“未来隐私”论坛总监乔诗·哈里斯先生主持第五届APEC电子商务工商联盟论坛

“未来隐私”论坛总监乔诗·哈里斯

乔诗·哈里斯：这边有小组讨论，请相关的组员上台。大家下午好，自我介绍一下，我叫乔诗·哈里斯，我们在华盛顿特区是有关政策方面的咨询组织，我们有一些智囊团。我们今天可能要说到隐私，要说说电子商务当中的情况。还有徐秀智女士是来自戴尔，米勒是来自英特尔，在政策方面法务方面有非常强的顾问的支持。徐秀智女士是来自戴尔，还有美国联邦贸易委员会的迈克尔·潘泽拉先生，还有罗峰先生是亿赞普公司的董事长，刘鑫是中国互联网信息中国互联网发展研究部副主任。我们有来自各个领域的专家，我们也不依次说了，我们一次性来提这个问题，下面探讨一下对于这个话题，电子商务的合作和网络安全，对中小企业方面的合作。

首先开始是有关亚太地区的电子商务的隐私的一些法律框架。我们要知道如何帮助电子商务公司，尤其是中小型公司，如何更加有效监管和管控隐私方面的策略或者战略。我们首先从谁开始？首先我们要说说亚太地区的隐私框架，如果说大家重点对于我们整个的APEC的组织了解的话，它本身的框架，我们设定一下框架的标准，这个原则在APEC当中各个成员国能够在统一的框架之内，因为我们知道地区是有差异的，他们本身对于这个问题的保护不太一样。我们希望能够在跨境跨区域的交易当中更好的保护消费者的个人隐私。

我们这边说到消费原则，我们这里有九项原则，比方说防止伤害，我们要确定你的数据不会影响到消费者的健康和利益，接下来包括提示、使用的信息，权限，包括数据的安全等等。大家要了解整个政策，并且在这方面要知道如何能够保护，在整个框架之下能够很好的保护你从消费者这里收集到的信息。对于整个的信息，你要确定，你在使用时必须要有良好的定义，不该用的地方就不要用这些信息。而且在收集这些信息的时候必须要清楚，如果有些信息在收集之后使用之后，应该及时的删除。而且我们觉得，很多的公司要对数据进行验证，它是否一致，它们需要这些信息进行交易的认证，包括访问的权限。所以对于消费者来讲，有权利来进行这方面的运作。我们要确定这些所有的点都是被良好的管理的，如果违规就要受到相应的惩罚。另外有一个外部的验证，APEC，亚太地区只是亚太地区，我们有非常中立的第三方进行这样的验证。就类似外部的审计，确定所有的原则在这个市场运行。

说到框架，很多的我们给出的是非常框架非常粗略的一个原则，我们刚才说有九个原则，这九个原则只是一个根本的原则，各个地区的会员国是按照自己特定的地区来针对隐私信息进行保护。比如说韩国，韩国在自己这个地区保护，中国也有相应的保护隐私的方式。所以以区域这样一个根本来进行调整，我们知道地区不同，立法都完全不一样的。我们的想法就是如何能够有一个很好的格式，来进行执法。而且我们要知道，要认识到识别到我们在不同地区的法规当中有不同点和相同点，而且包括如何能够让它们进行协调。刚才说到这九个原则，我们看看，首先我们要说说，首先是全球国际化的执行，CBPR可以通过这样一个本身的平台进行跨境的这样一个方式的保护。首先这上面，这个方案是不同的，我们这个组织都在这九个原则框架之下进行保护相关的信息，必须要确认，你是一对一相匹配的。我们觉得在一个地区一个国家当中，一个公司，他们所做的一个基准的原则是和另外一个国家的公司，在这个地区是有基础是匹配的。这当中会有不一样，我们会有行为准则，而且这个原则是希望大家在跨境交易的时候，能够在跨境或者跨国的交易中，能够把这个成本降得更低，而且同时保护我们个人的信息。包括在传播他们的信息的时候，能够做好这一点。

