2011年5月9日 星期一

[Q&A] 什麼是安全港架構(Safe Harbor Framework)?

許多組織,在網站的資料收集和隱私權政策中(像是google的隱私權政策),常會提到其遵守所謂的「安全港架構(Safe Harbor Framework)」,到底它是什麼架構?要遵循哪些事項?恐怕清楚知道的人就不多了。


根據維基百科的定義,安全港架構是一項法律的規定,可減少或消除當事人在法律的責任,但其要件是當事人的各項作為,必須能夠履行良好的誠信原則,或符合所定義的法規標準。此一安全港架構即是立法者制訂用來保護在合法或情有可原的違反情況下,或是鼓勵採取適當隱私保護作為的措施。

目前美國和歐盟及瑞士都有通過彼此認可的安全港架構,主要是因各國對於隱私和個人資訊保護所採取的措施皆不同,例如歐盟即禁止個人資訊傳輸至非歐盟的國家。

但是若透過安全港架構,歐盟的成員國就可允許美國傳送、儲存或使用歐盟成員國民的個人資訊,也就是將符合安全港原則的美國企業也視為符合其「資料保護命令(The European Commission’s Directive on Data Protection)」的標準。

同理,美國和瑞士的作法也是類似,以此作為一個彼此互信採認的橋樑,讓美國的企業或組織同樣可遵守瑞士的資料保護法(Swiss data protection law)。

想要符合美國和歐盟的安全港計劃,組織可以加入一項自我律定的隱私計劃,遵守美國和歐盟的安全港架構的要求,或是也可以制訂本身所監管的隱私政策,以符合美國和歐盟的安全港架構。

關於安全港的隱私原則,主要有以下幾項要求:

告知(Notice)
組織必須告知個人關於其資訊的蒐集和使用目的,組織也必須提供個人在有任何疑問時,如何與該組織連繫或投訴、向第三方揭露資訊的方式,以及組織所提供可用來限制使用和揭露的選擇。

選擇(Choice)
組織必須給予個人選擇(退出),是否可將他們的個人資訊透露給第三方或用於不符合當初蒐集目的或隨後的授權。對於敏感資訊,也必須提供明確的選擇(加入),是否將資訊透露給第三方,或使用在不符合當初的蒐集目的,或是個人隨後授權的目的之上。

Onward Transfer (Transfers to Third Parties) 轉出(轉讓給第三方)
要將資訊揭露給第三方,必須符合告知和選擇原則。同時組織若作為轉讓的代理人,必須確保第三方同樣遵守安全港隱私保護原則,例如訂立書面協議,要求第三方至少也要提供相同水準的隱私保護。

存取(Access)
個人擁有存取在組織中所持有個人資訊的權利,而且能夠要求更正、修改或刪除不正確的個人資訊,除非其將產生和個人隱私不相稱的風險或侵犯到其他人的權利。

安全(Security)
組織必須採取合理的預防措施,保護個人資訊不會遺失、濫用,和受到未經授權的存取、洩露、竄改和破壞。

資料完整性(Data integrity)
個人資訊必須使用於和蒐集相關的目的上,組織必須採取合理的步驟來確保資料的可靠性,以達成預期的使用、正確、完整及現行趨勢。

執法(Enforcement)
為了確保符合安全港原則,必須是(a)易於獲得的獨立申訴機制,使每個人的投訴和糾紛可進行調查和解決,提供適用於法律或隱私部門的損害賠償;(b)確認公司承諾遵守安全港原則的程序已被實施;(c)未遵守原則時,矯正所產生問題的義務,處罰措施必須夠嚴格,以確保組織遵守法規,組織若未能提出年度的自我認證書,將會被從參與者名單除名,組織遵守安全港的利益也無法被保證。

[參考資料]
1. Safe Harbor Frameworks
2. U.S.-EU Safe Harbor Overview
3. Wikipedia:Safe harbor

沒有留言: