全球隐私保护协调机制

电子商务的无国界特点对传统法律管辖权提出了空前的挑战，各国隐私保护法律在保障跨境传输的本国居民信息安全方面显得力不从心。各国法律的出发点都是保护本国居民数据安全，根据“属人”原则，希望把本国法律的管辖权扩展到别国，而别国法律通常要施行自己的法律主权，因此导致各国法律间的冲突不断增加。

在网络经济繁荣的背景下，个人信息在全球范围内迅速流动、频繁跨境，给各国法律的适用带来了很多困惑。网络中的个人信息保护问题已经从一国拓展到世界范围，需要各国之间的合作与协调，为个人信息在全球范围内的安全流动撑起一把保护伞。为了达到这个目的，需要构建区域乃至全球的隐私保护协调机制。

（一）双边协调机制

1.法律互助机制。

如果两国隐私保护法律就管辖权问题争执不下时，就建立双边的法律互助机制。该机制可以就管辖权分配问题进行协商、达成共识，在涉及本国公民信息以及对方国家企业的案件处理上寻求对方国家的法律协助。

2.合同约定机制。

当个人信息出口方与进口方所在国家或地区没有对等的隐私保护法律时，则个人信息控制者在进行个人信息跨境传输前通常要与信息接收方订立合同，以合同条款的形式约束后者的隐私保护行为。欧盟规定，如果欧盟企业要向不具有“充分保护地位”的国家或地区传输个人信息时，应与数据接收方签订欧盟委员会制订的“标准合同款”。欧盟通过合同条款的约束，使输出到境外的欧盟个人信息也能享受与欧盟境内同等的保护，而各国法律都保护基于自愿基础上的合同。通过合同约定机制可以实现双边的法律协调。

3.行业自律机制。

美国与欧盟之间通过行业自律模式实现了双边的隐私保护协调。根据1998 年生效的欧盟个人数据保护指令的规定，由于美国没有全国性的私营领域的隐私保护法律，因此，欧盟并不认可美国具有“充分保护地位”，不允许欧盟企业向美国传输个人数据。然而，美欧之间互为重要的贸易伙伴，美国也不愿意失掉整个欧洲的个人数据业务；美国很多跨国公司都在欧盟设立了子公司，如果不允许个人数据的自由传输，会对跨国公司的业务形成桎梏，为了能够打通美欧之间的隐私保护壁垒，美国商务部积极与欧盟委员会协商，创建了“安全港框架”，以行业自律的形式实现了双边的隐私保护协调。

（二）多边协调机制(www.xing528.com)

电子商务的发展不可能只局限于两、三个国家之间，因此建立双边协调机制仅适用于贸易关系非常紧密的国家之间。电子商务在世界范围内的蓬勃发展使得个人数据的保护问题也需要在全球视野中解决，因此需要构建区域性甚至全球性的多边协调机制。在构建多边协调机制的过程中，区域和国际经济组织应起到重要的引领和组织作用，克服单个国家仅重视本国利益的短视，以促进本区域电子商务发展并且兼顾个人数据保护为目的，努力把成员国纳入一个共同的平台上，使之对跨境电子商务中的个人信息保护问题达成协议和共识。

（三）对我国的启示

1.建立独立的数据保护当局。

建立独立的数据保护当局（DPA）是世界范围内的主流模式，在世界上90多个拥有全国统一隐私保护立法的主权国家中，绝大多数国家都有独立的DPA。建立独立的DPA对内对外都有好处：对内而言，独立的DPA可以对公共机构和私营领域的隐私保护行为进行客观公正的监管，专注地处理可能涉及不同法律的隐私保护案件；对外而言，有了独立的DPA，才可以加入世界DPA的专业组织，使我国真正参与到隐私保护的国际多边协调机制当中。另外，加入APEC “跨境隐私规则”（CBPR）的前提也要求申请国需要有一个公共机构先加入“跨境执法安排”，该机构需对经过CBPR认证的本国企业拥有完全的执法权力，并在自愿的基础上与其他CBPR加入国的隐私执法部门进行执法合作。因此，我国应该建立独立的DPA，代表国家参与数据隐私保护国际多边协调机制。

2.颁布统一立法。

不论是机构性还是非机构性的多边协调机制都鼓励各国颁布统一的个人数据保护法律，并且以现有的指南、框架、公约、指令以及将来的条例作为立法的基础。世界上已经至少有100多个独立司法管辖区颁布了全国统一的个人信息保护法律，其中包括90多个主权国家，可见在隐私保护方面进行全国统一立法是主流模式。另外，多边法律协调是世界的大趋势，如果我国要立法，应尽量依据影响力比较大的国际经济组织颁布的指导性文件，便于我国将来参与国际多边协调机制。欧盟的个人数据保护指令和欧洲委员会的公约保护水平最高，法律最为严格，但是与我国关系较远，也不太适合我国的发展水平；如果一开始就制定严格的个人数据保护法律有可能会打击我国的电子商务产业。相比较，APEC “隐私框架”充分考虑亚太各国的文化差异和经济发展水平，规定比较笼统，作为亚太地区法律多边协调的最低要求，而且与CBPR的入门标准基本一致。因此，我国可以考虑根据APEC“隐私框架”制定全国统一的个人数据保护法律。

3.参与国际多边协调机制。

从隐私保护国际多边协调机制的格局来看，各个区域经济组织都在加强区域内多边协调的基础上产生了向外拓展的意愿，希望在构建全球隐私保护规则的过程中掌握主导权和话语权。区域经济组织的行为有时体现了其背后大国之间的博弈。例如，美国想通过CBPR增加与欧盟较量的筹码，欧盟通过“安全港”的失效对美国数据行业进行遏制。美国在与欧盟较量的过程中也进行了联手，如推动CBPR与欧盟BCR的互认，发达国家正是在这种竞争与合作的关系中重塑全球隐私规则，争夺规则的主导权。

从总体趋势来看，加强全球隐私保护是大趋势，国际多边协调机制正在从区域化向国际化发展，将来会逐渐达到完善和成熟，成为发达国家构建的另一个规则壁垒，就像现在的知识产权一样。当规则构建完毕，游离于规则之外的国家就会处处碰壁，被迫地服从新的规则，并且以行业遭受沉重打击为代价。我国是电子商务大国，跨境电子商务发展势头良好，并且正在积极向国外市场挺进，如果将来遭遇隐私规则的制裁，将对我国电子商务造成巨大的打击。作为经济发展大国，我国应主动参与国际规则的制定，增加话语权。隐私保护规则关乎我国跨境电子商务的前途，因此，我国应积极参与数据隐私保护国际多边协调机制，尽早学习规则，参与规则的制定。在上述机构化与非机构化的多边协调机制之中，APEC的“跨境隐私则”较为适合我国的国情，我国本也属于亚太区域的大国。因此，我国要加入数据隐私保护国际多边协调机制可以从CBPR人手。另外，当我国建立独立数据保护当局之后，也应积极参与世界DPA的专业组织和大会。