CBPR这个系统就是一个非常好的这样遵循的系统，这个系统是自愿型的系统，只要他们在自己的地区自己的管辖区域可以选择相关的原则，只要是适用的，而且可以进行相关修正。我这边已经说了，强调一下它是自愿的。我们这边不是说危害性的法律，事实上我们是说基准性的指导性的这样一个CBPR的协调的原则。比方说，如果你签了，就说明你自愿的遵守这样一个条约。这是一个非强制性的框架，所以并不涉及法律方面的含义。但是这是一个非常好的指导，首先你必须得是APEC的会员，而且要有相关的主管执法当局。所谓的当局都在自己的管辖范围有法律法规，什么叫执行？就是它的法律要在APEC的范围内进行执法。有很多原因可以说明它是有差异的，在上午说到在越南的框架是不一样的，如果把越南的商业法和联邦商业法相比其实是不一样的，有可能它的基础是保护消费者，保护交易的公正性公平性，但是其实它的表现可能是不一样的。这是一个方面，除了执法当局，还有就是个人信息的保护的安排，这是一个组织，这是我们的一个小组。和APEC是很相似的，它也是一个自愿的组织，能够在不同的监管中协调的这样一个平台，同样也是自愿的。如果出现这个现象，我们也会有尽职调查。我们首先有监管，在监管中会有对法条的解释。比如有时候会说，你至少要达到什么样的标准，我这边要说，我们作为监管方有特定的法律，对于你来讲必须要合乎这个法规。所以对你来讲，你必须要熟知这方面的情况。

对于我们来讲，我们怎么做？为了很好的合规，我们能够帮助公司进行这方面的知识方面的合规。如果这个公司能够合规，那么对于他们来讲，他们提供的产品和服务就能够更好的保护客户的需求。然后我们看看政府，政府也非常重要，我们这边的政府可能会在CBPR当中有一个参与度的意向书，这样首先你要不要参加这样一个CBPR的组织，然后你有可能有这个意向书，然后告诉你本地区会有相应的监管，而且我们也愿意参加APEC的CBPR系统的意向，我们愿意加入CPEA这样一个组织委员会。在这个之后，你就会来参加我们这个的CBPR在亚太地区的体系运作，之后会有执行主管单位进行监管，然后会有问责制的这样一个机构，会对你进行审计，看你是否根据这九个原则，是否执行的力度够好。

事实上有两种问责的方式，首先是内部，还有一个是外部的。首先外部的第三方的审计是实时进行当中。我们知道有21个会员国，代表了整个这个地区当中的，不同国家来的，它们代表整个这个区域的比较先进的GDP指标的，都已经参与了。我们要很好的控制这个认证，认证不够的话也谈不到问责了。而且我们要对比，现有或者以前的法律法规是怎么样的。

之前裴女士说到过，有一些法律法规要进行更新，比如说在越南，今年和去年陆续有些新的法律更新，来保证整个的商业环境。这对我们来说，整个法律的执行是对他们认证的行为之后进行规范。这跟美国是不太一样的，美国联邦法律会有不同的描述，待会儿迈克尔·潘泽拉先生会告诉大家相关的情况。所有的不同的，这个评估之后会发送到不同的监管的主席单位。

接下来我们有一个小组，它是来监管这个法律的执行，它有三个成员，主要是来管理我们的整个成员是不是有效的执行了我们的法律。接下来它会起草一个法案，我们联邦法律第五节已经被我们的公司所执行了，那这样的一个公司，它现在也是受我们联邦隐私法的规管。接下来，你可以指定一个问责制的代理商，或者是指定几个问责制的代理商。这些代理商有可能是律所或者是审计所等等，而这些第三方是完全保持中立的。政府在之后，在这个流程之后也会发布一个通知，向我们的理事会提交这个最后批准的认证书。此外我们这个组织的另外一个作用就是要将我们这个政策标准化，以及政策的适用范围。在这边，APEC的这些成员国最后将会进行投票，是不是我们起草的法案最终得以适用。这个投票权利的作用是非常巨大的，因为我们的实施细则是非常细节化的，所以每一条细则都有关于接下来成员国的执行，以及它们的未来。

并不是说每个问责制的代理商都必须要完全的遵守这个APEC所统一的规章，比方说日本，他们根据自己的实际情况，对于他们所采取的政策进行了微调，但是还是符合我们APEC总的框架规定，所以他们还是符合整个组织的规定的，他们是符合我们的基准线的，因此这也是可行的。在这边我们说过一个联合的小组，刚才我说了他们几个作用，也就是制定政策以及监管政策，并且整个流程是要试行一年，最后才真正的落到实处。到最后的一个步骤就是说，他们要签名表示我们这个政策和流程得到审核。那么到底是哪一方现在加入到我们这个系统当中？现在是美国、墨西哥，北美的几个国家都是加入到我们这个体制当中来。

