第三节 资料隐私的跨境法律保护
随着信息和通信技术在世界各个角落蔓延,资料保护也成为一个同一性的概念。为了人类未来共同的基本权利,资料保护必须满足国际需要,完成其全球性的使命。(202)
——伯柯特(Herbert Burkert)
经济的全球化与信息技术的无国界性使得资料隐私保护不再囿于一国境内,而与各国的政治和经济利益,尤其是资料保护与资料的跨境自由流动紧密相关。本节将探讨资料隐私跨境保护面临的困境和困难,介绍现有的国际和区域协作法律框架,并建议以保护个人的资料隐私为着眼点,以资料保护机构间的合作为核心,切实加强各国在资料隐私跨境保护上的互助与协作。
一、跨境资料处理与资料隐私保护
资料处理涉及的当事方的住所可能位于不同的国家,资料处理行为也可能与不同的国家相关,尤其是随着互联网技术的推广,个人信息的跨境收集、使用和转移变得日趋频繁,而且难以规制。一国很难单靠本国的资料保护机构为公民提供适当的资料保护。资料隐私的跨境保护就成了各国和国际组织共同关注的话题。从欧盟来看,对内,欧盟指令为各国间的资料转移和跨境资料处理扫清了障碍;对外,虽然欧盟制定了堪称完美的资料转移规则和法律适用规则,而一旦资料跨越欧盟,离开必要的执行措施,境外的资料控制者可以无视欧盟法。一国的资料保护机构,作为国家的公权力机构,除非与他国具有相关的协定,只得在本国主权范围内行使职权,一旦资料处理跨越国境,它就显得无能为力了。
经济合作与发展组织在其《隐私法的跨境执行报告》中列举了几个在资料隐私跨境保护上有待各国合作的实例。报告指出,虽然不常见,但仍有不少案例关涉资料隐私法的跨境执行问题。比如,在英国,一个案件需要通晓中东国家法律的专家提供法律意见,并需要在法国开展资料处理调查。另一个案件需要在挪威境内开展调查。由于挪威是欧洲理事会《资料保护公约》的缔约国,且欧盟《资料保护指令》也在该国适用,英国可要求挪威的资料保护机构提供必要的协助,尤其是对案件进行调查。此外,2006年,位于中国的黑客从韩国一广受欢迎的游戏网站非法窃取了25万用户的姓名和注册号码等个人信息。韩国并未就此同中国建立互利性的合作关系。除刑事犯罪调查外,资料当事人与使用者之间的涉外民事案件,尤其是有关跨境资料转移的案件也需要跨境协助。例如,2005年,冰岛将向美国转移血液样本认定为跨境资料转移,并要求对之适用跨境资料转移规则。美国和加拿大之间有关资料隐私跨境保护的案件更多。例如,一美国网站未经资料当事人同意,允许大众查询有关加拿大公民心理状况和犯罪记录的信息。加拿大的隐私专员以不具有充分的调查权为由认定无法处理资料当事人的控诉。此外,两国之间在个人信用信息的跨境保护上也有待加强合作。(203)
上述案例乃冰山一角,它们却如实反映了各国在资料隐私跨境保护上所面临的困境和挑战。国内资料保护机构无权对境外的资料处理进行登记和管理,无权对特殊的资料处理进行审批,无权对特定行业的资料处理进行审计,无权对违法资料处理进行调查和处罚,而这些正是一国通过公权力机构保护本国公民资料隐私所必需的途径和方式。除该困境外,资料隐私的跨境保护还面临着各种现实的困难,尤其是各国资料隐私立法的差异使得资料隐私法的跨境执行困难重重。一国的资料保护机构或法院处理具有涉外因素的资料处理争议也需要他国提供必要的协助,例如法律的查明、调查和取证以及决定和判决的承认和执行等。
多数国家,尤其是欧盟成员国和欧洲经济区协定缔约国的资料保护机构只对设立于本国境内的资料控制者,或使用位于本国境内的设备处理个人资料的控制者具有管辖权,(204)并只能在其国家主权领域内行使其法定的职权,如资料处理的管理和管制、调查、警告、建议和处罚等。(205)根据澳大利亚、新西兰、日本、瑞士法,其资料保护机构也无权对外国的资料控制者采取相应的行动。此外,只有在资料控制者与其具有充分关联的情况下,加拿大的隐私专员和美国的联邦贸易委员会才有权管辖他们实施的资料处理。资料保护机构对内的公共性及其对外的主权性是导致上述困境的主要原因。
互联网等信息技术使得资料处理可以轻而易举地跨越国界,这不仅给资料隐私的国内保护增加了难度,更为其跨境保护带了史无前例的挑战,它甚至危及资料隐私现有的法律保护理论和模式。互联网等信息技术使得资料处理变得无影无形,难以管理和监控,它也使得资料隐私不只是纯粹的一国内部事务,要求各国开展通力合作,在确保较高资料隐私保护水平的同时为资料的全球自由流动扫清障碍。
二、资料隐私跨境保护互助与合作的法律框架
即使对资料隐私具有相同的立法,也具有类似的执行体制和保护水平,各国仍然无法摆脱资料隐私跨境保护所面临的上述困境和困难。更何况,当前只有少数国家具有专门的资料保护法,设立了专门的资料保护机构,具有较高的资料隐私保护水平。为资料隐私的跨境保护构建国际、区域和双边合作的法律框架成了应对上述困境和挑战的唯一出路。目前,欧盟、欧洲理事会、经济合作与发展组织以及亚太经合组织等区域组织已经为各国在资料隐私跨境保护上的合作确立了基本的法律框架。我们应当充分认识资料隐私跨境保护的重要性及其面临的困难,以保护个人的资料隐私为出发点,以融合各国的资料保护立法及其执行体制为目标,以构建全球信息自由流动的法律体制为目的,以加强各国资料保护机构间的互助和协作为核心,采取必要的措施切实加强各国在资料隐私跨境保护上的互助与合作。
(一)欧盟与资料保护指令
欧盟《资料保护指令》不仅旨在统一欧盟成员国的资料保护法,还要求成员国构建以资料保护机构为中心的法律执行体制。同时,对指令的统一适用及资料隐私的跨境保护,指令从国内和欧盟两个层面建立了至今最为完备的法律制度。一方面,指令要求成员国资料保护机构依职权在信息共享、资料处理的审计、调查、制裁等方面开展互助与合作。在欧盟层面上,欧盟设立了资料保护工作组,由其负责对指令的统一适用提出建议,还要求欧盟委员会监督指令的执行。
指令要求成员国设立专门的资料保护机构,并赋予其广泛的职权,如信息提供、准立法权、准司法权、审计和调查资料处理以及对违法资料处理进行警告、建议、制裁和处罚等权力。同时,根据指令规定,一国的资料保护机构可以请求另一成员国的相应机构行使其上述权力,在其职责范围内相互合作,尤其是交换与资料隐私保护相关的信息,以确保指令的有关规定可以在欧盟境内得到统一的遵守和适用。(206)
作为欧盟委员会在资料隐私保护上的智囊团,资料保护工作组致力于促进指令的统一适用。工作组由国内资料保护机构、欧盟组织和机关与欧盟委员会指定的代表组成。(207)它具体负责审查国内资料隐私的立法和执行情况,并在下列事项上向委员会提出意见和建议:欧共体境内各国和第三国的资料保护水平、指令的修改、保障个人资料隐私的特定措施与资料处理行为守则等。(208)自1996年设立以来,工作组在促进资料保护法的统一适用、确保高水平的资料保护、强化资料保护标准的实施以及对资料保护中涉及的不同当事方提供指引和建议等方面,发挥了极其重要的指导作用。(209)自1997年以来,除了向委员会作有关欧盟境内资料隐私保护状况的年度报告外,工作组在欧盟成员国对指令的转化、指令的解释和适用、第三国的资料保护水平、特定领域中的资料处理、互联网对资料隐私的挑战及跨境资料转移等方面都提出了意见和建议。(210)
在工作组的协助下,欧盟委员会负责监督指令在欧盟各国的适用,并向欧盟理事会和欧洲议会报告指令的执行情况。(211)对指令具体适用中的问题,如跨境资料转移,欧盟委员会根据工作组的建议作出相应的决定。此外,成员国的资料保护机构应将本国资料保护中遇到的特定情形,如批准向不具备适当保护水平的第三国转移个人资料等,向欧盟委员会通报。因此,在资料隐私的跨境法律保护上,工作组扮演着军师的角色,负责出谋划策。欧盟委员会则担负着执行者的责任,决定应如何统一解释和适用指令。
