论文部分内容阅读
摘 要:文章基于个人数据跨境传输角度分析了全球化背景下欧洲理事会第108号公约的优势与不足。通过学者论著、相关条文、官方说明等文献研究发现108号公约的优势在于设立了一套具有国际法约束力的有关个人数据保护的基本原则,在一定程度上缓解了当前全球个人数据保护立法碎片化的问题。但同时,该公约存在程序不够透明、条文难以适应时代、与各国实践契合度较低及与GDPR联动性不佳等不足。针对108号公约的不足,文章立足全球化背景,从公约的未来展望进行评价并提出优化建议。
关键词:个人信息保护;个人数据跨境数据传输;GDPR;欧洲理事会;国际条约
作为“新时代的石油”,数据在全球电子商务中的重要性正与日俱增。诸如谷歌、苹果和百度依托信息技术发展的企业正通过分析收集而来的用户数据获利。它们设计的算法可以预测个体在消费方面的偏好甚至是某个消费群体的消费趋势,以此设计或提供更能满足消费者需求的服务或产品盈利。然而,数据处理需要消耗大量的运算力,这些运算力通常需要昂贵的计算设备提供。对企业而言,在每一个提供服务或产品的地方设立数据中心、采购机器并雇用技术人员显然是不切实际的,这不仅仅是因为上述流程需要耗费大量的资金,更是因为各国国内的个人数据保护法可能对企业对个人数据的收集和处理进行监管,从而限制了企业对数据的利用。跨境个人数据流通通过将从世界各处收集的数据传输到一处集中进行处理的方式,使企业更好地集中资源处理数据。然而,某些国家已经意识到个人数据中可能包含有关国家安全或基本人权保护的信息,这些数据转移出境将会给本国保护公民合法权利甚至保护国家安全带来不可预知的风险。为了降低这一风险,这些国家就个人数据的跨境传输出台了一系列诸如数据本地化的限制性规定,对个人数据的跨境传输产生了阻碍。
欧洲理事会是一个由四十七个成员国组成的国际政府间组织,其中的二十八个成员国为欧盟成员国。其起草并邀请各成员国加入的第108号公约[1]是目前世界上唯一与个人数据保护有关的国际条约。同时,其也是欧洲个人数据传输法律框架的重要组成部分。本文将从个人数据跨境传输的角度,探讨全球化背景下欧洲理事会第108号公约的优势和不足及如何进一步优化这一公约,以为全球的个人数据保护作出贡献。
一、108号公约的优势
(一)缓解当前个人数据保护立法的碎片化状态
当前,世界范围内的数据保护法立法碎片化,缺乏较为统一的框架,第108号公约在一定程度上可以缓解当前的碎片化问题。
首先,从个人数据保护的角度来看,108号公约包含了一系列个人数据保护的基本原则。例如,在收集个人数据时,数据收集者应当遵循“有限,合法和公平”的方式,并且在数据主体“同意”的基础上收集数据。[2]同时,数据处理者应当在“特定的目的”范围内对所搜集的数据进行处理。[3]这些原则,已经被各国的数据保护官方机构所承认,甚至写入了立法当中。换言之,这些国家的数据保护立法在价值取向上与第108号公约是有共通之处的。同时,作为一个国际条约,108号公约不只影響着欧洲国家。Greenleaf学者对全球GDP排名前二十名的非欧盟成员国进行了数据保护法的研究,结果显示:截至2017年,上述国家中有60%的国家采用了欧洲的数据保护标准。[4]
其次,108号公约相比其它个人数据跨境传输的倡议具有更强的法律强制力。国际组织在起草个人数据跨境传输的倡议或框架时,时常需要考虑国家安全、人权保护以及经济效益等多方面的问题。[5]而各国应对这些问题的优先级并不相同。欧洲国家倾向于将人权保护放在第一位,其他国家则有可能倾向于将国家安全放在第一位。[6]因此,将这些问题放进国际个人数据传输的倡议当中来讨论时,常常会产生难以调和的价值冲突。为了缓和这种冲突,诸如OECD原则的国际数据保护倡议常常只拟定笼统的个人数据保护原则。[7]相较之下,108号公约并不是一个没有法律拘束力的个人数据保护倡议。根据公约的第三和第四条,一旦一国加入该公约,其有义务使其本国的个人数据保护立法与公约中订立的规则保持一致。此外,公约的第二十五条规定禁止成员国提出的任何保留。这进一步强化了公约对成员国的规制效力。由此看来,108号公约相比其它个人数据跨境传输的倡议具有更强的法律强制力,可以更好地促进国际间个人数据传输的合作。这一观点也被联合国贸易和发展会议在2016年的报告中认同。在综合评估了四个主要的国际个人数据保护倡议之后,联合国贸易和发展会议发现108号公约在“解决适用范围缺陷”、“管理跨境个人数据传输”和“确定管辖权”方面均做到了最好。[8]报告进一步说明了在所研究的四个倡议中,108号公约被认为是最具影响力的国际个人数据保护倡议。
(二)降低个人数据跨境传输的阻碍
首先,公约的第十二条规定,除两种特别情况外,公约不允许成员国以保护公民隐私为由限制或禁止本国的个人数据传输给另一公约成员国。在第一种特别情况,由于某类个人数据的特殊性质,输出国对该类个人数据设立特殊法用于保护。[9]第二种是从某一成员国到另一成员国的数据传输,实际上是为了逃避公约对个人数据保护作出的规定。常见的情况为,从成员国A传输到成员国B的数据又被传输到了非成员国C,在此情况下,B国只是用以掩盖数据传输真实目的地的中转站。在不符合上述两种特殊规定的情况下,各成员国基于108号公约的规定,不能随意阻碍个人数据在成员国之间的传输。 第二,从地域的角度看,108号公约促进了欧洲成员国与非欧洲成员国之间的数据流通。从欧洲成员国的角度来看,108号公约可以促进它们与非欧洲成员国之间在个人数据跨境传输之间的合作。最新颁布的《通用数据保护条例》(下称“GDPR”)虽然很好地规制了个人数据从欧洲经济区内传输到欧洲经济区外,但不能促进个人数据从欧洲经济区外输入欧洲经济区,这对欧洲经济区内需要对数据进行分析和处理的企业是不利的。当前,全世界已有超过半数的国家设立了自己的数据保护法,这些数据保护法都或多或少地对个人数据的跨境传输做出了限制。[10]欧洲经济区内的企业若想通过个人数据跨境传输获得更多的有价值的信息,将受到较大的阻碍,这种阻碍将会随着越来越多的国家设立个人数据保护法而变得更加严峻。108号公约基于互惠原则的法律约束力,可以帮助欧洲经济区内的国家更好地从欧洲经济区外的成员国家输入数据。从非欧洲国家的角度看,加入108号公约可以帮助他们获得欧盟委员会颁布的“adequacy decision”(下称“充分性认定”)。根据GDPR的立法原因说明第一百零五条,欧盟委员会就个人数据跨境传输问题对一国作“充分性认定”时,会参考该国是否加入了108号公约。换言之,如果一个非欧盟国为108号公约的成员国,那么该国就有更大的可能被欧盟委员会视为“提供了充足的个人数据保护”的国家,获得“充分性认定”。作为第一个获得欧盟“充分性认定”的非欧盟国家,乌拉圭于2010年分别向欧洲理事会和欧盟委员会提交了加入108号公约和获得“充分性认定”的申请。不久之后,其成功加入了108号公约并获得了“充分性认定”。这一成功案例将会鼓励更多的欧洲之外的国家加入108号公约以便缩短获得“充分性认定”的周期。一旦获得了“充分性认定”,该国便可以依照GDPR第二十五条的规定的进行自由度更高的个人数据跨境传输,从而为本国的新兴经济发展提供帮助。
总而言之,108号公约能在一定程度上促进个人数据的跨境传输,这种促进作用同时有利于欧洲内的成员国和欧洲外的成员国。
二、108号公约的不足
