安全港协议

安全港协议（Safe Harbor）

　　安全港协议是指是2000年12月美国商业部跟欧洲联盟建立的协议，它用于调整美国企业出口以及处理欧洲公民的个人数据（例如名字和住址）。该协议不同于美国跟欧洲之间的传统商业过程，是响应欧洲的意图而建立的折衷政策。

　　2007 年 10 月 31 日，Merck & Co., Inc. 安全港隐私政策声明标准的范围扩大到从瑞士传送个人信息到美国。2009 年，Merck 通过了“安全港架构”(Safe Harbor Framework) 认证。该协议是瑞士联邦数据保护和信息委员会与美国商务部之间签订的针对从瑞士传送个人信息到美国的隐私保护协议。

　　安全港协议要求收集个人数据的企业必须通知个人其数据被收集，并告知他们将对数据所进行的处理，企业必须得到允许才能把信息传递给第三方，必须允许个人访问被收集的数据，并保证数据的真实性和安全性以及采取措施保证这些条款得到遵从。

　　安全港协议确立了折衷处理美国和欧联之间隐私手续的框架。15个成员国都服从该协议，这意味着可不经个人授权而进行数据转移，而未加入安全港的美国企业必须单独从各个欧洲国家获取授权。

　　《安全港协议》规定：受联邦贸易委员会（FTC）和美国运输部监管的组织才能加入《安 全港协议》。加入该协议的企业要保证遵守由联邦贸易委员会强制执行的《安全港协议》的七个原则。那些宣称遵循这些原则的组织必须切实遵守这些原则才能享有《安全港协议》带来的利益，并且要公开声明他们这一举动。要是一个公司加入了《安全港协议》，却未能遵守这些原则，那么联邦贸易委员会就有权把这种行为检举为为欺诈性的贸易行为。一旦某公司在商务部登记，声明遵守这些原则，《安全港协议》的利益立即适用于它。尽管起初美国

　　对《安全港协议》的价值和合理性存在一些异议，这些协议依然于 2000 年 11 月 1 日正式生效。从那时起，已有 392 个组织加入了《安全港协议》。因此，这个协议一直是令欧盟监管者和美国公司满意的最好的方式，尽管遵守《安全港协议》势必会迫使美国公司改变长期的商务实践作为进入欧洲市场的代价。

　　美国商务部在广泛听取了产业界及公众的意见后，参照《数据隐私保护指令》的标准， 提出了《安全港协议〉的七条原则。这些原则——加上美国商务部发行的简要说明和常见问题及答案，构成了在遵守《安全港协议》和获得源于欧洲的数据传输的使用权时所应遵循的具体章程。这七大原则是：1、告知原则；2、同意原则；3、转送原则；4、安全性原则；5、资料品质原则；6、参与原则；7、救济原则。

　　“告知原则”：公司有义务以发送说明书的方式，用清楚明白的语言，告知消费者收集 信息的原因。此外，这份说明书还应就如何联系信息收集者进行以查询及投诉。公司必须在收集信息之后，或当这些信息被用于与其最初收集目的不同的用途及向第三方披露之前，尽快向消费者发出说明书。

　　“选择原则”：公司在试图将信息向第三方披露、或是用于与其最初收集目的不同的其 他用途时，客户有权选退（即作出明确反对）该传输活动。“敏感信息”在进行传输和用于与最初收集信息目的不相同的其他用途时，必须在信息主体选进（即作出明确同意）之后才能进行。

　　“转送原则”：公司只能向符合安全港原则的第三方转送资料。转移之前，信息转出公 司必须遵循前述的告知及选择原则。遵守转送原则的公司受法律保护。若公司已遵守安全港原则，而收受信息的第三方滥用信息，仅在信息转出公司已知悉或应知悉该情形发生时，才须为此负责。

　　“安全性原则”：要求保管个人信息的组织必须采用合理的预防措施，以防止信息被“丢失、滥用和未经授权的获取”。安全性原则侧重于企业内部的安全措施，而不是由监管机构提供的安全措施。《安全港协议》工作手册给予了说明，“不论隐私保护规范如何完备，如果公司任何员工可任意取得客户个人信息，或是电脑系统及文件档案无安保措施，客户信息仍得不到有效保护。”处理敏感资料时，公司须采取更严密的保护措施。

　　“资料品质原则”：要求公司所搜集的信息必须准确并与预期用途相关。公司不能以与 最初搜集信息目的不一致或是与递交信息人之授权不一致的方式处理个人信息。这一原则降低了信息遭不当使用的风险，因为如果公司仅仅只是收集相关且准确的信息，这样遭不当使用的几率就比较小。

　　“参与原则”：公司应容许信息主体取得其信息，并更正其中的错误。《安全港协议》 对于这一原则只有一个例外，即：遵循该原则时，若成本过高，远远超出了客户隐私权遭侵犯时受到的损失，或侵犯了他人权利，可以不遵循该原则。这一例外的适用程度因所查询个人信息的敏感度及重要性而异。美国商务部表示：为践行参与原则的基本精神，公司应有足够的诚意为信息主体提供行使这一权利的途径。

　　“救济原则”：这个原则或许是七原则中最棘手的问题，它意味着必须有一机制确保公 司遵守这些原则、保障个人追索的权利及对侵权行为的依法惩处。纠纷调节制度要么是由独 立于该纠纷的第三方来执行——如 BBB OnLine、TRUSTe；要么由欧洲数据保护部门来执行。

　　根据美国商务部指令，对未遵守该原则行为的制裁必须足够严厉以确保公司遵守这些原则。

　　联邦贸易委员会将“采纳隐私保护自律组织的建议优先审查”贸易实务中是否存在《联邦贸易委员会法案》中列举的不公平或欺诈性做法。因此，《安全港协议》的执行由双重机制来完成：一是行业自律机制；二是必要情况下的政府机构强制执行机制。下文将详细说明，政府机构的职能在《安全港协议》原则应用于金融服务业方面是主要的难题之一。

　　尽管《安全港协议》对美国大多数企业是合理的、切实可行的体制，但对有些经济部门 并不适用。正如前面已经提到过的那样，由联邦贸易委员会或美国运输部规制下的美国航空公司以及机票代理商组织针对欺诈性或不公平贸易行为会采取相应的救济措施，那些服从救济措施的组织才符合加入《安全港协议》的条件。《联邦贸易委员会法案》授权联邦贸易委员会管辖大多数行业，但金融机构（银行、储蓄和贷款、联邦信用合作社）及保险公司并不服从联邦贸易委员会或运输美国部的管辖。因此，金融机构和保险公司不符合加入《安全港协议》的条件。正是由于这个原因，《安全港协议》的隐私保护制度存在着一个主要问题，即：尽管欧盟在过渡时期尚未实施其《数据隐私保护指令》，但如果这个问题得不到解决，金融服务业和保险公司最终将无法在欧洲和美国地区之间进行数据传输，从而影响其在两个地区经营业务的能力。