亚太经济合作组织（Asia-Pacific Economic Cooperation，APEC）为确保充分保护个人信息，同时实现经济体间的数据安全流动，从而让各经济体能够充分享受当今全球数字经济的利益，在成员经济体之间设计并发展了跨境隐私规则（Cross-Border Privacy Rules，CBPR），这提供了一个现成的、国际认可的隐私保护认证框架。CBPR体系通过数据隐私小组（Data Privacy Subgroup）的联合监督小组（Joint Oversight Panel）进行统一管理，建立了经济体、责任代理和申请组织等三级认证制度，并通过经济体间隐私执法机关的合作提供强制效力保障。

一、CBPR体系的建立背景和制度逻辑

APEC于1989年由12个亚太地区经济体成立，是全球最大的区域性经济合作组织，其成立目的是促进区域经济的发展和繁荣。APEC于2021年扩展到21个经济体成员，其中包括美国、中国和日本等全球和地区主要国家。APEC的主要目标是为促进亚太地区的工业化经济体和发展中经济体之间，自由和开放的投资和贸易。自90年代开始，APEC为促进亚太地区逐渐兴起的电子商务对经济发展的推动，成立了电子商务指导小组（Electronic Commerce Steering Group，ECSG）。ECSG的任务之一是推动亚太统一的法律和政策环境构建，并于2003年组建数据隐私小组，数据隐私小组于2005年制定并实行了APEC隐私框架。APEC隐私框架包括了APEC的隐私原则和实施指南，其符合并借鉴了经合组织关于保护隐私和个人数据跨境流动的指导方针，旨在促进亚太地区对隐私和个人信息保护措施的一致性，同时确保数据的自由流动，以促进经济发展和区域一体化。

2007年，APEC建立了数据隐私探路者（Data Privacy Pathfinder）。2011年，在数据隐私探路者的努力下，在APEC21个经济体首脑的通过后，建立了CBPR体系，这是对APEC隐私框架要求的实施，并将适用于APEC经济体之间的个人信息流动。CBPR体系建立了一套由政府背书的，自愿、可执行和基于责任制的隐私保护认证机制，APEC经济体中的数据控制者可以在满足认证要求后加入该认证体系，以向境外交易相对方证明自身的数据保护水平。在CBPR体系下，APEC于2015年建立了数据处理者隐私识别（Privacy Recognition for Processors，PRP）体系，并且还建立跨境隐私执法安排（Cross-Border Privacy Enforcement Arrangement，CPEA）。

CBPR体系主要包括了四个方面的内容：1）认证标准——在判断相关主体是否能成为APEC CBPR认证的责任代理（Accountability Agent）时适用；2）准入问卷——在组织在申请认证为符合APEC CBPR体系的组织时适用，该体系是与第三方CBPR认证的责任代理一致的；3）评估标准——在APEC CBPR认证的责任代理在审查组织对准入问卷的回答时适用；4）监管合作安排——用于确保参与的APEC的经济体能够执行CBPR体系的要求。

其实践流程具体包括：自评估、合规审查、承认或接受跨境规则、争议解决和执行。在具体实践中，相关组织通过向责任代理提交自评估问卷和相关文件发起CBPR体系的认证程序，然后由这些APEC认证的第三方机构评估申请组织的隐私政策和实践，根据CBPR体系给予认证。同时，他们还要负责解决个人和认证组织之间的争议。此外，责任代理会对组织进行合规审查，并与申请者一同评估并确保其内部政策符合CBPR体系，并在授予认证之后的每一年再对组织进行重新认证。CBPR体系所设立的，由责任代理进行的第三方核查的方式是独特的，这建立了高效及时的争议解决机制，并且由CBPR认证经济体授权的内部执法机关为争议解决提供了强制力。

二、CBPR体系的制度要旨和主要规则

CBPR体系包括了经济体的认证、责任代理的认证和组织认证三个级别，并由跨境隐私执法安排给予实施上的保障，通过三级认证构建政府、认证机构和业务组织三个层级的跨境隐私管理体系。CBPR体系由数据隐私小组进行管理，数据隐私小组又通过联合监督小组对整个项目进行管理。联合监督小组的成员除该小组可能设立的工作组成员外，还包括参与经济体的提名代表，保障了CBPR体系决策的民主性和措施的可执行性。

1. APEC经济体加入和退出CBPR体系的程序

成员经济体通过获得认证加入APEC的CBPR体系，是该经济体中私营组织获得认证的前提，也是CBPR体系中的基础性认证。CBPR体系对隐私保护设定了最低标准，为获得认证，经济体需要调整国内立法以符合相关标准。同时，一个经济体获得CBPR认证，意味着CBPR体系的联合监督小组已经确认，当组织在该经济体司法管辖范围内运营时，可以利用该经济体的法律法规来强制该组织遵守CBPR体系的要求。

