欧盟《指令》确立了欧盟个人数据保护的八个重要的基本原则:一是目的有限原则;二是数据质量和比例性原则;三是透明度原则;四是获取、修改和反对原则;五是安全原则;六是充分水平保护原则;七是对特殊数据进行特殊处理的原则;八是实施措施和补救措施的确定原则[10]。
欧盟《指令》有两个并行的目标,一是促进个人信息在欧盟境内的顺畅传输,一是高标准保护个人的个人信息隐私。它对欧盟成员国具有约束力,但只规定了各国必须达到的个人数据保护的最低水准,具体立法方式、是否给予更多保护则由各国自行决定。虽然它只对欧盟成员国有约束力,但对其他很多国家也产生了相当大的影响,因为第25-26条规定了禁止将个人数据传输给个人数据保护水平不“充分”的国家。许多非欧盟成员国为此以《指令》为蓝本通过立法以满足其“充分性”标准的要求。另外,一些非欧盟成员国如挪威、爱尔兰和列支敦士登因是1992年《欧洲经济区协定》(European Economic Area Agreement)的成员国,也受它的约束。
此外,欧盟还公布了《电信行业个人数据处理和隐私保护的指令》(2002),与1995年的欧盟《指令》和1981年的《欧洲议会第108号公约》共同构成了欧盟个人数据保护法的基石。
四、个人信息保护的双边条约协调
如上所述,目前在个人信息保护方面并没有全球性的、专门的、有法律约束力的个人信息保护国际条约,而区域性的对成员国有法律约束力的个人信息保护文件只对本区域范围内的国家有法律约束力,如若区域内国家与区域外国家有个人信息跨境流动的需求,则可能因为区域内外个人信息保护规则存在很大差异,而使区域内国家与区域外国家的个人信息跨境流动面临很大障碍。此时,对于相互有个人信息跨境流动需求的两个国家或地区而言,基于双方的国情,寻找双方都满意的解决方法,可能更为容易。以下就以欧美之间达成的为商业目的进行的个人信息跨境流动与保护的双边协议为例说明。
欧美是相互间最大的贸易伙伴,为商业目的进行的个人信息跨境流动日益频繁。据统计,2010年美国与欧盟的贸易额约为5 600亿美元。数据传输是许多企业的命脉和电子商务的主要支柱。跨国公司之间各自不同的分支机构也经常需要分享繁多的个人信息,这些信息可以是很简单的诸如人员电话号码的信息,也可能涉及更多的敏感信息,如人事档案、医疗索赔、信用卡账单或进行医学研究必不可少的患者信息等等。但1995年欧盟《指令》的出台却给两国为商业目的而进行的个人数据跨境流动蒙上了阴影。如何既能解决二者对个人信息保护的冲突,又能有效促进欧美个人信息的正常商业流动,就成了摆在欧美面前的大课题。
1.欧盟《指令》第25条“充分水平保护”门槛的设置。依据欧盟《指令》第四章第25条第1款的规定,欧盟各国只能将个人数据传输给对其提供了“充分水平保护”的第三国。指令还规定了评定第三国是否提供了充分保护的关键要素⑥。而指令的执行机构——第29条工作组对这些要素进行了严苛的运用,最终评定的达到“充分水平保护”要求的第三国寥寥无几⑦。美国毫无悬念地被第29条工作组认定为未达到“充分性”保护的水平。由于美欧双方私营部门之间为商业目的进行的个人信息流动非常频繁,欧盟《指令》第25条的规定无疑将大大阻碍欧美之间为商业目的进行的正常的个人信息流动,美国因此指责欧盟《指令》第25条的规定是欧洲人对抗美国公司所创立的“非关税贸易壁垒”[11],使得美国公司无法正常从欧盟公司那里获得与商业目的有关的个人信息。
但是,欧盟《指令》也并未堵死向未提供充分水平保护的国家传输数据的大门。按照它的指令安排,各成员国可与该第三国进行谈判,如果后者采取措施确保达到指令要求的充分保护水平,则可以向其传递数据⑧。因此,从指令规定看,尽管欧盟认为美国未对个人数据提供“充分”水平的保护,美国也并非完全不能从欧盟获取个人数据。只要满足一定的条件,欧盟的个人数据就可以跨境传输到美国。
