资料保护机构与资料隐私的跨境法律保护

三、资料保护机构与资料隐私的跨境法律保护

随着信息和通讯技术在世界各个角落蔓延，资料保护也成为一个同一性的概念。为了人类未来共同的基本权利，资料保护必须满足国际需要，完成其全球性的使命。^[300]

——HerbertBurkert

资料隐私不仅关涉个人的自由和权利，还与资料处理中其他当事方的正当权益和社会公共利益密切相关。资料隐私不是一个单纯的个人问题，还具有很强社会性，需要国家通过公权力加以保护。在一国国内，离开资料保护机构的协助和监督，个人同资料使用者难以维持公正、合理的信息流转关系，整个社会也难以实现信息的高效流动。从国际社会来看，经济的全球化与信息技术的无国界性使得资料隐私保护不再囿于一国境内，而与各国的政治和经济利益，尤其是资料保护与资料的跨境自由流动紧密相关。本节以各国，尤其是欧盟成员国的资料保护机构为切入点，分析资料隐私跨境保护面临的困难，介绍现有的国际和区域协作法律框架，并建议以保护个人的资料隐私为着眼点，以资料保护机构间的合作为核心，切实加强各国在资料隐私跨境保护上的互助与协作。

(一)资料隐私与资料保护机构

作为世界上首部资料保护法，德国黑森州1970年的资料保护法就要求设立专门的资料保护机构。^[301]随后，国内和国际性的资料保护立法也将设立资料保护机构作为资料隐私执行体制的重要组成部分。例如，根据经济合作与发展组织的《资料保护指导原则》，为执行资料保护原则，缔约方可设立专门机构。^[302]联合国大会通过的《资料保护指导规则》也建议各国设立专门机关，独立、公正地执行资料保护规则。^[303]为融合与统一成员国的执行体制，《欧盟资料保护指令》更是明确的要求成员国设立专门的资料保护机构，赋予该机构独立的地位和广泛的职权，并由其负责资料保护法的具体实施。^[304]为使《资料保护公约》与《资料保护指令》的规定保持一致，欧洲理事会于2001年通过补充协定要求缔约方设立一个或多个机构专门负责资料保护法的实施。^[305]亚太经合组织2005年通过的《隐私框架》也鼓励成员国通过立法、行政和行业自治等途径保护个人的信息隐私。^[306]

从国内来看，欧盟成员国按照指令的要求都设立了全国性的资料保护机构，由其负责公共和私人领域中的资料保护。欧盟之外，瑞士、挪威、加拿大、新西兰、我国的香港和澳门特区等也都设立了资料保护机构。由于美国不存在统一的联邦个人信息隐私法，也未设立国家性的资料保护机构，联邦贸易委员会(Federal Trade Commission)以禁止不正当和欺诈性的商业行为侵害消费者的权益为依据，保护特定私人行业中的个人信息隐私。此外，美国健康与公众服务部(DepartmentofHealth and Human Services)与联邦银行监理机关(Federal Banking Agencies)也在一定程度上负责健康和金融等领域的个人信息隐私保护。^[307]

由于各国政治、经济、文化，特别是资料隐私保护模式的差异，这些机构在性质、地位和职权上存在很大的差异。认清上述差异，对促进资料隐私的跨境法律保护大有裨益。

(二)资料保护机构的性质、地位与职权

1.资料保护机构的性质

资料保护机构是依法负责监督个人资料隐私法实施的国家公权力机构，^[308]它独立于其他国家机关，并独立、公正地履行与资料隐私保护相关的法定职责。为确保资料保护机构的独立性和公正性及其履行资料隐私保护职责的能力，资料保护机构应具有相应的资源与广泛的法定职权，如对资料处理进行登记和审批、对立法和惯例的制定提出意见和建议、处理资料当事人等提起的申诉、对资料处理进行审计、调查和处罚等。严格而言，它不属于消费者保护机构、行政机关、立法机构、司法机构或执行机关，但却具有上述机构和机关的职能和特性。具体而言，它负责向大众、公共机关和私人机构宣传和推广资料隐私保护的重要性，并向国家机关报告资料保护法的执行情况。它负责对资料处理进行管理和登记，并因此具有行政管理性。作为资料隐私保护的智囊团，它对资料隐私法律法规和行为守则的起草、制定和具体实施提出意见和建议。作为资料处理争议的公断者，它受理、调解和解决资料当事人提起的与资料处理相关的申诉。作为资料保护法的执行机关，它有权对公共机关和私人机构实施的资料处理进行审计和调查，并对违法行为提出警告、建议或进行处罚和制裁。资料保护机构的多重职责决定了其性质上的复杂性，使其成为具有行政、立法、司法和执行等多重性质的公共机构。西班牙的资料保护法对其性质作了比较全面的概述，资料保护机构“依公法设立，具有法律人格与完全的公共性和私人性的法律能力，并独立于其他国家机关履行其法定职责”。^[309]

2.资料保护机构的地位

资料保护机构的地位主要是指其独立性。它不仅应在形式上独立，更需在行动上完全自主，^[310]在履行职责过程中免受外界不正当、不合理的干涉。独立性是资料保护机构性质和职责的内在要求。为了能够有效地监督公共机关和私人机构依法处理个人资料，资料保护机构必须能够在形式和行动上完全独立。虽然不存在确保资料保护机构独立性的统一模式，但下列事项与独立性密切相关:专员与机构成员的任命，专员和成员的任职条件与任职期间，人力、财力和物力等资源以及不受外界干涉作出决定和提出建议等。^[311]

多数欧盟成员国法均强调资料保护机构应为独立性的机构，不得接受其他机关的指示，独立行使法定职权。^[312]为保证资料保护机构的独立性，各国规定了严格的机构设立和成员选任程序。多数国家要求由议会产生资料保护专员，如比利时^[313]、意大利^[314]、瑞士^[315]和葡萄牙^[316]等。在某些国家，专员由司法部长选任，如丹麦^[317]和荷兰^[318]。也有些国家要求由政府选任专员，如爱尔兰^[319]、英国^[320]和卢森堡^[321]。在资料保护机构的人员要求上，为确保其独立性和广泛的代表性，各国的要求也不尽相同。如法国国家信息与自由委员会(CNIL)的成员由国家议会、经济与社会部(Conseiléconomique et Social)、国家法院(Conseil d'tat)^[322]、最高法院(Cour de Cassation)和审计法院(Cour desComptes)等选任。^[323]葡萄牙国家资料保护委员会由议会、最高法院、最高检察院和政府各自选任的成员组成。^[324]

