文 | 北京师范大学 吴沈括 邓立山

为了确保充分保护个人信息，同时实现经济体间的数据安全流动，从而让各经济体能够充分享受全球数字经济的利益，亚太经济合作组织（Asia-Pacific Economic Cooperation，以下简称“APEC”）在成员经济体之间设计并发展了跨境隐私规则（Cross-Border Privacy Rules，以下简称“CBPR”）。这提供了一个现成的、国际认可的隐私保护认证框架。CBPR体系通过数据隐私小组（Data Privacy Subgroup）的联合监督小组进行统一管理，建立了经济体、责任代理和申请组织等三级认证制度，并通过经济体间隐私执法机关的合作提供强制效力保障。

CBPR体系的建立背景和制度逻辑

APEC于1989年由12个亚太地区经济体成立，是全球最大的区域性经济合作组织。其成立目的是促进区域经济的发展和繁荣。APEC于2021年扩展到21个经济体成员，其中包括美国、中国和日本等全球和地区主要国家。APEC的主要目标是为了促进亚太地区的工业化经济体和发展中经济体之间的自由、开放的投资和贸易。

自20世纪90年代开始，为了促进亚太地区逐渐兴起的电子商务对经济发展的推动作用，APEC成立了电子商务指导小组（Electronic Commerce Steering Group，以下简称“ECSG”）。ECSG的任务之一是推动亚太地区统一的法律和政策环境构建，并于2003年组建数据隐私小组。数据隐私小组于2005年制定并实行了APEC隐私框架。APEC隐私框架包括APEC的隐私原则和实施指南，其符合并借鉴了APEC关于保护隐私和个人数据跨境流动的指导方针，旨在促进亚太地区对隐私和个人信息保护措施的一致性，同时确保数据的自由流动，以促进经济发展和区域一体化。

2007年，APEC建立了数据隐私探路者（Data Privacy Pathfinder）。2011年，在数据隐私探路者的努力下，经过APEC所有经济体首脑表决通过后，APEC建立了CBPR体系，这是对APEC隐私框架要求的实施，并将适用于APEC经济体之间的个人信息流动。CBPR体系建立了一套由政府背书的，自愿、可执行和基于责任制的隐私保护认证机制。APEC经济体中的数据控制者可以在满足认证要求后加入该认证体系，以向境外交易相对方证明自身的数据保护水平。在CBPR体系下，APEC于2015年建立了数据处理者隐私识别（Privacy Recognition for Processors，以下简称“PRP”）体系，并且还建立跨境隐私执法安排（Cross-Border Privacy Enforcement Arrangement，以下简称“CPEA”）。

CBPR体系主要包括如下4个方面的内容：1.认证标准，即在判断相关主体是否能成为CBPR体系认证的责任代理（Accountability Agent）时适用；2.准入问卷，即组织在申请认证为符合CBPR体系时适用；3.评估标准，即在CBPR体系认证的责任代理在审查组织对准入问卷的回答时适用；4.监管合作安排，即用于确保参与APEC的经济体能够执行CBPR体系的要求。

CBPR体系的实践流程具体包括：自评估、合规审查、承认或接受跨境规则、争议解决和执行。在具体实践中，相关组织通过向责任代理提交自评估问卷及相关文件，并发起CBPR体系的认证程序。然后由APEC认证的第三方机构评估申请组织的隐私政策和实践情况，并根据CBPR体系给予认证。同时，第三方机构还要负责解决个人和认证组织之间的争议。

此外，责任代理对申请组织进行合规审查，并与申请组织一同评估并确保其内部政策符合CBPR体系，并在授予认证之后的每一年对申请组织进行重新认证。CBPR体系所设立的，由责任代理进行的第三方核查的方式是独特的。这建立了及时高效的争议解决机制，并且由CBPR认证经济体授权的内部执法机关为争议解决提供了强制力。

经济体的加入与退出程序

CBPR体系包括了经济体的认证、责任代理的认证和组织认证三个级别，并由跨境隐私执法安排给予实施上的保障，通过三级认证构建政府、认证机构和业务组织三个层级的跨境隐私管理体系。CBPR体系由数据隐私小组进行管理。数据隐私小组又通过联合监督小组对整个项目进行管理。联合监督小组的成员除该小组可能设立的工作组成员外，还包括参与经济体的提名代表。

