APEC跨境商业个人数据隐私保护规则与实施

徐磊

内容摘要：为了增强消费者参与电子商务的信心，提高电子商务交易的效率，在电子商务领域建立跨境个人数据隐私权保护机制已经刻不容缓。亚太经合组织（APEC）在电子商务的跨境商业个人数据隐私保护方面做出了一系列卓有成效的工作。本文通过对APEC跨境隐私保护规则体系及其实施进行讨论，以期对中国早日加入该规则体系有所帮助，这样才能更加有效地保护中国电子商务中的个人数据隐私。

关键词：商业个人数据 APEC 隐私保护 电子商务

APEC地区电子商务

近年来，APEC地区电子商务的发展速度和规模在全球范围内均居于领先地位，商业数据也随之呈级数增长。根据对在线零售产品和服务的分析研究，市场研究公司eMarketer预测，2013年全球B2C电子商务销售额达1.2万亿美元，同比增长17%，其中APEC地区的增幅最高，为23.1%。2013年B2C电子商务的买家规模将达到10.3亿人，其中44.6%的买家来自亚太地区，APEC地区消费者是全球最大网络购物群体。在未来几年内，B2C电子商务规模增长的绝大部分由APEC地区贡献，如表1所示。从中国来看，据预测2013年中国B2C电子商务销售额增幅将达到65%。中国的网络买家（14岁或以上，每年至少在网上购物一次的网民）数量将超过2.694亿人。中国电子商务研究中心数据显示，截止到2013年6月，全国电子商务交易额达4.35万亿元，同比增长24.3%。其中，B2B交易额达3.4万亿，同比增长15.25%。网络零售市场交易规模达7542亿元，同比增长47.3%。2013年，中国电子商务市场交易规模将超过12.8万亿元，同比增长50%，如图1所示。目前来看，由于利益的驱动，以虚拟网络为载体的电子商务中的商业个人数据正逐渐演变成商家疯狂追逐的核心竞争力，商业个人数据信息的收集、整理、贩卖已经逐渐形成一个链条。特别是随着电子商务中的跨境交易日益活跃，跨境网络隐私权将是重要商业化规则。如何协调统一跨境交易中各国和地区的数据传输规则和标准、实现跨境电子交易中商业个人数据的有效保护已经引起研究者和相关机构的广泛关注。

APEC跨境商业个人数据隐私权的保护进程

（一）成立个人资料隐私分组

为了保护电子商务中消费者的隐私权，推进电子商务的环境建设，APEC电子商务指导组于2003年2月成立了个人资料隐私分组，旨在建立一个APEC共同的隐私保护方式。

（二）签署《APEC隐私保护纲领》

APEC经济体较早地认识到确保电子商务发展的关键在于整合并促成有效率的个人信息隐私保护以增进消费者的信赖，为此，2004年各成员国在韩国釜山第17届APEC部长会议中签署了《APEC隐私保护纲领》，也称《APEC隐私保护框架》，框架进一步明确了APEC保护数据隐私的意义，为亚太地区的个人信息隐私保护提供了指导性原则和标准。

（三）签署《APEC数据隐私探路者倡议》

为了进一步落实《APEC隐私纲领》，2007年9月澳大利亚悉尼举行的亚太经合组织第19届部长级会议签署了《APEC数据隐私探路者倡议》，首次提出建立简单透明的APEC跨境隐私保护规则体系（CBPRs），用以落实数据隐私权保护，加强消费者的信心和促进跨境数据的交流。

（四）成立APEC跨境隐私规则研究小组

2008年第13次ECSG数据隐私分会通过成立了APEC跨境隐私规则研究小组，当时成员包括美国、澳大利亚、韩国、墨西哥和国际商会，目前成员已扩展到13个，中国于第14次会议时被吸收为成员。该研究小组已开展了对有关成员经济体的隐私保护和操作程序的调研、跨境隐私规则的制订、数据隐私探路者项目等工作，得到了电子商务指导组的认可和支持。