为确保资料保护专员独立行事，不少国家要求资料保护专员不得担任其他职务或从事其他有报酬的工作。如法国国家信息与自由委员会的成员不得兼任政府公职，不得参与讨论或调查同一机构有关的事宜，若他在该机构中任职或具有直接或间接的利益。^[325]荷兰资料保护委员会主席及其成员不得从事其他有报酬的工作，若该工作与其在委员会的工作不符，且未经司法部长批准。^[326]德国的联邦资料保护与信息自由专员不得担任其他有报酬的职位，或于官方职责外从事任何有利益的活动或职业，不得隶属于盈利性公司的管理和监督委员会或董事会，不得在联邦或州的政府和立法机关中任职，亦不得以牟利为目的，越权作出意见。^[327]

为确保资料保护机构的独立性，多数国家的资料保护法明确规定资料保护机构应具有充分的资源，如办公场所、人员、财力和物力。但是，从实际运行来看，多数国家的资料保护机构面临着资源紧缺的困境，不足以独立完成纷繁复杂的法定职责，扮演多重重要角色。^[328]

仿效欧盟设立资料保护工作组，^[329]有些国家也设立了资料保护咨询机构，协助资料保护机构开展资料隐私保护事务。如西班牙设立了咨询委员会，由其负责协助资料保护委员会的工作。咨询委员会的组成人员具有广泛的代表性，包括国会、政府、地方机关、学术机构、消费者和资料使用者的代表等。^[330]奥地利也设立了资料保护理事会来协助国家资料保护委员会的工作。

德国资料隐私法包括联邦和州两级执行体制，而且公共和私人领域中资料处理的监督体制也有所不同。首先，从联邦的角度看，德国联邦资料保护与信息自由专员根据《联邦资料保护法》负责监督联邦机关的资料处理。^[331]虽然《联邦资料保护法》对私人行业中的资料处理作出了专门规定，但它们却由不同的机构负责实施。^[332]联邦资料保护与信息自由专员，经联邦政府建议，由议会选任，并由总统任命。专员具有联邦公法官员地位，应独立行使其职责，并接受联邦政府的法律监督。^[333]从州的角度看，各州的资料保护机构负责监督州公共机关的资料处理。私人行业中资料处理的监督机关由各州决定。负责监督州公共机关资料处理的资料保护机构一般由其议会选任，但负责监督私人行业中资料保护的机构多为州政府的内务部或隶属于内务部。不过，几个州经过修改立法，由州资料保护机构一并监督公共和私人行业中的资料处理。^[334]

在奥地利，资料保护委员会(Datenschutzkommission)和资料保护理事会(Datenschutzrat)共同负责该国联邦资料保护法的实施。资料保护委员会负责监督国家最高行政机关，即国家总统、总理、政府成员的资料处理活动。^[335]资料保护委员会的六名成员均经联邦政府推荐，由总统任命。委员会的候选人分别由最高法院(Oberster Gerichtshof)、政府(Bundesl－nder)、联邦劳动部(Bundeskammer für A rbeiter und Angestellte)与联邦经济部(W irtschaftskammersterreich)推荐。^[336]联邦政府和州政府的成员不得担任资料保护委员会成员。^[337]资料保护委员会的成员应独立行使其职责，且不得受任何指示的约束。资料保护委员会办公室的官员仅应服从主席和执行成员的指示。^[338]资料保护理事会由联邦议会设立，负责对联邦和州政府提出有关资料保护的建议，包括审查对资料保护至关重要的问题，对联邦部委制定的与资料保护有关的法案提出意见，评定公共领域中资料控制者提出的涉及资料保护的项目，要求私人行业中的资料控制者从资料保护的角度提出意见或提请其注意。^[339]资料保护理事会由政党、联邦劳动部、联邦经济部、州、奥地利市和城镇组织及联邦议会的代表组成，代表应具有电脑技术和资料保护的专业知识和经验，且不得为联邦和州政府的成员。^[340]

3.国内资料保护机构的职权

设立独立的监督机构是保护个人资料隐私至关重要的一环。^[341]《资料保护指令》要求成员国赋予资料保护机构一系列职权:①提供信息:向公众提供与资料隐私保护相关的信息，向资料当事人提供与其资料权利相关的信息，公布有关资料保护状况和活动的年度报告等;②管理职能:如对资料处理进行登记;③管制职能:对资料处理进行审批，如对敏感资料处理和跨境资料转移进行审批;④准立法职能:对资料保护法的实施，特别是对其在特定领域中的具体适用提出意见，并介入资料处理行为守则的起草、评估和审批;⑤准司法职能:受理、调解、调查和处理资料当事人等提起的申诉;⑥调查和执行职能:对资料处理进行审计、调查，对违法行为进行处罚、制裁和执行等职能。对外，资料保护机构还需同他国的对应机构进行信息互换及在跨境资料隐私保护的执行上开展合作。因此，资料保护机构在资料隐私保护上扮演着多重角色，如宣传员、教育者、咨询人员、政策建议者、审计人员、调查人员、法律监督和执行者以及谈判者和外交家等。其中，审计、调查、监督和执行等是资料保护机构最核心的职责。^[342]对资料隐私的跨境法律保护而言，资料保护机构信息提供、准司法权与调查和执行权尤为重要。

(1)信息提供

作为国内资料隐私保护的信息中心，资料保护机构向资料处理涉及的当事方，如立法和行政机关、资料使用者、特定行业中的资料使用者以及资料当事人等提供相关信息。此外，它还公布年度活动报告。^[343]资料保护机构对有关资料保护的法律法规以及与资料隐私有关的重要问题作出报告、研究、意见和建议，这对资料隐私的立法和实践具有重要的指导作用。即使未被立法机构、行政机关、司法机构或资料控制者采纳，这些意见至少可确保有关问题得以充分考虑和讨论。通报本国资料保护法执行状况及有关问题的年度报告也是重要的信息传递渠道。

资料保护机构提出的意见与作出的报告虽然不具有法律约束力，但它们同机构的管理和执行活动密切相关。报告可以确定资料保护领域中的焦点问题，重点开展审计、调查和监督活动。资料保护机构有关资料保护法在特定领域中的解释和适用建议也对其监督活动具有重要的影响。在有些国家，该意见和建议构成资料保护机构执行活动的正式和有效的组成部分。例如，法国国家信息与自由委员会对有关公共领域资料处理活动的规定提出的支持性的意见已经在实践中成了通过这些规定的前提。在荷兰，自治性的行业行为守则首先需要得到资料保护机构的支持。此外，资料保护机构的年度报告一般都对其执行活动和资料处理的个案进行总结和评析，这在信息提供与监督和准司法职能之间架起了沟通的桥梁。^[344]

