个人信息跨境转移的法律保护——以公司隐私规则为视角*

王　楠

(深圳大学 法学院，广东 深圳 518060)



个人信息跨境转移的法律保护
——以公司隐私规则为视角*

王楠

(深圳大学 法学院，广东 深圳 518060)

摘要:个人信息的跨境转移是信息时代下全球化带来的必然现象，它增加了信息主体受到侵害的风险。以美欧安全港框架、欧盟约束性公司规则和APEC跨境隐私规则为代表的公司隐私规则制度在促进企业经营发展的同时也为信息主体提供了更便捷的救济，但其适用范围及各体系间的互通性仍有待加强。

关键词:个人信息；跨境转移； 公司隐私规则；隐私权

引言

从字面上看，个人信息就是指与个人有关的信息，具体来说是指与特定个人相关联的、反映个体特征的具有可识别性的符号系统，包括个人身份工作、家庭、财产、健康等各方面的信息。[1]从传统意义上来说，个人信息与个人隐私密切相关，但事实上信息主体对其个人信息享有的权利范围远远大于作为防御性人格权的隐私权。在当今社会个人信息可能蕴含着重要的商业价值。通过掌握大量个人信息，产品和服务的销售者不仅可以更精准地锁定目标客户，大大提高营销的成功度，还可以通过对信息的加工和分析，为产品的开发和服务的升级提供有益的指引。经济主体通过了解其交易对手的信用情况，可以有效控制并降低交易的信用风险。专门从事个人信息搜集和处理的机构亦应运而生，如数据挖掘企业和征信企业，并由此创造出新的商业机会和商业模式。[2]由于信息的无形性和易复制性，加之科学技术的飞速发展，个人信息时刻面临着被泄露和被滥用的风险。

导致个人信息跨境流动的原因种类繁多，其中私法主体之间的个人信息跨境流动主要涉及信息主体从事跨境活动，跨国公司内部的数据转移，信息处理服务外包等情况。首先，当个人介入跨国服务贸易时，往往令其个人信息向境外转移。例如境内银行客户在境外使用信用卡消费时，境内发卡行就要将该客户的个人信息传输到境外以验证信用卡。又如，某国授信机构需要调查某人在另一国的信用记录，其可能会通过本国的征信机构发出请求。如果本国征信机构与外国征信机构间存在信息交换协议，即可获取外国征信机构持有的该个人信用记录并转交给授信机构使用。其次，跨国公司的国际化经营也会令个人信息向境外转移。例如外国银行总行取得境外分行在东道国因经营而收集并保存的客户信息。由于集团内部的信息共享机制，该外国银行甚至有可能取得其在东道国设立的支行所持有的客户信息。又如，某些专业的个人信息处理机构可以通过海外并购的方式，取得大量的另一国的个人信息。再次，持有个人信息的机构也可能会为了数据安全、节约成本、提高效率等目的，将个人信息转移至境外。例如该机构选择在境外设立数据备份中心、数据处理中心，或者将本机构的信息处理业务外包给境外的专业机构。此外，在当前数字化时代，互联网已经创造出一个跨越国界的新市场。电子商务的蓬勃发展使消费者可以直接透过网络与境外的产品服务的生产者和提供者进行交易，从而导致个人信息的跨境流动。

一、个人信息跨境转移的主要模式及存在的问题

个人信息的跨境转移使得个人信息被泄露、破坏、滥用的风险大大增加。这不仅在微观层面上会给信息主体造成影响，在宏观层面上还会涉及国家安全及贸易壁垒等问题。为了在保障个人信息安全的基础上，促进信息的自由流动，许多国家的立法都就境内机构向境外第三方转移个人信息的问题做出了规定，但在不同的政策导向和法律文化下，其具体模式及公权力介入的程度不尽相同。诸如美国、新西兰、日本、加拿大、墨西哥、菲律宾等国的法律并未就信息跨境转移制定特殊的规则，而是统一适用向第三方转移个人信息的规定。而欧盟1998年10月25日起生效的《关于对个人数据处理中的个体保护及数据自由流动的指令》(以下简称欧盟《指令》)关注的重点则包括防止因第三国的保护不足而导致的数据滥用。在此框架下，欧盟各国的法律都也专门针对个人信息跨境转移进行了具体规定。拉美、中东和非洲的一些国家也采取了与之类似的做法。2010年澳大利亚对其1988年隐私法进行了修改，其中APP8以及S16C建立起向境外转移个人信息的法律框架。香港1996年《个人资料(私隐)条例》第33条也规定了将个人信息转移至香港以外地方应满足的条件，但该条款至今尚未生效。