根据《联合监督小组章程》第2.1条的要求，APEC经济体加入CBPR体系需要在满足条件后由电商指导小组（Electronic Commerce Steering Group，ECSG）主席提名。具体条件要求有：1）经济体在ECSG的代表或其他合适的政府代表向ECSG递交一封信，以阐明加入CBPR体系的愿望并确认其内部至少有一个隐私执法机关是APEC的跨境隐私执法安排的成员单位；2）该经济体表明计划根据章程第7.2段所述程序，使用至少一个APEC认可的责任代理；3）经济体在ECSG的代表或其他合适的政府代表，在与联合监督小组协商后，向ECSG主席提交一份如何在该经济体执行CBPR体系计划的解释；4）联合监督小组就如何满足上述条件向ECSG主席提交一份报告。在联合监督小组提交积极的调查报告当日，该经济体即成为CBPR体系的一员。

经济体还需要提名一个或多个责任代理，以获得APEC的认可或将受到认可的信息通知给ECSG的主席。当该经济体提名责任代理受到认可，就意味着该经济体中的组织可以开始加入CBPR体系。如果仅有的责任代理不能继续工作，经济体应当尽快明确新的责任代理提名时间或直接提交认可申请。在没有合格的责任代理期间，对经济体内组织的认证工作应当暂停，并在新的责任代理被认可后重新进行认证流程。

经济体也被赋予了推出CBPR体系的权利和途径，经济体提前一个月向ECSG主席提交书面退出通知即可以退出。在经济体退出之后，该经济体内的责任代理也必须退出CBPR体系，关于退出的相关情况应当在责任代理和组织之间的协议中予以注明。

2. 责任代理认证程序

CBPR体系采用指定第三方责任代理的方式对申请CBPR认证的组织进行认证，从而使申请组织获得向境外获得认证的组织进行个人信息传输的权利。对责任代理的认证，是CBPR体系的支撑性、衔接性认证，联系了经济体和申请组织两个层面。责任代理的主体范围多样，可以是私营主体、公营主体，也可以是隐私执法机关。在特定情况下，经济体也可能被允许从其他经济体指定责任代理。

责任代理的认证程序从经济体提名责任代理开始，被提名的责任代理应向相关机关提交申请和相关文件。在提名中，经济体应当说明与责任代理运行相关的国内法律规范和相关执法机关。首先，如果经济体提出由其域内的隐私执法机关担任责任代理，则需要确认该隐私执法机关已加入跨境隐私执法安排，并阐明隐私执法机关执行CBPR体系的方式。其次，如果某经济体提出让位于其他经济体的责任代理负责本经济体的组织认证事项，则需要告知联合监督小组，说明提供保障的相关的域内法律法规和执法机关。最后，对于其他类型责任代理的申请，相关机关在初步审查责任代理提交文件并通过后，会将申请和相关文件传送给ECSG的数据隐私小组和联合监督小组。

根据认证申请，联合监督小组会对责任代理进行审查，审查完毕后，向该经济体发送是否认可的审查结果。审查标准有以下四个方面：1）受到经济体域内隐私执法机关的管辖，该机关已加入CBPR体系；2）满足责任代理的认证标准；3）同意使用CBPR问卷来对组织本身进行评估，或以其他方式证明满足了CBPR体系的最低要求；4）完成相关签名和联系信息表格填写。此外，责任代理也禁止与相关组织有利益冲突的行为，如提供其他认证服务。在经济体受到审查结果后，应当在征求多方意见的情况下再次考虑，如果在ECSG设定的截止日期前经济体未表示反对，则视为ECSG批准了该责任代理的申请。

CBPR体系还设立了对责任代理的投诉机制和责任代理的退出机制。联合监督小组可以接受各类主体关于责任代理的投诉，要求隐私执法机关等相关机关予以调查并根据域内法采取措施。联合监督小组可随时因投诉考虑并建议暂停对责任代理的认可。责任代理的首次认证期限是一年，对同一责任代理此后的认证可以维持两年的时间，责任代理需要在到期前一个月重新申请认证。在重新认证中，责任代理此前的行为的投诉、联合监督小组向隐私执法机关提出的调查请求等将会影响新的认证做出。如果该经济体所有责任代理被暂停职能，那么该经济体将暂停参与CBPR体系，并且责任代理为组织颁发的所有认证将被终止，直到经济体再次满足参与CBPR体系的要求，组织需要重新完成认证流程。

3. CBPR体系下的组织认证程序

通过对组织的CBPR认证，确认其具备足够隐私保护能力，这是CBPR的体系实施层面的重要认证。责任代理是具体负责对申请参与CBPR体系的组织进行初始认证的机构，并负责对获得认证的组织遵守CBPR体系的情况进行监督，为此获得认证的组织应当向指定的责任代理提交年度合规证明。申请组织应当向所在经济体内的责任代理或其他受认可的责任代理提交申请，责任代理接到申请后向申请组织提供自评估问卷，并根据相关评估指南审查问卷回答和相关文件。申请过程中，申请组织和责任代理之间可以对申请事项进行多次的交流并重复申请流程。为满足认证要求，申请组织需要负责设计符合CBPR体系的隐私政策和实践，并由责任代理予以审查。