(二)欧洲理事会与资料保护公约
根据欧洲理事会1980年通过的《资料保护公约》,缔约方应通过指定的国内专门机构间的合作及向境外的资料当事人提供协助两种基本途径,在资料隐私的跨境保护上相互协作,并规定了机构间合作与向境外的资料当事人提供帮助的形式、内容和方式。如今,公约的成员国已达40几个。同时,公约关于向境外居民提供协助的规定不仅适用于成员国境内的居民,也适用于第三国的居民。因此,公约具有广泛的适用范围和影响力,(212)也成为有关各国在资料隐私保护上开展跨境合作的重要国际立法之一。
1977年的《欧洲域外送达公约》(213)和1978年的《欧洲域外取证公约》(214)构成了《资料保护公约》关于资料保护跨境合作的法律基础。两公约为域外送达和取证中的司法协助确立了基本的法律框架,而对特定的领域,如资料隐私保护,可以据之结合具体领域的需要由《资料保护公约》单独加以规定。此外,《资料保护公约》的缔约方可能也不是上述两公约的缔约国。考虑到资料隐私的特殊性质,很多国家在实践中往往由本国资料保护机构负责资料保护中的跨境互助事项。(215)最终,以送达和取证公约规定的跨境司法互助框架为依据,《资料保护公约》对资料隐私跨境保护中的互助作出了单独的规定。
如上所述,公约关于资料隐私保护跨境合作的内容主要包括两个方面:(1)各国通过指定的机构在资料隐私保护上开展合作;(2)缔约方向境外的资料当事人提供帮助和便利。公约要求缔约方指定一个或多个国内机构,专门负责资料隐私保护的跨境合作事宜,(216)且此类机构可以是本国的资料保护机构。由于当时公约并不强制要求缔约方设立资料保护机构,缔约方可以仅为了互助的目的指定一国内机构。(217)但在实践中,缔约方多指定本国的资料保护机构负责资料隐私保护的跨境合作事宜。尤其是,随着欧洲理事会于1999年对公约通过补充协定要求缔约方设立资料保护机构,由其独立监督本国资料保护法的实施,并在执行职责的必要范围内开展合作与信息互换,多数国家的资料保护机构自然就成了在资料隐私保护上开展合作的指定机构。(218)
国家指定机构间的合作主要是指它们应互换同资料隐私保护相关的信息,包括法律和事实信息的交流。(219)为此,以保护资料隐私为目的,缔约方的指定机构可在事先监控和事后调查等方面要求另一缔约方提供协助。例如,一国的机构可要求另一国对具有较强涉外性的某个行业中的资料处理进行审计,确保它们为个人资料隐私提供了适当的保障。同时,对某特定的资料处理,它可以要求另一国协助调查,以查明其是否符合有关的法律规定。(220)在有关资料隐私的法律、法规和其他立法信息上,缔约方不仅可以在两国之间进行直接互换,还可以通过欧洲理事会的秘书处在各国间传递信息。(221)对此,欧洲理事会的部长委员会还于1980年专门通过了建议。(222)对事实信息,为保护个人隐私,缔约方在信息传递过程中不得透露资料库中个人资料的具体内容。(223)
关于向境外的资料当事人提供协助,公约对其适用范围、条件、形式、方式和程序等作出了详细的规定。只要其居所位于缔约方境外,他均有权向该国指定的机构申请协助,以在境外行使其对资料所具有的权利,如查阅、修改和删除资料等。这也符合公约确立的基本原则,即不论资料当事人的国籍和住所,任何人的资料隐私均应受到保护。在协助的请求方式上,资料当事人可自行直接向国外指定的机构申请帮助,也可通过本国指定的机构提出申请。申请应明确有关的基本信息,如请求人的身份信息、有关的个人资料或资料库、资料控制者的身份以及请求的目的等。若通过其本国的机构提出申请,未经资料当事人的明示同意,该机构不得自行向另一缔约方申请上述协助。作为一般原则,缔约方收到协助请求后应依法提供必要的协助,但它也可根据法定依据拒绝向境外的资料当事人提供帮助。例如,请求与指定机构的权力不符,请求与公约的规定不符,满足该请求有损指定机构所属缔约方的主权、安全、公共政策、公共秩序或个人的自由和权利。换言之,若请求超越指定机构的权限、请求自身不合法或有损缔约方的公共利益及他人的正当权益,缔约方可拒绝提供协助。公约对协助中涉及的费用和程序也作出了明确规定,且这些规定与其他司法互助公约也基本一致。例如,原则上,缔约方向另一方提供信息或向境外的居民提供帮助都不得要求支付费用。同时对境外的资料当事人,公约要求采取国民待遇。对于提供协助的具体程序,如协助的形式、程序和使用的语言等,公约作出了比较灵活的规定,允许相关的缔约方根据具体情形自行商定。这样,缔约方的指定机构可以对特定类型的协助商定有关的程序和细节,不同的资料处理和请求也应根据其自身的特点确定适当的协助方式和程序。
(三)OECD与资料保护指导原则
以促进成员国的经济发展为主旨,经济合作与发展组织一直致力于协调各国的资料隐私立法及其执行机制,并对资料隐私的跨境保护在其1980年制定的《资料保护指导原则》与随后的立法性文件和研究报告中作出了规定和说明。其中,《资料保护指导原则》为成员国间开展资料隐私保护的跨境合作确立了法律框架。(224)《关于保护消费者免受跨境商业欺诈行为侵害的指导原则》和《关于反垃圾邮件的跨境法律执行合作的建议》为保护消费者与打击垃圾邮件提供了法律指引,也对资料隐私的跨境保护有所启示。(225)2007年,经济合作与发展组织公布了《关于隐私法跨境执行的报告》(226),报告比较研究了各国隐私法的执行机制,并探讨了加强各国在资料隐私跨境保护上开展合作的必要性、方式和机制。
作为规定资料隐私跨境保护合作的首部国际立法,《资料保护指导原则》仅确立了各国就此开展立法信息互换与执行合作的基本法律框架,其内容主要包括四个方面:①关于资料隐私立法和执法情况的信息互换;②简化个人资料跨境转移的程序与加强个人资料隐私的保护;③在程序和调查事项上开展互助合作;④共同研究和制定关于资料处理法律适用的法律原则和规则。(227)指导原则对上述问题的规定多是建议性的,只是为各国开展合作指明了方向,而具体问题仍有待成员国商定。
了解对方的资料隐私立法和法律执行体制是开展资料隐私跨境保护合作的前提。考虑到各国资料隐私立法的多层次性、多样性及其性质的跨部门性与内容上的差异和冲突,指导原则要求成员国相互提供有关其根据指导原则制定的资料隐私法律、法规和决定的信息,以及有关指导原则在其国内执行情况的信息。为避免个人资料的跨境流动受制于过于繁琐的程序,指导原则要求成员国尽量简化个人资料跨境流动的管理程序。同时,考虑到当时各国在跨境资料流动上的具体规定和执行制度的差异,指导原则要求成员国在制定具体规则上相互合作。(228)考虑到国际合作对资料隐私跨境保护的重要性,指导原则要求成员国制定相关程序促进各国在与指导原则有关的信息互换以及在相关的程序和调查事项上互助与合作。指导原则未规定涉外资料处理的法律适用规则,仅要求成员国就此开展研究和立法合作。(229)