（五）制定《APEC跨境隐私执行安排》（CPEA）

为了进一步落实《APEC数据隐私探路者倡议》，尽早建立起CBPRs，2009年新加坡举行的第21届APEC部长级会议批准实施了《APEC跨境隐私执行合作安排》，这是根据APEC隐私框架朝向建立自愿跨境隐私法规体系的关键一步。安排旨在通过建立APEC区域法律合作框架体系保护网上个人数据信息，加强APEC各经济体在保护跨境个人信息流动方面的合作程度，促进跨境电子商务数据流动，规范企业和处理个人数据行为。

（六）实施APEC跨境隐私规则体系（CBPRs）

2011年11月13日APEC第19次领导人非正式会议发表《檀香山宣言》，宣言中声明实施由美国、澳大利亚、韩国、墨西哥、中国台湾、新加坡等经济体和国际商会组成的跨境隐私研究小组制订的跨境隐私规则体系（CBPRs），该体系的实施是国际数据保护史上的重要里程碑。表2为APEC跨境商业个人隐私保护的主要进程。

APEC跨境商业个人隐私权保护规则体系

APEC跨境商业个人隐私保护规则体系于2011年11月夏威夷APEC领导人非正式会议上通过建立。它是一项自愿的认证体系，也是APEC 跨境商业个人隐私保护的核心内容。该体系旨在促进APEC框架内实现无障碍跨境信息交换，推动在参与该体系的APEC成员经济体中经营业务的公司就形成保护数据隐私的常规惯例达成一致。加入该体系需相关机构就跨境隐私程序制定符合该体系的内部业务规则：

自我评估。指的是各经济体的责任代理机构对预参与商业机构的评估。通常由责任代理机构根据APEC 跨境隐私权保护规则的要求来提供问卷，预参与商业机构来对照回答。

合规审查。合规审查包括两个层面：第一，对于欲成为认可的责任代理机构，需要通过APEC 跨境隐私权保护规则的审查标准，并得到认可。第二，欲成为APEC 认可的遵守隐私权保护的商业机构则需要通过责任代理机构的合规审查。

认可/接受。APEC 各经济体将建立一个可以让公众访问的目录网站，把经认可的责任代理机构及其认证通过的商业机构列入网站的目录。endprint

争议解决和执行。指由APEC 跨境隐私权保护规则体系建立的这些组织，包括责任代理机构、隐私权保护执行机构，以及APEC 隐私权保护联合监督小组等能够通过有效地协调和信息共享来解决在隐私权保护方面出现的各种投诉问题。

美国是CBPRs首个参与国。2013年1月16日，墨西哥成为CBPRs的第二个参与国。目前，澳大利亚也正在积极推进。加入CBPRs将帮助加入国与APEC成员经济体通过更加安全的方式有效地交换数据，保护消费者隐私。

APEC跨境商业个人隐私权保护规则体系的实施

APEC跨境商业个人隐私保护规则体系的实施主要包括APEC和各经济体两个层面的工作，如图2所示。

（一）APEC层面的实施

一是“APEC 跨境隐私权保护规则联合监督小组”。在数据隐私探路者倡议批准后，按照跨境隐私保护规则的要求，APEC建立“APEC 跨境隐私权保护规则联合监督小组”，负责APEC区域内跨境隐私权保护的监督、协调和实施。二是CBPRs认证目录网站。该网站将公布APEC 认可的CBPRs 责任代理机构，以及CBPRs认证的商业机构名录。如果参加CBPRs的商业机构侵犯了消费者的隐私权，责任代理机构可撤销对该商业机构的认证，并从CBPRs认证目录网站中将其剔除。

（二）各经济体层面的实施

在各经济体层面APEC指导建立了以下三个保护机制：第一，“隐私权保护执行机构”。“隐私权保护执行机构”具体监督落实各经济体内对个人隐私权和跨境隐私权保护规则，同时，该机构还要负责与其他经济体和APEC 联合监督小组进行协调来处理跨境隐私权保护的问题。例如中国香港、加拿大、澳大利亚、新西兰等经济体的个人资料（隐私）公署。公署除履行经济体内隐私权保护职责外，还负责参与APEC跨境隐私保护规则体系。

