更新时间:2023-04-14 06:13
安全港协议(SafeHarbor)是2000年12月美国商业部跟欧洲联盟建立的协议,它用于调整美国企业出口以及处理欧洲公民的个人数据(例如名字和住址)。该协议不同于美国跟欧洲之间的传统商业过程,是响应欧洲的意图而建立的折衷政策。
美国与欧盟签署的个人信息跨国流通安全港协议暗示着,在商业利益的驱动下,以美国为代表的行业自律和市场调节机制为主的松散立法体制向以欧盟为代表的统一立法体制暂时做出了让步。在该协议中,美欧就其协议基本原则和取得,执行以及制裁机制做出了一系列具体规定。
安全港协议要求:收集个人数据的企业必须通知个人其数据被收集,并告知他们将对数据所进行的处理,企业必须得到允许才能把信息传递给第三方,必须允许个人访问被收集的数据,并保证数据的真实性和安全性以及采取措施保证这些条款得到遵从。
安全港协议(SafeHarbor)确立了折衷处理美国和欧联之间隐私手续的框架。15个成员国都服从该协议,这意味着可不经个人授权而进行数据转移,而未加入安全港的美国企业必须单独从各个欧洲国家获取授权。
20世纪70年代,美国与欧盟在隐私权保护上的巨大差异成为贸易争端的焦点。美国坚持灵活保护的策略,通过自律机制配合政府的执法保障来实现保护隐私权的目的,欧盟却倾向于通过严厉的立法对个人数据跨国流动进行保护。欧盟《个人数据处理和自由流动中个体权利保护指令》(以下简称《个人数据保护指令》或《指令》)第25条规定,只有当第三国确保能够为个人数据提供充分程度(adequatelevel)的保护时,才能将个人资料移转或传送至第三国,这条规定被称为欧盟的“充分保护”标准。“充分保护”标准为美国企业在欧盟开展业务设置了限制性的门槛。为解决这个问题,欧盟和美国于2000年达成了《安全港协定》。“安全港”的目标是在确保美国企业达到欧盟的较高保护标准的同时,维持美国长久以来一直采用的自律机制。
“安全港”是指美国商务部建立一个公共目录,在联邦交易委员会和美国交通运输部管辖下的任何组织,自愿遵守“安全港”的规则就可以加入这个公共目录,成为“安全港”的一员。要达到“安全港”的要求并得到其保护,机构必须采取以下措施之一:(1)参加符合“安全港”原则的自律性隐私权保护项目;(2)制定符合“安全港”原则的自律政策;(3)遵守有关保护个人隐私权的法律规范。机构采取上述三项措施之一,并以“安全港”成员的身份从事电子商务,自愿做出承诺遵守“安全港”的七条隐私保护原则,这些机构就被假定达到了“充分保护”的要求,可以继续接受、传输来自欧盟的个人数据。加入“安全港”的机构也必须承担一定的义务,即要保证遵守“安全港”的七条原则,包括:(1)通知原则;(2)选择原则;(3)向外移转原则;(4)安全原则;(5)资料完整原则;(6)获取原则;(7)执行原则。“安全港”在隐私权保护标准上体现了欧、美双方的妥协。首先,在联营机构数据共享方面,欧盟《指令》规定了明确的“选进”程序,只有经过数据主体的明确同意才能在联营机构之间进行数据共享。而“安全港”规定,联营机构间信息共享时,消费者有“选退”的权利,即在联营机构间共享非公开个人信息时,给消费者选择终止共享这些信息的权利,但是“选退”必须遵守“安全港”的原则。其次,和非联营第三方之间的信息传输方面,《指令》也采取“选进”标准,需要消费者明确的同意,“安全港”采用的是“选退”方法。可以说,“安全港”协定要求美国的机构为欧盟的个人提供充分的隐私权保护,但是也没有完全采用《指令》的标准,而是欧盟和美国两种隐私权保护标准的妥协。