当然，我们整个体系实行下去将会花很长的时间，可能会受到很多的挑战，但是从长期来说，对于APEC电子商务在未来健康的发展是非常有好处的。那么我们怎么来保证跨国集团跨境电子商务能够真正的将这些规章制度执行到落实到实处呢？最重要的就是说，我们这个监管者和商家，他们的关系是怎么样符合CBPR体制的要求的，怎么去处理呢？

首先你必须要问一个问题，那就是说你是不是会将个人的信息传输给另外一个个人信息的处理商，如果是的话，那么你必须要在自己的申请书当中详细描述，并且如果说你的答案是是的话，那你的信息披露以及信息的传输是不是符合我们的规章制度。而你使用的个人信息处理的程序，或者是说代理人，或者是任何的相关服务的供应商，能不能代表你，在意识到信息部正确或者是不完善或者是过时的时候来通知你呢？

说到安全性，我们之后将会听到一些讲者就网络安全问题给大家进行一个演讲。首先在这方面，我们建议你要问一个问题，你使用的这些相关服务商是不是可以接受你传输的个人信息。此外他们能不能有相关的措施来防止数据丢失、未授权使用、破坏、披露或者其它的情况，所带来的损失是不是有这样的政策。可能你们现在使用的合同当中并没有详细规定，但是之后我们会听到讲者分享给大家一些建议，怎样改进自己的合同。

此外，你们使用的这个机制是不是，或者是说你的分包商，他们想用你收到的个人信息，他们使用的机制是不是符合你使用隐私的政策，他们使用的政策是不是跟你所使用的组织的政策相悖。这都是一些非常基本的问题，在你签订合同的时候必须要问自己。此外我们还要进行一个长期的或者说持续的监管，你必须要做这件事情，来保证能够随时随地的符合自己的公司的隐私政策。这些事情你是必须要去做的，并不是说是自愿或者说可选的。

在我结束之前，在我请上下一位之前，我想要来谈谈上午韩国的讲者，他提到在欧洲电子商务的发展将会在未来非常的繁荣非常的快，这也是有赖于跨境电子商务的政策。我们不仅是需要在亚太地区执行我们这些政策，并且我们整个亚太地区的国家必须要秉持这样的政策，去跟欧盟进行商讨，进行电子商务。所以我们现在也是看到这样一个趋势，这些规章制度现在越来越在国际层面上，在全球的层面上有一个操作的可能性。

这是我第三次参加这个论坛，也是感谢你们的邀请，十分感谢。我们一年之前也是谈到过这样一点，曾经说过我们应该把这些隐私法落到实处。之前听上去非常的抽象，但是在一年前，IBM已经将这个标准进行了详细化，现在一切看上去已经变得非常的具像了，我们美国也是希望在网络隐私保护方面处于世界领先，并且继续推进我们的电子商务。其实我们每个APEC的成员国在跟欧盟进行贸易的时候，必须要将这样的政策贯彻下去。但是我们现在还没有，还受到了很多的阻碍。在五年之前，欧盟还没有坐上我们的谈判桌，但是现在他们接受了他们同意了，但是我们还有很长的一段路要走。我们也希望欧盟他们使用的框架跟我们可以统一起来。

现在我们整个小组，整个政策制定的小组，有29名成员，而其中有很多是来自欧盟的，他们是代表着欧盟的利益。他们所做的决策都代表着消费者的利益。我们知道，我们所面临的机会是非常的大的。现在我们应该要花最大的努力，并且我也鼓励你们去做这样的努力，来发展电子商务的相关网络隐私政策框架的制定，这并不仅仅是在APEC本地区的事宜，而是全球的事宜。并不仅仅是给你的国家一个话语权在APEC这个领域当中发出声音，而且你的声音能够让欧盟听到，让世界听见，你不需要去担心你所采用的本地区的法律跟其它人采用的法律是相悖的，不用担心，因为我们的未来会将这些法律进行一个统一。

我在这边给大家一个网站，cbps.org，如果大家有兴趣可以看一下我们的网站，下载我们的文件，详细读一下。接下来我将请上我们第一位讲者，我们将会在此节当中听到很多的详细的实施的细则，首先请上这位讲者，她会跟我们详细谈谈美国联邦贸易委员会的个人隐私保护举措。