总的来说，各国法律允许境内机构向境外机构转移个人信息的条件主要包括以下三类：信息主体的同意、境内信息转出方与境外信息接收方间的合同、对信息接收国的充分性审查。

(一)信息主体的同意

个人信息权的核心本质在信息主体对其个人信息的控制，包括其有权决定是否允许境内的信息处理者将其个人信息转移至境外。尽管各国法律都允许在取得信息主体明确同意的情况下将个人信息转移至境外，但对同意的形式要求有所不同。欧盟各国、阿根廷、毛里求斯、阿联酋和韩国的法律规定了选入的方式，而加拿大和澳大利亚则采用选退的同意模式。尽管取得信息主体的同意对于境内信息处理者(转出方)来说是最为安全的方式，可以在最大程度上避免有关法律风险，但是其在操作中会遇到不少问题。 例如，某一机构基于运营成本的考虑打算将其数据中心转移至境外，则需要就此专门征得每一个客户的意见，并区别处理表示同意和不同意的客户信息。这一过程增加了该机构在时间、人力和财务上的支出，相关的成本可能抵消预期的收益。另外，即使曾经表示同意的客户也有权随时撤回其同意，机构要持续保有相关的人员和制度来跟进此类变化。在机构本身位于欧盟境内，个人信息的接收地位于未达到欧盟充分性标准的非欧盟第三国的情况下，由于机构必须将该事实明确告知客户，难免导致绝大部分客户会出于对个人信息在第三国安全的顾虑而拒绝表示同意，从而令机构的商业安排落空。

(二)信息输出方与接收方间的合同

各国法律通常也允许在境内机构通过合同确保第三方能够对其接收的信息提供同等水平的保护的情况下，向境外第三方转移个人信息。具体来说，此类合同通常会包括有关信息安全，对个人信息的进一步使用和披露的限制，信息主体的救济等内容。不过，通过合同的方式保护转移到境外的个人信息并非总是有效。首先，如果境内的数据输出方与境外的数据接收方之间是总公司与分公司之间的关系，则无法通过合同来约束前者的行为。其次，针对某一次点对点的信息传输行为的合同是静态的，无法解决现实中信息传输路径复杂，涉及多方，频率巨大等问题。如果法律没有明确规定境内机构对个人信息因向境外转移受到的损害承担责任，信息主体往往很难获得实际的救济。为了加强对本国信息主体的保护，有些国家的法律在一定程度上限制了此类合同的意思自治，要求有关合同必须经过审批后方可向境外转移信息。为了在保障信息主体权利的前提下便利信息的跨境转移，欧盟委员会专门就此类合同提供了三套示范条款，其中都规定境内信息转出方与境外信息接收方应对信息主体的损害承担连带责任。位于欧盟境内的信息转出方如果使用这些示范条款则有关合同不必再经审批，但诸如丹麦、荷兰等国还要求对合同进行备案。挪威、塞尔维亚、瑞士等非欧盟国家也采取了与欧盟类似的做法。但无论是审批还是备案，无疑会增加机构的负担，降低其经营效率。