第二，“APEC 认可的责任代理机构”。“APEC 认可的责任代理机构”主要负责对商业机构的隐私权保护进行审核，使其符合APEC 跨境隐私权保护的规则并给予认证。如果需要，各经济体可以允许多个该性质的机构存在。

第三，参与APEC跨境隐私保护规则体系的认证目录网站的联络点。各经济体内部建立CBPRs认证目录网站的联络点，通过联络点完成与CBPRs认证目录网站相关信息的沟通和对接。

参与APEC跨境隐私保护规则体系的商业机构应该按照CBPRs的各项要求落实隐私权政策和做法，由APEC 认可的责任代理机构按照规则体系要求进行评估。这些商业机构一旦被批准和被认证参与该体系，APEC 跨境隐私权保护规则体系的政策和做法就对其具有约束力。相关权威机构，例如行政监管部门等就将对商业机构进行监督。

（三）该规则实施对消费者的影响

APEC跨境商业个人隐私权保护规则的实施能够增强消费者参与电子商务的信心，提高电子商务交易的效率。消费者在进行电子商务交易时，可访问CBPRs的认证目录网站，选择参加CBPRs的商业机构，以使自己的个人数据得到有效的保护。

此外，在个人数据被非法传播、滥用导致个人隐私权受到侵犯时，消费者可向隐私权保护执行机构提起投诉。隐私保护执行机构首先会在投诉人与被投诉人之间进行调解。若调解无效，隐私保护执行机构可做出正式调查，如调查证实被诉人确有违反条例的规定，隐私保护执行机构可向其发出执行通知，指令其采取补救措施，或予以起诉。违反执行通知即属违法，可被判罚款及监禁。同时，也将被APEC责任代理机构剔除出CBPRs认证目录。

综上所述，政府部门应积极推进中国加入APEC跨境商业个人隐私权保护规则体系，引导我国互联网交易企业走出去，进一步参与世界市场，分享利润，得到外国消费者的信任与认可。但是，我国目前还没有有关隐私权保护的自律机制，因此，也要尽快完成商业数据隐私权的立法工作，选定合适的隐私权保护执行机构。同时也要特别注意平衡隐私权利与公共利益。

参考文献：

1.APEC （2004） - APEC Privacy Framework [EB/OL]. http：//www.doc88.com/p-308888086774.html.

2.APEC Cross-border Privacy Enforcement Arrangement （CPEA） [EB/OL] http：//www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group/Cross-border-Privacy-Enforcement-Arrangement.aspx.

3.2011 APEC Ministerial Meeting： Statement[EB/OL] http：//www.apec.org/Meeting-Papers/Ministerial-Statements/Annual/2011/2011_amm.aspx.endprint

争议解决和执行。指由APEC 跨境隐私权保护规则体系建立的这些组织，包括责任代理机构、隐私权保护执行机构，以及APEC 隐私权保护联合监督小组等能够通过有效地协调和信息共享来解决在隐私权保护方面出现的各种投诉问题。

美国是CBPRs首个参与国。2013年1月16日，墨西哥成为CBPRs的第二个参与国。目前，澳大利亚也正在积极推进。加入CBPRs将帮助加入国与APEC成员经济体通过更加安全的方式有效地交换数据，保护消费者隐私。

APEC跨境商业个人隐私权保护规则体系的实施

APEC跨境商业个人隐私保护规则体系的实施主要包括APEC和各经济体两个层面的工作，如图2所示。

（一）APEC层面的实施

一是“APEC 跨境隐私权保护规则联合监督小组”。在数据隐私探路者倡议批准后，按照跨境隐私保护规则的要求，APEC建立“APEC 跨境隐私权保护规则联合监督小组”，负责APEC区域内跨境隐私权保护的监督、协调和实施。二是CBPRs认证目录网站。该网站将公布APEC 认可的CBPRs 责任代理机构，以及CBPRs认证的商业机构名录。如果参加CBPRs的商业机构侵犯了消费者的隐私权，责任代理机构可撤销对该商业机构的认证，并从CBPRs认证目录网站中将其剔除。