(一)准入标准不够透明,加入时长不合理
首先,当前的108号公约在准入标准和加入程序方面不够透明,难以给有意向加入公约的国家提供参考。虽然条约办公室发布的“备忘录”解释了一些程序问题,但其没有进一步考虑欧洲以外的国家在加入该公约时可能出现的问题。例如,108号公约没有设立对欧洲外的国家设立清晰的准入条件。同时,在审核一国的是否达到准入条件时,Consultative Committee(下称“意见委员会”)只会对被审核国的法律条文进行审核,而不会评价该国在法律适用及执行方面做出的努力。[11]这些不足会使原本有意向加入该公约的非欧洲国家怀疑该公约是否真的欢迎世界上每一个国家的加入。同时,透明度的缺失也有可能使有意向加入的国家怀疑意见委员会对准入资格的判断是基于政治考量做出的。[12]
其次,一个国家加入108号公约所需的时长不够合理。如土耳其作为欧洲理事会的成员国,加入该公约共花费三十五年。同时,至今为止,并不是所有的国家都加入了于2001年頒布了附加议定书。阿塞拜疆,马耳他,圣马力诺和斯洛文尼亚尚未签署该附加议定书。[13]比利时,希腊,冰岛,意大利,挪威,俄罗斯联邦和联合王国仍在批准该附加议定书的过程中。就2018年的修订文件而言,截至目前,只有二十六个成员国签署。而2018年的修订文件的第三十七条规定:该修订文件只有在“所有成员国明确表示受该修订文件的约束”的情况下,或在“五年之后,至少有三十八个国家明确同意受该修订的约束”的情况下才能生效。然而,当前没有可以加快这一程序的国际法基础,如果在修订文件规定的期限届满后,同意加入该修订文件的成员国仍然没有超过三十八个,那么这个修订文件极有可能就此失效。
综上,如果未来108号公约需要进一步修订,新一轮的修订及加入程序又会花费成员国大量的时间。这与当前信息技术飞速发展的大趋势是相背离的,有可能导致108号公约跟不上最新的个人数据跨境传输实践而被各国弃置。
(二)条文难以应对新兴信息技术
108号公约的条文有一定局限性,使其难以应对新兴信息技术。首先,108号公约中所载的定义显得过于老旧而不够周延。以第二条为例,1981年版的公约将决定何时和如何处理个人数据的主体称为“数据文件的控制者”。这一概念与GDPR中的“数据控制者”相似但并不完全相同。在制定第108号公约时,信息技术仍然是新兴事物,为了使公约的条款易于理解,公约的第二条在“数据”后加上“文件”(file)二字。但如今,在实践及立法领域,“数据”不会再与“文件”组合作为个人信息相关的术语一同出现。人们更偏向于将数据理解为一种储存于数码介质(如硬盘)的无形物,而不是一堆被打印在纸张上的信息。除此之外,1981年版的公约没有清晰地定义个人数据跨境传输,缺乏清晰定义会带来潜在的问题。如,某个非公约成员国的公司访问了储存于公约成员国境内设立的网站的数据,这种情况是否应当被视为个人数据的跨境传输?在Bodil Lidqvist案[14]中,欧盟法院认为仅仅只是将数据公布在网站上的行为并不能视作个人数据的跨境传输。[15]这一判推断是在实践过程中产生的,欧盟以外的人不太可能会主动访问涉案网站的数据。然而,这个判决不是基于108号公约而是欧盟个人资料保护指令做出的。同时,由于108号公约不为个人提供任何直接救济[16],欧盟法院不太可能会援引108号公约做出判决。由此可以看出,定义的不完善,会使108号公约在处理与跨境数据传输有关的纠纷时陷入被动的境地。 第二,108号公约的条款中存在不合时宜的推定,这些推定不利于其适应新信息技术的发展。在这些推定当中,有三条值得讨论。第一,每个数据控制者(数据文件控制者)都有具体并且可定位的位置。并且,他们都具备处理数据传输的相关知识。[17]在此环境下,服务器的地点可以视作判定数据控制者所在地的关键性因素。第二,个人数据的跨境传输是一个分割并且独立的过程。为了完成数据传输,公司或组织需要雇用一群专门的技术人员每天将数据封装在文件中并手动传输给接收方。第三,每个国家都有充足的能力管理个人数据的跨境流动。然而,如果将现有的信息技术套入,上述的三个推断,没有一个是成立的。以云计算为例,在“软件即服务”(“Software as a Service”)模式下,云服务提供方为客户提供运算力和储存空间,所有的数据处理都会在服务器端进行,以此为客户节省大量的购置机器所需的费用。然而,如果这一云服务的提供者的总部和主要的数据处理中心不在一个国家,依据108号公约界定“数据文件控制者”将会变得十分困难。同时,在云计算的环境下,若服务提供者也是将所需数据储存在自由服务器内的数据处理者,界定这一服务提供者的难度将会大大提高。在此情况下,“数据文件控制者”和数据处理者的界限并不明确,但在某些国内法下,数据控制者需要对数据主体负责,数据处理者并不直接产生相应的法律责任。[18]如前所述,108号公约对成员国具有法律约束力,公约难以区分数据控制者和数据处理者的不足会增加成员国的国内法与公约产生冲突的风险,这并不利于公约的进一步推广。第三,目前绝大部分的个人数据传输都是持续并无处不在的,而不是间歇或具有周期性的。负责计算的模块需要持续地从储存模块获取数据进行处理,并持续地将处理结果发挥储存模块。也就是说,只要持续运算,数据传输就不会停止。在此情况下,可以看出,当前的个人数据跨境传输呈现出即时性和复杂性,而非以往的可预测性和可定位性。
总而言之,108号公约在其条文的定义及其背后的推论中都存在滞后性,这既不利于该公约规制基于新信息技术发展而产生的个人数据跨境传输,也不利于其在未来推向全世界的目标。
(三)与GDPR的联动性不佳
于2018年生效的GDPR取代了原有的《欧盟个人资料保护指令》,但个人数据从欧盟内传输到欧盟外仍然需要获得输入国提供“对个人数据进行充分保护”的认证。
GDPR的第五章整章对将个人数据转移到第三国或国际组织进行了规定,这些规定与108号公约的相关规定具有相似之处。第一,第四十四条的“一般规定”也强调对“正在处理或计划进行处理的个人数据,将其转移到第三国或国际组织,包括将个人数据从第三国或国际组织转移到另一国家”的情况进行规制。第二,若将规制方式作为切入角度,108号公约和GDPR都使用了“geographically-based approach”来规制个人数据的跨境传输,只是二者使用的称呼稍微不同。GDPR条文将关键条件称为“保护程度具有充足性”(an adequate level of protection),而108号公约称为“同等的保护程度”(“an equivalent protection”)。然而,在这些共通之处之外,两者之间的互动存在着潜在的冲突。
首先,虽然加入108号公约有利于非欧盟国家更快地获得“充分性认定”,但该成员国需要分别向欧洲理事会和欧盟委员会提出申请。这意味着该成员国需要同时准备两个申请程序、准备两套文件、与两方分别进行磋商,增加了申请国的时间成本和金钱成本。同时,如前所述,是否加入108号公约只是欧盟委员会作出“充分性认定”的参考点之一。就GDPR而言,其第四十五条还规定了一系列的评审项目和条件,若这些条件不满足,申请国仍然不太可能获得“充分性认定”。