(2)准司法权

受理资料当事人提起的有关资料处理的控诉是资料保护机构的一项重要职权。受理控诉后，根据案件的具体情形，资料保护机构决定是否有必要开展调查，对资料当事人同资料使用者之间的纠纷进行调解，并作出决定。根据《资料保护指令》，资料保护机构应处理个人因资料处理侵害其权利和自由而提起的控诉，尤其是对资料处理的合法性提出的异议，并将处理结果告知资料当事人。^[345]多数成员国法明确规定资料保护机构应处理资料当事人向其提出的有关资料处理的控诉，但在可控诉事项的范围、提起控诉的条件和具体解决方式上，它们之间仍存在不少差异。

在受理案件所关涉事项的范围上，丹麦、法国、希腊、葡萄牙和西班牙等国法的规定比较宽泛，只要控诉与资料处理相关，资料保护机构均有权受理。^[346]而根据奥地利法和芬兰法，个人仅可将关涉查阅和修改资料等权利行使的事项提交资料保护机构处理。例如，根据芬兰法，若资料当事人在行使资料查阅权和修改权过程中遇到障碍，可将其提请资料保护专员的注意，并由委员会对有关事项作出决定。经审查案件，委员会可命令控制者执行资料当事人查阅资料的要求，或修改资料中不准确的信息。^[347]

对案件的受理和解决方式，意大利法、奥地利法和比利时法的规定较为详尽。根据意大利法，资料当事人有权通过向法院提起诉讼或向资料保护机构控诉的方式执行其与资料和资料处理有关的权利。但是，两种救济途径不可同时进行。只要资料当事人向法院提起了诉讼，就不得就同一案件向资料保护机构提出申诉，反之亦然。同时，该法要求资料当事人在向资料保护机构提起申诉前，必须穷尽自力救济，即个人已经将申诉的事项向资料控制者或处理者反映，且未能达成一致。在案件处理过程中，若双方达成一致，资料保护机构无需作出决定，而若双方未对争议达成一致，资料保护机构应依法作出决定。而且，在必要情形下，资料保护机构还有权采取临时措施，封存资料或中止资料处理。对资料保护机构作出的决定，双方均有权向适格的法院提出异议，但这并不影响决定的执行。^[348]

根据奥地利法，资料保护委员会应处理资料当事人因控制者的资料处理侵害其知情权、查阅权、隐私权、修改或删除资料权而提起的控诉。在处理争议过程中，若存在紧急风险，资料保护委员会可采取必要的临时措施，如中止全部或部分资料处理操作。对有关资料准确性的争议，可要求控制者将资料的准确性存在异议这一事实纳入资料记录之中。^[349]根据比利时法，资料保护委员会应根据资料当事人的控诉对资料处理进行调查。控诉可以关涉资料处理中的隐私保护或资料控制者的其他法定责任。委员会应首先对控诉进行审查，决定是否受理。对已受理的案件，委员会应尽量发挥其调解功能。若双方达成一致，且对个人隐私提供了法律规定的保障，委员会应以报告的形式说明双方对争议达成的结果。若双方未能达成一致，委员会应对案件的实体发表意见，包括对控制者提出必要的建议。针对案件的具体情况，委员会可作出决定、意见和建议，并将其发送至有关的当事方和司法部。^[350]

(3)调查与执行权

对资料处理开展事先的审计和事后的实地调查，对违法行为根据具体情形采取相应的执行措施是资料保护机构最核心的权力。根据《资料保护指令》，它主要包括三个方面的内容:调查权、制裁权与介入司法程序权。^[351]

第一，调查权。

作为监督资料保护法实施的国家公权力机关，资料保护机构有权在本国主权范围内对资料处理开展实地调查，确保其遵守有关的法律法规，不论一资料处理是否适用其本国法。^[352]具体而言，资料保护机构有权主动或应资料当事人的控诉，对某控制者或某个行业中的资料控制者实施的资料处理开展调查，并为此有权进入实施资料处理的场所，查阅资料处理的设备和程序，要求控制者提供必要的信息。从启动方式上看，调查活动可分为资料保护机构主动开展或应资料当事人的控诉开展两类。从开展的时间上看，调查活动可分为事先的审计和事后的调查两种。从实施的对象上看，调查活动包括对特定的控制者实施的特定资料处理进行调查与对某个行业中的多个控制者实施的某类资料处理进行普遍核查。

其中，根据某行业中资料处理的重要性、普遍性与资料的敏感性，尤其是公众对其提出的控诉水平，国家资料保护机构有计划地对该行业中的资料处理进行事先审计是最有效的保障个人资料隐私的方式之一。个人的资料隐私并非一项单纯的私人性的权利，它与资料使用者、他人以及社会的公共利益密切相关。资料隐私不能仅靠个人进行自力救济，当前的科技发展水平使得人们要么具有同样的隐私保护水平，要么都不具有资料隐私。作为一个与环境问题具有类似溢外性的社会问题，资料隐私有待国家通过公权力从宏观的层面，事先为公民构建高水平的资料隐私保护水平。因此，由资料保护机构对特定行业中资料使用者实施的资料处理进行审计，向其说明资料保护法在该领域具体适用中的问题，提醒其遵守有关的法律法规，并对违法行为进行必要的制裁，这些都有助于从宏观上保障个人的资料隐私，事先对高风险的资料处理进行审计，避免事后救济面临的困境。《资料保护指令》描绘了一个理想化的资料保护机构，它像一个便衣警察，调查并制裁违法资料处理行为。按照指令的要求，成员国的资料保护机构有权对特定行业中资料控制者实施的资料处理进行事先审计，向控制者说明有关问题，建议其应采取的措施，并对违法行为进行必要的制裁。但在这一点上，各国的做法并不相同。例如，在荷兰，其资料保护委员会对特定行业中的资料控制者开展了极其严格的“隐私保护审查”。而在英国，未经资料控制者的同意，信息专员无权对其资料处理进行此类审查。^[353]

