尽管存在基本理念和具体政策设计上的差异,但考虑到市场经济活动的必然需求等因素,欧美在个人信息保护政策上有所妥协,并相互吸收对方制度中的合理成分为己所用。
(一)妥协的产物——安全港协议
欧盟个人数据保护指令禁止企业向欧盟之外转移个人数据,除非传输目的国提供相同水平的数据保护。而欧盟委员会认为:美国没有达到与欧盟同等的保护水平。但是考虑到欧美双边贸易中不得不伴生的大量数据转移需求,美国商务部与欧盟委员会协商谈判,提出了“美国-欧盟安全港”框架,美国企业可以自愿加入安全港,接受欧盟个人信息保护政策的约束。获得安全港认证的美国企业将被认为提供了“充分”的隐私保护,在转移个人数据方面会简化相关行政管理程序,例如欧盟成员国对于数据转移的事前许可可以取消或者以自动授权方式进行。尽管安全港协议本身存在一些争议,但它为美国公司从欧盟转移数据提供了一种便利机制。
(二)具体制度设计中的相互借鉴
从近期的个人信息保护政策改革中,可以看到欧美虽然有着立场上的根本分歧,但并没有妨碍二者在具体制度设计中彼此借鉴对方的合理成分。例如,2012年《欧盟个人数据保护立法建议》中借鉴了美国立法中开创的数据侵害事件通知制度:要求公司在数据侵害事件发生之后应当毫无迟延地通报监管机构,对于严重的数据侵害事件,还应当通知受到影响的用户本人。同样,尽管美国对于欧盟此次立法改革中所提出的“遗忘权”诟病诸多,但也没有否认遗忘权对于某些需要重点保护的信息所具有的意义。美国加州近期出台法令,允许未成年人向互联网公司提出删除个人信息的要求,就是对欧盟提出的“遗忘权”的借鉴与改良。
此外,二者对于隐私保护设计制度[7]的观点也高度一致,均认为在当前的网络环境下,隐私保护制度是一种可取的更为有效的保护机制。欧盟委员会提出,新的个人数据保护立法中将会吸收隐私保护设计原则,要求企业在产品或服务的整个生命周期都贯穿隐私和数据保护,包括从最早的设计阶段、市场投放阶段、使用阶段以及最终停止使用阶段都要遵循该原则的要求。美国对于隐私保护设计制度也采取了热情态度。美国联邦贸易委员会(FTC)在2012年发布的有关隐私保护的指南中,将其作为实现隐私保护的三项手段中最主要的一项,要求公司在运作中充分整合实际的隐私保护措施,在产品和服务的整个生命周期内都要提供全面的数据管理流程和保护。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
