经过DPO社群中热心同学的努力，欧洲理事会（Council of Europe）的《关于个人数据自动化处理的个人保护公约》中文翻译终于出炉了。在此，把译者前言贴出来。

译者序言

1981年，欧洲理事会（Council of Europe，非欧盟的European Council）发布了《关于个人数据自动化处理的个人保护公约》（Convention for the Protection of Individuals with regard to AutomaticProcessing of Personal Data，下称《公约》或“108号公约”）。由于在欧洲理事会《欧洲条约集》（European Treaty Series）中编号108，因此这一公约通常被习惯性地称为“108号公约”。在国际上，“108号公约”被公认是最为重要的关于个人信息保护的国际公约性法律文件。

《公约》在经过数次修订后，除了向欧洲理事会成员国和欧盟开放外，也开始面向非欧洲国家以及国际组织开放签署。截至2019年3月，这一公约的缔约方中欧洲理事会成员国占26席（其中包括英国、德国、法国、俄罗斯、瑞典、芬兰、挪威、荷兰、比利时、西班牙、葡萄牙、意大利、爱尔兰、匈牙利、冰岛等主要欧洲国家）、非欧洲理事会成员国则占1席（即乌拉圭）。

《公约》旨在以立法手段创设统一规则与标准，针对缔约方管辖范围内的所有个体（无论其国籍或住所地）的隐私和个人数据进行有效的保护。1999年，欧洲理事会针对108号公约进行了首次修订；2001年，欧洲委员会对这一公约进行了补充，加入了《有关监管机构和跨境数据流通的附加协定》；2012年，欧洲理事会进一步针对公约进行修订，去掉了针对“个人数据处理”中的“自动化”限定，扩大了《公约》的适用范围；2018年，乌拉圭与20个欧洲理事会成员国签署了一项欧洲理事会条约，作为《公约》的修订议定书。至此，历经近四十年的演进更新，108号公约完成了其“现代化”（Modernisation）过程。

结合社会发展的大背景来看，《公约》的多次修订均出于适应新形态的经济与社会发展需要（主要是数字科技与信息网络技术等领域的进步带来信息传播手段与场景的多样化，对隐私与个人数据保护不断提出新的问题与挑战），并显著提升了《公约》对于隐私与个人数据权利的保护水平。多次修订而完成“现代化”的《公约》主要新颖之处例如：

• 强调了《公约》之目的，即保证在缔约方管辖的公共和私人领域范围内所有个体的个人数据在被处理时均得到有效的保护，从而使得该等个体的权利（尤其是隐私权）和基本自由得到尊重。

• 将数据文件控制者（Controller of a data file）修改为“数据控制者”（data controller），同时增加了“处理者”（processor）和“接收方”（recipient）术语，更加契合国际学术研究与司法实践。

• 明确《公约》的适用范围是缔约方管辖范围内的个人数据处理活动，不再局限于此前版本所界定的“自动化的个人数据处理”活动；涵盖私营部门和公共部门（Private and Public Sectors）的个人数据处理活动，不再适用于自然人在纯粹的个人或家庭活动中进行的数据处理活动。

• 规定“数据主体的同意”或者“其他法定合法依据（如合同、数据主体的重大利益、数据控制者的法定义务等）”是处理个人数据的法律依据；如《公约》5.2明确规定数据处理在数据主体自由、具体、知情以及明确同意的基础上或者法律规定的其他合法基础之上进行。

• 扩展了个人敏感数据的目录，如基因数据、与违法行为、刑事诉讼和定罪以及相关的安全措施有关的个人数据、唯一识别个人的生物特征数据、揭示与种族或族裔出身、政见、工会会员、宗教或其他信仰、健康或性生活有关信息的个人数据。

• 在数据安全方面引入了将个人数据泄露事件及时通报监管机构的要求。

• 强调数据控制者保证数据处理透明性的义务。《公约》第8.1条要求数据控者须提供一套数据处理的信息，特别是关于数据控制者身份和经常住所地或机构，数据处理的法律依据和处理的目的，处理的个人数据的类型，个人数据的接收者或者接收者类型，数据主体行使权利的方式等。

• 赋予数据主体新的权利，增强数据主体对其个人数据的控制权（详见《公约》第9条）；针对数据处理主体规定了更广泛的义务，例如在开始数据处理之前审查拟进行的数据处理对数据主体的权利和基本自由可能产生的影响，且该等数据处理的设计安排应旨在防止或减少妨害此类权利和基本自由的风险；采取技术性和组织性的措施，且应在该等措施中考虑数据处理各阶段中对个人数据保护权利的影响。

• 加入了“个人数据跨境流通”的条款，确保处理个人数据过程中对个体给予适当保护的同时，促进数据不分国界实现自由流通。

• 补充了个人数据监管机构的权利目录条款，允许监管机构介入、调查、参与诉讼或提请司法机关注意违反数据保护规定的行为，并作出裁决和进行惩罚。

• 强化了《公约》委员会的角色和权利，不再局限于“咨询”角色，而是拥有了评估和监督权力。

可以看到，《公约》为欧洲现代的隐私与个人数据保护立法与实践奠定了重要基础，在全世界范围内亦产生了深远影响。《公约》在个人数据处理活动相关的概念、原则等的设定上已为当前国际主流立法实践所采纳。译者在翻译中同时参阅GDPR，亦不时有似曾相识之感。《公约》主旨一方面在于确保对个人数据处理过程中数据主体的基本权利与自由给予适当保护，另一方面在于促进数据的跨境自由流通从而推动经济的发展，这一点正顺应了经济全球化和区域一体化的政治经济发展潮流。鉴于我国在经济全球化方面的参与度极高，势必需要不断提升在个人数据保护方面的立法与执法水平，以确保能够与相关国家和地区相匹配和顺利衔接。

感谢DPO社群的热心同学，分工合作将“现代化”的《公约》全文翻译出来，以供大家参考学习。诸位译者均为本职工作之余从事翻译，译文如有疏漏错谬之处，还请读者海涵并指正。

薛颖  何国锋

下载“108号公约”全文翻译中文全文翻译，请点击文末左下角的“阅读原文”。【提取码:fjtj】

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制 
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

10. 第十期数据保护官沙龙纪实：数据融合可给企业赋能，但不能不问西东
    

    
    

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）

12. APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）

13. 从数据融合角度分析CNIL处罚谷歌案（DPO社群成员观点）

14. 历史和国际比较视角DPO法律制度探源（DPO社群成员观点）

15. 谷歌数据融合合规之路：从欧盟监管机构调查与处罚来看——上篇（DPO社群成员观点）

16. 数据保护官岗位角色技术能力分析（DPO社群成员观点）

17. 中国企业境外投资中儿童个人信息保护（DPO社群成员观点）

18. 企业上市过程面临的数据合规问题和相关风险：境内篇（DPO社群成员观点）

19. 企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点）
    

20. 数据保护岗位需求与能力发展（DPO社群成员观点）

21. DPO互助平台对企业数据治理实务的指导（DPO社群成员观点）

22. 对网络安全负责人岗位的思考（DPO社群成员观点）