第二,根据GDPR的第四十五条,在获得“充分性认定”之后,欧盟委员会将“至少每四年对第三国或国际组织的所有相关发展进行审查。一旦第三国或第三国内的一个或多个特殊部门或国际组织不再提供本条第二段所规定的充足保护,欧盟委员会将制定不具有溯及力的实施性法案,在必要限度内废止、修正或中止本条第三段所规定的决定。”。这一条款具有一定的合理性,保证了第三国在获得认证后能持续符合欧盟关于个人数据保护的标准。然而,如果综合考虑108号公约的情况,将会出现令人困惑的问题。公约的二十六条只规定公约的一方成员国可以在任何时候通过通知的方式退出该公约,但没有规定在何种情况下废止一方成员国的成员国资格。如果一个欧洲外的国家加入了108号公约并获得了欧盟委员会的“充分性认定”,但在欧盟委员会的后续审查时被撤销了“充分性认定”,应当如何处理该国108号公约成员国的资格呢?若公约委员会不考虑欧盟委员会做出的撤销决定,便有可能使108号公约和GDPR在个人数据跨境传输方面产生冲突。目前没有确切的条文或官方解释提出了这一问题的具体解决方案,如果公约委员会会参考欧盟委员会的决定废除了该成员国的资格,那么未来欧洲外的国家可能会以更加慎重的态度加入该公约。
(四)与各国个人数据保护实践的契合度较低
总体来看,108号公约还是过于以欧洲为中心,这一特征使得其并不能很好地适应世界上其他国家的个人数据保护实践。第一,108号公约不一定能适应其他国家的行政机构框架。公约附加议定书的第二条要求成员国建立个人数据保护机构,[19]在一些学者看来,条文中所述的个人数据保护机构更适合具有欧洲行政机构框架特征的国家设置,这一要求会使成员国不得不调整本国的行政组织架构。[20]如果一个国家的行政机构框架与欧洲的完全不同,为满足这一要求,该国可能需要对进行一定的政治改革,这会使问题复杂化。同时,即便一个国家建立了数据保护机构,该国也可能会遇到诸如当地的数据保护机构缺少资金与文化支持的问题。以加纳共和国为例,虽然其建立了個人数据保护委员会,但其当前囿于资金短缺的困境。同时,因当地缺少具备充足专业知识的人进行数据保护工作,委员会也缺乏足够的人力资源进行日常的工作,遑论依照本国的数据保护法进行执法。加上加纳当地并没有产生“个人隐私应当受到保护”的文化环境,当地的数据控制者和数据处理者并没有将保障个人数据安全放在心上,当地的公民也不会主动地利用法律武器捍卫自身的隐私,当地的数据保护法可以说形同虚设。[21]在此情况下,设立个人数据保护机构似乎并不能说明该国真的就能在保护个人数据方面做出了显著了努力。 第二,某些国家会因本国已经建立了适合本国的个人数据保护的立法执法框架而不愿意参照108号公约做出的要求进行改变。以美国为例,“自我管理”被视为规制个人数据跨境传输的重要方式之一。[22]这一相对更灵活的方式已经足以满足美国设立的数据保护标准。[23]按照欧洲的要求对本国进行改革,将会给美国带来不合理的时间和金钱成本。再者,没有证据证明引入欧洲的模式是利大于弊的,如果改革失败,美国将有可能遭受更大的损失。由此看来,108号公约面对已经建立好个人数据保护框架的国家,其吸引力仍然是不足的。
第三,全球的个人数据保护实践缺少统一的概念和定义,这种碎片化的状况会进一步降低108号公约对世界上其它国家的吸引力。光是个人数据权利这一概念,就出现了诸如“隐私权”(“the right to privacy”)、“数据保护权”(“the right to data protection”)和“数据隐私”(“data privacy”)的表述方式,在某些情况下“信息隐私”(“information privacy”)会被认为是一种“隐私”(“privacy”)而非“个人数据保护权”(“data protection”)。然而,当前只有GDPR和108号公约发现了这一问题,其它法域暂时没有明确提出这些概念的碎片化是个人数据保护领域亟待解决的问题之一。概念碎片化的问题与各国使用不同的语言密不可分。如中國虽然会为本国立法提供英文翻译,但立法的全过程都是以中文进行的,所有经人大常委会审阅的概念都以中文写成。如果翻译我国法律的翻译人员没有充足的欧盟法背景,其很有可能会直接按照中文法条进行翻译,而不考虑在欧盟法的语境下对应的概念是什么。同时,即便翻译人员具有相应的欧盟法知识,他们也不能肯定我国立法当中的概念和欧盟法中对应的概念是完全对等的,与其使用相同的称谓产生混淆,不如重新使用不同的名称。由此看来,概念的碎片化表面上是个人数据跨境传输的阻碍,不如说是不得以而为之的妥协。
三、108号公约的未来展望与完善
(一)现代化修订与个人数据跨境传输
为了紧跟当前全球数字经济的变化,欧洲理事会开始对108号公约进行了进一步的修订(下称现代化修订)。该修订自2018年10月公布开始接受现成员国的批准加入,有关个人数据跨境传输的条款也从原本的第十二条改为原本的第十四条。就概念而言,现代化修订在其第二条修订了所有的概念和定义。以“数据控制者”取代了“数据文件控制者”,以“数据传输”取代了“自动数据文件”和“自动化处理”。同时,该条也扩大了“数据控制者”的外延,所有“自然人或法人、公共机关、服务方、代理或其他主体”都有权成为决定个人数据的处理。有关该公约的解释报告的第一百零二段指出,披露个人数据给另一国家的接收方或使另一国家的接收方得以访问个人数据的情况应当被视为个人数据的跨境传输。这一定义与GDPR中有关个人数据跨境传输的规定是一致的。
这些向GDPR靠拢而做出的修订具有两方面的优点。首先,当未来解释108号公约处理因新兴信息技术产生的有关个人数据跨境传输的问题时,CJEU的判例法和欧盟有关的文档可以作为重要的参考而不至于因为GDPR和公约二者在概念方面的不统一而无法互动。这可以在一定程度上促进108号公约的法律确定性,帮助其更好地应对基于新技术的个人数据跨境传输。其次,因为GDPR设立的个人数据保护标准及域外效力过于严格,某些国家有可能会讲GDPR当作本国个人数据保护立法的“示范法”加以参考。这样的参考可能会使这些国家的个人数据保护立法与GDPR相似。如上所述,在向欧盟申请“充分性认定”时,一国可以同时申请加入108号公约,这种条文上的近似可以帮助申请国同时满足公约和GDPR的审查要求,节省一定的程序时间。这样可以鼓励更多的国家加入108号公约。然而,我们也需要意识到,截至目前,现代化修订尚未生效,并且由上所述,这一修订有可能因加入的国家数量不足而失效。即便其生效了,我们仍然需要时间来验证这些现代化修订是否能发挥实际作用。
(二)全球化背景下108号公约的优化建议
首先,就加入程序而言,欧洲理事会应公布加入108号公约的相关标准与指南,为欧洲外的国家设立清晰的准入条件,减少不合理的政治考量因素,提升公约的公信力。在审查申请加入的国家是否满足准入条件时,不应局限于该国的法律条文,申请国的司法案例和执法情况也应一并纳入审查的范围。只有这样,才能认定申请国从实质上达到了加入108号公约的标准,便于日后该国与其他成员国之间的合作。
第二,应优化调整当前的行政机构,在保持当前意见委员会基本架构的前提下,适量引入具有个人数据保护或隐私保护经验的从业人员,并将他们的专业意见纳入参考范围。如此可以高效并且全面地审核申请加入108号公约的国家的个人数据保护状况,鼓励其他国家加入该公约,促进个人数据在全球范围内安全高效地流通。
第三,应号召各成员国加快签署现代化修订文件并尽快使其生效,令108号公约更好地适应基于新信息技术产生的个人数据跨境传输。同时,现代化修订生效后,委员会将获得更多的职权和资金支持,可以进一步提高行政效率,为该公约吸引更多国家加入提供有力保障。