除指导原则的上述规定外,OECD在消费者权益的跨境保护与打击垃圾邮件上的立法和建议也对资料隐私的跨境保护不无启示。例如,2003年的《打击跨境欺诈指导原则》强调,保护消费者免受跨境商业欺诈的侵害应以完善国内的执行体制为前提。国内的执行机构必须具备必要的资源和权限,对商业行为开展审计,对欺诈行为进行调查、取证、制裁和处罚。对外,指导原则要求成员国在信息通报、信息共享和调查等方面积极开展互助与合作。同时,应充分重视私人行业自律对反跨境商业欺诈行为的重要性。指导原则还呼吁各国对跨境执行中的困难继续加强研究,如救济体制、资产的冻结及判决的承认和执行等。根据指导原则,成员国或修改了本国立法,或加强了国内执行的力度,或增强了同他国的合作。(230)指导原则的上述规定与各国采取的具体行动对资料隐私的跨境保护不无启示。尤其是,跨境执行合作应以完善国内体制为前提,赋予执行机构必要的资源和权限,对有关行为开展审计、调查、取证、制裁和处罚,充分重视行业自治的作用及对必要情形采取临时保全措施等,这些都对促进各国在资料隐私跨境保护上的合作至关重要。
(四)APEC与隐私框架
亚太经合组织的《隐私框架》(以下简称框架)确立了避免侵害、通知、收集限制、选择、个人信息的完整性等9项个人信息保护和使用原则,同时也为成员国在国内和国际层面执行上述原则提供了指导。在国际执行上,框架从信息共享、调查和执行的跨境合作以及共同发展跨境隐私规则三个方面勾勒出一幅比较完整的隐私保护跨境合作的蓝图。但是,与《资料保护公约》和《资料保护指令》不同,框架不具有法律强制力,对成员国仅具有建议性。
在信息共享方面,框架鼓励成员国在对隐私保护具有重大影响的事项上信息共享和交流,建议成员国指定公共机构专门负责在隐私保护上同他国开展跨境执行与信息共享合作。为提升大众对隐私保护的认知以及对资料隐私和依法使用个人信息重要性的认同,框架鼓励成员国互换有关国内开展的隐私保护推广、教育和培训等项目的信息。为加强隐私保护原则在国内的执行,框架还鼓励成员国在违法资料处理行为的调查以及个人信息争议的解决(如申诉的处理和ADR等)上共享经验。
在调查和执行的跨境合作上,框架鼓励成员国建立促进隐私法跨境执行合作的机制和程序,还特别建议成员国在隐私法的民事跨境执行方面开展有效的互助与合作。根据框架,执行合作机制应考虑到现有的国际安排与现有或发展中的行业自治方法以及国内的法律和政策。同时,成员国间可采取双边或多边的执行合作方式。此外,成员国可基于国内法律、政策、重要事项,或以资源有限或不存在互利性的合作安排为依据,拒绝在特定事项上开展调查等执行合作。关于隐私法在民事领域中的执行,框架建议成员国间的跨境执行合作可包括下列内容:(1)建立迅速、系统和有效的机制,通知另一成员国指定的公共机构对隐私执行案件开展调查,核实违法行为与对个人造成的侵害;(2)建立有效的机制,在跨境隐私调查和执行案件上开展信息共享;(3)建立隐私执行案件的调查协助机制;(4)根据非法侵害个人信息隐私的严重性与现实或潜在的损害等因素,确定有待优先开展合作的案件;(5)采取必要措施保障合作中所交换信息的秘密性。
框架还鼓励成员国在发展跨境隐私规则方面开展合作。与经济合作组织和欧洲理事会类似,亚太经合组织制定的《隐私框架》也未对跨境隐私保护规则作出明确的规定。框架鼓励成员国以框架中的个人信息保护原则为依据,充分考虑有关当事方的利益,发展跨境隐私规则,不对跨境资料流动造成过多的障碍,如不得给资料使用者和消费者施加过重的管理负担。
三、加强各国在资料隐私跨境法律保护上的互助与合作
结合国内资料保护机构的性质和职权、资料隐私跨境保护面临的困境及国际组织有关资料隐私保护合作的规定,各国在加强资料隐私跨境保护互助与合作上应考虑到保障个人的资料隐私与促进信息跨境自由流动这一对基本矛盾,以完善国内的资料保护立法和执法体制为根本,以加强资料保护机构间的合作为核心,以保护个人的资料隐私为出发点和落脚点。
全球经济的一体化与科技的无国界性使得资料隐私具有与生俱来的国际性。一方面,经济的发展迫切需要信息的自由流动,另一方面,科技的发展使得资料的收集、使用和转移可轻易地跨越国界。个人资料隐私的保护与个人信息的跨境自由流动就成了资料隐私跨境保护中的一对基本矛盾。这也是经济合作与发展组织、欧洲理事会、欧盟以及亚太经合组织等通过区域性的立法协调各国资料隐私保护体制及加强它们之间互助与合作的根本目的。(231)同时,这一对矛盾也是资料隐私法跨境执行面临主权限制的根源。加强各国在资料隐私跨境保护上的合作,应考虑到资料隐私自身的国际性以及国内资料保护体制与跨境执行之间的关系,并把握资料隐私国内和国际立法与执法均旨在保护个人的资料隐私与信息自由流动的最终目标。
资料隐私的跨境保护应以完善国内的立法及其执法机制为本,以增强国家间在隐私法跨境执行上的合作为辅。完备、有效的国内资料隐私保护体制是保障个人资料隐私与促进资料跨境自由流动的根本。只有各国根据本国国情制定资料隐私立法,并建立完备的执行机制,才可能从根本上减少信息跨境流动中隐私保护这一障碍,避免各国以保护资料隐私为借口限制或禁止跨境转移个人资料。离开完善的国内资料隐私保护体制,各国也难以有效地开展合作。
作为国内公权力机构,各国特别是欧盟成员国的资料保护机构具有广泛的职权。作为国内资料隐私保护的信息中心,资料保护机构在资料隐私跨境保护中应扮演信息共享者和交流员的角色。作为有权对本国的资料处理开展审计和具体调查的机关,资料保护机构应在跨境资料处理的审计和调查上开展互助与合作。作为资料处理争议的解决者,资料保护机构应在解决有关跨境资料隐私的争议过程中对境外的资料当事人提供必要和适当的协助。换言之,各国在资料隐私跨境保护上应以加强资料保护机构之间的合作为重心。
在资料隐私跨境保护合作的具体内容上,各国的资料保护机构应以信息共享为前提,以调查和执行互助为核心,以协助境外的资料当事人为重点。在合作形式上,各国既可以开展双边合作,尤其是两国对特定领域中的个人信息使用和跨境转移商定互助性的合作机制,更应该通过区域或国际性的组织开展多边与国际合作。经济合作与发展组织的信息安全与隐私工作组列出了如下有待重点研究的问题:(1)解决跨境资料隐私申诉的途径和方式;(2)确定执行合作中具有共同重要性的领域和问题;(3)改善各国机构在通知、信息共享和调查协助上的合作;(4)考察资料隐私执行机构在跨境案件中的处罚和救济措施是否适当;(5)加强有关个人因隐私受到侵害而获得的金钱赔偿判决在境外的承认和执行;(6)探讨非正式的国际合作,对热点问题和最佳行为守则交换信息;(7)考察具体操作上的有关问题,如联系名单、申请协助的表格、跨境申诉表格以及案件结果的通报方式等。(232)
【注释】
(1)Colin Bennett and Charles Raab,The Governance of Privacy:Policy Instruments in Global Perspective,Mit Press,2006.
(2)OECD Guidelines,Preface.
(3)OECD,Report on the Cross-Border Enforcement of Privacy Laws,2006,p.6.
(4)Christopher Kunner,European Data Privacy Law and Online Business,Oxford University Press,2003,p.ix.
(5)U.S.,Dept.of Commerce,Safe Harbor Workbook.http://www.export.gov/safeharbor/sh_workbook.html.
(6)Joel Reidenberg,The Simplification of International Data Privacy Rules,29 FordhamInt'l L.J.1128(2006).
