第 1 章 引言
1.1 研究背景
近些年来,跨境电商的个人信息保护问题不绝于耳,先是一些跨境电商企业遭到别国(地区)的个人信息保护法律的制裁:网络巨头 GOOGLE 被一些欧盟国家因滥用其居民个人数据被罚;世界著名的网络社区门户 FACEBOOK 在欧洲因同样问题遭到联名起诉;中国的小米手机在港、台涉嫌将当地手机用户信息传输回大陆总部而遭到港台隐私保护当局的介入调查。一些涉及到大量个人数据跨境传输的电商企业已经开始在各国个人信息保护法律的威力之下首当其冲了。这也许只是开始,很可能会有更多的跨境电商企业遭遇到别国(地区)隐私保护法律的制裁。
如果说 GOOGLE、FACEBOOK、小米手机只是个例,那么欧盟最高法院于2015 年 10 月宣布运行 15 年之久的欧美“安全港”框架失效影响的就是两国之间的经贸关系,以及“港”内 5500 多家美国企业。欧盟以个人数据保护法律严格著称,规定欧盟居民的个人数据只能向具有“充分个人数据保护水平”的国家或地区传输,而美国的个人数据保护水平一直得不到欧盟的认可。由于欧盟是美国跨境电商企业的重要市场,于是美国不得不做出让步,提出了“安全港”框架,让符合欧盟个人数据保护要求的美国企业进入到“港”内,由美国联邦贸易委员会负责对企业进行监管。美国的电商行业发展具有世界领先水平,欧盟市场已经大部分被美国电商企业所占领,欧盟宣布“安全港”失效除了出于保护欧盟个人信息的目的之外,很有可能也是欧盟遏制美国跨境电商产业发展的一个手段。可见,个人信息保护问题已经上升到双边经贸关系层面,并且可以用作调节两国企业竞争力的一个杠杆。
个人信息保护问题不止出现在双边经贸关系中,而且已经进入了多边贸易协定的范围之内。备受亚太地区国家关注的 TPP(跨太平洋伙伴关系协定)就在第14 章“电子商务”中专门制定了针对个人信息保护的条款,主要包括 14.8“个人信息保护”和 14.14“非应邀商业电子信息”。14.8 条款规定 TPP 参与国应建立保护个人信息的法律框架,并且在构建本国法律框架时参考国际经济组织的原则和指南;公布关于个人信息保护的政策,包括数据主体如何获得救济和企业如何保证遵守隐私保护法律;各参与国之间应建立隐私保护执法的协调机制,以保护跨境电子商务中的个人信息。14.14“非应邀商业电子信息”要求参与国采取措施抵制垃圾邮件和信息,企业在发送广告信息前应依法获得消费者的同意,或者把非应邀商业电子信息降至最低数量;对滥发商业信息的企业建立追溯机制。
..............................
1.2 问题的提出
跨境电子商务中的个人信息保护问题究竟包括哪些本质性的问题?无外乎就是个人信息的使用规则与立法问题、个人信息保护法律的管辖权问题、隐私保护的国际协调机制问题和国际标准问题。
1.2.1 个人信息的使用规则与立法问题
个人信息的收集、存储、利用、加工、传输、披露都应遵循一定的规则,各国的个人信息保护立法以及区域经济组织制定的框架和指南其实都是在对个人信息的使用规则做出规定。跨境电商企业面对的是国际市场和国外消费者,经常会受到国外法律的约束,那么世界上到底有多少国家进行了个人信息保护立法?有什么规律和特点?要解决这个问题,就有必要对世界个人信息保护立法概况进行一下梳理。只掌握概况还不够,只有研读具体的法律才能找到个人信息保护法律的共性与区别、掌握此类法律的主要内容、了解主要经济体对于个人信息保护的要求。把所有法律都研究清楚不太现实,但是可以选择十个左右与中国经贸关系比较紧密的国家和地区的个人信息保护法律进行具体内容的比较分析,以方便我国企业了解主要外国市场的法律规定,并且便于我国政府在与这些国家谈判时了解它们的立场。
1.2.2 个人信息保护法律的管辖权问题
法律都有管辖权的规定,个人信息保护法律也不例外。然而,个人信息比较特殊,它在跨境电子商务中经常会进行跨境流动,给法律的适用带来了不少困扰。比如A国的跨境电商企业给B国的消费者提供服务,如果出现个人信息侵权问题,应适用 A 国还是 B 国的法律?如果 A 国企业又把 B 国的个人信息传输给 C 国企业进行加工又当如何?云计算就更为复杂,可能云服务商、消费者、服务器都属于不同的国家,接受访问的服务器地点和发生侵权行为的地点也不同,那么应该适用哪国的个人信息保护法律?各国对于个人信息保护法律管辖权的规定原则并不一致,经常因此而发生冲突,法律管辖权问题也经常被纳入双边经贸谈判的内容当中。因此,有必要对世界上主要的网络法律管辖权理论进行梳理,并探讨哪种理论更适合个人信息保护法律。互联网的广泛应用给传统的法律管辖权理论提出了巨大的挑战,个人信息保护法律的管辖权问题就更是莫衷一是。尽管难以下定论,仍然需要竭尽所能去探讨其中的规律,并从商务模式的角度对法律的管辖权理论提出建议。
...........................