除了事先审查外，资料保护机构还可以依职权或根据资料当事人的控诉对特定资料控制者实施的特定资料处理活动进行调查，并采取相应的措施确保资料当事人可以有效地行使其各项资料权利。但在行使调查权的范围、条件和具体要求上，各国的做法仍存在一定的差异。例如，根据奥地利法，应资料当事人提起的控诉，资料保护委员会若怀疑存在违法行为，有权调查该资料处理，要求控制者或处理者作出必要的澄清和说明，查阅资料处理系统和有关文件。对适用预先审查规定的资料处理，即使不存在违法行为的怀疑，仍可对其进行调查。为了开展调查，资料保护委员会应通知资料控制者后，才得进入实施资料处理操作的场所，检查运行资料处理的设备，运行需要检验的资料处理操作，并可在绝对必要的情况下拷贝有关信息。^[354]根据丹麦法，资料保护机构可主动依职权或根据资料当事人提起的控诉，监督资料处理依法进行。^[355]为此，委员会有权要求提供有关信息，包括决定一事项是否属于资料保护法范畴的信息。对代表公共领域中的控制者实施的资料处理，委员会的成员和员工可在任何时候经适当的证明其身份，无需法院的执行令，直接进入处理个人资料的场所，但对代表私人行业中的控制者实施的资料处理，只有处理须经资料保护委员会审批的，委员会才有权开展上述调查。^[356]

根据法国法，国家信息与自由委员会的成员和职员可进入与资料处理相关的场所开展调查，但应将该情况向辖区的检察官通报，而且，若场所的负责人反对调查，访问该场所应在法官的授权和监督下进行，法官可一同访问，并可随时停止或中止调查。国家信息与自由委员会还应对该调查和访向所涉及的当事方作出报告。^[357]根据意大利法，若调查涉及私人的家庭或住所，应首先获得资料控制者或处理者的同意，或经适格的法院批准。^[358]根据荷兰法，资料保护委员会可依职权或应资料当事人的控诉对资料处理开展调查，应将结果告知有关当事方，如资料控制者和资料当事人，并听取其意见。若结果与法律的实施相关，应将其向有关的部长通报。^[359]为开展上述调查，资料保护委员会有权进入一居所，而无须经居住者同意。^[360]

第二，制裁权。

对可能或已经违法的资料处理操作，资料保护机构有权介入，并采取相应的制裁措施。根据《资料保护指令》，资料保护机构具有介入权，于处理操作开始前发表意见，并确保该意见的适当公开，命令控制者封存、删除或销毁资料，临时或终局性的禁止实施某项资料处理，对资料控制者进行提醒和警告，或将事项提交国家议会或其他政治机构。^[361]总体而言，针对违法资料处理行为，资料保护机构有权采取下列措施:①在资料处理开始前或处理过程中，提出意见和建议;②在必要情形下，命令控制者采取临时保全措施，如封存、删除或销毁资料，临时或确定的禁止某项资料处理;③若不予执行，对资料控制者进行提醒或警告;④对严重的违法情形进行处罚。

根据指令的规定，多数成员国的资料保护机构均具有介入和制裁权力，尤其是命令封存、删除或销毁资料以及临时或永久禁止违法资料处理。例如，根据丹麦法，资料保护机构有权命令私人资料控制者终止某项非法资料处理，修改、删除或封存处理中的某些个人资料。若资料保护机构认为某种资料处理程序对个人的资料隐私构成了相当大的风险，有权禁止其使用该程序。同时，资料保护机构还有权命令控制者采取某技术或组织性的安全措施确保资料处理依法实施。此外，在特定情形下，资料保护机构还可以对资料处理者作出上述禁止和强制禁令。^[362]在芬兰，根据资料保护专员的要求，^[363]资料保护委员会有权:①禁止违反资料保护法实施的资料处理;②命令控制者对违法行为或过失采取必要的补救措施;③违法或过失行为严重损害了资料当事人的隐私权，命令终止有关的资料处理操作。^[364]在一些成员国，资料保护机构可采取的临时保全措施比较有限。例如，德国和瑞典的资料保护机构无权命令控制者删除或销毁资料。^[365]

在实践中，即使发现严重的违法行为，如未对资料处理进行通报、审批和登记，资料保护机构一般首先对控制者发出提醒、建议或警告。除非控制者对此不予理睬，资料保护机构就不会采取强硬的制裁措施。对资料处理开展预先性的审计，由于成本过高以及资料保护机构自身资源的短缺，多数国家并未将它作为一项重要的资料保护措施。同时，对违法资料处理，只要不是特别紧急的情形，资料保护机构往往过于重视调解和调停等软方法的作用，而未给予行政制裁、罚款和提起刑事诉讼程序等强制措施充分的重视。资料保护机构的调解等软方法具有很大的主观性，自由裁量权过大。违法行为的处理结果往往成了资料保护机构同资料使用者间讨价还价的博弈。这与资料保护机构自身的公共性质，及其作为公权力机构代表国家保护全民的资料隐私这一基本职责，也显然相悖。当然，这不意味着资料保护机构不可同资料使用者就违法资料处理进行协调和沟通，但只要事实清楚，法律明确，就应当依法采取必要的强制措施，确保资料控制者依法实施资料处理。

此外，对资料保护机构而言，其制裁和执行权力是一种内在的强制性，资料保护机构在作出提醒、建议和警告过程中，可挥舞该隐形的“大棒”，增强其在协调和谈判中的地位和力量。另一方面，仅通过软方式达到理想的结果也并非毫无成本。往往，资料保护机构与资料控制者之间达成的结果对资料当事人而言并非理想的解决方案，也不能保护个人权利。^[366]资料保护机构与资料使用者之间通过协商等软方式处理有关问题也不能保证结果的公开。协商等软方式也可能使资料使用者将资料保护法误认为是一种软法，不具有强制执行力。

针对资料当事人提起的控诉，资料保护机构采取的相应措施也具有上述特征。资料保护机构首先与资料使用者取得联系，以调解员的身份居间并提出解决问题的意见和建议，尽力促成双方以友好方式解决争议。若有关问题清晰明确应直接依法处理。例如，资料控制者拒绝资料当事人查阅资料，资料保护机构可依法提醒控制者具有提供资料查阅的责任。对复杂的争议，资料保护机构可斡旋其中，尽量协调资料当事人与资料使用人的利益。

为督促资料使用者依法处理个人资料，不少国家的资料保护机构有权采取众多强制性的制裁措施。例如，法国国家信息与自由委员会可以对违法资料使用者提出警告，命令其在规定的期间内停止资料处理。若资料控制者不遵守命令，委员会可经正当程序对控制者施加经济处罚，作出停止处理操作的禁令，或撤销有关批准。在紧急情形下，若个人资料的处理或使用侵害个人的基本权利和自由，经双方申辩后，委员会可裁定中止处理，或封存已处理的个人资料。对严重侵害个人权利和自由的紧急情形，委员会可通过建议程序要求适格的管辖机关采取必要的制裁措施。同时，委员会还应确保上述处罚措施的适当公开。^[367]根据荷兰法，若控制者未遵守有关资料处理通报的规定，资料保护委员会可对其课以罚款。^[368]

