数据保护官沙龙（DPO Salon） 沙 龙 公益出品 《关于个人数据自动化处理的个人保护公约》 护 官 中译文 据 保 翻译：（姓氏音序排名） 陈舒、孟洁（法务）、钱开耘 严少敏、张向拓、朱敏 审校：何国锋 数 译文序：薛颖 何国锋 2019年4月 署名-非商业性使用-禁止演绎 2.5 中国大陆 1 目录 译文序 / 03 沙 龙 现代化的《108号公约》:简而言之新颖/ 05 数 据 保 护 官 关于个人数据自动化处理的个人保护公约/ 11 2 译者序言 沙 龙 1981年，欧洲理事会（Council of Europe，非欧盟的European Council） 发布了《关于个人数据自动化处理的个人保护公约》（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data， 下称《公约》或“108号公约”）。由于在欧洲理事会《欧洲条约集》 （European Treaty Series）中编号108，因此这一公约通常被习惯性地称为 “108号公约”。 在国际上，“108号公约”被公认是最为重要的关于个人信息保 护的国际公约性法律文件。 护 官 《公约》在经过数次修订后，除了向欧洲理事会成员国和欧盟开放外， 也开始面向非欧洲国家以及国际组织开放签署。截至2019年3月，这一公约 的缔约方中欧洲理事会成员国占26席（其中包括英国、德国、法国、俄罗 斯、瑞典、芬兰、挪威、荷兰、比利时、西班牙、葡萄牙、意大利、爱尔 兰、匈牙利、冰岛等主要欧洲国家）、非欧洲理事会成员国则占1席（即乌拉 圭）。 数 据 保 《公约》旨在以立法手段创设统一规则与标准，针对缔约方管辖范围内 的所有个体（无论其国籍或住所地）的隐私和个人数据进行有效的保护。 1999年，欧洲理事会针对108号公约进行了首次修订；2001年，欧洲委员会 对这一公约进行了补充，加入了《有关监管机构和跨境数据流通的附加协 定》；2012年，欧洲理事会进一步针对公约进行修订，去掉了针对“个人数 据处理”中的“自动化”限定，扩大了《公约》的适用范围；2018年，乌拉圭 与20个欧洲理事会成员国签署了一项欧洲理事会条约，作为《公约》的修订 议定书。至此，历经近四十年的演进更新，108号公约完成了其“现代化” （Modernisation）过程。 结合社会发展的大背景来看，《公约》的多次修订均出于适应新形态的 经济与社会发展需要（主要是数字科技与信息网络技术等领域的进步带来信 息传播手段与场景的多样化，对隐私与个人数据保护不断提出新的问题与挑 战），并显著提升了《公约》对于隐私与个人数据权利的保护水平。多次修 订而完成“现代化”的《公约》主要新颖之处例如：  强调了《公约》之目的，即保证在缔约方管辖的公共和私人领域范围 内所有个体的个人数据在被处理时均得到有效的保护，从而使得该等 个体的权利（尤其是隐私权）和基本自由得到尊重。 3 数 据 保 护 官 沙 龙  将数据文件控制者（Controller of a data file）修改为“数据控制者” （data controller），同时增加了“处理者”（processor）和“接收方” （recipient）术语，更加契合国际学术研究与司法实践。  明确《公约》的适用范围是缔约方管辖范围内的个人数据处理活动， 不再局限于此前版本所界定的“自动化的个人数据处理”活动；涵盖私 营部门和公共部门（Private and Public Sectors）的个人数据处理活动， 不再适用于自然人在纯粹的个人或家庭活动中进行的数据处理活动。  规定“数据主体的同意”或者“其他法定合法依据（如合同、数据主体的 重大利益、数据控制者的法定义务等）”是处理个人数据的法律依据； 如《公约》5.2 明确规定数据处理在数据主体自由、具体、知情以及明 确同意的基础上或者法律规定的其他合法基础之上进行。  扩展了个人敏感数据的目录，如基因数据、与违法行为、刑事诉讼和 定罪以及相关的安全措施有关的个人数据、唯一识别个人的生物特征 数据、揭示与种族或族裔出身、政见、工会会员、宗教或其他信仰、 健康或性生活有关信息的个人数据。  在数据安全方面引入了将个人数据泄露事件及时通报监管机构的要 求。  强调数据控制者保证数据处理透明性的义务。《公约》第 8.1 条要求 数据控者须提供一套数据处理的信息，特别是关于数据控制者身份和 经常住所地或机构，数据处理的法律依据和处理的目的，处理的个人 数据的类型，个人数据的接收者或者接收者类型，数据主体行使权利 的方式等。  赋予数据主体新的权利，增强数据主体对其个人数据的控制权（详见 《公约》第 9 条）；针对数据处理主体规定了更广泛的义务，例如在 开始数据处理之前审查拟进行的数据处理对数据主体的权利和基本自 由可能产生的影响，且该等数据处理的设计安排应旨在防止或减少妨 害此类权利和基本自由的风险；采取技术性和组织性的措施，且应在 该等措施中考虑数据处理各阶段中对个人数据保护权利的影响。  加入了“个人数据跨境流通”的条款，确保处理个人数据过程中对个体 给予适当保护的同时，促进数据不分国界实现自由流通。  