(7)Frits W.Hondius,Data Law in Europe,16 Stan.J.Int'l L.87,102-04(1980).
(8)European Commission,Data Protection Working Party,WP 12:Transfers of Personal Data to Third Countries:Applying Articles 25 and 26 of the EU Data Protection Directive,24 July 1998,p.5.
(9)Directive 95/46/EC,Art.1.
(10)Directive 95/46/EC,Recitals,para.2.
(11)C.o.E.Convention,Art.12.
(12)Council of Europe,Model Contract to Ensure Equivalent Protection in the Context of Transborder Data Flows with Explanatory Report(1992),Study Made Jointly by the Council of Europe,the Commission of the European Communities and International Chamber of Commerce,Strasbourg,2 November 1992,paras.4-6.
(13)Directive 95/46/EC,Recitals,para.3.
(14)Id.,paras.4 & 5.
(15)Id.,para.7.
(16)Directive 95/46/EC,Recitals,paras.8 & 9;Directive 95/46/EC,Art.1(2).
(17)Id.,Art.25(1).
(18)Directive 95/46/EC,Art.26(1).
(19)European Commission,Data Protection Working Party,WP 12:Transfers of Personal Data to Third Countries:Applying Articles 25 and 26 of the EU Data Protection Directive,24 July 1998.
(20)European Commission,Data Protection Working Party,WP 114:Working Document on a Common Interpretation of Article 26(1)of Directive 95/46/EC,25 November 2005,pp.6-8;Commission of the European Communities,Commission Staff Working Document on the Implementation of the Commissions on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries(2001/497/EC and 2002/16/EC),SEC(2006)95,20 January 2006,p.2.
(21)Directive 95/46/EC,Art.25(2).
(22)Id.,Art.29.
(23)European Commission,Data Protection Working Party,WP 4:First Orientations on Transfers of Personal data to Third Countries Working Document:Possible Ways forward in Assessing Adequacy,26 June 1997;WP 7:Judging Industry Self Regulation:when does it Make a Meaningful Contribution to the Level of Data Protection in a Third Country?,14 January 1998; WP 9:Preliminary Views on the Use of Contractual Provisions in the Context of Transfers of Personal Data to Third Countries,22 April 1998.
(24)European Commission,Data Protection Working Party,WP 12,24 July 1998.
(25)Council of Europe,Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding Supervisory Authorities and Transborder Data Flows,8 November 2001.
(26)European Commission,Data Protection Working Party,WP 12,p.5.
(27)Id.,p.13.
(28)European Commission,Data Protection Working Party,WP 12,p.6.
(29)Directive 95/46/EC,Art.25(2).
(30)European Commission,Data Protection Working Party,WP 12,p.26.
(31)从某种意义上而言,加拿大、巴西和印度等国纷纷制定或修改本国的资料保护法无不体现了欧盟管制跨境资料流动对它们造成的压力。Argentina,Personal Data Protection Act(2000),30 October 2000;Canadian Personal Information Protection and Electronic Documents Act,13 April 2000.考虑到其2000年的《信息技术法》在个人资料保护上的不足,印度通信与信息技术部于2005年成立了专家组对该法进行修正。CRID-University of Namur,First Analysis of the Personal Data Protection Law in India,Report Delivered in the Framework of Contrct JLS/C4/2005/15 between CRID and the Directorate General Justice,Freedom and Security,2007,pp.33 & 75.
(32)Alexander Zinser,European Data Protection Directive-the Determination of the Adequacy Requirement in International Data Transfers,16 Tul.J.Tech. & Intell.Prop.176(2004).
(33)European Commission,Data Protection Working Party,WP 12,p.27.
