安全港原則

安全港原則(International Safe Harbor Privacy Principles; Safe Harbour Privacy Principles),又称避风港原则,是允許歐洲聯盟美國雙方企業與個人能流通個人可識別資料的原則,是为了满足政府监管和立法目的而设立的私人自我调节的政策和机制,不包括政府法规和强制条令。加入安全港協議的美国企业必须单独从各个欧盟国家获取授权,以免侵犯欧盟隐私法的条款。通过采用自律、规则和政府强制的公平交易、强制执行在美国也会出现。

2000年,歐盟執委會美國政府簽訂安全港協議。2014年8月1日,奧地利學生Max Schrems就Facebook未經合法授權就取用及分析歐洲用戶個人資料等違反歐盟法律的問題,向維也納的商業法庭提出集體訴訟,要求禁止Facebook將歐洲用戶的資料傳送到美國,並要求Facebook賠償每位歐洲用戶500歐元。2015年10月6日,歐洲法院裁定,安全港協議無法充分保護歐盟公民個人資料,應屬無效。[1]

背景

歐盟已經執行隱私法多年,比世界上許多其他國家有更嚴格的法律基礎。

歐盟在不允許在其境內經營的公司將個人資料發送到歐盟以外的國家,除非他們保證目標的保護程度。這種保護可以是在國家層面(如國家法律被認為能提供平等的保護),或在組織層面(如跨國組織嚴格控制其內部個人資料記錄)。

安全港隱私保護原則允許美國公司,在符合歐盟的要求的情況下,得以註冊來獲得歐盟的認證。

這些原則是在1998 - 2000年期間發展出來的。歐盟委員會於2000年7月決定執行這個原則,允許傳輸歐盟的數據到經認證的美國公司。於2015年十月歐洲法院判決此原則無效。

原則

必須遵守以下原則:

  • 告知:當個人的資料被收集與使用時,當事人必須被告知。
  • 選擇性:當事人必須擁有選擇的權利,其中包括拒絕給予其個人資料,或其個人資料被傳輸給第三方。
  • 限定傳輸:個人資料只能被傳輸給遵守這些原則的第三方。
  • 安全性:必須要採取合理且有效的努力,來避免資料的遺失。
  • 誠實性資料:資料必須是和收集的目的有關連且可靠的。
  • 可接觸性:個人必須擁有得知與修改其個人資料的權利。
  • 實行性:必須要有有效手段確保這些原則有效的實行。

認證

加入後,企業必須每隔12個月重新進行認證。它可以進行自我評估或聘請第三方來進行評估,以驗證其是否符合這些原則。也必須確保適當的員工培訓和有效的爭端解決機制來達到歐盟的要求。

執行

在2011年時,美國聯邦貿易委員會發現一間總部位於加州的網路零售商,在銷售時宣稱其擁有英國的安全港認證,而實際上它沒有。之後便遭到禁止。[2]

評價

歐盟 - 美國安全港原則一直是被批評的對象:

註釋

  1. ^ U.S.-EU Safe Harbor Framework Documents. US government. [2015-10-13]. (原始内容存档于2015-09-10). 
  2. ^ FTC Settlement Bans Online U.S. Electronics Retailer from Deceiving Consumers with Foreign Website Names (新闻稿). Washington. Federal Trade Commission. June 9, 2011 [March 5, 2015]. (原始内容存档于2020-10-31). 

參考文獻

  • Kenneth C.Laudon and Jane P.Laudon, 《Management Information Systems》, Pearson, 07 March 2011, Chapter4 Information systems Organizations and Strategy p.88

延伸閲讀

  • Farrell, Henry. Constructing the International Foundations of E-Commerce—The EU–U.S. Safe Harbor Arrangement. International Organization. Spring 2003, 57 (2): 277–306. doi:10.1017/S0020818303572022. 

參見

外部連結