第四,应在实践层面优化108号公约与GDPR在个人数据跨境传输问题上的联动机制,减少申请加入国和成员国的程序性负担。例如,当一国申请加入108号公约时,公约委员会可以考虑与欧盟委员会合作,一并考虑该国在GDPR下是否达到了可以做出“充分性认定”的标准,无需该申请国再向欧盟委员会提交相关申请。当某一公约成员国经欧盟委员会后续审查被撤销了“充分性认定”时,公约委员会应当帮助该国与欧盟委员会进行进一步沟通并尽快将个人数据的保护水准恢复到撤销前的水准。如此一来,108号公约既可以吸引更多的国家加入,还可以保证欧洲成员国在履行基于公约产生的义务时不会违背GDPR对个人数据跨境传输的要求。 然而,108号公约中有关个人数据跨境传输的具体规定以欧洲为中心,可能会导致这一公约无法适应其他国家的实践,但为此调整公约内容并不符合欧洲理事会成员国的利益,这一矛盾在短期内无法得到有效解决。对暂时无计划加入该公约的其他国家而言,可以将其中具有共性的内容作为各国保护本国个人数据的重要参考。以我国为例,108号公约中有关个人数据保护程度和个人数据保护原则的条文,与我国一直以来保护国家信息安全和保护公民隐私权的观点不谋而合,[24]即使我国不加入该公约,也可参考该公约的相关条文进一步完善我国个人信息保护的立法。随着“一带一路”倡议的推广以及我国深度参与“5G”技术的研发,中国很有可能会在未来成為全球信息传播及数据处理的另一个中心。通过参考诸如108号公约的个人数据保护立法,我国可以构建起具有中国特色的个人数据保护体系,全方位提升我国在信息时代的公信力和影响力。
四、结语
作为对缔约国具有约束力的国际公约,108号公约在全球范围内促进个人数据保护与个人数据跨境传输方面做出了一定的贡献,其他个人数据跨境传输的倡议或框架相比,显示出了更多的优越性。然而,108号公约也存在程序不够透明、条文难以适应时代、与各国实践契合度较低及与GDPR联动性不佳等不足。因此,应尽快使108号公约的现代化修订生效,帮助108号公约跟上现代信息技术的发展。此外,欧洲理事会还应在今后优化108号公约与GDPR的联动机制,公布加入公约的具体条件,引入具有经验的专业人员提高审核加入公约申请的效率,以此进一步提高108号公约对世界各国的吸引力。另一方面,对于一些暂无计划加入该公约的国家,也可借鉴公约中具有共性的部分进一步发展本国立法,有利于促进全球各国个人数据保护合作,在信息时代更好地保护国家安全和公民权利。
参考文献:
[1][9]Council of Europe. Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data[Z] European Treaty Series,1981.
[2][3][10]Graham Greenleaf. The influence of European data privacy standards outside Europe: implications for globalization of Convention 108[J].International Data Privacy Law,2012,2(02):68.
[4]Graham Greenleaf. ‘European’ Data Privacy Standards Implemented in Laws Outside Europe[J].UNSW Law Research Paper,2018.
[5][7][17][18][20][23]Paul De Hert, Vagelis Papakonstantinou. Three Scenarios for International Governance of Data Privacy: Towards an International Data Privacy Organization, Preferably a UN Agency [J].I/S: A Journal of Law and Policy for the Information Society,2013(09):271.
[6]Erica Fraser, Data Localization and the Balkanization of the Internet [J]. Scripted, 2016(13):359.
[8][21]United Nations Conference on Trade and Development. Trade and Development Board Intergovernmental Group of Experts on E-Commerce and the Digital Economy[EB/OL].(2017-07-26)[2020-10-06].https://unctad.org/meetings/en/SessionalDocuments/tdb_ede1d2_ch.pdf.
[11]Graham Greenleaf. Renewing Convention 108 The COEs GDPR Lite Initiatives[J]. UNSW Law Research Paper,2017.
[12]Christopher Kuner. Reality and Illusion in EU Data Transfer Regulation Post Schrems[J/OL].SSRN Electronic Journal,2017.
[13][19]Council of Europe: Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal data regarding supervisory authorities and transborder data flows[J].International Legal Materials,1998.
[14]EUR-Lex. Criminal proceedings against Bodil Lindqvist[EB/OL].(2013-11-06)[2020-09-25].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62001CJ0101.
[15][22]Christopher Barth Kuner. Transborder Data Flows and Data Privacy Law[M] Oxford University Press,2013:12.
[16]Council of Europe. Consultative Committee of the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data[EB/OL].(2017-11-22)[2020-09-15].https://www.coe.int/en/web/data-protection/consultative-committee-tpd/meetings/agenda-35plenary.
[24]中国外交部网站.中方正积极考虑提出有关维护数据安全的倡议[EB/OL].(2020-09-04)[2020-09-15].http://new.fmprc.gov.cn/web/wjbzhd/t1812023.shtml.
[25]Andrew Murray. Information Technology Law: The Law and Society[M] Oxford University Press,2016.
责任编辑 杨慧芝
关键词:个人信息保护;个人数据跨境数据传输;GDPR;欧洲理事会;国际条约
作为“新时代的石油”,数据在全球电子商务中的重要性正与日俱增。诸如谷歌、苹果和百度依托信息技术发展的企业正通过分析收集而来的用户数据获利。它们设计的算法可以预测个体在消费方面的偏好甚至是某个消费群体的消费趋势,以此设计或提供更能满足消费者需求的服务或产品盈利。然而,数据处理需要消耗大量的运算力,这些运算力通常需要昂贵的计算设备提供。对企业而言,在每一个提供服务或产品的地方设立数据中心、采购机器并雇用技术人员显然是不切实际的,这不仅仅是因为上述流程需要耗费大量的资金,更是因为各国国内的个人数据保护法可能对企业对个人数据的收集和处理进行监管,从而限制了企业对数据的利用。跨境个人数据流通通过将从世界各处收集的数据传输到一处集中进行处理的方式,使企业更好地集中资源处理数据。然而,某些国家已经意识到个人数据中可能包含有关国家安全或基本人权保护的信息,这些数据转移出境将会给本国保护公民合法权利甚至保护国家安全带来不可预知的风险。为了降低这一风险,这些国家就个人数据的跨境传输出台了一系列诸如数据本地化的限制性规定,对个人数据的跨境传输产生了阻碍。
欧洲理事会是一个由四十七个成员国组成的国际政府间组织,其中的二十八个成员国为欧盟成员国。其起草并邀请各成员国加入的第108号公约[1]是目前世界上唯一与个人数据保护有关的国际条约。同时,其也是欧洲个人数据传输法律框架的重要组成部分。本文将从个人数据跨境传输的角度,探讨全球化背景下欧洲理事会第108号公约的优势和不足及如何进一步优化这一公约,以为全球的个人数据保护作出贡献。
一、108号公约的优势
(一)缓解当前个人数据保护立法的碎片化状态
当前,世界范围内的数据保护法立法碎片化,缺乏较为统一的框架,第108号公约在一定程度上可以缓解当前的碎片化问题。
首先,从个人数据保护的角度来看,108号公约包含了一系列个人数据保护的基本原则。例如,在收集个人数据时,数据收集者应当遵循“有限,合法和公平”的方式,并且在数据主体“同意”的基础上收集数据。[2]同时,数据处理者应当在“特定的目的”范围内对所搜集的数据进行处理。[3]这些原则,已经被各国的数据保护官方机构所承认,甚至写入了立法当中。换言之,这些国家的数据保护立法在价值取向上与第108号公约是有共通之处的。同时,作为一个国际条约,108号公约不只影響着欧洲国家。Greenleaf学者对全球GDP排名前二十名的非欧盟成员国进行了数据保护法的研究,结果显示:截至2017年,上述国家中有60%的国家采用了欧洲的数据保护标准。[4]
其次,108号公约相比其它个人数据跨境传输的倡议具有更强的法律强制力。国际组织在起草个人数据跨境传输的倡议或框架时,时常需要考虑国家安全、人权保护以及经济效益等多方面的问题。[5]而各国应对这些问题的优先级并不相同。欧洲国家倾向于将人权保护放在第一位,其他国家则有可能倾向于将国家安全放在第一位。[6]因此,将这些问题放进国际个人数据传输的倡议当中来讨论时,常常会产生难以调和的价值冲突。为了缓和这种冲突,诸如OECD原则的国际数据保护倡议常常只拟定笼统的个人数据保护原则。[7]相较之下,108号公约并不是一个没有法律拘束力的个人数据保护倡议。根据公约的第三和第四条,一旦一国加入该公约,其有义务使其本国的个人数据保护立法与公约中订立的规则保持一致。此外,公约的第二十五条规定禁止成员国提出的任何保留。这进一步强化了公约对成员国的规制效力。由此看来,108号公约相比其它个人数据跨境传输的倡议具有更强的法律强制力,可以更好地促进国际间个人数据传输的合作。这一观点也被联合国贸易和发展会议在2016年的报告中认同。在综合评估了四个主要的国际个人数据保护倡议之后,联合国贸易和发展会议发现108号公约在“解决适用范围缺陷”、“管理跨境个人数据传输”和“确定管辖权”方面均做到了最好。[8]报告进一步说明了在所研究的四个倡议中,108号公约被认为是最具影响力的国际个人数据保护倡议。
(二)降低个人数据跨境传输的阻碍
首先,公约的第十二条规定,除两种特别情况外,公约不允许成员国以保护公民隐私为由限制或禁止本国的个人数据传输给另一公约成员国。在第一种特别情况,由于某类个人数据的特殊性质,输出国对该类个人数据设立特殊法用于保护。[9]第二种是从某一成员国到另一成员国的数据传输,实际上是为了逃避公约对个人数据保护作出的规定。常见的情况为,从成员国A传输到成员国B的数据又被传输到了非成员国C,在此情况下,B国只是用以掩盖数据传输真实目的地的中转站。在不符合上述两种特殊规定的情况下,各成员国基于108号公约的规定,不能随意阻碍个人数据在成员国之间的传输。 第二,从地域的角度看,108号公约促进了欧洲成员国与非欧洲成员国之间的数据流通。从欧洲成员国的角度来看,108号公约可以促进它们与非欧洲成员国之间在个人数据跨境传输之间的合作。最新颁布的《通用数据保护条例》(下称“GDPR”)虽然很好地规制了个人数据从欧洲经济区内传输到欧洲经济区外,但不能促进个人数据从欧洲经济区外输入欧洲经济区,这对欧洲经济区内需要对数据进行分析和处理的企业是不利的。当前,全世界已有超过半数的国家设立了自己的数据保护法,这些数据保护法都或多或少地对个人数据的跨境传输做出了限制。[10]欧洲经济区内的企业若想通过个人数据跨境传输获得更多的有价值的信息,将受到较大的阻碍,这种阻碍将会随着越来越多的国家设立个人数据保护法而变得更加严峻。108号公约基于互惠原则的法律约束力,可以帮助欧洲经济区内的国家更好地从欧洲经济区外的成员国家输入数据。从非欧洲国家的角度看,加入108号公约可以帮助他们获得欧盟委员会颁布的“adequacy decision”(下称“充分性认定”)。根据GDPR的立法原因说明第一百零五条,欧盟委员会就个人数据跨境传输问题对一国作“充分性认定”时,会参考该国是否加入了108号公约。换言之,如果一个非欧盟国为108号公约的成员国,那么该国就有更大的可能被欧盟委员会视为“提供了充足的个人数据保护”的国家,获得“充分性认定”。作为第一个获得欧盟“充分性认定”的非欧盟国家,乌拉圭于2010年分别向欧洲理事会和欧盟委员会提交了加入108号公约和获得“充分性认定”的申请。不久之后,其成功加入了108号公约并获得了“充分性认定”。这一成功案例将会鼓励更多的欧洲之外的国家加入108号公约以便缩短获得“充分性认定”的周期。一旦获得了“充分性认定”,该国便可以依照GDPR第二十五条的规定的进行自由度更高的个人数据跨境传输,从而为本国的新兴经济发展提供帮助。
总而言之,108号公约能在一定程度上促进个人数据的跨境传输,这种促进作用同时有利于欧洲内的成员国和欧洲外的成员国。
二、108号公约的不足
(一)准入标准不够透明,加入时长不合理