(34)European Commission,Decision 2000/518/EC on the Adequate Protection of Personal Data Provided in Switzerland,O.J.L 215/1,25 August 2000.European Commission,Decision C(2003)1731 on the Adequate Protection of Personal Data in Argentina,O.J.L.168,5 July 2003.根西岛(Guernsey)为英国的海外属地,位于英吉利海峡靠近法国海岸线的海峡群岛之中,同周围一些小岛组成了根西行政区(Bailiwick of Guernsey)。自1987年,英国签署的《资料保护公约》便适用于根西岛。它还于2001年根据《资料保护指令》制定了《资料保护法》。European Commission,Decision 2003/821/EC on the Adequate Protection of Personal Data in Guernsey,O.J.L.308,21 November 2003.马恩岛(Isle of Man)为英国的皇家属地,由位于爱尔兰海上的岛屿组成。英国签署的《资料保护公约》于1993年扩展适用于马恩岛。2002年,马恩岛还根据《资料保护指令》修改其1986年的《资料保护法》,制定了《资料保护法》。European Commission,Decision 2004/411/EC on the Adequate Protection of Personal Data in the Isle of Man,O.J.L.151,28 April 2004.
(35)European Commission,Decision 2002/2/EC on the Adequate Protection of Personal Data Provided by the Canadian Personal Information Protection and Electronic Documents Act,O.J.L.2/13,1 April 2002.
(36)Douwe Korff,Comparative Summary of National Laws,2002,pp.182-94.
(37)European Commission,First Report on the Implementation of the Data Protection Directive,2003,pp.18-19.
(38)Aneurin Hughes,A Question of Adequacy?The European Union's Approach to Assessing the Privacy Amendment(Private Sector)Act 2000(CTH),5 U.N.S.W.L.J.(2001).www.austlii.edu.au/au/journals/unswlj/2001/5.html.
(39)新西兰学者古纳斯卡拉从上述几个方面归纳了跨境资料流动的未来发展模式。Gehan Gunasekara,The“Final”Privacy Frontier?Regulating Trans-Border Data Flows,International Journal of Law and Information Technology 1,24-32(2007).
(40)例如,法国自20世纪80年代以来就广泛运用合同的方法保护个人资料。European Commission,Data Protection Working Party,WP 9,p.2.德国的Bahncard案也掀起了人们探讨通过合同促进跨境转移中个人资料保护的热潮。Alexander Dix,The German RailwayCard,A Model Contractual Solution of the“Adequate Level of Protection”Issue?,International Data Protection and Privacy Commissioners’Conference,Ottawa,September 1996.
(41)公约的咨询委员会负责对促进、改善公约的适用及修改公约等提出建议。C.o.E.Convention,Artt.18-20.
(42)Council of Europe,Model Contract,para.7.
(43)Council of Europe,Recommendation No.R(86)1 on the Protection of Personal Data Used for Social Security Purposes,1986,Principle,8.2,and Explanatory Memorandum,para.44;Recommendation No.R(87)15 on Protection of Personal Data in the Police Sector,1987,Principle 5.4,and Explanatory Memorandum,para.69;Recommendation No.R(89)2 on Protection of Personal Data Used for Employment Purposes,1989,Explanatory Memorandum,para.63.
(44)Council of Europe,Model Contract,para.15.The three experts are Prof.Brian Napier(London),Prof.Allan Philip(Copenhagen)and Mr.Laurent Faugerolas(Paris).
(45)Council of Europe,Model Contract to Ensure Equivalent Protection in the Context of Transborder Data Flows with Explanatory Report,1992.
(46)Id.,para.24.
(47)Council of Europe,Model Contract to Ensure Equivalent Protection in the Context of Transborder Data Flows with Explanatory Report,1992.Appendix I-Model Clauses for Inclusion in a Model contract.
(48)Id.,Appendix II-List of Arbitrators proposed by the member States of the Council of Europe.
(49)Hong Kong,Office of the Privacy Commissioner for Personal Data,Transfer of Personal Data Outside Hong Kong:Some Common Questions,Model Contract,Fact Sheet No.1,April 1997.
(50)Id.,Clauses 1-5.
(51)ICC,Model Clause for Use in Contracts Involving Transborder Data Flows,23 September 1998.
(52)The Canadian Chamber of Commerce,Model Contractual Clauses for Transfer of Personal Information to a Data Processor,March 2002.
(53)欧盟委员会资助并同欧洲理事会和国际商会一道研究并制定了有关资料跨境转移的格式合同。Council of Europe,Model Contract,1992.
(54)Directive 95/46/EC,Art.26(2).
(55)Id.,Art.26(4).
(56)European Commission,Commission Decision of 15 June 2001 on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries under Directive 95/46/EC,2001/ 497/EC,O.J.L.181/19,4 July 2001,Preface,paras.4 & 5.
(57)Commission of the European Communities,Commission Staff Working Document on the Implementation of the Commissions on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries(2001/497/EC and 2002/16/EC),SEC(2006)95,20 January 2006,p.2.
(58)European Commission,Data Protection Working Party,WP 9,22 April 1998.
(59)European Commission,Data Protection Working Party,WP 38:Opinion 1/2001 on the Draft Commission Decision on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries under Article 26(4)of Directive 95/46,26 January 2001;WP 47:Opinion 7/2001 on the Draft Commission Decision(version 31 August 2001)on Standard Contractual Clauses for the Transfer of Personal Data to Data Processors Established in Third Countries under Article 26(4)of Directive 95/46,13 September 2001.
(60)European Commission,Commission Decision of 15 June 2001 on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries under Directive 95/46/EC,2001/ 497/EC,O.J.L 181/19,4 July 2001.
(61)European Commission,Decision of 27 December 2001 on Standard Contractual Clauses for the Transfer of Personal Data to Processors Established in Third Countries under Directive 95/ 46/EC,2002/16/EC,O.J.L.6/52,10 January 2002.
(62)Id.,Annex,Standard Contractual Clause(Processors)for the Purpose of Article 26(2)of Directive 95/46/EC for the Transfer of Personal Data to Processors Established in Third Countries which do not Ensure an Adequate Level of Data Protection.
(63)The International Chamber of Commerce(ICC),Japan Business Council in Europe(JBCE),European Information and Communications Technology Association(EICTA),EU Committee of the American Chamber of Commerce in Belgium(Amcham),Confederation of British Industry(CBI),International Communication Round Table(ICRT),and the Federation of European Direct Marketing Associations(FEDMA).
(64)European Commission,Data Protection Working Party,WP 84:Opinion 8/2003 on the Draft Standard Contractual Clauses Submitted by A Group of Business Associations(“The Alternative Model Contract”),17 December 2003.
(65)European Commission,Commission Decision of 27 December 2004 amending Decision 2001/497/EC as regards the Introduction of an Alternative Set of Standard Contractual Clauses for the Transfer of Personal Data to Third Countries,2004/915/EC,O.J.L.385/74,29 December 2004.
(66)Id.,Annex,Set II,Standard Contractual Clauses for the Transfer of Personal Data from the Community to Third Countries(Controller to Controller Transfers).
(67)Commission of the European Communities,Commission Staff Working Document on the Implementation of the Commissions on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries(2001/497/EC and 2002/16/EC),SEC(2006)95,20 January 2006,p.7.