成员经济体通过获得认证加入APEC的CBPR体系，是该经济体中私营组织获得认证的前提，也是CBPR体系中的基础性认证。CBPR体系对隐私保护设定了最低标准。为获得认证，成员经济体需要调整国内立法以符合相关标准。

一个经济体获得CBPR认证，这意味着CBPR体系的联合监督小组已经确认：当组织在该经济体司法管辖范围内运营时，可以利用该经济体的法律法规来强制该组织遵守CBPR体系的要求。

根据联合监督小组相关章程的要求，APEC经济体加入CBPR体系需要在满足条件后，由电子商务指导小组（ECSG）主席提名。具体条件包括以下四个方面：1.经济体在ECSG的代表或其他合适的政府代表向ECSG递交一封信，以阐明加入CBPR体系的愿望并确认其内部至少有一个隐私执法机关是APEC跨境隐私执法安排的成员单位；2.该经济体至少使用一位APEC认可的责任代理；3.由经济体所在ECSG的代表或其他合适的政府代表，在与联合监督小组协商后，向ECSG主席提交一份如何在该经济体执行CBPR体系计划的解释；4.联合监督小组就如何满足上述条件向ECSG主席提交一份报告。在联合监督小组提交积极的调查报告当日，该经济体即成为CBPR体系的一员。

同时，该经济体还需要提名一个或多个责任代理，以获得APEC的认可。当该经济体提名责任代理受到认可，便意味着该经济体的相关组织可以开始着手启动加入CBPR体系的程序。如果仅有的责任代理不能继续工作，经济体应当尽快明确新责任代理的提名时间或直接提交认可申请。在没有合格的责任代理期间，对经济体内组织的认证工作应当暂停，并在新的责任代理被认可后重新进行认证流程。

此外，经济体也被赋予推出CBPR体系的权利和退出途径。经济体提前一个月向ECSG主席提交书面退出通知即可退出。在经济体退出之后，该经济体内的责任代理也必须退出CBPR体系。关于退出的相关情况应当在责任代理和组织之间的协议中予以注明。

责任代理认证程序

CBPR体系采用指定第三方责任代理的方式对申请CBPR认证的组织进行认证，从而使申请组织拥有向境外获得认证的组织进行个人信息传输的权利。对责任代理的认证，是CBPR体系的支撑性、衔接性认证，其联系了经济体和申请组织两个层面。责任代理的主体范围多样，可以是私营主体、国营主体，也可以是隐私执法机关。在特定情况下，经济体也可能被允许从其他经济体指定责任代理。

责任代理的认证程序从经济体提名责任代理开始，被提名的责任代理应向相关机关提交申请和相关文件。在提名中，经济体应当说明与责任代理运行相关的国内法律规范和相关执法机关。首先，如果经济体提出由其域内的隐私执法机关担任责任代理，则需要确认该隐私执法机关已加入跨境隐私执法安排，并阐明隐私执法机关执行CBPR体系的方式。其次，如果某经济体提出让位于其他经济体的责任代理负责本经济体的组织认证事项，则需要告知联合监督小组，并说明提供保障的相关域内法律法规和执法机关。最后，对于其他类型责任代理的申请，相关机关在初步审查责任代理提交文件并通过后，会将申请和相关文件传送给ECSG的数据隐私小组和联合监督小组。

根据认证申请，联合监督小组会对责任代理进行审查，审查完毕后，向该经济体发送是否认可的审查结果。审查标准有以下四个方面：1.受到经济体域内隐私执法机关的管辖，该机关已加入CBPR体系；2.满足责任代理的认证标准；3.同意使用CBPR问卷来对组织本身进行评估，或以其他方式证明满足了CBPR体系的最低要求；4.完成相关签名和联系信息表格填写。此外，责任代理也禁止与相关组织有利益冲突的行为，如提供其他认证服务。如果在ECSG设定的截止日期前经济体未表示反对，则视为ECSG批准了该责任代理的申请。