CBPR体系初始认证要求的自评估主要包括八个方面的评价，全面覆盖了个人信息保护所需的基本内容。1）告知——确保个人信息主体了解申请组织的个人信息政策，其中包括个人信息传输对象和使用目的等；2）收集限制——确保信息收集符合收集时的特定目的，遵循与目的相关的比例原则，并采用合法和公平的手段；3）个人信息使用——确保个人信息的使用仅限于实现特定的收集目的和其他兼容或相关的目的。如在进行个人信息使用、传输和公开时考虑信息的性质、收集的背景和信息的预期用途，判断相关扩展用途是否源于或促进个人信息使用的原目的；4）选择权——确保个人信息被收集、使用和公开时个人选择权得到了充分保障；5）个人信息完整性——确保个人信息控制者保持相关记录的准确性和完整性并使其保持最新状态；6）安全保障——确保当个人将其信息委托给申请组织时，该申请组织实施合理的安全保障措施，以保护个人信息免遭丢失、未经授权的访问或公开及其他滥用；7）访问和更正——确保个人能够访问和更正他们的信息。首先应当提供访问和更正权限，并对访问和更正进行身份验证；8）责任——确保申请组织对实施措施应当遵守上述原则负责。

责任代理还负责及时纠正获得认证组织的不合规行为，并在必要时向相关执法机关报告。相关规定还要求责任代理，公布认证标准，并及时向相关隐私执法机关和CBPR秘书处报告新认证的组织以及暂停或终止认证的组织。

4. PRP体系安排

CBPR体系的目标对象是数据控制者，并不适用于数据处理者，APEC成员经济体和数据控制者希望同时建立一套针对数据处理者的认证体系。2015年，由责任代理认证数据处理者的PRP体系设立，数据处理者通过PRP认证可以证明自身的数据处理至少符合CBPR体系对数据控制者的数据处理隐私保护要求。这也帮助了数据控制者识别和选择合格的数据处理者。PRP体系的建立为各方提供了可信的数据处理者隐私保护能力识别机制，但未要求CBPR认证的数据控制者采用PRP认证的数据处理者，也未改变数据控制者的责任，包括对数据处理过程负责。CBPR联合监督小组根据CBPR体系框架，采用类似于CBPR认证中的评估手段对数据处理者进行评估。此外，根据部分国家的隐私保护法规，PRP认证的数据处理者不能受到与CBPR认证一致的国内政府执法保障。目前，PRP体系下，各经济体中存在多种监管和执法机制，包括直接的政府执法、责任代理与数据处理者签署合同、政府和数据隐私小组监督责任代理履行职责。

5. 组织认证公开机制

组织经过APEC认可的责任代理审核，被认证为符合CBPR体系要求后，其相关认证信息将被纳入APEC官方的认证组织目录，并在APEC秘书处管理的官方网站上予以公开，以便消费者和其他利益相关方了解该组织的隐私保护和认证的具体情况。其具体认证信息包括组织名称、组织网站、组织隐私政策、联系方式、负责认证的责任代理、相关的隐私执法机关、认证范围、认证的起止时间。其中的隐私执法机关和责任代理的联系信息可用于进行投诉。

6. 跨境隐私执法安排

CBPR体系在制度安排中，未设立统一的执法机关，其采用了鼓励APEC成员经济体进行执法合作的方式，以保障CBPR体系的强制效力。为此，APEC建立了跨境隐私执法安排机制，也是亚太地区第一个隐私执法合作机制。这一合作安排的目的包括：1）促进经济体隐私执法机关之间的信息共享；2）建立隐私执法机关在执法方面的合作，包括案件移转、分别或联合的调查与执法行动；3）促进隐私执法机构在执行CBPR方面的合作；4）鼓励与APEC以外的隐私执法机构加强隐私调查和执法合作以及信息共享。

加入跨境隐私执法安排是APEC经济体参与CBPR体系的先决条件。因此，每个参与的APEC经济体都必须确定一个适当的监管机构，作为CBPR体系中的隐私执法机构。在跨境隐私执法安排体系下，经济体的隐私执法机关可以请求其他成员经济体隐私执法机关的协助，接受请求方有权决定是否提供协助。

三、CBPR体系的适用现状和国际认可

截止2021年11月，APEC中共有九个经济体加入了CBPR体系，分别是美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚、中华台北和菲律宾。根据APEC官网，已通过CBPR认证的组织一共有44个，其中美国组织占37个、新加坡组织5个、日本组织2个。由此可以看出，CBPR体系从建立以来，目前的使用范围还仅限于APEC内的个别国家。

在与APEC外的其他组织合作方面，世界不同经济体对CBPR体系认可程度不一。APEC与欧盟从2012年开始与欧盟合作进行CBPR体系与GDPR的互通研究，但欧盟于2019年发布的研究表明欧盟认为CBPR体系的数据传输规则和纠正机制不符合GDPR认证标准。但在2020年，美墨加协议将CBPR体系认可为保护个人信息和促进数据跨境流动的有效机制，百慕大隐私专员则认可CBPR体系为可以根据其国内个人信息保护法使用的海外数据传输的认证机制。

图文编辑：北京师范大学 陈蕙程