(68)Council of Europe,Model Contract,para.24;Hong Kong Office of the Privacy Commissioner for Personal Data,Model Contract,Preface;ICC,Model Clauses,Explanatory Notes; The Canadian Chamber of Commerce,Model Contractual Clauses,Introduction.
(69)European Commission,Decision 2001/497/EC,Preface,para.5;Decision 2002/16/ EC,Preface,para.4.
(70)European Commission,Decision 2001/497/EC,Art.1 & 2,and Preface,paras.5 & 6;Decision 2002/16/EC,Art.1 & 2,and Preface,para.5.
(71)Council of Europe,Model Contract,para.23.
(72)ICC,Model Clauses,Explanatory Notes.
(73)European Commission,Decision 2004/915/EC,Preface,para.1.
(74)Directive 95/46/EC,Art.17(3).
(75)European Commission,Data Protection Working Party,WP 9,p.3.
(76)European Commission,Data Protection Working Party,WP 12,p.24.
(77)Council of Europe,Model Contract,para.24.
(78)ICC,Model Clauses,Explanatory Notes.
(79)Hong Kong,Office of the Privacy Commissioner for Personal Data,Model Contract,Preface.
(80)The Canadian Chamber of Commerce,Model Contractual Clauses,Introduction.
(81)European Commission,Data Protection Working Party,WP 9,pp.4-10.
(82)European Commission,Decision 2001/497/EC,Preface,paras.18-20,Standard Contractual Clauses,Clause 6.
(83)European Commission,Decision 2004/915/EC,Standard Contractual Clauses Set II,Clause III.
(84)European Commission,Decision,2002/16/EC,Standard Contractual Clauses(Processors),Clause 6 and Preface,para.16.
(85)Hong Kong,Office of the Privacy Commissioner for Personal Data,Model Contract,Art.3.
(86)ICC,Model Clauses,Art.6.
(87)European Commission,Decision 2001/497/EC,Standard Contractual Clauses,Clause 3;Decision 2002/16/EC,Standard Contractual Clauses(Processors),Clause 3;Decision 2004/915/EC,Standard Contractual Clauses Set II,Clause III.
(88)European Commission,Data Protection Working Party,WP 9,p.6.See Yeo TiongMin,When do Third Party Rights Arise Under the Contracts(Rights of Third Parties)Act 1999(UK)?,13 S.A.C.L.J.34(2001).
(89)European Commission,Data Protection Working Party,WP 47,p.4.
(90)European Commission,Decision 2004/915/EC,Standard Contractual Clauses Set II,Clause III(b).
(91)European Commission,Data Protection Working Party,WP 9,p.10.
(92)European Commission,Decision 2001/497/EC,Art.4;Decision 2002/16/EC,Art.4;Decision 2004/915/EC,Art.1(2).
(93)European Commission,Decision 2001/497/EC,Standard Contractual Clauses,Clause 7;Decision 2002/16/EC,Standard Contractual Clauses(Processors),Clause 7.
(94)European Commission,Data Protection Working Party,WP 38,p.6.
(95)European Commission,Decision 2001/497/EC,Standard Contractual Clauses,Clause 10;Decision 2002/16/EC,Standard Contractual Clauses(Processors),Clause 9;Decision 2004/915/EC,Standard Contractual Clauses Set II,Clause IV.
(96)ICC,Model Clauses,Clause 9.
(97)根据欧洲理事会的格式合同,当事方可自由选择合同的准据法。若所适用的国内法为个人资料提供了更好的保护,资料转移人应考虑是否有必要修改合同条款。Council of Europe,Model Contract,para.25.
(98)Hong Kong,Office of the Privacy Commissioner for Personal Data,Model Contract,Applicable Law.
(99)Commission of the European Communities,Commission Staff Working Document on the Implementation of the Commissions on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries(2001/497/EC and 2002/16/EC),SEC(2006)95,20 January 2006.
(100)European Commission,Data Protection Working Party,WP 74:Working Document: Transfers of Personal Data to Third Countries:Applying Article 26(2)of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers,3 June 2003;WP 107: Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on Adequate Safeguards Resulting from“Binding Corporate Rules”,14 April 2005;WP 108:Working Document:Establishing a Model Checklist Application for Approval of Binding Corporate Rules,14 April 2005;WP 133:Recommendation 1/2007 on the Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data,10 January 2007.
(101)European Commission,Data Protection Working Party,WP 74,p.8.
(102)European Commission,Data Protection Working Party,WP 108,para.5.9.
(103)European Commission,Data Protection Working Party,WP 74,p.9.
(104)Id.,p.11.
(105)European Commission,Data Protection Working Party,WP 108,p.5.
(106)European Commission,Data Protection Working Party,WP 74,p.13.
(107)European Commission,Data Protection Working Party,WP 108,p.6.
(108)European Commission,Data Protection Working Party,WP 74,pp.14-15.
(109)Herbert Burkert,Globalization—Strategies for Data Protection,in Jusletter,3 Oktober2005,http://www.weblaw.ch/jusletter/Artikel.asp?ArticleNr=4231.
(110)Peter Blume,Transborder Data Flow:Is There a Solution in Sight?,8 InternationalJournal of Law and Information Technology 65,85(2000).
(111)OECD,Report on the Cross-Border Enforcement of Privacy Laws,2006.
(112)R.Abeyrantne,The Use of Information Contained in the Airline Passenger Name Record—Some Issues,10 Communications Law 170(2005).
(113)U.K.,Lindop Report,1978,para.18.42.
(114)Frits W.Hondius,Data Law in Europe,16 Stan.J.Int'l L.87,104(1980).
(115)Directive 95/46/EC,Art.2(b).
(116)Lee A.Bygrave,Determining Applicable Law Pursuant to European Data ProtectionLegislation,16 Computer Law & Security Report 252(2000).
(117)See Bing Jon,Data Protection,Jurisdiction and Choice of Law,6 Privacy Law & Policy Reporter 92(1999).
(118)美国1974年《隐私法》仅适用于美国公民与合法长期居民,因为该法仅规制联邦机关的资料处理活动。5 U.S.C.§552a(a)(2).
(119)1990 German Federal Act on Data Protection(Bundesdatenschutzgesetz"Gesetz zum Fortentwicklung der Datenverarbeitung und des Datenschutzes vom 20 Dezember 1990);1992 Belgian Act on Data Potection(Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel);1988 Dutch Act on Data Protection(Wet van 28 December 1988,houdende regels ter bescherming van de persoonlijke levenssfeer in verband met persoonregistraties).
(120)Nugter,Transborder Flow of Personal Data within the EC,Deventer/Boston,1990,p.190.
(121)Netherlands,Act on Data Protection,1988,Art.47(1).
(122)Belgium,Act on Data Protection,1992,Art.3(1)(2).