（二）各经济体层面的实施

在各经济体层面APEC指导建立了以下三个保护机制：第一，“隐私权保护执行机构”。“隐私权保护执行机构”具体监督落实各经济体内对个人隐私权和跨境隐私权保护规则，同时，该机构还要负责与其他经济体和APEC 联合监督小组进行协调来处理跨境隐私权保护的问题。例如中国香港、加拿大、澳大利亚、新西兰等经济体的个人资料（隐私）公署。公署除履行经济体内隐私权保护职责外，还负责参与APEC跨境隐私保护规则体系。

第二，“APEC 认可的责任代理机构”。“APEC 认可的责任代理机构”主要负责对商业机构的隐私权保护进行审核，使其符合APEC 跨境隐私权保护的规则并给予认证。如果需要，各经济体可以允许多个该性质的机构存在。

第三，参与APEC跨境隐私保护规则体系的认证目录网站的联络点。各经济体内部建立CBPRs认证目录网站的联络点，通过联络点完成与CBPRs认证目录网站相关信息的沟通和对接。

参与APEC跨境隐私保护规则体系的商业机构应该按照CBPRs的各项要求落实隐私权政策和做法，由APEC 认可的责任代理机构按照规则体系要求进行评估。这些商业机构一旦被批准和被认证参与该体系，APEC 跨境隐私权保护规则体系的政策和做法就对其具有约束力。相关权威机构，例如行政监管部门等就将对商业机构进行监督。

（三）该规则实施对消费者的影响

APEC跨境商业个人隐私权保护规则的实施能够增强消费者参与电子商务的信心，提高电子商务交易的效率。消费者在进行电子商务交易时，可访问CBPRs的认证目录网站，选择参加CBPRs的商业机构，以使自己的个人数据得到有效的保护。

此外，在个人数据被非法传播、滥用导致个人隐私权受到侵犯时，消费者可向隐私权保护执行机构提起投诉。隐私保护执行机构首先会在投诉人与被投诉人之间进行调解。若调解无效，隐私保护执行机构可做出正式调查，如调查证实被诉人确有违反条例的规定，隐私保护执行机构可向其发出执行通知，指令其采取补救措施，或予以起诉。违反执行通知即属违法，可被判罚款及监禁。同时，也将被APEC责任代理机构剔除出CBPRs认证目录。

综上所述，政府部门应积极推进中国加入APEC跨境商业个人隐私权保护规则体系，引导我国互联网交易企业走出去，进一步参与世界市场，分享利润，得到外国消费者的信任与认可。但是，我国目前还没有有关隐私权保护的自律机制，因此，也要尽快完成商业数据隐私权的立法工作，选定合适的隐私权保护执行机构。同时也要特别注意平衡隐私权利与公共利益。

参考文献：

1.APEC （2004） - APEC Privacy Framework [EB/OL]. http：//www.doc88.com/p-308888086774.html.

2.APEC Cross-border Privacy Enforcement Arrangement （CPEA） [EB/OL] http：//www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group/Cross-border-Privacy-Enforcement-Arrangement.aspx.

3.2011 APEC Ministerial Meeting： Statement[EB/OL] http：//www.apec.org/Meeting-Papers/Ministerial-Statements/Annual/2011/2011_amm.aspx.endprint

争议解决和执行。指由APEC 跨境隐私权保护规则体系建立的这些组织，包括责任代理机构、隐私权保护执行机构，以及APEC 隐私权保护联合监督小组等能够通过有效地协调和信息共享来解决在隐私权保护方面出现的各种投诉问题。

美国是CBPRs首个参与国。2013年1月16日，墨西哥成为CBPRs的第二个参与国。目前，澳大利亚也正在积极推进。加入CBPRs将帮助加入国与APEC成员经济体通过更加安全的方式有效地交换数据，保护消费者隐私。

