安全港原则

安全港原则(International Safe Harbor Privacy Principles; Safe Harbour Privacy Principles),又称避风港原则,是允许欧洲联盟美国双方企业与个人能流通个人可识别资料的原则,是为了满足政府监管和立法目的而设立的私人自我调节的政策和机制,不包括政府法规和强制条令。加入安全港协议的美国企业必须单独从各个欧盟国家获取授权,以免侵犯欧盟隐私法的条款。通过采用自律、规则和政府强制的公平交易、强制执行在美国也会出现。

2000年,欧盟委员会美国政府签订安全港协议。2014年8月1日,奥地利学生Max Schrems就Facebook未经合法授权就取用及分析欧洲用户个人资料等违反欧盟法律的问题,向维也纳的商业法庭提出集体诉讼,要求禁止Facebook将欧洲用户的资料传送到美国,并要求Facebook赔偿每位欧洲用户500欧元。2015年10月6日,欧洲法院裁定,安全港协议无法充分保护欧盟公民个人资料,应属无效。[1]

背景

欧盟已经执行隐私法多年,比世界上许多其他国家有更严格的法律基础。

欧盟在不允许在其境内经营的公司将个人资料发送到欧盟以外的国家,除非他们保证目标的保护程度。这种保护可以是在国家层面(如国家法律被认为能提供平等的保护),或在组织层面(如跨国组织严格控制其内部个人资料记录)。

安全港隐私保护原则允许美国公司,在符合欧盟的要求的情况下,得以注册来获得欧盟的认证。

这些原则是在1998 - 2000年期间发展出来的。欧盟委员会于2000年7月决定执行这个原则,允许传输欧盟的数据到经认证的美国公司。于2015年十月欧洲法院判决此原则无效。

原则

必须遵守以下原则:

  • 告知:当个人的资料被收集与使用时,当事人必须被告知。
  • 选择性:当事人必须拥有选择的权利,其中包括拒绝给予其个人资料,或其个人资料被传输给第三方。
  • 限定传输:个人资料只能被传输给遵守这些原则的第三方。
  • 安全性:必须要采取合理且有效的努力,来避免资料的遗失。
  • 诚实性资料:资料必须是和收集的目的有关连且可靠的。
  • 可接触性:个人必须拥有得知与修改其个人资料的权利。
  • 实行性:必须要有有效手段确保这些原则有效的实行。

认证

加入后,企业必须每隔12个月重新进行认证。它可以进行自我评估或聘请第三方来进行评估,以验证其是否符合这些原则。也必须确保适当的员工培训和有效的争端解决机制来达到欧盟的要求。

执行

在2011年时,美国联邦贸易委员会发现一间总部位于加州的网络零售商,在销售时宣称其拥有英国的安全港认证,而实际上它没有。之后便遭到禁止。[2]

评价

欧盟 - 美国安全港原则一直是被批评的对象:

注释

  1. ^ U.S.-EU Safe Harbor Framework Documents. US government. [2015-10-13]. (原始内容存档于2015-09-10). 
  2. ^ FTC Settlement Bans Online U.S. Electronics Retailer from Deceiving Consumers with Foreign Website Names (新闻稿). Washington. Federal Trade Commission. June 9, 2011 [March 5, 2015]. (原始内容存档于2020-10-31). 

参考文献

  • Kenneth C.Laudon and Jane P.Laudon, 《Management Information Systems》, Pearson, 07 March 2011, Chapter4 Information systems Organizations and Strategy p.88

延伸阅读

  • Farrell, Henry. Constructing the International Foundations of E-Commerce—The EU–U.S. Safe Harbor Arrangement. International Organization. Spring 2003, 57 (2): 277–306. doi:10.1017/S0020818303572022. 

参见

外部链接