1.2.6　隐私自我监管标准

随着隐私法律法规的逐渐增加及新兴技术带来的漏洞和风险，创建隐私自我监管框架在各个行业中变得越来越普遍。

例如，各种全球企业正在制定自我监管标准，以应对在线行为广告中日益增多的变化：

●广告标准局（Advertising Standards Authority）是英国的一家独立监管机构，负责管理所有类型的媒体中的广告，确保在线行为广告（Online Behavioral Advertising， OBA）规则的执行。

●美国白宫和联邦贸易委员会呼吁制定行业隐私标准。

●除 GDPR 之外，欧盟成员国正在考虑使用更多的隐私标准来保护其公民的个人信息。

●亚太经合组织隐私框架概括了消费者对其隐私利益保护的期望。APEC 经济体可以使用该框架来共享最佳实践并协调法律标准，使跨境共享消费者信息不会成为消费者、企业或政府的风险来源。

一般来说，大多数行业倾向于制定自己的自我监管标准，而不是遵循政府组织制定的法律和法规。以下是目前正在使用的一些自我监管隐私标准。

●美国能源行业　北美能源标准委员会（North American Energy Standards Board， NAESB）根据现有报告和法律建立了用于第三方访问消费者智能电网数据的业务实务模型。NAESB 发布了以下针对能源行业的非约束性隐私标准：

■NAESB REQ.22，《第三方对基于智能电表的信息的访问》（Third Party Access to Smart Meter-Based

Information）　该标准为第三方对基于智能电表信息的访问提供了业务实践模型，供企业自愿采用。NAESB 在此标准内提出的隐私建议主要基于 NISTIR 7628 修订版 1。

■NAESB REQ.21，《能源服务提供商接口》（Energy Services Provider Interface）9　据 NAESB 表示，“NAESB 的《能源服务提供商接口》标准（REQ.21）旨在创建标准化流程和接口，用于在零售客户指定的数据保管者（分销公司）与获得授权的第三方服务提供商之间交换零售客户的能源使用信息”。REQ.21 包含了一些缓解相关隐私风险的建议。

●美国农业　《农场数据的隐私和保护原则》10旨在向农民确保其与大数据服务提供商共享的数据不会遭到滥用。这些非约束性原则为收集、存储和分析农场数据的企业提供了准则。该准则可用于制定服务合同和营销工具，使用农场数据来提高农作物产量或降低农民成本。

●移动应用行业　美国数字广告联盟发布了《自我监管原则在移动环境中的应用》（Application of Self-Regulatory Principles to the Mobile Environment），为广告商、代理商、媒体和技术企业提供了指南，指导他们如何让消费者控制交叉应用程序（行为广告）、个人目录及移动应用程序中的精确位置数据的使用。网络广告促进会（Network Advertising Initiative， NAI）面向其成员发布了自我监管的《移动应用规范》（Mobile Application Code），以管理移动设备上的行为定向广告。

●广告业　NAI 行为准则是一套自我监管原则，要求 NAI 成员企业通过 HTTP cookie 提供有关基于兴趣的广告的通知和选择。该规范限制了成员企业可用于广告目的的数据类型，并针对成员企业收集、使用和传输数据，将其用于基于兴趣的广告的行为施加了一系列实质性限制。DAA 针对数字广告建立了一套单独的自我监管原则，通过 DAA 的透明度和问责原则来执行隐私实务。

●社交媒体行业　欧盟主要的社交网络服务提供商签署了自我监管协议《欧盟更安全的社交网络原则》（The Safer Social Networking Principles），承诺实施保障未成年用户安全的措施。

●移动计算行业　欧洲领先的移动服务提供商和内容提供商签署了《为青少年和儿童创造更安全的手机使用环境的欧洲框架》（The European Framework for Safer Mobile Use by Younger Teenagers and Children）11。它提出了一系列国家和企业措施，以确保包括青少年和儿童在内的用户更安全地使用移动计算设备。

●个人信息处理者　APEC 于 2015年 8 月批准了关于 APEC 处理者隐私识别（Privacy Recognition for Processors，PRP）系统治理12的文件。新成员调查问卷中列出了 PRP 的基本要求，旨在帮助个人信息控制者识别合格且负责任的个人信息处理者，协助他们履行相关的隐私义务。

●客户数据保护和自带设备的使用　香港金融管理局发布的一则通函，为银行提供多层安全控制的实施指南，以预防和检测客户数据丢失、泄露的情况。该通函要求银行在允许使用自带设备（Bring Your Own Device， BYOD）的情况下，应遵守香港银行公会制定的严格的最低控制标准。

●《个人信贷资料实务守则》　该守则由香港个人资料私隐专员公署发布，提供了关于如何处理消费者信贷资料的实用指南。该守则适用于征信机构的实务，以及信贷提供者与征信机构和债务追收机构之间的合作。

●《电信行业咨询指南》（Advisory Guidelines for the Telecommunication Sector）　新加坡个人数据保护委员会发布的咨询指南，旨在帮助解决电信行业独特的数据隐私要求，以遵循 2012年《个人信息保护法案》。该指南的范围涵盖了电信行业中的各种情况，包括漫游、账单中的广告、明细账单中显示的个人数据及“禁止拨入”条款。

●银行业　《银行营运守则》阐述了新西兰银行在数据保护法律法规方面及为公平合理地对待客户所做的工作方面的实务。

●人类生物医学研究行业　《人体生物医药研究道德准则》（The Ethics Guidelines for Human Biomedical Research）13汇编了新加坡生物伦理咨询委员会（Bioethics Advisory Committee， BAC）以往的建议。它建立了新加坡研究伦理的治理框架，确保研究参与者的隐私得到适当保护。此外，它为伦理委员会或机构审查委员会的研究人员和成员提供了关于数据保护规则和法规的伦理资源。