APEC跨境商业个人隐私权保护规则体系的实施

APEC跨境商业个人隐私保护规则体系的实施主要包括APEC和各经济体两个层面的工作，如图2所示。

（一）APEC层面的实施

一是“APEC 跨境隐私权保护规则联合监督小组”。在数据隐私探路者倡议批准后，按照跨境隐私保护规则的要求，APEC建立“APEC 跨境隐私权保护规则联合监督小组”，负责APEC区域内跨境隐私权保护的监督、协调和实施。二是CBPRs认证目录网站。该网站将公布APEC 认可的CBPRs 责任代理机构，以及CBPRs认证的商业机构名录。如果参加CBPRs的商业机构侵犯了消费者的隐私权，责任代理机构可撤销对该商业机构的认证，并从CBPRs认证目录网站中将其剔除。

（二）各经济体层面的实施

在各经济体层面APEC指导建立了以下三个保护机制：第一，“隐私权保护执行机构”。“隐私权保护执行机构”具体监督落实各经济体内对个人隐私权和跨境隐私权保护规则，同时，该机构还要负责与其他经济体和APEC 联合监督小组进行协调来处理跨境隐私权保护的问题。例如中国香港、加拿大、澳大利亚、新西兰等经济体的个人资料（隐私）公署。公署除履行经济体内隐私权保护职责外，还负责参与APEC跨境隐私保护规则体系。

第二，“APEC 认可的责任代理机构”。“APEC 认可的责任代理机构”主要负责对商业机构的隐私权保护进行审核，使其符合APEC 跨境隐私权保护的规则并给予认证。如果需要，各经济体可以允许多个该性质的机构存在。

第三，参与APEC跨境隐私保护规则体系的认证目录网站的联络点。各经济体内部建立CBPRs认证目录网站的联络点，通过联络点完成与CBPRs认证目录网站相关信息的沟通和对接。

参与APEC跨境隐私保护规则体系的商业机构应该按照CBPRs的各项要求落实隐私权政策和做法，由APEC 认可的责任代理机构按照规则体系要求进行评估。这些商业机构一旦被批准和被认证参与该体系，APEC 跨境隐私权保护规则体系的政策和做法就对其具有约束力。相关权威机构，例如行政监管部门等就将对商业机构进行监督。

（三）该规则实施对消费者的影响

APEC跨境商业个人隐私权保护规则的实施能够增强消费者参与电子商务的信心，提高电子商务交易的效率。消费者在进行电子商务交易时，可访问CBPRs的认证目录网站，选择参加CBPRs的商业机构，以使自己的个人数据得到有效的保护。

此外，在个人数据被非法传播、滥用导致个人隐私权受到侵犯时，消费者可向隐私权保护执行机构提起投诉。隐私保护执行机构首先会在投诉人与被投诉人之间进行调解。若调解无效，隐私保护执行机构可做出正式调查，如调查证实被诉人确有违反条例的规定，隐私保护执行机构可向其发出执行通知，指令其采取补救措施，或予以起诉。违反执行通知即属违法，可被判罚款及监禁。同时，也将被APEC责任代理机构剔除出CBPRs认证目录。

综上所述，政府部门应积极推进中国加入APEC跨境商业个人隐私权保护规则体系，引导我国互联网交易企业走出去，进一步参与世界市场，分享利润，得到外国消费者的信任与认可。但是，我国目前还没有有关隐私权保护的自律机制，因此，也要尽快完成商业数据隐私权的立法工作，选定合适的隐私权保护执行机构。同时也要特别注意平衡隐私权利与公共利益。

参考文献：

1.APEC （2004） - APEC Privacy Framework [EB/OL]. http：//www.doc88.com/p-308888086774.html.

2.APEC Cross-border Privacy Enforcement Arrangement （CPEA） [EB/OL] http：//www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group/Cross-border-Privacy-Enforcement-Arrangement.aspx.

3.2011 APEC Ministerial Meeting： Statement[EB/OL] http：//www.apec.org/Meeting-Papers/Ministerial-Statements/Annual/2011/2011_amm.aspx.endprint