首先,当前的108号公约在准入标准和加入程序方面不够透明,难以给有意向加入公约的国家提供参考。虽然条约办公室发布的“备忘录”解释了一些程序问题,但其没有进一步考虑欧洲以外的国家在加入该公约时可能出现的问题。例如,108号公约没有设立对欧洲外的国家设立清晰的准入条件。同时,在审核一国的是否达到准入条件时,Consultative Committee(下称“意见委员会”)只会对被审核国的法律条文进行审核,而不会评价该国在法律适用及执行方面做出的努力。[11]这些不足会使原本有意向加入该公约的非欧洲国家怀疑该公约是否真的欢迎世界上每一个国家的加入。同时,透明度的缺失也有可能使有意向加入的国家怀疑意见委员会对准入资格的判断是基于政治考量做出的。[12]
其次,一个国家加入108号公约所需的时长不够合理。如土耳其作为欧洲理事会的成员国,加入该公约共花费三十五年。同时,至今为止,并不是所有的国家都加入了于2001年頒布了附加议定书。阿塞拜疆,马耳他,圣马力诺和斯洛文尼亚尚未签署该附加议定书。[13]比利时,希腊,冰岛,意大利,挪威,俄罗斯联邦和联合王国仍在批准该附加议定书的过程中。就2018年的修订文件而言,截至目前,只有二十六个成员国签署。而2018年的修订文件的第三十七条规定:该修订文件只有在“所有成员国明确表示受该修订文件的约束”的情况下,或在“五年之后,至少有三十八个国家明确同意受该修订的约束”的情况下才能生效。然而,当前没有可以加快这一程序的国际法基础,如果在修订文件规定的期限届满后,同意加入该修订文件的成员国仍然没有超过三十八个,那么这个修订文件极有可能就此失效。
综上,如果未来108号公约需要进一步修订,新一轮的修订及加入程序又会花费成员国大量的时间。这与当前信息技术飞速发展的大趋势是相背离的,有可能导致108号公约跟不上最新的个人数据跨境传输实践而被各国弃置。
(二)条文难以应对新兴信息技术
108号公约的条文有一定局限性,使其难以应对新兴信息技术。首先,108号公约中所载的定义显得过于老旧而不够周延。以第二条为例,1981年版的公约将决定何时和如何处理个人数据的主体称为“数据文件的控制者”。这一概念与GDPR中的“数据控制者”相似但并不完全相同。在制定第108号公约时,信息技术仍然是新兴事物,为了使公约的条款易于理解,公约的第二条在“数据”后加上“文件”(file)二字。但如今,在实践及立法领域,“数据”不会再与“文件”组合作为个人信息相关的术语一同出现。人们更偏向于将数据理解为一种储存于数码介质(如硬盘)的无形物,而不是一堆被打印在纸张上的信息。除此之外,1981年版的公约没有清晰地定义个人数据跨境传输,缺乏清晰定义会带来潜在的问题。如,某个非公约成员国的公司访问了储存于公约成员国境内设立的网站的数据,这种情况是否应当被视为个人数据的跨境传输?在Bodil Lidqvist案[14]中,欧盟法院认为仅仅只是将数据公布在网站上的行为并不能视作个人数据的跨境传输。[15]这一判推断是在实践过程中产生的,欧盟以外的人不太可能会主动访问涉案网站的数据。然而,这个判决不是基于108号公约而是欧盟个人资料保护指令做出的。同时,由于108号公约不为个人提供任何直接救济[16],欧盟法院不太可能会援引108号公约做出判决。由此可以看出,定义的不完善,会使108号公约在处理与跨境数据传输有关的纠纷时陷入被动的境地。 第二,108号公约的条款中存在不合时宜的推定,这些推定不利于其适应新信息技术的发展。在这些推定当中,有三条值得讨论。第一,每个数据控制者(数据文件控制者)都有具体并且可定位的位置。并且,他们都具备处理数据传输的相关知识。[17]在此环境下,服务器的地点可以视作判定数据控制者所在地的关键性因素。第二,个人数据的跨境传输是一个分割并且独立的过程。为了完成数据传输,公司或组织需要雇用一群专门的技术人员每天将数据封装在文件中并手动传输给接收方。第三,每个国家都有充足的能力管理个人数据的跨境流动。然而,如果将现有的信息技术套入,上述的三个推断,没有一个是成立的。以云计算为例,在“软件即服务”(“Software as a Service”)模式下,云服务提供方为客户提供运算力和储存空间,所有的数据处理都会在服务器端进行,以此为客户节省大量的购置机器所需的费用。然而,如果这一云服务的提供者的总部和主要的数据处理中心不在一个国家,依据108号公约界定“数据文件控制者”将会变得十分困难。同时,在云计算的环境下,若服务提供者也是将所需数据储存在自由服务器内的数据处理者,界定这一服务提供者的难度将会大大提高。在此情况下,“数据文件控制者”和数据处理者的界限并不明确,但在某些国内法下,数据控制者需要对数据主体负责,数据处理者并不直接产生相应的法律责任。[18]如前所述,108号公约对成员国具有法律约束力,公约难以区分数据控制者和数据处理者的不足会增加成员国的国内法与公约产生冲突的风险,这并不利于公约的进一步推广。第三,目前绝大部分的个人数据传输都是持续并无处不在的,而不是间歇或具有周期性的。负责计算的模块需要持续地从储存模块获取数据进行处理,并持续地将处理结果发挥储存模块。也就是说,只要持续运算,数据传输就不会停止。在此情况下,可以看出,当前的个人数据跨境传输呈现出即时性和复杂性,而非以往的可预测性和可定位性。
总而言之,108号公约在其条文的定义及其背后的推论中都存在滞后性,这既不利于该公约规制基于新信息技术发展而产生的个人数据跨境传输,也不利于其在未来推向全世界的目标。
(三)与GDPR的联动性不佳
于2018年生效的GDPR取代了原有的《欧盟个人资料保护指令》,但个人数据从欧盟内传输到欧盟外仍然需要获得输入国提供“对个人数据进行充分保护”的认证。
GDPR的第五章整章对将个人数据转移到第三国或国际组织进行了规定,这些规定与108号公约的相关规定具有相似之处。第一,第四十四条的“一般规定”也强调对“正在处理或计划进行处理的个人数据,将其转移到第三国或国际组织,包括将个人数据从第三国或国际组织转移到另一国家”的情况进行规制。第二,若将规制方式作为切入角度,108号公约和GDPR都使用了“geographically-based approach”来规制个人数据的跨境传输,只是二者使用的称呼稍微不同。GDPR条文将关键条件称为“保护程度具有充足性”(an adequate level of protection),而108号公约称为“同等的保护程度”(“an equivalent protection”)。然而,在这些共通之处之外,两者之间的互动存在着潜在的冲突。
首先,虽然加入108号公约有利于非欧盟国家更快地获得“充分性认定”,但该成员国需要分别向欧洲理事会和欧盟委员会提出申请。这意味着该成员国需要同时准备两个申请程序、准备两套文件、与两方分别进行磋商,增加了申请国的时间成本和金钱成本。同时,如前所述,是否加入108号公约只是欧盟委员会作出“充分性认定”的参考点之一。就GDPR而言,其第四十五条还规定了一系列的评审项目和条件,若这些条件不满足,申请国仍然不太可能获得“充分性认定”。