2.欧美《安全港协议》的达成。欧盟《指令》出台后,美方就特别关注其第25条的实施将很大程度上破坏欧美之间的数据流动和商业往来。作为对此关注的回应,美国商务部和欧洲委员会于1998年3月开始进行一场高水平的、非正式的对话,旨在通过谈判达成确保欧美之间个人数据自由流动的协议,最终双方于2000年签署了《安全港协议》。按照协议的规定,受联邦贸易委员会和美国运输部监管的组织可以自愿选择是否加入《安全港协议》。加入该协议的企业要保证遵守由联邦贸易委员会强制执行的《安全港协议》的七个原则。只有保证遵守这些原则才能享有《安全港协议》带来的利益,如果一个企业加入了《安全港协议》,却未能遵守这些原则,则联邦贸易委员会有权把这种行为检举为欺诈性的贸易行为[12]。
《安全港协议》规定的数据传输的七条原则是:一是告知原则;二是同意原则;三是转送原则;四是安全性原则;五是资料品质原则;六是参与原则;七是救济原则[12]。
3.欧美《安全港协议》的废止及欧美《隐私盾协议》的出台。2013年6月,前美国中央情报局职员爱德华·斯诺登披露了美国国家安全局实施的PRISM秘密监听项目,引发了各国对美国以保护国家安全为由大范围侵犯个人隐私的谴责。欧盟公民、奥地利法律学者施雷姆斯注意到,美国脸谱等网络公司将其欧盟用户的个人信息传输回美国存储,为配合PRISM项目的实施,网站又将这些个人信息提供给了美国国家安全局。此学者认为自己登陆脸谱网的个人信息被美国政府随意监控,而欧美安全港协议对此限制不足,未能使自己的个人信息在美国得到充分保护,遂向欧洲法院起诉。2015年欧洲法院作出判决,认为依据欧美《安全港协议》,欧洲公民在美国的个人信息得不到充分保护,因而此协议是无效的[13]。这意味着,所有美国公司应立即停止将其收集到的欧洲公民的个人信息传输至美国,以脸谱公司为代表的美国企业只能将其欧洲用户的个人信息存储在欧洲,而这在技术上需做大成本的调整,一些美国公司可能因难以承受这些成本而退出欧洲市场[14]。
为应对欧美《安全港协议》无效给欧美贸易往来造成的冲击,2016年2月29日,欧美又达成了《隐私盾协议》。该协议对《安全港协议》做了补充更新,增加了信息主体的权利,加大了监管措施的执行力度。
《隐私盾协议》增加了信息控制者的义务的落实措施。《安全港协议》的一大缺陷是入港企业即使不遵守协议规定也不会得到惩罚,而在《隐私盾协议》下,入盾企业必须公示其入盾承诺及隐私政策,且需进行定期自证审查,接受相关部门监督,否则将被撤销入盾资格。美国商务部应定期公布入盾及退盾企业名单,使之透明化,避免过去有企业“谎称入港”“蒙混入港”的现象。
《隐私盾协议》为欧洲人提供了个人信息保护的救济途径。当欧洲个人发现美国企业未遵守协议时,可以向企业申诉,企业如果在45日内未回复,则欧洲个人可提起强制性仲裁。
《隐私盾协议》还对美国政府获取入盾企业存储的欧洲公民的数据进行了限制。一是对大规模监控进行限制,美国情报机构原则上不能批量获取个人信息,为国家安全等特定目的除外;美国国务院专设一监察专员,以监督情报部门的信息获取情况,并负责处理欧盟公民的投诉与查询。美国情报机构和欧盟个人信息保护机构联合进行年度审查,监督协定的执行情况[15]。
五、个人信息保护国际协调的中国应对
个人信息保护国际协调是在个人信息跨境流动日益频繁,而各国个人信息保护立法差异阻碍了这种流动的情形下产生,并旨在消除这种阻碍的。欲达到这一目的,最好的方式是设定统一的个人信息保护原则,让各国自愿或强制遵守,这样整平个人信息保护的游戏场地,促进个人信息顺利跨境流动。但是,由于各国国情不同,试图通过谈判达成全球性的个人信息保护公约、统一世界所有国家的个人信息保护立法是不可行的,因此目前只是达成了一些区域性个人信息保护规则,这些规则尽管效力不同、参与主体不同、表述不同,但其中的个人信息保护原则的核心内容却是大体相同的,即都是在个人信息跨境流动和保护之间寻求一种适度的平衡。
