“未來隱私”論壇總監喬詩·哈里斯先生主持第五屆APEC電子商務工商聯盟論壇

“未來隱私”論壇總監喬詩·哈里斯

    喬詩·哈里斯：這邊有小組討論，請相關的組員上臺。大家下午好，自我介紹一下，我叫喬詩·哈里斯，我們在華盛頓特區是有關政策方面的咨詢組織，我們有一些智囊團。我們今天可能要說到隱私，要說說電子商務當中的情況。還有徐秀智女士是來自戴爾，米勒是來自英特爾，在政策方面法務方面有非常強的顧問的支持。徐秀智女士是來自戴爾，還有美國聯邦貿易委員會的邁克爾·潘澤拉先生，還有羅峰先生是億贊普公司的董事長，劉鑫是中國互聯網信息中國互聯網發展研究部副主任。我們有來自各個領域的專家，我們也不依次說了，我們一次性來提這個問題，下面探討一下對于這個話題，電子商務的合作和網絡安全，對中小企業方面的合作。

    首先開始是有關亞太地區的電子商務的隱私的一些法律框架。我們要知道如何幫助電子商務公司，尤其是中小型公司，如何更加有效監管和管控隱私方面的策略或者戰略。我們首先從誰開始？首先我們要說說亞太地區的隱私框架，如果說大家重點對于我們整個的APEC的組織了解的話，它本身的框架，我們設定一下框架的標準，這個原則在APEC當中各個成員國能夠在統一的框架之內，因為我們知道地區是有差異的，他們本身對于這個問題的保護不太一樣。我們希望能夠在跨境跨區域的交易當中更好的保護消費者的個人隱私。

    我們這邊說到消費原則，我們這里有九項原則，比方說防止傷害，我們要確定你的數據不會影響到消費者的健康和利益，接下來包括提示、使用的信息，權限，包括數據的安全等等。大家要了解整個政策，并且在這方面要知道如何能夠保護，在整個框架之下能夠很好的保護你從消費者這里收集到的信息。對于整個的信息，你要確定，你在使用時必須要有良好的定義，不該用的地方就不要用這些信息。而且在收集這些信息的時候必須要清楚，如果有些信息在收集之后使用之后，應該及時的刪除。而且我們覺得，很多的公司要對數據進行驗證，它是否一致，它們需要這些信息進行交易的認證，包括訪問的權限。所以對于消費者來講，有權利來進行這方面的運作。我們要確定這些所有的點都是被良好的管理的，如果違規就要受到相應的懲罰。另外有一個外部的驗證，APEC，亞太地區只是亞太地區，我們有非常中立的第三方進行這樣的驗證。就類似外部的審計，確定所有的原則在這個市場運行。

    說到框架，很多的我們給出的是非?？蚣芊浅４致缘囊粋€原則，我們剛才說有九個原則，這九個原則只是一個根本的原則，各個地區的會員國是按照自己特定的地區來針對隱私信息進行保護。比如說韓國，韓國在自己這個地區保護，中國也有相應的保護隱私的方式。所以以區域這樣一個根本來進行調整，我們知道地區不同，立法都完全不一樣的。我們的想法就是如何能夠有一個很好的格式，來進行執法。而且我們要知道，要認識到識別到我們在不同地區的法規當中有不同點和相同點，而且包括如何能夠讓它們進行協調。剛才說到這九個原則，我們看看，首先我們要說說，首先是全球國際化的執行，CBPR可以通過這樣一個本身的平臺進行跨境的這樣一個方式的保護。首先這上面，這個方案是不同的，我們這個組織都在這九個原則框架之下進行保護相關的信息，必須要確認，你是一對一相匹配的。我們覺得在一個地區一個國家當中，一個公司，他們所做的一個基準的原則是和另外一個國家的公司，在這個地區是有基礎是匹配的。這當中會有不一樣，我們會有行為準則，而且這個原則是希望大家在跨境交易的時候，能夠在跨境或者跨國的交易中，能夠把這個成本降得更低，而且同時保護我們個人的信息。包括在傳播他們的信息的時候，能夠做好這一點。