(三)对信息输入国的充分性审查

欧盟《指令》在个人信息跨境转移方面最有影响力的规则是对非欧盟第三国个人信息保护程度的审查，体现出最大程度的公权力介入。根据《指令》规定，位于欧盟境内的信息控制者在符合最初收集和处理信息目的的前提下，对于其合法收集和处理的信息可以自由向其他欧盟国家或被认定达到充分性标准的非欧盟第三国转移。欧盟的充分性审查不仅要考查一国个人信息保护的法律规定的内容，还包括这些规定实施的情况。就前者而言，主要包括目的限制、数据质量与比例原则、透明度、安全性、查阅权、修改权、反对权、转移限制、敏感信息、对直销的选退、对自动化处理决定的特殊规定；后者则主要涉及规则的遵守程度、信息主体权利的行使和对受害方的救济。为了避免政治上的争议，欧盟委员会采取了白名单的认定方式。迄今为止，欧盟委员会已经认定安道尔、阿根廷、澳大利亚、加拿大、瑞士、法罗群岛、格恩西岛、以色列、曼岛、泽西岛、新西兰和东乌拉圭等国家和地区的法律以及美国商务部的安全港隐私原则达到了充分保护的程度。[3]由于白名单上的国家数量有限，欧盟各成员国也会根据本国法律对第三国的个人信息保护充分性进行审查。与欧盟的做法类似，阿根廷、毛里求斯、突尼斯和阿联酋等国的法律也规定了充分性要求。对信息输入国的充分性审查通常较为耗时，例如欧盟委员会对新西兰的安全性审查就长达三年之久。另一方面，它也会在国际上引发将一个国家/地区的个人信息保护标准延伸至境外的质疑。事实上，这种自上而下的方式也不能绝对确保本国的个人信息在通过充分性审查的国家不会受到损害，以及信息主体在受到损害时可以取得有效的赔偿。信息主体利用信息输入国的法律在当地寻求救济时往往会遇到操作上的实际困难。

二、主要公司隐私规则的比较

鉴于上述问题，国际各方开始尝试设计新的制度作为补充，以实现个人信息保护与信息跨境流动之间的平衡。这些制度的共同特点在于借助公司自己的隐私规则实现跨境信息保护，以公司自律为基础，辅以行政或司法手段保障其实施效果。与法律这种自上而下普遍适用及强制约束的规则不同，公司隐私规则制度采取的是自下而上的进路，具有更多的自愿性与自主性，可以更好地在保障信息主体权利的同时照顾到不同商业机构自身的需求和特点。目前国际上采用公司隐私规则制度主要包括安全港框架(Safe Harbor Framework)、欧盟约束性公司规则(BCR, Binding Corporate Rules)和 APEC跨境隐私规则(CBPR, Cross-border Privacy Rules)。

(一)公司隐私规则的适用范围

安全港框架和BCR都是欧盟数据保护指令下的制度，前者是解决从欧盟向美国企业转移个人信息的问题，其参加者是作为信息接收者的美国企业；后者则针对位于欧盟的公司向位于非欧盟的关联机构转移个人信息，其参加者是跨国公司。由于美国在个人信息保护上的立场与欧盟存在较大差异，缺乏统一的个人信息保护立法，难以通过欧盟委员会的充分性审查。但美欧作为世界上最重要的两大经济体，其间的跨境信息转移的现实需求巨大。为了避免因法律障碍影响商业利益，2000年美国商务部作为负责消费者保护的政府部门与欧盟委员会达成了安全港框架协议。欧盟委员会认定商务部制定的安全港隐私原则符合充分性标准。根据协议，美国联邦贸易委员会(The Federal Trade Commission)和交通运输部(Department of Transportation)辖下的任何公司，只要自愿根据上述隐私原则制定公司隐私规则，并承诺遵守，就可以成为“安全港”的一员，获准接收来自欧盟的个人信息。

跨国公司的内部信息流动在全部信息跨境流动中占有较大比例，如何有效解决该问题对于公司的经营效率至关重要。欧盟《指令》第26(2)条规定如果公司证明自己能够充分保障隐私保护和基本权利和自由，成员国可以允许其向位于白名单之外的非欧盟国家转移个人信息。基于此，欧盟29条工作组针对跨国公司从欧盟向未达到充分性标准的国家的集团内部机构转移个人信息的情况推出了BCR制度。BCR的内容广泛，涵盖包括诸如透明度、数据质量、数据安全在内的隐私原则；包括诸如审计、培训、投诉处理体系在内的有效性工具以及确保规则具有约束性的要素。BCR除了对跨国公司集团中的法律实体、公司的雇员具有对内约束力之外，还有对外效力。信息主体可以根据BCR的规定向指定的责任承担机构就自己受到的损害主张赔偿。

为了推动2004年部长级会议通过的APEC隐私框架的实施，构建简单透明的体系，从而在保护个人信息隐私的同时，促进企业在亚太地区内的个人信息跨境转移，APEC数据隐私小组于2007年9月推出了“数据隐私探路者计划”，其中重要的一项内容就是CBPR体系。与BCR只解决跨国公司内部的个人信息跨境转移不同，跨境隐私规则适用于APEC范围内的各种商业机构间的个人信息转移。目前美国、墨西哥和日本已经加入了该体系，来自于APEC隐私框架成员方的企业可以自愿制定并实施与APEC隐私保护原则相一致的跨境隐私规则，从而成为CBPR认证企业。

