美国安全港法规.PDF

美国安全港法规  欧盟的综合隐私法规——隐私数据保护法案（简称欧盟隐私法案）--在 1998.10.25 生效。该法案要求仅在向非欧盟构架传输个人数据时要求提供足够 的隐私保护等级。 尽管美国和欧盟都致力于增强对公民隐私的保护这一共同的目标，但美国采 用不同于欧盟的方法保护隐私。美国使用基于多个法律、法规和自愿（self regulation）的方法。由于这些差别，许多美国组织反映不确定欧盟所说的“足 够的标准”对于从欧盟传至美国的个人数据有何影响。 为了减少这种数据传输的不确定性并提供更可预期的框架，1998 年 11 月 4 日，美国商务部发布了《国际安全港隐私保护原则》和FAQ （简称“安全港法 规”，或在不会引起混淆的情况下，简称“法规”）以培育、推广和开发国际商业。 安全港法规经咨询工业界和大众而制定以加速欧美之间的贸易和商业。仅适用于 美国组织，当其从欧盟收到个人数据时，确保安全港和“足够”保护的假设。因为 规范仅为了达成这个特定的目标而制定，应用于其他目的可能（may）不恰当。 安全港法规不能用作各洲制定的欧盟隐私法案的用于个人数据处理的实施方案。 安全港是指某一特定的在线服务商应公布产业的网络隐私保护的行为指引， 该指引由联邦贸易委员会通过后，即成为个人隐私信息的“安全港”，网络服务 商只要遵守该指引，就可以被认为是遵守了保护个人数据的有关要求。 各组织确实执行安全港法规的决定完全取决于自愿，并且各组织执行安全港 法规的方法可能各异。决定依循安全港法规的各组织必须遵从法规以达到获得和 保持安全港的益处并且公开宣布他们将如此做。例如，如果一个组织参加一个自 治的隐私项目依循安全港法规，他作安全港达标。各组织亦可通过开发他们自己 的自治隐私策略与法规一致而达标。当与法规一致时，这个组织完全或部分的依 赖自治，若未能自治，该组织（见附录美国为欧盟认可的组织）受联邦贸易委员 会（ FTC ）法规（第五章禁止不公平和欺骗的行为）或者其他法律法规（禁止 此类行为）的惩罚。另外，遵循法规、管理条例、或其它法律（或原则）的各组 织也可遵守安全港法规。期望做安全港认证的每个组织自发证书至商务部（或其 指定单位）说明其遵守法规，自发证书指南见 FAQ 自发证书部分，在各种情况 下，自各组织的自发证书签发即日起，必须确保安全港利益。 与法规的一致性可能有如下限制：（a）限于满足国家安全、公共利益或者法 律强制要求的范围；（b）限于法令、政府法规、案例法律与其冲突的强制要求 或明显的权威性，假设如此，各组织在实施这些权威规定时可声明其与法规不一 致的点限于超越其上的法律利益；（c）限于欧盟隐私法案或者各洲法律允许的例 外或违背，假设这种例外和违背应用在可比较的前后文。为了与保护隐私的目标 一致，各组织需（Should）为了完全和透明的实现法规而努力，一般做法包括 指出他们的隐私策略，说明例外的是（b）所述法律。为了同样的原因，如果遵 守法规和/或美国法律可选，可能的话，期望各组织倾向于遵守更高的保护措施。 各组织可能期望为了实施或其他原因而在所有数据处理中均使用法规，但是 各组织仅被强制要求在数据传入安全港后应用法规。为了安全港认证，各组织未 被强制要求在手工处理的文件系统中应用法规。期望获得安全港益处的各组织对 于手工处理文件系统信息从欧盟传入安全港后，必须应用法规。——某个组织若 期望将安全港益处扩展至来自欧盟的用于招聘的人力资源个人信息，当其向商务 部（或其指定单位）自签证书的时候，必须指出这一点，并且依照 FAQ 中关于 自签发证书的需求去做。各组织如果在和合作伙伴的书面合同中包含安全港法 规，其也愿（will）提供欧盟隐私法案第26 章要求的必要的保护措施，作为从 EU 传输数据的实际的隐私条款（provision），一旦在此类模型合同的其他条款 经FTC 和成员州授权。 个人数据或个人信息是欧盟隐私法案内定义的个人标识数据，由美国组织自 欧盟接收并以各种形式存储。 安全港规定的主要内容项： 1）通知：一个组织必须通知个人其搜集和使用个人信息的目的，怎样联系 这个组织以咨询或投诉，其将透露（disclose）数据给哪些第三方，个人对于个 人信息限制使用或透露的选项和方法。当组织第一次要求用户提供个人信息之前 或者第一次非原目的使用个人信息或者第一次透露给一个第三方之前，必须以清 楚、鲜明的语言通知用户。 2）选择：一个组织必须提供给个人选择是否（默认是）他们的个人