    CBPR這個系統就是一個非常好的這樣遵循的系統，這個系統是自愿型的系統，只要他們在自己的地區自己的管轄區域可以選擇相關的原則，只要是適用的，而且可以進行相關修正。我這邊已經說了，強調一下它是自愿的。我們這邊不是說危害性的法律，事實上我們是說基準性的指導性的這樣一個CBPR的協調的原則。比方說，如果你簽了，就說明你自愿的遵守這樣一個條約。這是一個非強制性的框架，所以并不涉及法律方面的含義。但是這是一個非常好的指導，首先你必須得是APEC的會員，而且要有相關的主管執法當局。所謂的當局都在自己的管轄范圍有法律法規，什么叫執行？就是它的法律要在APEC的范圍內進行執法。有很多原因可以說明它是有差異的，在上午說到在越南的框架是不一樣的，如果把越南的商業法和聯邦商業法相比其實是不一樣的，有可能它的基礎是保護消費者，保護交易的公正性公平性，但是其實它的表現可能是不一樣的。這是一個方面，除了執法當局，還有就是個人信息的保護的安排，這是一個組織，這是我們的一個小組。和APEC是很相似的，它也是一個自愿的組織，能夠在不同的監管中協調的這樣一個平臺，同樣也是自愿的。如果出現這個現象，我們也會有盡職調查。我們首先有監管，在監管中會有對法條的解釋。比如有時候會說，你至少要達到什么樣的標準，我這邊要說，我們作為監管方有特定的法律，對于你來講必須要合乎這個法規。所以對你來講，你必須要熟知這方面的情況。

    對于我們來講，我們怎么做？為了很好的合規，我們能夠幫助公司進行這方面的知識方面的合規。如果這個公司能夠合規，那么對于他們來講，他們提供的產品和服務就能夠更好的保護客戶的需求。然后我們看看政府，政府也非常重要，我們這邊的政府可能會在CBPR當中有一個參與度的意向書，這樣首先你要不要參加這樣一個CBPR的組織，然后你有可能有這個意向書，然后告訴你本地區會有相應的監管，而且我們也愿意參加APEC的CBPR系統的意向，我們愿意加入CPEA這樣一個組織委員會。在這個之后，你就會來參加我們這個的CBPR在亞太地區的體系運作，之后會有執行主管單位進行監管，然后會有問責制的這樣一個機構，會對你進行審計，看你是否根據這九個原則，是否執行的力度夠好。

    事實上有兩種問責的方式，首先是內部，還有一個是外部的。首先外部的第三方的審計是實時進行當中。我們知道有21個會員國，代表了整個這個地區當中的，不同國家來的，它們代表整個這個區域的比較先進的GDP指標的，都已經參與了。我們要很好的控制這個認證，認證不夠的話也談不到問責了。而且我們要對比，現有或者以前的法律法規是怎么樣的。

    之前裴女士說到過，有一些法律法規要進行更新，比如說在越南，今年和去年陸續有些新的法律更新，來保證整個的商業環境。這對我們來說，整個法律的執行是對他們認證的行為之后進行規范。這跟美國是不太一樣的，美國聯邦法律會有不同的描述，待會兒邁克爾·潘澤拉先生會告訴大家相關的情況。所有的不同的，這個評估之后會發送到不同的監管的主席單位。

    接下來我們有一個小組，它是來監管這個法律的執行，它有三個成員，主要是來管理我們的整個成員是不是有效的執行了我們的法律。接下來它會起草一個法案，我們聯邦法律第五節已經被我們的公司所執行了，那這樣的一個公司，它現在也是受我們聯邦隱私法的規管。接下來，你可以指定一個問責制的代理商，或者是指定幾個問責制的代理商。這些代理商有可能是律所或者是審計所等等，而這些第三方是完全保持中立的。政府在之后，在這個流程之后也會發布一個通知，向我們的理事會提交這個最后批準的認證書。此外我們這個組織的另外一個作用就是要將我們這個政策標準化，以及政策的適用范圍。在這邊，APEC的這些成員國最后將會進行投票，是不是我們起草的法案最終得以適用。這個投票權利的作用是非常巨大的，因為我們的實施細則是非常細節化的，所以每一條細則都有關于接下來成員國的執行，以及它們的未來。

    并不是說每個問責制的代理商都必須要完全的遵守這個APEC所統一的規章，比方說日本，他們根據自己的實際情況，對于他們所采取的政策進行了微調，但是還是符合我們APEC總的框架規定，所以他們還是符合整個組織的規定的，他們是符合我們的基準線的，因此這也是可行的。在這邊我們說過一個聯合的小組，剛才我說了他們幾個作用，也就是制定政策以及監管政策，并且整個流程是要試行一年，最后才真正的落到實處。到最后的一個步驟就是說，他們要簽名表示我們這個政策和流程得到審核。那么到底是哪一方現在加入到我們這個系統當中？現在是美國、墨西哥，北美的幾個國家都是加入到我們這個體制當中來。