(二)公司隐私规则的审查认证

只有建立起一定的审查制度，才能确保企业自愿采用的公司隐私规则对个人信息的保护程度能够达到一定的标准。在安全港框架下，美国商务部负责审查申请加入公司的提交的隐私保护政策是否包含其制定的安全港隐私原则。受到欧盟委员会的敦促，美国商务部近年来加强了审查工作，2013年有12%的公司未获批准进入安全港名单，较2010年增加了一倍。[4]打算采用BCR的跨国公司也需要事先向个人信息输出国的数据保护机关提交申请。有鉴于这些公司往往在多个欧盟国家设有机构，29条工作组专门设计出一套协调程序，以减轻申请的负担。公司只需向某一成员国的数据保护机关，即领导协调机关(leading coordinator authority)，提交一份申请即可。该领导协调机关将会把申请转交给其他公司机构所在的成员国的数据保护机关，由其根据本国的法律决定是否批准申请。*如果集团总部或母公司或者集团欧洲总部位于某一成员国，应由该国主管部门作为领导协调机关，如果没有的话也可以由集团内部承担数据保护责任机构、最便于实施公司约束规则的机构、数据收集处理方式决策机构以及向第三国转移数据最多的机构所在国的主管部门作为领导协调机关。与BCR审查机制不同的是，CBPR体系下的审查机构并非政府机关，而是获得APEC认可的独立的第三方问责代理机构(Accountability Agent)。问责代理机构既可以是公营的也可以私营的。但只有属于加入CBPR体系的成员方的机构才可以申请成为问责代理机构。联合督导组将负责对申请机构进行审查，在其符合标准的情况下就会向APEC成员方进行推荐。如果在规定的时间内没有成员方提出异议即表明该机构获准成为 CBPR 体系的问责代理机构。美国著名的隐私认证公司TRUSTe已于2013年6月成功取得该资格。

由于有些公司向境外转移个人信息的需求巨大，目的地众多，各认证制度的平行存在增加了公司的运营成本和管理难度。为了减轻公司在这方面的负担，协调相关制度，欧盟和APEC已经开始积极合作，于2013年1月召开了首次BCR/CBPR委员会会议。欧盟29条工作组也于2014年2月发布报告，对BCR和CBPR的申请要求进行了详细比较，[5]以便为同时加入BCR和CBPR的跨国公司制定内部隐私政策并获得批准/认证提供有益的指引。

(三)公司隐私规则的监督

通过公司自身的个人信息隐私规则保障跨境信息的安全需要有配套的监督以及救济机制。应有制度来确保这些公司能够履行承诺，有效自律，而对于未能充分自律的机构也必须有一定的惩罚机制。因违规而遭受损害的信息主体应享有充分有效的救济。在安全港框架下，美国联邦贸易委员会有权对违反隐私原则的公司处以罚款，甚至以商业欺诈为由对其提起诉讼。如果在联邦贸易委员会采取一系列措施以后，违反行为仍得不到纠正，违反的机构将丧失“安全港”成员的资格。另一方面，欧盟各国的数据保护机关在特定的情况下也可以针对个案中止个人信息向美国转移，例如美国政府部门已经认定美国公司违反了安全港原则，或有证据表明美国公司很可能违反了安全港原则，或有关信息的转移很可能给信息主体造成巨大风险等。

欧盟要求申请采用BCR来进行个人信息跨境转移的公司对BCR进行内部或外部审计,并应数据保护机关的要求提供审计报告。但是基于BCR的法律性质以及各成员国数据保护机关的权限，数据保护机关并不一定有权对违反BCR的公司进行处罚或提起诉讼。但是也有学者主张将BCR作为单边承诺或公开承诺，并根据不公平贸易行为法以及反虚假陈述法等法律由有权机关对违反BCR的公司采取执法行动。违反BCR就构成了2005年通过的欧盟《不正当贸易行为指令》下的不正当贸易行为。[6]

