安全港原则(Safe harbor),又称避风港原则,是允许欧洲联盟和美国双方企业与个人能流通个人可识别资料的原则,是为了满足政府监管和立法目的而设立的私人自我调节的政策和机制,不包括政府法规和强制条令。加入安全港协议的美国企业必须单独从各个欧盟国家获取授权,以免侵犯欧盟隐私法的条款。通过采用自律、规则和政府强制的公平交易、强制执行在美国也会出现。
2000年,欧盟委员会与美国政府签订安全港协议。2014年8月1日,奥地利学生Max Schrems就Facebook未经合法授权就取用及分析欧洲用户个人资料等违反欧盟法律的问题,向维也纳的商业法庭提出集体诉讼,要求禁止Facebook将欧洲用户的资料传送到美国,并要求Facebook赔偿每位欧洲用户500欧元。2015年10月6日,欧洲法院裁定,安全港协议无法充分保护欧盟公民个人资料,应属无效。
欧盟已经执行隐私法多年,比世界上许多其他国家有更严格的法律基础。
欧盟在不允许在其境内经营的公司将个人资料发送到欧盟以外的国家,除非他们保证目标的保护程度。这种保护可以是在国家层面(如国家法律被认为能提供平等的保护),或在组织层面(如跨国组织严格控制其内部个人资料记录)。
安全港隐私保护原则允许美国公司,在符合欧盟的要求的情况下,得以注册来获得欧盟的认证。
这些原则是在1998 - 2000年期间发展出来的。欧盟委员会于2000年7月决定执行这个原则,允许传输欧盟的数据到经认证的美国公司。于2015年十月欧洲法院判决此原则无效。
必须遵守以下原则:
加入后,企业必须每隔12个月重新进行认证。它可以进行自我评估或聘请第三方来进行评估,以验证其是否符合这些原则。也必须确保适当的员工培训和有效的争端解决机制来达到欧盟的要求。
在2011年时,美国联邦贸易委员会发现一间总部位于加州的网络零售商,在销售时宣称其拥有英国的安全港认证,而实际上它没有。之后便遭到禁止。
欧盟 - 美国安全港原则一直是被批评的对象:
Kenneth C.Laudon and Jane P.Laudon, 《Management Information Systems》, Pearson, 07 March 2011, Chapter4 Information systems Organizations and Strategy p.88