对违法资料处理提起刑事起诉是非常罕见的，一般仅用来应对严重的违法者，例如经屡次警告，公司仍非法运作个人资料库而不依法进行通报或由资料保护机构加以审批，或虽然经过资料保护机构警告，仍向境外非法转移个人资料，或故意买卖保密性的个人信息等。而且，国家资料保护机构无权作出刑事处罚，它们一般只能将涉及刑事犯罪的行为提请检察机关注意，并介入刑事诉讼程序。^[369]

第三，介入司法程序权。

根据《资料保护指令》，资料保护机构有权介入有关违反资料保护法的诉讼程序，并可将违法行为提请司法机关注意。^[370]对于资料保护机构介入司法程序的权限，欧盟各国的做法不尽一致。有些国家的资料保护机构有权直接起诉违法行为，并对其进行处罚，而无需将案件提交法院，如西班牙和意大利。^[371]多数国家的资料保护机构在调查资料处理过程中，若发现违法行为，应将其提请司法部门注意，并可在一定情形下介入到司法程序中。例如，根据奥地利法，若认定私人行业中的资料控制者严重侵害了个人的资料隐私，资料保护委员会应向法院起诉。同时，应资料当事人的请求，为保障众多资料当事人的合法权益，资料保护委员会可根据民事诉讼法的规定，作为第三人介入诉讼程序，并为资料当事人提供必要的协助。^[372]对刑事犯罪和行政违法行为，资料保护委员会有权向适格的法院和行政机关起诉。^[373]根据德国法，对与资料处理有关的犯罪行为，联邦资料保护与信息自由委员会与州的监督机关可提起诉讼。^[374]根据法国法，国家信息与自由委员会应根据刑事诉讼法的规定向公诉人通告其在审查资料处理过程中发现的犯罪行为，并可在诉讼程序中对案件发表意见。^[375]

虽然对多数资料处理的违法行为，资料保护机构可通过建议、警告、命令等软方式加以纠正，但有些行为一旦构成严重的行政违法或犯罪，且资料保护机构无权直接进行处罚，它就应提请司法部门的注意，并积极地介入司法程序，协助调查，发表意见或作证。对有关资料处理的民事诉讼，资料保护机构不应过多干预，而一旦资料处理涉及的受害者人数过多，它应积极地介入民事诉讼程序，给资料当事人提供必要的协助。

(三)资料隐私的跨境法律保护

资料处理涉及的当事方的住所可能位于不同的国家，资料处理行为也可能与不同的国家相关，尤其是随着互联网技术的推广，个人信息的跨境收集、使用和转移变得日趋频繁，而且难以规制。一国很难仅通过本国的资料保护机构为本国公民确保适当的资料保护水平。资料隐私的跨境法律保护就成了各国和国际组织共同关注的话题。从欧盟来看，对内，欧盟指令为各国间的资料转移和跨境资料处理扫清了障碍。而对外，虽然欧盟制定了堪称完美的资料转移规则和法律适用规则，而一旦资料跨越欧盟领域，离开必要的执行措施，境外的资料控制者可以无视欧盟法，立法和实践必然脱节。一国的资料保护机构，作为国家的公权力机构，除非与他国具有相关的协定，只得在本国主权范围内行使职权，对资料处理进行登记、审批、调查、处罚，处理资料当事人提起的控诉。而一旦资料处理跨越国境，一国的资料保护机构无权在境外开展上述管理、管制和解决资料处理争议的活动。因此，在资料隐私的跨境保护上开展合作对个人资料保护与信息自由流动均至关重要。

1.资料隐私的跨境法律保护

经济合作与发展组织在其《隐私法的跨境执行报告》中列举了几个涉及资料隐私跨境法律保护的实例。报告指出，虽然不常见，但仍有不少案例关涉资料隐私法的跨境执行问题。比如，在英国，一个案件需要通晓中东国家法律的专家提供法律意见，并需要在法国开展资料处理调查。另一个案件需要在挪威境内开展调查。由于挪威是欧洲理事会《资料保护公约》的缔约国，且《资料保护指令》也在该国适用，因此根据两文件，英国可要求挪威的资料保护机构提供必要的协助，尤其是对案件进行调查。此外，2006年，位于中国的黑客从韩国一广受欢迎的游戏网站非法窃取了二十五万用户的姓名和注册号码等个人信息。对此，韩国未同中国建立互利性的合作关系。除刑事犯罪调查外，资料当事人与使用者之间的涉外民事案件，尤其是有关跨境资料转移的案件也需要跨境协助。例如，2005年，冰岛将向美国转移血液样本认定为跨境资料转移，并要求对之适用跨境资料转移规则。美国和加拿大之间有关资料隐私跨境保护的案件更多。例如，一美国网站未经资料当事人同意，允许大众查询有关加拿大公民心理状况和犯罪记录的信息。加拿大的隐私专员以不具有充分的调查权为由认定无法处理资料当事人的控诉。此外，两国之间在个人信用信息的跨境保护上也有待加强合作。^[376]

2.资料隐私跨境法律保护面临的困境与挑战

上述案例乃冰山一角，但它们如实反映了各国在资料隐私跨境保护上所面临的困境和挑战。国内资料保护机构无权对境外的资料处理进行登记和管理，对特殊的资料处理进行审批，对特定行业的资料处理进行审计，对违法资料处理进行调查和处罚。而这些正是一国通过公权力机构保护本国公民资料隐私所必需的途径和方式。除该困境外，资料隐私的跨境保护还面临着各种现实的困难，尤其是各国资料隐私立法的差异使得资料隐私法的跨境执行困难重重。一国的资料保护机构或法院处理具有涉外因素的资料处理争议也需要他国提供必要的协助，例如法律的查明、调查和取证以及决定和判决的承认和执行等。

多数国家，尤其是欧盟成员国和欧洲经济区协定缔约国的资料保护机构只对设立于本国境内的资料控制者，或使用位于本国境内的设备处理个人资料的控制者具有管辖权，^[377]并只能在其国家主权领域内行使其法定的职权，如资料处理的管理和管制、调查、警告、建议和处罚等。^[378]根据澳大利亚、新西兰、日本、瑞士法，其资料保护机构也无权对外国的资料控制者采取相应的行动。此外，只有在资料控制者与其具有充分关联的情况下，加拿大的隐私专员和美国的联邦贸易委员会才有权管辖他们实施的资料处理。这不可归因于以资料控制者的设立地等关联因素为据确定一国资料保护机构的管辖范围，因为资料保护机构的职权对内具有公共性，对外则具有主权性。