第 2 章 研究范围界定
2.1 概念界定
2.1.1 个人数据
欧洲的法律用语中习惯称“个人数据(personal data)”。1980 年 OECD 颁布的“隐私保护与个人数据跨境流动指南”中给“个人数据”下的定义是“个人可识别的任何信息(any information relating to an identified or identifiable individual)”,其中“个人”也叫做“数据主体(data subject)”。欧盟委员会 1995 年颁布的“个人数据保护指南”(Directive 95/46/EC)中“个人数据”的定义是“关于自然人的可识别的任何信息;可以直接或间接识别自然人的有关身体的、心理的、精神的、经济的、文化的或者社会的特征。”
从这两个欧洲重要的、具有代表性的个人数据保护文件中“个人数据”的定义来看,首先,个人数据指的是“自然人”的可识别信息,而不包括“法人”,即公司的个人数据有另外的法律给予保护,比如知识产权法。其次,个人可识别的信息包括直接信息和间接信息,只要能根据信息识别出数据主体的信息就属于个人数据,应该加以保护。
OECD 于 2013 年推出了 1980 年“隐私保护与个人数据跨境流动指南”的修订版,其中个人数据的定义保持不变。两份文件对“个人数据跨境流动”的定义都是“个人数据跨越国界的流动”。
美国、澳大利亚、新西兰、新加坡、中国大陆等国家,以及 APEC、APPA、IAPP 等地区或国际组织习惯使用“个人信息”(personal information)。亚太经合组织于 2004 年推出了“APEC 隐私框架”,其中对“个人信息”的定义也是“个人可识别的任何信息”。可见,个人信息与个人数据只是叫法的不同,并无本质差别。APEC 隐私框架进一步对“个人信息”做了解释,“个人信息是关于活着的自然人的信息,而非法人的信息;也包括不能单独识别个人,但是与其它信息一起就可以识别个人的信息”。“与其它信息一起就可以识别个人的信息”指的就是间接信息,一般说来,对直接信息的侵害后果比对间接信息的侵害后果更为严重。
...........................
2.2 场景界定
本文研究的是广义跨境电子商务,涉及到个人数据跨境流动的商务活动大多可以纳入到研究范围中来,场景的选择和界定依据以下几个特点:
2.2.1 存在个人数据的跨境流动
跨境电商场景的选择首先要满足一个条件:存在个人数据的跨境流动。网络零售是一个基本的场景:消费者在国外跨境电商网站上浏览商品信息、注册个人信息、留下物流信息和财务信息等,从而实现了个人数据的跨境流动。云计算经常利用设在不同国家的数据中心复制、镜像所收集的个人数据,经常会出现个人数据的跨境转移。跨国公司的子公司地处不同国家和地区,集团成员之间传输消费者数据和员工数据时,个人数据就实现了跨境流动。发达国家通常把数据处理加工业务外包到欠发达国家以降低成本,可以实现个人数据的大规模转移。
2.2.2 需收集外国居民的个人数据
跨境电商企业服务于外国市场,通常需要收集国外消费者的数据。跨境零售网站收集国外消费者的个人数据才可以进行货物销售;跨境服务提供商比如酒店、旅游、餐饮等企业可以通过网站接受外国消费者的预订;搜索引擎收集当地居民的个人信息才能满足当地的搜索需求;云计算服务提供商收集当地消费者的个人数据才能为其提供云服务;外国的手机软件服务商收集了当地居民的个人数据才能为其提供定位等智能服务;跨国经营投资为了更好地占领当地市场也需要收集居民的个人数据。
2.2.3 受到外国隐私保护法律的约束
跨境电商企业经常要服务外国市场,经常会受到外国隐私保护法律的约束。比如跨境投资,企业除了要熟悉东道国关于投资经营方面的法律以外,还需了解当地关于个人数据保护方面的法律,包括个人数据的收集、存储、使用、披露、跨境传输等规定,避免受到当地法律的制裁。云计算服务商要了解当地的法律和政策,了解东道国政府是否允许其将当地居民的信息向设于其它国家的数据中心转移。手机服务提供商也需了解用户所在地法律对于个人信息使用的规定。搜索引擎收集各国居民的个人信息并建立关联,也要遵守信息主体所在国关于个人信息采集和使用的法律规定。
............................
第 3 章 各国隐私保护立法比较研究............. 14
3.1 世界隐私保护立法概况............. 14
3.1.1 按时间分布..................... 14
3.1.2 按地域分布........................... 23
第 4 章 网络隐私保护法律管辖权............................ 59
4.1 研