CBPR体系要求加入国至少有一个负责隐私法律的执行，并有权进行调查或起诉的公共机构作为隐私执法机构加入跨境隐私执法安排，从而令各国隐私执法机构间可以就具体隐私执法事宜分享信息，寻求帮助，提供跨境合作。但是这些执法机构只能调查并处理公司违反国内个人信息保护法律的情况，在国内法规定的权限内采取执法行动，并不一定有直接的权责来监督认证公司遵守隐私规则的情况。问责代理机构应对信息主体就认证企业违反隐私规则而提出的投诉进行调查，并有权撤销认证。如果问责代理机构认为认证企业的行为违反了有关国家的个人信息保护法，则应将案件移交给有关国内执法机构。总的来说，与安全港框架和BCR体系下的监督制度一样，CBPR下的公权力监督也有赖于加入国不公平贸易法及反虚假陈述法等的规定。*目前在APEC成员中，诸如澳大利亚、新西兰、印度尼西亚、日本、韩国、菲律宾、泰国、美国、墨西哥、智利等国的法律都有有关虚假陈述的规定，并有具体的执法机构对有关公司采取诸如罚款、禁令等行政处罚。

(四)信息主体的救济

欧盟示范合同条款通常规定了信息输出方与接收方的连带责任，并且信息主体有权选择非诉讼纠纷解决程序ADR(Alternative Dispute Resolution)或欧盟成员国法院诉讼的方式寻求救济。与此不同的是，安全港框架下的信息主体救济排除了欧盟成员国法院的管辖权，而主要是借助独立第三方的ADR。目前解决争议数量最多的三家机构依次是欧盟数据保护组(EU Data Protection Panel)、美国商业改进局(Better Business Bureau)和TRUSTe。尽管并非所有的争端解决机构都有权对违反隐私政策的公司进行处罚，但如果公司拒绝执行ADR裁定，有关个案将会被移交给商务部进行进一步调查并采取执法行动。

BCR体系下的信息主体有权向数据主管机关提出投诉，也可以通过诉讼寻求救济。他可以选择信息输出国、总部所在国或承担数据保护责任的机构所在国的法院进行诉讼。跨国公司应在申请中明确信息主体寻求救济的步骤，并确保集团有足够的资产承担有关法律责任。此外，为了加强对信息主体的保护，欧盟的BCR制度还采用了举证责任倒置原则。信息主体只要受到损害并提供公司可能违反BCR的事实，就要由承担责任的机构证明公司并未违反BCR。

CBPR体系下的信息主体可以就认证企业违反隐私规则向问责代理机构提出投诉，并且通过问责代理机构的争议解决机制寻求救济。信息主体还有权向APEC联合监督委员会投诉问责代理机构。至于信息主体针对认证公司的诉讼救济，则依然取决于成员国个人信息保护法的具体规定。

三、对公司隐私规则的评价

(一)有利于企业的经营发展

对于位于法律严格限制个人信息向境外转移的国家/地区的企业而言，公司隐私规则无疑在很大程度上为其提供了方便，避免了通过逐一征得客户同意或对每一次转移都采用合同方式带来的复杂及高成本。企业可以根据有关法律和制度的要求，结合自身的情况，灵活制定隐私规则，从而令其个人信息跨境转移活动合法化。通过加入隐私规则体系，公司甚至可以将个人信息转移至尚未就此进行立法的国家和地区。跨国公司还可以在整个集团内部采用统一的隐私规则，降低跨国经营的行政管理成本。对于企业而言，与取得ISO、SA8000等认证一样，加入公司隐私规则体系也可以被视为获得隐私认证，表明该企业对个人信息的保护较为重视，并达到了一定标准，从而消除客户的疑虑，提升企业美誉度。另一方面，通过在企业内部实施隐私规则，有助于令企业的全部员工都能够了解个人信息保护的重要性及自己的责任，从而使作为外部规则的个人信息保护法律得到更加充分的贯彻。目前，公司隐私规则已经得到诸多企业的认可。截至2013年9月底，已经有3246家公司加入了安全港体系，在很大程度上消除了个人信息从欧盟流向美国的障碍。[7]超过40家跨国公司获准加入BCR体系，其中包括美国运通、花旗银行、JP摩根等跨国银行。[8]由于CBPR认证制度刚推行不久，目前仅有包括IBM在内的6家公司获得认证。