补充了个人数据监管机构的权利目录条款，允许监管机构介入、调 查、参与诉讼或提请司法机关注意违反数据保护规定的行为，并作出 裁决和进行惩罚。  强化了《公约》委员会的角色和权利，不再局限于“咨询”角色，而是 拥有了评估和监督权力。 4 沙 龙 可以看到，《公约》为欧洲现代的隐私与个人数据保护立法与实践奠定 了重要基础，在全世界范围内亦产生了深远影响。《公约》在个人数据处理 活动相关的概念、原则等的设定上已为当前国际主流立法实践所采纳。译者 在翻译中同时参阅GDPR，亦不时有似曾相识之感。《公约》主旨一方面在 于确保对个人数据处理过程中数据主体的基本权利与自由给予适当保护，另 一方面在于促进数据的跨境自由流通从而推动经济的发展，这一点正顺应了 经济全球化和区域一体化的政治经济发展潮流。鉴于我国在经济全球化方面 的参与度极高，势必需要不断提升在个人数据保护方面的立法与执法水平， 以确保能够与相关国家和地区相匹配和顺利衔接。 数 据 保 护 官 感谢DPO社群的热心同学，分工合作将“现代化”的《公约》全文翻译出 来，以供大家参考学习。诸位译者均为本职工作之余从事翻译，译文如有疏 漏错谬之处，还请读者海涵并指正。 5 The modernised Convention 108: novelties in a nutshell 现代化的《108号公约》：简而言之新颖 官 沙 龙 With the modernisation of the 1981 Convention 108, its original principles have been reaffirmed, some have been strengthened and some new safeguards have been laid down: They had to be applied to the new realities of the on-line world while new practices had led to the recognition of new principles in the field. The principles of transparency, proportionality, accountability, data minimisation, privacy by design, etc. are now acknowledged as key elements of the protection mechanism and have been integrated in the modernised instrument. 随着1981年《108号公约》（“《公约》”）的现代化，其原有的原则得到重申，一些原有的原则得到强 化，并制定了新的保障措施。这些原则须适用于网络世界的新现实，而新的实践已使这一领域新的原则 得到承认。透明性、相称性、问责制、数据最小化、设计隐私等原则已被公认为个人数据保护机制的关 键要素，并已纳入此现代化的《公约》。 The main novelties 1 of the modernised Convention can be presented as follows: 现代化的《公约》主要新颖之处如下: 护 Object and purpose of the Convention (Article 1) 《公约》的目标和目的（第一条） 据 保 Under article 1 the objective of the Convention is clearly underlined, namely to guarantee to every individuals within the jurisdiction of one of the Parties (regardless of their nationality or place of residence) the protection of their personal data when undergoing processing, thus contributing to respect for their rights and fundamental freedoms, and in particular their right to privacy. 第一条明确强调了的《公约》目的，即保证在《公约》缔约方的管辖范围内每一个体（不论其国籍或住所 地）的个人数据在被处理时均得到保护，从而使个体的权利和基本自由得到尊重,特别是他们的隐私权。 数 Using this wording, the Convention highlights the fact that the processing of personal data may positively enable the exercise of other fundamental rights and freedoms, which can thus be facilitated by guaranteeing the right to data protection. 《公约》通过使用这些措辞强调了一个事实，即对