第二,根据GDPR的第四十五条,在获得“充分性认定”之后,欧盟委员会将“至少每四年对第三国或国际组织的所有相关发展进行审查。一旦第三国或第三国内的一个或多个特殊部门或国际组织不再提供本条第二段所规定的充足保护,欧盟委员会将制定不具有溯及力的实施性法案,在必要限度内废止、修正或中止本条第三段所规定的决定。”。这一条款具有一定的合理性,保证了第三国在获得认证后能持续符合欧盟关于个人数据保护的标准。然而,如果综合考虑108号公约的情况,将会出现令人困惑的问题。公约的二十六条只规定公约的一方成员国可以在任何时候通过通知的方式退出该公约,但没有规定在何种情况下废止一方成员国的成员国资格。如果一个欧洲外的国家加入了108号公约并获得了欧盟委员会的“充分性认定”,但在欧盟委员会的后续审查时被撤销了“充分性认定”,应当如何处理该国108号公约成员国的资格呢?若公约委员会不考虑欧盟委员会做出的撤销决定,便有可能使108号公约和GDPR在个人数据跨境传输方面产生冲突。目前没有确切的条文或官方解释提出了这一问题的具体解决方案,如果公约委员会会参考欧盟委员会的决定废除了该成员国的资格,那么未来欧洲外的国家可能会以更加慎重的态度加入该公约。
(四)与各国个人数据保护实践的契合度较低
总体来看,108号公约还是过于以欧洲为中心,这一特征使得其并不能很好地适应世界上其他国家的个人数据保护实践。第一,108号公约不一定能适应其他国家的行政机构框架。公约附加议定书的第二条要求成员国建立个人数据保护机构,[19]在一些学者看来,条文中所述的个人数据保护机构更适合具有欧洲行政机构框架特征的国家设置,这一要求会使成员国不得不调整本国的行政组织架构。[20]如果一个国家的行政机构框架与欧洲的完全不同,为满足这一要求,该国可能需要对进行一定的政治改革,这会使问题复杂化。同时,即便一个国家建立了数据保护机构,该国也可能会遇到诸如当地的数据保护机构缺少资金与文化支持的问题。以加纳共和国为例,虽然其建立了個人数据保护委员会,但其当前囿于资金短缺的困境。同时,因当地缺少具备充足专业知识的人进行数据保护工作,委员会也缺乏足够的人力资源进行日常的工作,遑论依照本国的数据保护法进行执法。加上加纳当地并没有产生“个人隐私应当受到保护”的文化环境,当地的数据控制者和数据处理者并没有将保障个人数据安全放在心上,当地的公民也不会主动地利用法律武器捍卫自身的隐私,当地的数据保护法可以说形同虚设。[21]在此情况下,设立个人数据保护机构似乎并不能说明该国真的就能在保护个人数据方面做出了显著了努力。 第二,某些国家会因本国已经建立了适合本国的个人数据保护的立法执法框架而不愿意参照108号公约做出的要求进行改变。以美国为例,“自我管理”被视为规制个人数据跨境传输的重要方式之一。[22]这一相对更灵活的方式已经足以满足美国设立的数据保护标准。[23]按照欧洲的要求对本国进行改革,将会给美国带来不合理的时间和金钱成本。再者,没有证据证明引入欧洲的模式是利大于弊的,如果改革失败,美国将有可能遭受更大的损失。由此看来,108号公约面对已经建立好个人数据保护框架的国家,其吸引力仍然是不足的。
第三,全球的个人数据保护实践缺少统一的概念和定义,这种碎片化的状况会进一步降低108号公约对世界上其它国家的吸引力。光是个人数据权利这一概念,就出现了诸如“隐私权”(“the right to privacy”)、“数据保护权”(“the right to data protection”)和“数据隐私”(“data privacy”)的表述方式,在某些情况下“信息隐私”(“information privacy”)会被认为是一种“隐私”(“privacy”)而非“个人数据保护权”(“data protection”)。然而,当前只有GDPR和108号公约发现了这一问题,其它法域暂时没有明确提出这些概念的碎片化是个人数据保护领域亟待解决的问题之一。概念碎片化的问题与各国使用不同的语言密不可分。如中國虽然会为本国立法提供英文翻译,但立法的全过程都是以中文进行的,所有经人大常委会审阅的概念都以中文写成。如果翻译我国法律的翻译人员没有充足的欧盟法背景,其很有可能会直接按照中文法条进行翻译,而不考虑在欧盟法的语境下对应的概念是什么。同时,即便翻译人员具有相应的欧盟法知识,他们也不能肯定我国立法当中的概念和欧盟法中对应的概念是完全对等的,与其使用相同的称谓产生混淆,不如重新使用不同的名称。由此看来,概念的碎片化表面上是个人数据跨境传输的阻碍,不如说是不得以而为之的妥协。
三、108号公约的未来展望与完善
(一)现代化修订与个人数据跨境传输
为了紧跟当前全球数字经济的变化,欧洲理事会开始对108号公约进行了进一步的修订(下称现代化修订)。该修订自2018年10月公布开始接受现成员国的批准加入,有关个人数据跨境传输的条款也从原本的第十二条改为原本的第十四条。就概念而言,现代化修订在其第二条修订了所有的概念和定义。以“数据控制者”取代了“数据文件控制者”,以“数据传输”取代了“自动数据文件”和“自动化处理”。同时,该条也扩大了“数据控制者”的外延,所有“自然人或法人、公共机关、服务方、代理或其他主体”都有权成为决定个人数据的处理。有关该公约的解释报告的第一百零二段指出,披露个人数据给另一国家的接收方或使另一国家的接收方得以访问个人数据的情况应当被视为个人数据的跨境传输。这一定义与GDPR中有关个人数据跨境传输的规定是一致的。
这些向GDPR靠拢而做出的修订具有两方面的优点。首先,当未来解释108号公约处理因新兴信息技术产生的有关个人数据跨境传输的问题时,CJEU的判例法和欧盟有关的文档可以作为重要的参考而不至于因为GDPR和公约二者在概念方面的不统一而无法互动。这可以在一定程度上促进108号公约的法律确定性,帮助其更好地应对基于新技术的个人数据跨境传输。其次,因为GDPR设立的个人数据保护标准及域外效力过于严格,某些国家有可能会讲GDPR当作本国个人数据保护立法的“示范法”加以参考。这样的参考可能会使这些国家的个人数据保护立法与GDPR相似。如上所述,在向欧盟申请“充分性认定”时,一国可以同时申请加入108号公约,这种条文上的近似可以帮助申请国同时满足公约和GDPR的审查要求,节省一定的程序时间。这样可以鼓励更多的国家加入108号公约。然而,我们也需要意识到,截至目前,现代化修订尚未生效,并且由上所述,这一修订有可能因加入的国家数量不足而失效。即便其生效了,我们仍然需要时间来验证这些现代化修订是否能发挥实际作用。
(二)全球化背景下108号公约的优化建议
首先,就加入程序而言,欧洲理事会应公布加入108号公约的相关标准与指南,为欧洲外的国家设立清晰的准入条件,减少不合理的政治考量因素,提升公约的公信力。在审查申请加入的国家是否满足准入条件时,不应局限于该国的法律条文,申请国的司法案例和执法情况也应一并纳入审查的范围。只有这样,才能认定申请国从实质上达到了加入108号公约的标准,便于日后该国与其他成员国之间的合作。
第二,应优化调整当前的行政机构,在保持当前意见委员会基本架构的前提下,适量引入具有个人数据保护或隐私保护经验的从业人员,并将他们的专业意见纳入参考范围。如此可以高效并且全面地审核申请加入108号公约的国家的个人数据保护状况,鼓励其他国家加入该公约,促进个人数据在全球范围内安全高效地流通。
第三,应号召各成员国加快签署现代化修订文件并尽快使其生效,令108号公约更好地适应基于新信息技术产生的个人数据跨境传输。同时,现代化修订生效后,委员会将获得更多的职权和资金支持,可以进一步提高行政效率,为该公约吸引更多国家加入提供有力保障。