(123)Letter of 25.09.1997 from the Ministry’s“Lovavdeling”to the Norwegian Data Inspectorate(ref.97/02197KJR/HSD/bj).See Lee A.Bygrave,Determining Applicable Law Pursuant to European Data Protection Legislation,16 Computer Law & Security Report 252,note 9(2000).
(124)OECD Guidelines,Art.20.
(125)C.o.E.Convention,Explanatory Report,para.10.
(126)C.o.E.Convention,Explanatory Report,para.20.
(127)Id.,para.23.
(128)Directive 95/46/EC,Art.1(2).
(129)Id.,Artt.25 & 26.
(130)E.C.,COM(92)final-SYN 287,15 October 1992.
(131)Directive 95/46/EC,Art.4.
(132)Directive 95/46/EC,Recitals,para.18.
(133)Id.,paras.3 & 8.
(134)但这并非指令的主要目的,因为,设立于欧盟境外的控制者使用位于多国的设备处理资料应适用多国的资料保护法,这正有助于扩大指令的适用范围。
(135)Directive 95/46/EC,Art.2(a).
(136)Directive 95/46/EC,Recitals,para.26.
(137)European Commission,Data Protection Working Party,WP 136:Opinion 4/2007 on the Concept of Personal Data,20 June 2007.
(138)Directive 95/46/EC,Art.2(d).
(139)Lee A.Bygrave,Determining Applicable Law Pursuant to European Data ProtectionLegislation,16 Computer Law & Security Report 252(2000).
(140)Directive 95/46/EC,Recitals,para.19.
(141)U.K.DPA 1998,Art.5(3).
(142)Directive 95/46/EC,Recitals,para.20.
(143)Dutch DPA 1999,Art.4(1);Portuguese DPA 1998,Art.4(3)(a);U.K.DPA 1998,Art.5(1)(a).
(144)French LIFL 2006,Art.5(I)(1).
(145)Directive 95/46/EC,Recitals,para.19.
(146)Finnish PDA 1999,Art.4(1);Greek DPA 1997,Art.3(3)(a);Swedish PDA 1998,§4;Italian PDPC 2003,§5(1).
(147)如瑞典资料保护法草案的解释说明指出,应通过国际合作进一步明确指令的第4条,根据指令解释瑞典法有关适用范围的规定。See Legislative Proposal 1997/98:44,pp.55 & 118.
(148)Luxembourg DPA 2002,Art.3(2)(a).
(149)German BDSG 2006,Art.1(5).
(150)Austrian DSG 2000,§3.
(151)Directive 95/46/EC,Art.4(3).
(152)需要指出的是《欧盟资料保护指令序言》也使用了“方式”(means)一词。Directive 95/46/EC,Recitals,para.18(2).
(153)Dennish DPA 2000,Art.4(3)(1);Finnish PDA 1999,Art.4(2);Greek DPA 1997,Art.3(3)(b);Italian PDPC 2003,§5(2);Portuguese DPA 1998,Art.4(3)(c).; Swedish PDA 1998,§4;U.K.DPA 1998,Art.5(1)(b);Irish DPA 2003,Art.2(b)(3b)(a)(ii).
(154)Luxembourg DPA 2002,Art.3(2)(b);Dutch DPA 1999,Art.4(2);Spanish DPA 1999,Art.2(1)(c);Belgian DPA 2003,Art.3bis(2).
(155)French LIFL 2006,Art.5(II).
(156)Douwe Korff,Comparative Summary of National Laws,2002,p.48.
(157)Irish DPA 2003,Art.2(b)(3b)(a)(ii);Swedish PDA 1998,§3;U.K.DPA 1998,Art.5(3).
(158)Italian PDPC 2003,§5(2);Portuguese DPA 1998,Art.4(3)(c);Finnish PDA 1999,Art.4(2);Greek DPA 1997,Art.3(3)(b).
(159)French LIFL 2006,Art.5(I)(2).卢森堡法与法国法的规定完全一致。Luxembourg DPA 2002,Art.3(2)(b).
(160)Dennish DPA 2000,Art.4(3)(1).
(161)Belgian DPA 2003,Art.3bis(2);Irish DPA 2003,Art.2(b)(3b)(a)(ii);U.K.DPA 1998,Art.5(1)(b).
(162)Swedish PDA 1998,§4.
(163)German BDSG 2006,Art.1(5).
(164)Dennish DPA 2000,Art.4(3)(2).
(165)Directive 95/46/EC,Artt.25 & 26.
(166)Douwe Korff,Comparative Summary of National Laws,2002,p.50.
(167)European Commission,Data Protection Working Party,WP 6:Recommendation 3/97,Anonymity on the Internet,3 December 1997,p.6.
(168)European Commission,Data Protection Working Party,WP 11:Opinion 1/98,Platform for Privacy Preferences(P3P)and the Open Profiling Standard(OPS),16 June 1998,p.1.
(169)European Commission,Data Protection Working Party,WP 11,pp.2-3.
(170)European Commission,Decision 2000/520/EC On the Adequacy of the Protection Provided by the Safe Harbour Privacy Principles and Related Frequently Asked Questions Issued by the US Department of Commerce,O.J.L.215/7,25 August 2000.
(171)郑冰(Bing Jon)教授将前者界定为资料保护机构的管辖权,后者为法律选择问题。但他还将前者称为资料保护的适当法(Proper Law of Data Protection),容易让人与冲突法上的自体法相混淆。Bing Jon,Data Protection,Jurisdiction and Choice of Law,6 Privacy Law & Policy Reporter 92(1999).
(172)William L.Prosser,Interstate Publication,51 Mich.L.Rev.959,971(1953).
(173)Lee A.Bygrave,Determining Applicable Law Pursuant to European Data ProtectionLegislation,16 Computer Law & Security Report 252(2000);Bing Jon,Data Protection,Jurisdiction and Choice of Law,6 Privacy Law & Policy Reporter 92(1999);Joachim Benno,The“Anonymisation”of the Transaction and Its Impact on Legal Problems,The IT Law Observatory Report 6/98,Stockholm,1998;Jon Bing,Transnational Data Flows and the Scandinavian Data Protection Legislation,24 Scandinavian Studies in Law 65,88-96(1980);Frits W.Hondius,Data Law in Europe,16 Stan.J.Int'l L.87(1980);Rigaux,La loi applicableàla protection des individuesàl’égard du traitement automatisédes donnéesàcaractère personnel,69 Revue critique de Droit International Privé443(1980).
(174)Frits W.Hondius,Data Law in Europe,16 Stan.J.Int'l L.87,103(1980).
(175)白格拉伍教授将《欧盟资料保护指令》第4条看作涉外资料处理的一项法律适用规则。他还质疑指令起草者为何在制定第4条时,未考虑以资料当事人的住所为法律适用标准。这表明他混淆了资料保护法的适用范围与涉外资料处理的法律适用规则。指令第4条确立的资料控制者设立地标准可作为法律适用的一个连接点,但第4条自身并非有关涉外资料处理中资料保护的法律选择条款。Lee A.Bygrave,Determining Applicable Law pursuant to European Data Protection Legislation,16 Computer Law & Security Report 252-57(2000).