同时，CBPR体系设立了对责任代理的投诉机制和责任代理的退出机制。联合监督小组可以接受各类主体关于责任代理的投诉，并要求隐私执法机关等相关机关予以调查并根据域内法采取措施。联合监督小组可随时因投诉提出暂停对责任代理的认可。责任代理的首次认证期限是一年。对同一责任代理此后的认证可以维持两年的时间。责任代理需要在到期前一个月重新申请认证。在重新认证中，对责任代理此前行为的投诉、联合监督小组向隐私执法机关提出的调查请求等将会影响新的认证作出。如果该经济体所有责任代理被暂停职能，那么该经济体将暂停参与CBPR体系，并且责任代理为组织颁发的所有认证将被终止，直到经济体再次满足参与CBPR体系的要求。

CBPR体系下的组织认证程序

通过对组织的CBPR认证，确认其具备足够隐私保护能力，这是CBPR体系实施层面的重要认证。责任代理是具体负责对申请参与CBPR体系的组织进行初始认证的机构，并负责对获得认证的组织遵守CBPR体系的情况进行监督。为此，获得认证的组织应当向指定的责任代理提交年度合规证明。申请组织应当向所在经济体内的责任代理或其他获认可的责任代理提交申请，责任代理接到申请后向申请组织提供自评估问卷，并根据相关评估指南审查问卷和相关文件。申请过程中，申请组织和责任代理之间可以对申请事项进行多次交流并重复申请流程。为满足认证要求，申请组织需要负责设计符合CBPR体系的隐私政策和实践，并由责任代理予以审查。

CBPR体系全面覆盖了个人信息保护所需的基本内容，初始认证要求的自评估主要包括如下8个方面的评价：1.告知义务，即确保个人信息主体了解申请组织的个人信息政策，其中，包括个人信息传输对象和使用目的等；2.收集限制，即确保信息收集符合收集时的特定目的，遵循与目的相关的比例原则，并采用合法和公平的手段；3.个人信息使用，即确保个人信息的使用仅限于实现特定收集目的、其他兼容或相关的目的；4.选择权，即确保个人信息被收集、使用和公开时，个人选择权得到了充分保障；5.个人信息完整性，即确保个人信息控制者保持相关记录的准确性和完整性并使其保持最新状态；6.安全保障，即确保当个人将其信息委托给申请组织时，该申请组织实施合理的安全保障措施，以避免个人信息丢失、被公开或其他滥用；7.访问和更正，即确保个人能够访问和进行更正；8.责任，即确保申请组织应当对遵守前述原则负责，并承担相应责任。

责任代理还负责及时纠正获得认证组织的不合规行为，并在必要时向相关执法机关报告。相关规则还要求责任代理公布认证标准，并及时向相关隐私执法机关和CBPR秘书处报告新认证的组织、暂停或终止认证的组织。

PRP体系的安排

CBPR体系的目标对象是数据控制者，并不适用于数据处理者。APEC成员经济体和数据控制者希望建立一套针对数据处理者的认证体系。2015年，数据处理者隐私识别（PRP）体系应运而生。数据处理者通过PRP体系认证可以证明自身的数据处理至少符合CBPR体系对数据控制者的数据处理隐私保护要求。这也帮助了数据控制者识别和选择合格数据处理者。

PRP体系虽然为各方提供了可信的数据处理者隐私保护能力识别机制，但未要求CBPR认证的数据控制者采用PRP认证的数据处理者，也未改变数据控制者的责任，包括对数据处理过程负责。CBPR联合监督小组根据CBPR体系框架，采用类似于CBPR认证中的评估手段对数据处理者进行评估。

此外，根据部分国家的隐私保护法规，PRP认证的数据处理者不能受到与CBPR认证一致的国内政府的执法保障。目前，在PRP体系下，各经济体中存在多种监管和执法机制，包括政府的执法、责任代理与数据处理者签署合同、政府和数据隐私小组监督责任代理履行职责。

组织认证公开机制

申请组织经过APEC认可的责任代理审核，被认证为符合CBPR体系的要求后，其相关认证信息将被纳入APEC官方的认证组织目录，并在APEC秘书处管理的官方网站上予以公开，以便消费者和其他利益相关方了解该组织的隐私保护和认证的具体情况。