第四,应在实践层面优化108号公约与GDPR在个人数据跨境传输问题上的联动机制,减少申请加入国和成员国的程序性负担。例如,当一国申请加入108号公约时,公约委员会可以考虑与欧盟委员会合作,一并考虑该国在GDPR下是否达到了可以做出“充分性认定”的标准,无需该申请国再向欧盟委员会提交相关申请。当某一公约成员国经欧盟委员会后续审查被撤销了“充分性认定”时,公约委员会应当帮助该国与欧盟委员会进行进一步沟通并尽快将个人数据的保护水准恢复到撤销前的水准。如此一来,108号公约既可以吸引更多的国家加入,还可以保证欧洲成员国在履行基于公约产生的义务时不会违背GDPR对个人数据跨境传输的要求。 然而,108号公约中有关个人数据跨境传输的具体规定以欧洲为中心,可能会导致这一公约无法适应其他国家的实践,但为此调整公约内容并不符合欧洲理事会成员国的利益,这一矛盾在短期内无法得到有效解决。对暂时无计划加入该公约的其他国家而言,可以将其中具有共性的内容作为各国保护本国个人数据的重要参考。以我国为例,108号公约中有关个人数据保护程度和个人数据保护原则的条文,与我国一直以来保护国家信息安全和保护公民隐私权的观点不谋而合,[24]即使我国不加入该公约,也可参考该公约的相关条文进一步完善我国个人信息保护的立法。随着“一带一路”倡议的推广以及我国深度参与“5G”技术的研发,中国很有可能会在未来成為全球信息传播及数据处理的另一个中心。通过参考诸如108号公约的个人数据保护立法,我国可以构建起具有中国特色的个人数据保护体系,全方位提升我国在信息时代的公信力和影响力。
四、结语
作为对缔约国具有约束力的国际公约,108号公约在全球范围内促进个人数据保护与个人数据跨境传输方面做出了一定的贡献,其他个人数据跨境传输的倡议或框架相比,显示出了更多的优越性。然而,108号公约也存在程序不够透明、条文难以适应时代、与各国实践契合度较低及与GDPR联动性不佳等不足。因此,应尽快使108号公约的现代化修订生效,帮助108号公约跟上现代信息技术的发展。此外,欧洲理事会还应在今后优化108号公约与GDPR的联动机制,公布加入公约的具体条件,引入具有经验的专业人员提高审核加入公约申请的效率,以此进一步提高108号公约对世界各国的吸引力。另一方面,对于一些暂无计划加入该公约的国家,也可借鉴公约中具有共性的部分进一步发展本国立法,有利于促进全球各国个人数据保护合作,在信息时代更好地保护国家安全和公民权利。
参考文献:
[1][9]Council of Europe. Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data[Z] European Treaty Series,1981.
[2][3][10]Graham Greenleaf. The influence of European data privacy standards outside Europe: implications for globalization of Convention 108[J].International Data Privacy Law,2012,2(02):68.
[4]Graham Greenleaf. ‘European’ Data Privacy Standards Implemented in Laws Outside Europe[J].UNSW Law Research Paper,2018.
[5][7][17][18][20][23]Paul De Hert, Vagelis Papakonstantinou. Three Scenarios for International Governance of Data Privacy: Towards an International Data Privacy Organization, Preferably a UN Agency [J].I/S: A Journal of Law and Policy for the Information Society,2013(09):271.
[6]Erica Fraser, Data Localization and the Balkanization of the Internet [J]. Scripted, 2016(13):359.
[8][21]United Nations Conference on Trade and Development. Trade and Development Board Intergovernmental Group of Experts on E-Commerce and the Digital Economy[EB/OL].(2017-07-26)[2020-10-06].https://unctad.org/meetings/en/SessionalDocuments/tdb_ede1d2_ch.pdf.
[11]Graham Greenleaf. Renewing Convention 108 The COEs GDPR Lite Initiatives[J]. UNSW Law Research Paper,2017.
[12]Christopher Kuner. Reality and Illusion in EU Data Transfer Regulation Post Schrems[J/OL].SSRN Electronic Journal,2017.
[13][19]Council of Europe: Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal data regarding supervisory authorities and transborder data flows[J].International Legal Materials,1998.
[14]EUR-Lex. Criminal proceedings against Bodil Lindqvist[EB/OL].(2013-11-06)[2020-09-25].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62001CJ0101.
[15][22]Christopher Barth Kuner. Transborder Data Flows and Data Privacy Law[M] Oxford University Press,2013:12.
[16]Council of Europe. Consultative Committee of the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data[EB/OL].(2017-11-22)[2020-09-15].https://www.coe.int/en/web/data-protection/consultative-committee-tpd/meetings/agenda-35plenary.
[24]中国外交部网站.中方正积极考虑提出有关维护数据安全的倡议[EB/OL].(2020-09-04)[2020-09-15].http://new.fmprc.gov.cn/web/wjbzhd/t1812023.shtml.
[25]Andrew Murray. Information Technology Law: The Law and Society[M] Oxford University Press,2016.
责任编辑 杨慧芝