这些协调规则对各国的个人信息保护立法产生的影响不言而喻。欧盟通过区域性个人信息保护立法统一了区域内部各国的个人信息保护立法的基本原则,而在美国,私营部门的个人信息保护以自律为主,没有统一的个人信息保护立法,但各行业设定的个人信息自律规则很显然受到个人信息保护多边协调规则的影响,和这些规则逐渐趋同;而其特定领域的个人信息保护专门立法尽管保护水平不及个人信息保护多边协调设定的原则广泛,但也受到了个人信息保护多边协调规则的很大影响,对个人信息保护的力度也逐渐在增大。在个人信息保护水平不对称的国家之间达成的双边协议(如欧美双边协议)中,一般要求,高水平保护国的个人信息流向低水平保护国时,低水平保护国企业要按照高水平保护国的个人信息保护标准保护流入的个人信息。这说明,高水平保护国的个人信息保护标准和个人信息多边协调后设定的标准大体一致,这也说明,个人信息保护国际协调最终取得了这样的效果:参与协调的各国个人信息保护的整体水平得到了显著的提高。
在全球化和信息社会背景下,我国与世界其他国家的政治、经济、文化交往日益频繁,这其中不可避免地涉及到个人信息的跨境流动。特别是以数据处理为经营核心的服务贸易领域,如电子商务、金融、保险、网络服务等,与外国的个人信息跨境传输日益常态化,而我国对个人信息及隐私保护不力的现状会不可避免地阻碍与外国的经贸活动的开展。而上述个人信息保护国际协调的成果与经验无疑为解决中外个人信息商业性跨境流通与保护提供了良好的路径。
第一,加快制定专门个人信息保护国内立法。我国目前没有专门的、综合性的个人信息保护国内立法,对包括个人信息在内的隐私的保护分原则性规定和分散性规定两类。
对个人信息及隐私的原则性规定反映在宪法、侵权责任法中。《中华人民共和国宪法》第39、40条规定,公民的“住宅、通信自由和通信秘密”受法律保护。《中华人民共和国侵权责任法》第2条把“隐私权”确定为独立的一项民事权益。这些规定总括性地为保护个人信息提供了原则依据,但并没有说明个人信息保护的具体内容,甚至没有明确提到对个人信息的保护,因此保护个人信息的作用有限。
对个人信息的分散性规定散见于各种法律法规中。如《中华人民共和国刑法》第253之一条单独规定了侵犯公民个人信息罪;《消费者权益保护法》第29条规定了对“消费者个人信息的保护”;《征信业管理条例》对“个人信用信息”进行了保护;《全国人大常委会关于加强网络信息保护的决定》对“公民个人电子信息”进行了保护,等等。这些规定只侧重于对某种特定类型的个人信息进行保护,且目前我国并无对所有类型的个人信息进行统一保护的专门立法,对全面保护特定个人的所有个人信息而言未免存在疏漏,也容易给他国留下我国未对个人信息进行充分保护的印象。
因此,我国应充分借鉴个人信息保护的国际协调经验,从个人信息保护国际“软法”、欧盟等区域性组织的个人信息保护指令及公约中吸取精华,结合我国的实际情况,把我国零散的关于个人信息保护的规定统一成一部专门的个人信息保护法,以国际通行的个人信息保护的原则为基础设计具体保护内容,以避免因国内个人信息保护的立法保护不力,影响与他国的个人信息商业流动。
第二,积极参与个人信息跨境流动与保护的国际谈判。如前所述,目前各国个人信息保护的水平和模式各异,而迄今为止国际上还没有专门对个人信息跨境保护进行规制和协调的全球性条约,但个人信息保护国际“软法”、区域性的个人信息保护立法却会影响个人信息的跨境流动,如欧盟可能就会以我国对个人数据未提供“充分水平保护”为借口拒绝向我国出口服务贸易数据,从而对个人信息跨国流动作单方面限制,进而影响国际贸易的正常进行。
为解决个人信息跨境流动和保护的协调问题,我国应该积极参与个人信息跨境流动与保护的国际谈判活动,在当前国际社会难以达成全球性个人信息保护多边公约的背景下,我国解决与他国个人信息跨境流动障碍的最佳途径无疑是达成双边解决方案。就私人和私人之间个人信息的跨境流动而言,我国可以借鉴欧美《安全港协议》的做法,与他国达成恰当的个人信息跨境流动法律框架。
注释:
①《世界人权宣言》第12条规定:“任何人的私生活、家庭、住宅和通信不得任意干涉,其荣誉和名誉不得加以攻击。人人有权享受法律保护,以免受这种干涉或攻击。”
②APEC是亚太国家政府间的国际组织。与WTO和其他多边贸易体不同的是,APEC不为成员国设定条约义务,除了日常会议外无正式机构。因此APEC成员是协商一致达成决议并在自愿基础上履行。
③《公民权利和政治权利国际公约》第17条规定:“任何人的私生活、家庭、住宅和通信不得任意干涉,其荣誉和名誉不得加以攻击。人人有权享受法律保护,以免受这种干涉或攻击。”