(176)OECD Guidelines,Explanatory Memo.,para.74.
(177)C.o.E.Convention,Explanatory Report,para.10.
(178)Friedrich K.Juenger,A Page of History,35 Mercer L.Rev.419(1984).
(179)OECD Guidelines,Explanatory Memo.,para.75.
(180)美国冲突法革命批判以既得权理论为基础的法律选择规则,并导致以法律政策与具体法律关系中的利益为核心的法律选择方法勃兴。See Walter Wheeler Cook,The Logical and Legal Basis of the Conflict of Laws,33 Yale L.J.457(1924);Brainerd Currie,Married Women’s Contracts:A Study in Conflict-of-Laws Method,25 Univ.of Chicago L.Rev.227(1958);William F.Baxter,Choice of Law and the Federal System,16 Stan.L.Rev.1(1963);Robert Leflar,Choice-Influencing Considerations in Conflicts Law,41 N.Y.U.L.Rev.267(1966);David Cavers,The Choice of Law Process,60 L.L.J.72(1967).
(181)OECD Guidelines,Explanatory Memo.,para.75.
(182)国际商会除外。ICC,Model Clauses,Clause 9.
(183)根据欧洲理事会的格式合同,当事方可自由选择合同的准据法。若所适用的国内法为个人资料提供了更好的保护,资料转移人应考虑是否有必要对合同条款进行相应的调整。Council of Europe,Model Contract,para.25.
(184)Hong Kong,Office of the Privacy Commissioner for Personal Data,Model Contract,Applicable Law.
(185)European Commission,Decision 2001/497/EC,Standard Contractual Clauses,Clause 3;Decision 2002/16/EC,Standard Contractual Clauses(Processors),Clause 3;Decision 2004/915/EC,Standard Contractual Clauses Set II,Clause III.
(186)European Commission,Data Protection Working Party,WP 47,p.4.
(187)European Commission,Decision 2001/497/EC,Standard Contractual Clauses,Clause 10;Decision 2002/16/EC,Standard Contractual Clauses(Processors),Clause 9;European Commission,Decision 2004/915/EC,Standard Contractual Clauses Set II,Clause IV.
(188)如欧盟《资料保护指令》将资料当事人明确表示同意作为处理一般资料和敏感资料的法律依据之一。Directive 95/46/EC,Art.6 & 7.
(189)Joachim Benno,The“Anonymisation”of the Transaction and Its Impact on Legal Problems,1998,p.17.
(190)Rigaux,La loi applicableàla protection des individuesàl’égard du traitementautomatisédes donnéesàcaractère personnel,69 Revue critique de Droit International Privé443(1980).
(191)U.S.,Restatement of Conflict of Laws,Ё 377,379,384(1934).
(192)Joachim Benno,The“Anonymisation”of the Transaction and Its Impact on Legal Problems,1998,p.17.
(193)Lee A.Bygrave,Determining Applicable Law pursuant to European Data ProtectionLegislation,16 Computer Law & Security Report 252,257(2000).
(194)U.S.,Restatement(Second)of Conflict of Laws,Art.6.Cheatham & Reese,Choiceof the Applicable Law,52 Colum.L.Rev.959(1952).
(195)Bing Jon,Data Protection,Jurisdiction and Choice of Law,6 Privacy Law & PolicyReporter 92(1999).
(196)Directive EC/96/45,Art.1.
(197)European Convention on the Protection of Human Rights and Fundamental Freedoms,Art.8(1).
(198)Charter of Fundamental Rights of the European Union,Art.8.
(199)See http://www.ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm.
(200)例如,法院可能根据公共秩序保留制度,拒绝承认当事人依据意思自治原则选择法律的效力。
(201)该理念与消费合同的法律适用方法也相吻合。See EEC,Rome Convention on theLaw Applicable to Contractual Obligations,80/934/EEC,Art.5,O.J.L.266,09 October 1980.
(202)Herbert Burkert,Globalization—Strategies for Data Protection,in Jusletter,3 Oktober2005,http://www.weblaw.ch/jusletter/Artikel.asp?ArticleNr=4231.
(203)OECD,Report on Cross-Border Enforcement of Privacy Laws,2007,pp.19-20.
(204)Directive 95/46/EC,Art.4.
(205)Directive 95/46/EC,Art.28(6).
(206)Directive 95/46/EC,Art.28 and Recitals,para.64.详见上文有关资料保护机构职责的论述。
(207)Id.,Art.29.
(208)Id.,Art.30.
(209)European Commission,Data Protection Working Party,WP 98:Strategy Document,2004.
(210)从1997年的《关于资料保护法与媒体的建议》(WP 1:Recommendation 1/97 Data Protection Law and the Media)至2007年的《关于个人资料转移公司规则标准申请程序的建议》(WP 133:Recommendation 1/2007 on the Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data),工作组已经通过了130多份意见、建议和工作计划,详情可参见欧盟官方网站。
(211)指令要求委员会于指令生效后(1998年)三年内报告指令的执行情况,但由于少数成员国未按规定制定或修改本国法等原因,委员会于2003年才公布首份报告。Commission of the European Communities,First Report on the Implementation of the Data Protection Directive(95/46/EC),COM(2003)265,2003.
(212)C.o.E.Convention,Chapter IV.
(213)The European Convention on the Service Abroad of Documents Relating to Administrative Matters,24 November 1977.
(214)The European Convention on the Obtaining Abroad of Information and Evidence in Administrative Matters,15 March 1978.
(215)C.o.E.Convention,Explanatory Report,paras.71 & 72.
(216)C.o.E.Convention,Art.13.
(217)Id.,Explanatory Report,para.73.
(218)Council of Europe,Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding Supervisory Authorities and Transborder Data Flows,Strasbourg,8 November 2001,Art.1.
(219)C.o.E.Convention,Art.13(3).
(220)C.o.E.Convention,Explanatory Report,para.74.
(221)Id.,para.75.
(222)Council of Europe,Committee of Ministers,Recommendation on Exchange of Legal Information relating to Data Protection,No.R(80)13,18 September 1980.
(223)C.o.E.Convention,Art.13(3)(b).
(224)OECD,Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data,23 September 1980.
(225)OECD,Guidelines for Protecting Consumers from Fraudulent and Deceptive Commercial Practices Across Borders,2003;Recommendation on Cross-Border Cooperation in the Enforcement of Laws against Spam,7 April 2006.
(226)OECD,Report on the Cross-Border Enforcement of Privacy Laws,2006.
(227)OECD Guidelines,Part Five.
(228)OECD Guidelines,Art.20 and Explanatory Memo.,paras.71 & 72.
(229)OECD Guidelines,Art.22.
(230)OECD,Report on the Cross-Border Enforcement of Privacy Laws,2006,pp.24-25.
(231)Recitals of EU Data Protection Directive;Preamble of C.o.E.Convention and Preface of OECD Guidelines.
(232)OECD,Report on Cross-Border Enforcement of Privacy Laws,2006,p.26.
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