互联网等信息技术的发展和迅速推广使得资料处理可以轻而易举地跨越国界。这不仅为资料隐私的国内保护增加了难度，更为其跨境保护带来了史无前例的挑战，它甚至危及资料隐私现有的法律保护理论和体制。通过互联网，任何人都可以收集、使用和转移网络浏览者的个人信息，资料当事人可能位于不同的国家，资料处理行为也可能与不同的国家相关。因此，互联网等信息技术使得资料处理变得无影无形，难以管理和监控，同时也使资料隐私不只是一国纯粹的内部事务，而需要各国的通力合作，在确保较高资料隐私保护水平的同时为资料的全球自由流动扫清不当的障碍。

(四)资料隐私跨境法律保护中的互助与合作

即使对资料隐私具有相同的立法，也具有类似的执行体制和保护水平，各国仍然无法摆脱资料隐私跨境保护所面临的上述困境和困难。更何况，当前只有少数国家具有专门的资料保护法，设立有专门的资料保护机构，具有较高的资料隐私保护水平。因此，为资料隐私的跨境保护构建国际、区域和双边合作的法律框架是应对上述困境和挑战的唯一出路。目前，欧盟、欧洲理事会、经济合作与发展组织以及亚太经合组织等区域组织已经为各国在资料隐私跨境保护上的合作确立了基本的法律框架。我们应当充分认识资料隐私跨境保护的重要性及其面临的困难，以保护个人的资料隐私为出发点，以融合各国的资料保护立法及其执行体制为目标，以构建全球信息自由流动的法律体制为目的，以加强各国资料保护机构间的互助和协作为核心，采取必要的措施切实加强各国在资料隐私跨境保护上的互助与合作。

1.现有法律框架

截至目前，欧盟、欧洲理事会、经济合作与发展组织以及亚太经合组织等区域性组织通过立法构建起各国在资料隐私跨境保护上开展互助与合作的法律框架。其中，欧盟指令和欧洲理事会的公约具有强制效力，并对资料隐私的跨境保护作出了较为详尽的规定。

(1)欧盟与《资料保护指令》

《资料保护指令》不仅旨在统一欧盟成员国的资料保护法，还要求成员国构建以资料保护机构为中心的法律执行体制。同时，对指令的统一适用及资料隐私的跨境保护，指令从国内和欧盟两个层面建立了至今最为完备的法律体制。一方面，指令要求成员国资料保护机构依职权在信息共享、资料处理的审计、调查、制裁等方面开展互助与合作。在欧盟层面上，欧盟不仅依据指令设立了资料保护工作组，由其负责对指令的统一适用提出建议，还要求欧盟委员会监督指令的具体执行。

指令要求成员国设立专门的资料保护机构，并赋予其广泛的职权，如信息提供、准立法权、准司法权、审计和调查资料处理以及对违法资料处理进行警告、建议、制裁和处罚等权力。同时，根据指令规定，一国的资料保护机构可以请求另一成员国的相应机构行使其上述权力，在其职责范围内相互合作，尤其是交换与资料隐私保护相关的信息，以确保指令的有关规定可以在欧盟境内得到统一的遵守和适用。^[379]

作为欧盟委员会在资料隐私保护上的智囊团，资料保护工作组致力于促进指令的统一适用。工作组由国内资料保护机构、欧盟组织和机关与欧盟委员会指定的代表组成。^[380]它具体负责审查国内资料隐私的立法和执行情况，并在下列事项上向委员会提出意见和建议:欧共体境内各国和第三国的资料保护水平、指令的修改、保障个人资料隐私的特定措施与资料处理行为守则等。^[381]自1996年设立以来，工作组在促进资料保护法的统一适用，确保高水平的资料保护，强化资料保护标准的实施，以及对资料保护中涉及的不同当事方提供指引和建议等方面发挥了极其重要的指导作用。^[382]自1997年以来，除了向委员会作有关欧盟境内资料隐私保护状况的年度报告外，工作组在欧盟成员国对指令的转化、指令的解释和适用、第三国的资料保护水平、特定领域中的资料处理、互联网对资料隐私的挑战及跨境资料转移等方面都提出了意见和建议。^[383]

在工作组的协助下，欧盟委员会负责监督指令在欧盟各国的适用，并向欧盟理事会和欧洲议会报告指令的执行情况。^[384]对指令具体适用中的问题，如跨境资料转移，欧盟委员会根据工作组的建议作出相应的决定。此外，成员国的资料保护机构应将本国资料保护中遇到的特定情形，如批准向不具备适当保护水平的第三国转移个人资料等，向欧盟委员会通报。因此，在资料隐私的跨境法律保护上，工作组扮演着军师的角色，负责出谋划策，欧盟委员会则担负着执行者的责任，决定应如何统一解释和适用指令。

(2)欧洲理事会与《资料保护公约》

根据欧洲理事会1980年通过的《资料保护公约》，缔约方应通过指定的国内专门机构间的合作及向境外的资料当事人提供协助两种基本途径，在资料隐私的跨境保护上相互协作，并规定了机构间合作与向境外的资料当事人提供帮助的形式、内容和方式。如今，公约的成员国已达四十几个。同时，公约关于向境外居民提供协助的规定不仅适用于成员国境内的居民，也适用于第三国的居民。因此，公约具有广泛的适用范围和影响力，^[385]也成为有关各国在资料隐私保护上开展跨境合作的重要国际立法之一。

1977年的《欧洲域外送达公约》^[386]和1978年的《欧洲域外取证公约》^[387]构成了《资料保护公约》关于资料保护跨境合作的法律基础。两公约为域外送达和取证中的司法协助确立了基本的法律框架，而对特定的领域，如资料隐私保护，可以据之结合具体领域的需要由《资料保护公约》单独加以规定。此外，《资料保护公约》的缔约方可能也不是上述两公约的缔约国。考虑到资料隐私的特殊性质，很多国家在实践中往往由本国资料保护机构负责资料保护中的跨境互助事项。^[388]最终，以送达和取证公约规定的跨境司法互助框架为依据，《资料保护公约》对资料隐私跨境保护中的互助作出了单独的规定。

如上所述，公约关于资料隐私保护跨境合作的内容主要包括两个方面:①各国通过指定的机构在资料隐私保护上开展合作;②缔约方向境外的资料当事人提供帮助和便利。公约要求缔约方指定一个或多个国内机构，专门负责资料隐私保护的跨境合作事宜，^[389]它可以是本国的资料保护机构。由于当时公约并不强制要求缔约方设立资料保护机构，缔约方可以仅为了互助的目的指定一国内机构。^[390]但在实践中，缔约方多指定本国的资料保护机构负责资料隐私保护的跨境合作事宜。尤其是，随着欧洲理事会于1999年对公约通过补充协定要求缔约方设立资料保护机构，由其独立监督本国资料保护法的实施，并在执行职责的必要范围内开展合作与信息互换，多数国家的资料保护机构自然就成了在资料隐私保护上开展合作的指定机构。^[391]