    當然，我們整個體系實行下去將會花很長的時間，可能會受到很多的挑戰，但是從長期來說，對于APEC電子商務在未來健康的發展是非常有好處的。那么我們怎么來保證跨國集團跨境電子商務能夠真正的將這些規章制度執行到落實到實處呢？最重要的就是說，我們這個監管者和商家，他們的關系是怎么樣符合CBPR體制的要求的，怎么去處理呢？

    首先你必須要問一個問題，那就是說你是不是會將個人的信息傳輸給另外一個個人信息的處理商，如果是的話，那么你必須要在自己的申請書當中詳細描述，并且如果說你的答案是是的話，那你的信息披露以及信息的傳輸是不是符合我們的規章制度。而你使用的個人信息處理的程序，或者是說代理人，或者是任何的相關服務的供應商，能不能代表你，在意識到信息部正確或者是不完善或者是過時的時候來通知你呢？

    說到安全性，我們之后將會聽到一些講者就網絡安全問題給大家進行一個演講。首先在這方面，我們建議你要問一個問題，你使用的這些相關服務商是不是可以接受你傳輸的個人信息。此外他們能不能有相關的措施來防止數據丟失、未授權使用、破壞、披露或者其它的情況，所帶來的損失是不是有這樣的政策?？赡苣銈儸F在使用的合同當中并沒有詳細規定，但是之后我們會聽到講者分享給大家一些建議，怎樣改進自己的合同。

    此外，你們使用的這個機制是不是，或者是說你的分包商，他們想用你收到的個人信息，他們使用的機制是不是符合你使用隱私的政策，他們使用的政策是不是跟你所使用的組織的政策相悖。這都是一些非?；镜膯栴}，在你簽訂合同的時候必須要問自己。此外我們還要進行一個長期的或者說持續的監管，你必須要做這件事情，來保證能夠隨時隨地的符合自己的公司的隱私政策。這些事情你是必須要去做的，并不是說是自愿或者說可選的。

    在我結束之前，在我請上下一位之前，我想要來談談上午韓國的講者，他提到在歐洲電子商務的發展將會在未來非常的繁榮非常的快，這也是有賴于跨境電子商務的政策。我們不僅是需要在亞太地區執行我們這些政策，并且我們整個亞太地區的國家必須要秉持這樣的政策，去跟歐盟進行商討，進行電子商務。所以我們現在也是看到這樣一個趨勢，這些規章制度現在越來越在國際層面上，在全球的層面上有一個操作的可能性。

    這是我第三次參加這個論壇，也是感謝你們的邀請，十分感謝。我們一年之前也是談到過這樣一點，曾經說過我們應該把這些隱私法落到實處。之前聽上去非常的抽象，但是在一年前，IBM已經將這個標準進行了詳細化，現在一切看上去已經變得非常的具像了，我們美國也是希望在網絡隱私保護方面處于世界領先，并且繼續推進我們的電子商務。其實我們每個APEC的成員國在跟歐盟進行貿易的時候，必須要將這樣的政策貫徹下去。但是我們現在還沒有，還受到了很多的阻礙。在五年之前，歐盟還沒有坐上我們的談判桌，但是現在他們接受了他們同意了，但是我們還有很長的一段路要走。我們也希望歐盟他們使用的框架跟我們可以統一起來。

    現在我們整個小組，整個政策制定的小組，有29名成員，而其中有很多是來自歐盟的，他們是代表著歐盟的利益。他們所做的決策都代表著消費者的利益。我們知道，我們所面臨的機會是非常的大的?，F在我們應該要花最大的努力，并且我也鼓勵你們去做這樣的努力，來發展電子商務的相關網絡隱私政策框架的制定，這并不僅僅是在APEC本地區的事宜，而是全球的事宜。并不僅僅是給你的國家一個話語權在APEC這個領域當中發出聲音，而且你的聲音能夠讓歐盟聽到，讓世界聽見，你不需要去擔心你所采用的本地區的法律跟其它人采用的法律是相悖的，不用擔心，因為我們的未來會將這些法律進行一個統一。

    我在這邊給大家一個網站，cbps.org，如果大家有興趣可以看一下我們的網站，下載我們的文件，詳細讀一下。接下來我將請上我們第一位講者，我們將會在此節當中聽到很多的詳細的實施的細則，首先請上這位講者，她會跟我們詳細談談美國聯邦貿易委員會的個人隱私保護舉措。