安全港原則

安全港原則(International Safe Harbor Privacy Principles; Safe Harbour Privacy Principles),又稱避風港原則,是允許歐洲聯盟美國雙方企業與個人能流通個人可識別資料的原則,是為了滿足政府監管和立法目的而設立的私人自我調節的政策和機制,不包括政府法規和強制條令。加入安全港協議的美國企業必須單獨從各個歐盟國家獲取授權,以免侵犯歐盟隱私法的條款。通過採用自律、規則和政府強制的公平交易、強制執行在美國也會出現。

2000年,歐盟執委會美國政府簽訂安全港協議。2014年8月1日,奧地利學生Max Schrems就Facebook未經合法授權就取用及分析歐洲用戶個人資料等違反歐盟法律的問題,向維也納的商業法庭提出集體訴訟,要求禁止Facebook將歐洲用戶的資料傳送到美國,並要求Facebook賠償每位歐洲用戶500歐元。2015年10月6日,歐洲法院裁定,安全港協議無法充分保護歐盟公民個人資料,應屬無效。[1]

背景

歐盟已經執行隱私法多年,比世界上許多其他國家有更嚴格的法律基礎。

歐盟在不允許在其境內經營的公司將個人資料發送到歐盟以外的國家,除非他們保證目標的保護程度。這種保護可以是在國家層面(如國家法律被認為能提供平等的保護),或在組織層面(如跨國組織嚴格控制其內部個人資料記錄)。

安全港隱私保護原則允許美國公司,在符合歐盟的要求的情況下,得以註冊來獲得歐盟的認證。

這些原則是在1998 - 2000年期間發展出來的。歐盟委員會於2000年7月決定執行這個原則,允許傳輸歐盟的數據到經認證的美國公司。於2015年十月歐洲法院判決此原則無效。

原則

必須遵守以下原則:

  • 告知:當個人的資料被收集與使用時,當事人必須被告知。
  • 選擇性:當事人必須擁有選擇的權利,其中包括拒絕給予其個人資料,或其個人資料被傳輸給第三方。
  • 限定傳輸:個人資料只能被傳輸給遵守這些原則的第三方。
  • 安全性:必須要採取合理且有效的努力,來避免資料的遺失。
  • 誠實性資料:資料必須是和收集的目的有關連且可靠的。
  • 可接觸性:個人必須擁有得知與修改其個人資料的權利。
  • 實行性:必須要有有效手段確保這些原則有效的實行。

認證

加入後,企業必須每隔12個月重新進行認證。它可以進行自我評估或聘請第三方來進行評估,以驗證其是否符合這些原則。也必須確保適當的員工培訓和有效的爭端解決機制來達到歐盟的要求。

執行

在2011年時,美國聯邦貿易委員會發現一間總部位於加州的網路零售商,在銷售時宣稱其擁有英國的安全港認證,而實際上它沒有。之後便遭到禁止。[2]

評價

歐盟 - 美國安全港原則一直是被批評的對象:

註釋

  1. ^ U.S.-EU Safe Harbor Framework Documents. US government. [2015-10-13]. (原始內容存檔於2015-09-10). 
  2. ^ FTC Settlement Bans Online U.S. Electronics Retailer from Deceiving Consumers with Foreign Website Names (新聞稿). Washington. Federal Trade Commission. June 9, 2011 [March 5, 2015]. (原始內容存檔於2020-10-31). 

參考文獻

  • Kenneth C.Laudon and Jane P.Laudon, 《Management Information Systems》, Pearson, 07 March 2011, Chapter4 Information systems Organizations and Strategy p.88

延伸閲讀

  • Farrell, Henry. Constructing the International Foundations of E-Commerce—The EU–U.S. Safe Harbor Arrangement. International Organization. Spring 2003, 57 (2): 277–306. doi:10.1017/S0020818303572022. 

參見

外部連結