国家指定机构间的合作主要是指它们应互换同资料隐私保护相关的信息，包括法律和事实信息的交流。^[392]为此，以保护资料隐私为目的，缔约方的指定机构可在事先监控和事后调查等方面要求另一缔约方提供协助。例如，一国的机构可要求另一国对具有较强涉外性的某个行业中的资料处理进行审计，确保它们为个人资料隐私提供了适当的保障。同时，对某特定的资料处理，它可以要求另一国协助调查，以查明其是否符合有关的法律规定。^[393]在有关资料隐私的法律、法规和其他立法信息上，缔约方不仅可以在两国之间进行直接互换，还可以通过欧洲理事会的秘书处在各国间传递信息。^[394]对此，欧洲理事会的部长委员会还于1980年专门通过了建议。^[395]对事实信息，为保护个人隐私，缔约方在信息传递过程中不得透露资料库中个人资料的具体内容。^[396]

关于向境外的资料当事人提供协助，公约对其适用范围、条件、形式、方式和程序等作出了详细的规定。不论资料当事人的居所位于缔约方或第三国境内，只要其居所位于缔约方境外，他均有权向该国指定的机构申请协助，以在境外行使其对资料所具有的权利，如查阅、修改和删除资料等。^[397]这也符合公约确立的基本原则，即不论资料当事人的国籍和住所，任何人的资料隐私均应受到保护。^[398]

在协助的请求方式上，资料当事人可自行直接向国外指定的机构申请帮助，也可通过本国指定的机构提出申请。申请应明确有关的基本信息，如请求人的身份信息、有关的个人资料或资料库、资料控制者的身份以及请求的目的等。^[399]若通过其本国的机构提出申请，未经资料当事人的明示同意，该机构不得自行向另一缔约方申请上述协助。^[400]

作为一般原则，缔约方收到协助请求后应依法提供必要的协助，但它也可根据法定依据拒绝向境外的资料当事人提供帮助:例如，请求与指定机构的权力不符，请求与公约的规定不符，满足该请求有损指定机构所属缔约方的主权、安全、公共政策、公共秩序或个人的自由和权利。^[401]换言之，若请求超越指定机构的权限、请求自身不合法或有损缔约方的公共利益及他人的正当权益，缔约方可拒绝提供协助。

公约对协助中涉及的费用和程序也作出了明确规定，且这些规定与其他司法互助公约也基本一致。例如，原则上，缔约方向另一方提供信息或向境外的居民提供帮助都不得要求支付费用。同时对境外的资料当事人，公约要求采取国民待遇。对于提供协助的具体程序，如协助的形式、程序和使用的语言等，公约作出了比较灵活的规定，允许相关的缔约方根据具体情形自行商定。^[402]这样，缔约方的指定机构可以对特定类型的协助商定有关的程序和细节，不同的资料处理和请求也应根据其自身的特点确定适当的协助方式和程序。^[403]

(3)OECD与《资料保护指导原则》

以促进成员国的经济发展为主旨，经济合作与发展组织一直致力于协调各国的资料隐私立法及其执行机制，并对资料隐私的跨境保护在其1980年制定的《资料保护指导原则》与随后的立法性文件和研究报告中作出了规定和说明。其中，《资料保护指导原则》为成员国间开展资料隐私保护的跨境合作确立了法律框架。^[404]《关于保护消费者免受跨境商业欺诈行为侵害的指导原则》^[405]和《关于反垃圾邮件的跨境法律执行合作的建议》^[406]为保护消费者与打击垃圾邮件提供了法律指引，也对资料隐私的跨境保护有所启示。2007年，经济合作与发展组织公布了《关于隐私法跨境执行的报告》^[407]，报告比较研究了各国隐私法的执行机制，并探讨了加强各国在资料隐私跨境保护上开展合作的必要性、方式和机制。

作为规定资料隐私跨境保护合作的首部国际立法，《资料保护指导原则》仅确立了各国就此开展立法信息互换与执行合作的基本法律框架，其内容主要包括四个方面:①关于资料隐私立法和执法情况的信息互换;②简化个人资料跨境转移的程序与加强个人资料隐私的保护;③在程序和调查事项上开展互助合作;④共同研究和制定关于资料处理法律适用的法律原则和规则。^[408]指导原则对上述问题的规定多是建议性的，只是为各国开展合作指明了方向，而具体问题仍有待成员国商定。

了解对方的资料隐私立法和法律执行体制是开展资料隐私跨境保护合作的前提。考虑到各国资料隐私立法的多层次性、多样性及其性质的跨部门性与内容上的差异和冲突，指导原则要求成员国相互提供有关其根据指导原则制定的资料隐私法律、法规和决定的信息以及有关指导原则在其国内执行情况的信息。为避免个人资料的跨境流动受制于过于繁琐的程序，指导原则要求成员国尽量简化个人资料跨境流动的管理程序。同时，考虑到当时各国在跨境资料流动上的具体规定和执行制度的差异，指导原则要求成员国在制定具体规则上相互合作。^[409]考虑到国际合作对资料隐私跨境保护的重要性，指导原则要求成员国制定相关程序促进各国在与指导原则有关的信息互换以及在相关的程序和调查事项上互助与合作。^[410]指导原则未规定涉外资料处理的法律适用规则，仅要求成员国就此开展研究和立法合作。^[411]

除指导原则的上述规定外，OECD在消费者权益的跨境保护与打击垃圾邮件上的立法和建议也对资料隐私的跨境保护有不无启示。例如，2003年的《打击跨境欺诈指导原则》强调，保护消费者免受跨境商业欺诈的侵害应以完善国内的执行体制为前提。国内的执行机构必须具备必要的资源和权限，对商业行为开展审计，对欺诈行为进行调查、取证、制裁和处罚。对外，指导原则要求成员国在信息通报、信息共享和调查等方面积极开展互助与合作。同时，应充分重视私人行业自律对反跨境商业欺诈行为的重要性。指导原则还呼吁各国对跨境执行中的困难继续加强研究，如救济体制、资产的冻结及判决的承认和执行等。根据指导原则，成员国或修改了本国立法，或加强了国内执行的力度，或增强了同他国的合作。^[412]指导原则的上述规定与各国采取的具体行动对资料隐私的跨境保护不无启示。尤其是，跨境执行合作应以完善国内体制为前提，赋予执行机构必要的资源和权限，对有关行为开展审计、调查、取证、制裁和处罚，充分重视行业自治的作用及对必要情形采取临时保全措施等，这些都对促进各国在资料隐私跨境保护上的合作至关重要。