(二)为信息主体提供较为便利的救济

在获得信息主体同意的情况下，境内的信息控制者可以将个人信息转移至境外。在个人信息权被侵犯的情况下，信息主体往往要通过境外的相关法律寻求救济。但并非所有的国家都有个人信息保护立法，即便有法可依，跨境诉讼对于处于弱势地位的信息主体来说也是极为不利的。而上述三种公司隐私规则体系则较为明确地规定了信息主体可以直接诉诸的多样化争端解决机制。首先，这三种公司隐私规则制度都要求公司隐私规则本身应包含投诉处理机制，受到侵害信息主体可以直接据此通过内部程序解决争议。其次，在外部机制方面，信息主体还可以借助于多种本地争议解决机制。例如在BCR体系下，信息主体不需再追究损害是由跨国公司的哪个机构在哪个国家造成的，可以选择向信息输出国、跨国公司总部或其欧洲总部或承担责任的跨国公司机构所在国的法院进行诉讼。这些国家有可能就包括信息主体所在国。除此之外，他还可以向本国数据保护主管机关投诉。在安全港框架下，为了调查并处理信息主体对企业违反安全港隐私保护原则提出的投诉，专门设立了由欧盟各国的数据保护机关代表组成的欧盟数据保护组。但是需要注意的是，如果有关个人信息并非人力资源信息，只有当有关企业事先表明愿意通过数据保护组解决争议的情况下，数组保护组才对争议享有管辖权。否则，信息主体只能选用企业事先制定的其他争端解决机制，比如BBB在线和TRUSTe。在CBPR体系下，由于问责代理机构必须来自加入该体系的成员国，令信息主体得以通过位于本国的问责代理机构进行仲裁。

(三)适用范围依然有限

尽管公司隐私规则对企业和信息主体提供了一定的便利，但其适用范围依然有限，目前只能作为通过其他方式合法化个人信息跨境转移的补充。安全港框架和BCR体系属于欧盟个人数据保护制度的组成部分，促进了欧盟向其他国家/地区的个人信息流动。但前者仅适用于信息接受者是美国联邦贸易委员会和交通运输部辖下企业的情况，而后者则只解决跨国公司内部的个人信息跨境转移问题。APEC成员众多，其CBPR影响力似乎应较大，但事实并非如此。一国企业获得CBPR认证的前提是该国已经加入，而目前在全部21个成员方中只有美国、日本和墨西哥国家加入。也就是说目前只有来自美、日、墨这三个国家的机构可能取得问责代理机构资格，并且只有来自这些国家的认证企业可以向其他两个国家较为自由地转移个人信息。APEC成员如欲加入CBPR体系，还必须有隐私执法机构已经加入跨境隐私执法安排(Cross-border Privacy Enforcement Arrangement, CPEA)。迄今为止共有 8 个国家/地区的 22 个隐私执法机构加入了CPEA。*澳大利亚、新西兰、加拿大和中国香港有专门的隐私执法机构，美国的隐私执法机构是联邦贸易委员会，韩国的隐私执法机构是行政安全部，墨西哥的隐私执法机构是联邦信息公开与数据保护委员会，而日本的隐私执法机构则有15 个部门加入。APEC成员方只需承诺按照隐私框架进行执法即可加入 CPEA，但其如要加入CBPR体系却应满足更加具体的条件，即隐私执法该机构要基于国内法的授权拥有APEC隐私框架九大原则下50项具体要求的执法权力。

(四)体系之间缺乏互通性

当前包括公司隐私规则体系在内的区域性个人信息保护制度无法为跨国公司的全球化经营提供最大程度的便利。 2013年9月OECD发布了修改后的《隐私保护与个人数据跨境流动指南》，提出有必要在全球范围内提高互通性(interoperability)，加强不同的个人信息保护制度间的协调合作。尽管安全港协议、BCR和CBPR确实在一定程度上促进了个人信息的合法跨境转移，但是这些体系之间缺乏联系，给全球化经营的大型公司带来额外的负担。例如总部位于欧洲的某跨国公司需要向位于日本的分支机构转移个人信息，而后者又需要向墨西哥的另一家机构转移个人信息。该公司可能需要同时申请BCR和CBPR认证从而令转移合法化。同样，一家美国的数据处理公司如欲合法地从欧洲和日本获得个人信息，则要加入安全港并取得CBPR认证。

