“108号公约”全文翻译(DPO沙龙出品)
经过DPO社群中热心同学的努力,欧洲理事会(Council of Europe)的《关于个人数据自动化处理的个人保护公约》中文翻译终于出炉了。在此,把译者前言贴出来。
译者序言
1981年,欧洲理事会(Council of Europe,非欧盟的European Council)发布了《关于个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with regard to AutomaticProcessing of Personal Data,下称《公约》或“108号公约”)。由于在欧洲理事会《欧洲条约集》(European Treaty Series)中编号108,因此这一公约通常被习惯性地称为“108号公约”。在国际上,“108号公约”被公认是最为重要的关于个人信息保护的国际公约性法律文件。
《公约》在经过数次修订后,除了向欧洲理事会成员国和欧盟开放外,也开始面向非欧洲国家以及国际组织开放签署。截至2019年3月,这一公约的缔约方中欧洲理事会成员国占26席(其中包括英国、德国、法国、俄罗斯、瑞典、芬兰、挪威、荷兰、比利时、西班牙、葡萄牙、意大利、爱尔兰、匈牙利、冰岛等主要欧洲国家)、非欧洲理事会成员国则占1席(即乌拉圭)。
《公约》旨在以立法手段创设统一规则与标准,针对缔约方管辖范围内的所有个体(无论其国籍或住所地)的隐私和个人数据进行有效的保护。1999年,欧洲理事会针对108号公约进行了首次修订;2001年,欧洲委员会对这一公约进行了补充,加入了《有关监管机构和跨境数据流通的附加协定》;2012年,欧洲理事会进一步针对公约进行修订,去掉了针对“个人数据处理”中的“自动化”限定,扩大了《公约》的适用范围;2018年,乌拉圭与20个欧洲理事会成员国签署了一项欧洲理事会条约,作为《公约》的修订议定书。至此,历经近四十年的演进更新,108号公约完成了其“现代化”(Modernisation)过程。
结合社会发展的大背景来看,《公约》的多次修订均出于适应新形态的经济与社会发展需要(主要是数字科技与信息网络技术等领域的进步带来信息传播手段与场景的多样化,对隐私与个人数据保护不断提出新的问题与挑战),并显著提升了《公约》对于隐私与个人数据权利的保护水平。多次修订而完成“现代化”的《公约》主要新颖之处例如:
强调了《公约》之目的,即保证在缔约方管辖的公共和私人领域范围内所有个体的个人数据在被处理时均得到有效的保护,从而使得该等个体的权利(尤其是隐私权)和基本自由得到尊重。
将数据文件控制者(Controller of a data file)修改为“数据控制者”(data controller),同时增加了“处理者”(processor)和“接收方”(recipient)术语,更加契合国际学术研究与司法实践。
明确《公约》的适用范围是缔约方管辖范围内的个人数据处理活动,不再局限于此前版本所界定的“自动化的个人数据处理”活动;涵盖私营部门和公共部门(Private and Public Sectors)的个人数据处理活动,不再适用于自然人在纯粹的个人或家庭活动中进行的数据处理活动。
规定“数据主体的同意”或者“其他法定合法依据(如合同、数据主体的重大利益、数据控制者的法定义务等)”是处理个人数据的法律依据;如《公约》5.2明确规定数据处理在数据主体自由、具体、知情以及明确同意的基础上或者法律规定的其他合法基础之上进行。
扩展了个人敏感数据的目录,如基因数据、与违法行为、刑事诉讼和定罪以及相关的安全措施有关的个人数据、唯一识别个人的生物特征数据、揭示与种族或族裔出身、政见、工会会员、宗教或其他信仰、健康或性生活有关信息的个人数据。
在数据安全方面引入了将个人数据泄露事件及时通报监管机构的要求。
强调数据控制者保证数据处理透明性的义务。《公约》第8.1条要求数据控者须提供一套数据处理的信息,特别是关于数据控制者身份和经常住所地或机构,数据处理的法律依据和处理的目的,处理的个人数据的类型,个人数据的接收者或者接收者类型,数据主体行使权利的方式等。
赋予数据主体新的权利,增强数据主体对其个人数据的控制权(详见《公约》第9条);针对数据处理主体规定了更广泛的义务,例如在开始数据处理之前审查拟进行的数据处理对数据主体的权利和基本自由可能产生的影响,且该等数据处理的设计安排应旨在防止或减少妨害此类权利和基本自由的风险;采取技术性和组织性的措施,且应在该等措施中考虑数据处理各阶段中对个人数据保护权利的影响。
加入了“个人数据跨境流通”的条款,确保处理个人数据过程中对个体给予适当保护的同时,促进数据不分国界实现自由流通。
补充了个人数据监管机构的权利目录条款,允许监管机构介入、调查、参与诉讼或提请司法机关注意违反数据保护规定的行为,并作出裁决和进行惩罚。
强化了《公约》委员会的角色和权利,不再局限于“咨询”角色,而是拥有了评估和监督权力。
可以看到,《公约》为欧洲现代的隐私与个人数据保护立法与实践奠定了重要基础,在全世界范围内亦产生了深远影响。《公约》在个人数据处理活动相关的概念、原则等的设定上已为当前国际主流立法实践所采纳。译者在翻译中同时参阅GDPR,亦不时有似曾相识之感。《公约》主旨一方面在于确保对个人数据处理过程中数据主体的基本权利与自由给予适当保护,另一方面在于促进数据的跨境自由流通从而推动经济的发展,这一点正顺应了经济全球化和区域一体化的政治经济发展潮流。鉴于我国在经济全球化方面的参与度极高,势必需要不断提升在个人数据保护方面的立法与执法水平,以确保能够与相关国家和地区相匹配和顺利衔接。
感谢DPO社群的热心同学,分工合作将“现代化”的《公约》全文翻译出来,以供大家参考学习。诸位译者均为本职工作之余从事翻译,译文如有疏漏错谬之处,还请读者海涵并指正。
薛颖 何国锋
下载“108号公约”全文翻译中文全文翻译,请点击文末左下角的“阅读原文”。【提取码:fjtj】
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点