(4)APEC与隐私框架

亚太经合组织的《隐私框架》确立了避免侵害、通知、收集限制、选择、个人信息的完整性等九项个人信息保护和使用原则，^[413]同时也为成员国在国内和国际层面执行上述原则提供了指导。^[414]在国际执行上，框架从信息共享、调查和执行的跨境合作以及共同发展跨境隐私规则三个方面勾勒出一幅比较完整的隐私保护跨境合作的蓝图。但是，与《资料保护公约》和《欧盟资料保护指令》不同，框架不具有法律强制力，对成员国仅具有建议性。

在信息共享方面，框架建议成员国指定公共机构专门负责在隐私保护上同他国开展跨境执行与信息共享合作，^[415]鼓励成员国在对隐私保护具有重大影响的事项上信息共享和交流。^[416]为提升大众对隐私保护的认知以及对资料隐私和依法使用个人信息重要性的认同，框架鼓励成员国互换有关国内开展的隐私保护推广、教育和培训等项目的信息。^[417]为加强隐私保护原则在国内的执行，框架还鼓励成员国在违法资料处理行为的调查以及个人信息争议的解决(如申诉的处理和ADR等)上共享经验。^[418]

在调查和执行的跨境合作上，框架鼓励成员国建立促进隐私法跨境执行合作的机制和程序，还特别建议成员国在隐私法的民事跨境执行方面开展有效的互助与合作。根据框架，执行合作机制应考虑到现有的国际安排与现有或发展中的行业自治方法以及国内的法律和政策。同时，成员国间可采取双边或多边的执行合作方式。此外，成员国可基于国内法律、政策、重要事项，或以资源有限或不存在互利性的合作安排为依据，拒绝在特定事项上开展调查等执行合作。^[419]关于隐私法在民事领域中的执行，框架建议成员国间的跨境执行合作可包括下列内容:①建立迅速、系统和有效的机制，通知另一成员国指定的公共机构对隐私执行案件开展调查，核实违法行为与对个人造成的侵害;②建立有效的机制，在跨境隐私调查和执行案件上开展信息共享;③建立隐私执行案件的调查协助机制;④根据非法侵害个人信息隐私的严重性与现实或潜在的损害等因素，确定有待优先开展合作的案件;⑤采取必要措施保障合作中所交换信息的秘密性。^[420]

框架还鼓励成员国在发展跨境隐私规则方面开展合作。与经济合作组织和欧洲理事会类似，亚太经合组织制定的《隐私框架》也未对跨境隐私保护规则作出明确的规定。框架鼓励成员国以框架中的个人信息保护原则为依据，充分考虑有关当事方的利益，发展跨境隐私规则，不对跨境资料流动造成过多的障碍，如不得给资料使用者和消费者施加过重的管理负担。^[421]

2.加强各国在资料隐私跨境法律保护上的互助与合作

结合国内资料保护机构的性质和职权，资料隐私跨境保护面临的困境及国际组织有关资料隐私保护合作的规定，各国在加强资料隐私跨境保护互助与合作上应考虑到保障个人的资料隐私与促进信息跨境自由流动这一对基本矛盾，以完善国内的资料保护立法和执法体制为根本，以加强资料保护机构间的合作为核心，以保护个人的资料隐私为出发点和落脚点。

全球经济的一体化与科技的无国界性使得资料隐私具有与生俱来的国际性。一方面，经济的发展迫切需要信息的自由流动，另一方面，科技的发展使得资料的收集、使用和转移可轻易地跨越国界。个人资料隐私的保护与个人信息的跨境自由流动就成了资料隐私跨境保护中的一对基本矛盾。这也是经济合作与发展组织、欧洲理事会、欧盟以及亚太经合组织等通过区域性的立法协调各国资料隐私保护体制及加强它们之间互助与合作的根本目的。^[422]这一对矛盾也是资料隐私法跨境执行面临主权限制的根源。加强各国在资料隐私跨境保护上的合作，应考虑到资料隐私自身的国际性以及国内资料保护体制与跨境执行之间的关系，并把握资料隐私国内和国际立法与执法均旨在保护个人的资料隐私与信息自由流动的最终目标。

资料隐私的跨境保护应以完善国内的立法及其执法机制为本，以增强国家间在隐私法跨境执行上的合作为辅。完备、有效的国内资料隐私保护体制是保障个人资料隐私与促进资料跨境自由流动的根本。只有各国根据本国国情制定资料隐私立法，并建立完备的执行机制，才可能从根本上减少信息跨境流动中隐私保护这一障碍，避免各国以保护资料隐私为借口限制或禁止跨境转移个人资料。离开完善的国内资料隐私保护体制，各国也难以有效地开展合作。

如上所述，作为国内公权力机构，各国特别是欧盟成员国的资料保护机构具有广泛的职权。作为国内资料隐私保护的信息中心，资料保护机构在资料隐私跨境保护中应扮演信息共享和交流员的角色。作为有权对本国的资料处理开展审计和具体调查的机关，资料保护机构应在跨境资料处理的审计和调查上开展互助与合作。作为资料处理争议的解决者，资料保护机构应在解决有关跨境资料隐私的争议过程中对境外的资料当事人提供必要和适当的协助。换言之，各国在资料隐私跨境保护上应以加强资料保护机构之间的合作为重心。

在资料隐私跨境保护合作的具体内容上，各国的资料保护机构应以信息共享为前提，以调查和执行互助为核心，以协助境外的资料当事人为重点。在合作形式上，各国既可以开展双边合作，尤其是两国对特定领域中的个人信息使用和跨境转移商定互助性的合作机制，更应该通过区域或国际性的组织开展多边与国际合作。经济合作与发展组织的信息安全与隐私工作组将以下问题列为将来研究的重点:

①解决跨境资料隐私申诉的途径和方式;

②确定执行合作中具有共同重要性的领域和问题;

③改善各国机构在通知、信息共享和调查协助上的合作;

④考察资料隐私执行机构在跨境案件中的处罚和救济措施是否适当;

⑤加强有关个人因隐私受到侵害而获得的金钱赔偿判决在境外的承认和执行;

⑥探讨非正式的国际合作，对热点问题和最佳行为守则交换信息;

⑦考察具体操作上的有关问题，如联系名单、申请协助的表格、跨境申诉表格以及案件结果的通报方式等。^[423]