四、结语

诚然，公司隐私规则制度作为正在兴起的制度，在实践中尚未真正实现低成本高效率地平衡个人信息保护与信息跨境流动。但国际各方已经开始做出努力推动其影响力，并解决现实中存在的具体问题。加拿大正准备提起加入BBPR体系的申请，新西兰和澳大利亚也在考虑加入。欧盟和APEC亦都认识到其公司隐私规则制度间缺乏互通性带来的问题。欧盟29条工作组于2014年2月发布文件，对BCR和CBPR的27项具体内容进行了详细比较。尽管两种制度间的互认尚未实现，但该文件无疑给需要进行双重认证的公司提供了可行的指引，在一定程度上减轻了申请负担。

我国目前尚未就个人信息保护进行专门立法，对于个人信息跨境转移的限制也极为有限。*2011年中国人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》要求在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。这令包括跨国公司在内的境内机构可以较为随意地在中国境内搜集个人信息，并转移至境外，不仅可能侵害信息主体的个人隐私，更会影响国家经济安全。另一方面，个人信息保护法制的欠缺也大大影响了个人信息从境外向境内的流动，阻碍了我国电子商务、数据处理等行业的国际化发展。我国应加快个人信息保护立法的进程，设立个人信息隐私保护的执法机构，进而申请加入CEPA和CBPR体系，以促进跨境的个人信息流动。

[参考文献]

[1] 王利明. 论个人信息权的法律保护[J].现代法学，2013，35(4)：62-72.

[2] 巫月娥.网络生态视域下感知网络商业伦理对顾客忠诚的影响[J].重庆理工大学学报(社会科学)，2015(4)：73.

[3] Commission decisions on the adequacy of the protection of personal data in third countries，[EB/OL].(2014-12-25)[2015-01-07]http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm.

[4] European Commission. Communication from the Commission to the European Parliament and the Council on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU [R/OL].(2013-11-27)[2015-01-07] http://ec.europa.eu/justice/data-protection/files/com_2013_847_en.pdf.

[5] Article 29 Working Party. Opinion 02/2014 on a referential for requirements for Binding Corporate Rules submitted to national Data Protection Authorities in the EU and Cross Border Privacy Rules submitted to APEC CBPR Accountability Agents [R/OL].(2014-02-27)[2015-01-07] http://www.cnil.fr/fileadmin/documents/Vos_responsabilites/Transferts/wp212_en.pdf.

[6] NAVAS. The New Directive on the Unfair Commercial Practices in the Internal Market as a Promising Tool for the Uptake of Binding Corporate Rules [J]. International Review of Law Computers & Technology，2006,20(3) :343-359.

[7] European Commission. Restoring Trust in EU-US data flows - Frequently Asked Questions[EB/OL].(2013-11-27)[2015-01-07] http://europa.eu/rapid/press-release_MEMO-13-1059_en.htm.

[8] ALLEN，OVERY. Binding Corporate Rules [EB/OL].(2013-01-01)[2015-01-07]http://www.allenovery.com/sitecollectiondocuments/bcrs.pdf.

(责任编校：杨睿)

Legal Protection for Cross-border Transfer of Personal Information

from a Perspective of Corporate Privacy Rules

WANG Nan

(SchoolofLaw,ShenzhenUniversity,GuangdongShenzhen518060,China)

Abstract:As a natural result of globalization in this information era, the cross-border transfer of personal information increases the risk for individuals. The present corporate privacy rules regime including US-EU Safe Harbor Framework, EU CBRC and APEC CBPR facilitates the development of corporations as well as provides flexible remedies to individuals, but its applicability and interoperability should be further enhanced.

Key words:personal information; cross-border transfer; corporate privacy rules； privacy right

中图分类号：D993.9

文献标志码：A

文章编号：1672- 0598(2016)01- 0068- 07

[作者简介]王楠(1977—)，女，河南郑州人；深圳大学法学院副教授，主要从事国际经济法、金融法研究。

[基金项目]深圳市哲学社会科学十二五规划项目“前海深港现代服务业合作区金融法制环境研究”

[收稿日期]*2015-05-24

doi:12.3969/j.issn.1672- 0598.2016.01.011