④如,《欧洲人权和基本自由公约》第8条第1款规定:“人人有权享有使自己的私人和家庭生活、家庭和通信得到尊重的权利。”
⑤欧盟《指令》是欧洲联盟的一种立法。制定指令的法理基础是《欧盟运作方式条约》第288条(前《建立欧洲共同体条约》第249条):“为使联盟之完全,本制度可颁布欧盟规章、指令、决定、建议及意见。”
⑥依据1995年欧盟《数据保护指令》第25条第2款规定,应特别考虑以下因素来评定第三国是否提供了充分的保护:数据的性质、拟议中的处理操作或操作的目的和持续时间、始发国和目的地、在所讨论的第三国的一般性和部门性的有效法规,以及在当地所遵守的职业规定和安全措施。
⑦仅加拿大、阿根廷、瑞士、匈牙利、根西岛等少数几个国家符合其标准。
⑧参见1995年欧盟《数据保护指令》第25条第4、5、6款。
[1]齐爱民.个人信息保护法研究[J].河北法学,2008(4):15-33.
[2]郭瑜.个人数据保护法研究[M].北京:北京大学出版社,2012:154.
[3]潘建珊.实质损害原则——美国信息隐私保护利益平衡原则[J].情报科学,2007(11):1726.
[4]Graig T.Beling.Transborder Data Flows:International Privacy Protection and the Free Flow of Information[J].Boston.College International&Comparative Law Review,1983,6(2):591-624.
[5]邵津.国际法[M].北京:北京大学出版社,高等教育出版社,2000:16.
[6]LeeA.Bygrave.PrivacyandDataProtectioninanInternationalPerspective [J].Scandinavian Studies in Law,2010(56):165-200.
[7]周汉华.域外个人数据保护法汇编[M].北京:法律出版社,2006:10-34.
[8]Stuart Hargreaves.Inadequate:The APEC PrivacyFramework&Article 25 of the European Data Protection Directive[J].Can.J.Law&Tech.,2010(8):1-30.
[9]齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉:武汉大学出版社,2004:58.
[10]VirginiaBoyd.Financial Privacyin the United Statesand the European Union:A Path to Transatlantic Regulatory Harmonization[J].Berkeley Journal of International Law,2006,24(3):959.
[11][德]尼古拉·杰因茨.金融隐私——征信制度国际比较[M].万存知,译.北京:中国金融出版社,2009:150.
[12]Kyle Thomas Sammin.安全港、《格朗-利奇金融服务现代化法案》及金融服务的隐私问题[J].梁志坚,张义东,译.经济资料译丛,2011(3):84.
[13]赵小娜,梁淋淋.欧洲法院宣布欧美数据《安全港协议》无效[N].经济参考报,2015-10-08(4).
[14]武晓婷.《安全港协议》被判无效,是隐私取胜还是美企灾难[J].信息安全与通信保密,2015(1):64-65.
[15]桂畅旎.美欧跨境数据传输《隐私盾协议》前瞻[J].中国信息安全,2016(3):83-85.
(责任编辑:沈红宇)
D996.1
A
1674-9014(2017)01-0087-06
2016-11-09
安徽省哲学社会科学规划项目“涉税个人信息的法律保护”(AHSKY2014D01)。
邵朱励,女,安徽蚌埠人,安徽财经大学法学院副教授,博士,研究方向为民商法和国际法。
