国际数据治理：欧洲委员会及其“108号公约+”

国际数据治理与欧洲委员会及其“108号公约+”

吴沈括，北京师范大学刑科院暨法学院副教授、硕导

崔婷婷，北京师范大学刑科院暨法学院硕士研究生

本文是国家社会科学基金项目（批准号：15CFX035）的阶段性成果。

前言

放眼全球，目前围绕国际数据治理主要的话语场包括联合国的话语场、欧洲委员会的话语场、欧盟以GDPR以及《非个人数据自由流动条例》等新一代数据治理规范搭建的话语场、美国的话语场、俄罗斯的话语场、中国的话语场以及其他国家与地区的话语场。

应当指出的是，在当下国内相关讨论中频繁被提及、但经常被误读的话语场是欧洲委员会的话语场。最为常见的误读之一是将欧洲委员会视为是欧盟的下辖机关或者组成机构。实际上，欧洲委员会（Council of Europe）与欧盟（European Union）是两个性质不同、彼此独立的法律主体。欧洲委员会（Council of Europe）是总部位于法国斯特拉斯堡的国际组织，由47个成员国组成。1949年5月5日，爱尔兰、比利时、丹麦、法国、荷兰、卢森堡、挪威、瑞典、意大利和英国在伦敦签订《欧洲委员会章程》，标志着该组织正式成立。

一、欧洲委员会的组织性质：独立的国际人权组织

1、关于欧洲委员会的历史背景。历史地看，欧洲委员会的创立者们经历了两次世界大战，是欧洲人权、民主和法治价值观的先驱。英国是最早的欧洲委员会成员国之一，1949年8月12日，英国首相Winston Churchill在斯特拉斯堡发言时说到：“威胁我们的危险是巨大的，但我们的力量也是伟大的，我们没有理由不能成功实现我们的目标，建立这个统一的欧洲架构，其道德观念将能够赢得人类的尊重和认可。”

2、关于欧洲委员会的宗旨及主要业务活动。欧洲委员会作为独立的国际人权组织，其宗旨是维护人权、民主和法治，促进成员国的经济和社会进步。其主要组织机构包括秘书长、部长委员会、议事会、欧洲人权法院以及代表大会等。

总体而言，欧洲委员会倡导言论自由、媒体自由、集会自由、平等和保护少数群体。其发起关于保护儿童、网络仇恨言论以及欧洲最大的少数民族罗姆人的权利等问题的运动。欧洲委员会还帮助成员国打击腐败和恐怖主义，并进行必要的司法改革，其中“威尼斯委员会宪法专家小组”向世界各国提供法律咨询。欧洲委员会通过诸如《防止和打击暴力侵害妇女行为及家庭暴力公约》和《网络犯罪公约》等国际公约促进人权。它也监督成员国在这些领域的进展，并通过独立的专家监督机构提出建议，尤其包括：

（1）废除死刑。欧洲委员会在废除死刑的斗争中发挥了先锋作用，认为在民主社会中不应存在死刑。1983年4月，它通过了《欧洲人权公约》废除死刑的第6号议定书，随后于2002年5月通过了关于在所有情况下废除死刑的第13号议定书。欧洲委员会将取消死刑作为加入的先决条件，自1997年以来，此组织47个成员国中没有任何一个国家执行死刑。

（2）加强人权保护。加入欧洲委员会的每个国家都同意接受独立的监督机制，评估其遵守人权和民主做法的情况。其中，欧洲委员会防止酷刑委员会，该委员会定期对47个成员国的羁押场所（监狱、警察局、外国国民收留中心）进行突击访问，以评估人们被剥夺人权的方式。欧洲社会权利委员会核实有关国家是否实施了《欧洲社会宪章》所保障的住房、健康、教育、就业和行动自由的权利。此外，反腐败国家集团（Greco）明确了国家反腐败政策的不足之处，并鼓励各国进行必要的立法、司法以及行政改革。此类评估都是基于相关的欧洲委员会公约。

（3）反对歧视与种族主义。《欧洲人权公约》禁止公共当局以任何理由实施一切形式的歧视。就欧洲反对种族主义问题委员会而言，它分析这些具体问题，并定期向欧洲委员会的47个成员国提出建议。欧洲委员会在因性取向或性别认同等原因打击歧视方面也发挥着主导作用。此外，《保护少数民族框架公约》规定了一个监测机制，评估和改进对有关国家少数群体的保护。

（4）坚持言论自由。没有言论自由，没有自由和多元化的媒体，就没有真正的民主。欧洲人权法院的判例为新闻界提供了极为广泛的保护，特别是在记者消息来源的保密性性方面。言论自由权也适用于新形式的大众传播，包括互联网。欧洲委员会一直积极维护这项权利，它正在帮助其若干成员国改善有关言论自由和新闻自由的立法和政策，还为媒体专业人员组织了培训课程和考察访问。

（5）促进性别平等。欧洲委员会相关文书的目的是打击消除对妇女的一切形式的歧视，并提升妇女在社会中的作用。《欧洲委员会防止及打击暴力侵害妇女行为公约》是该领域向前迈出的重要一步，其前提是除非努力实现男女之间更大的平等，否则不能消除这种暴力。

（6）保护儿童的权利。儿童易受伤害，并且在成年人的大部分需求中依赖他们。欧洲委员会的目的是保护他们的权利，防止对他们的各种暴力行为，确保起诉罪犯，并促使儿童参与有关他们自身的决定。为此，《保护儿童免遭性剥削和性虐待公约》是将儿童性虐待定为犯罪的第一项文书，并且欧洲委员会还通过了改善儿童诉诸司法的准则。

二、“第108号公约”：专门的个人数据公约

目前国内相关讨论中另一常见的误读是将欧洲委员会“第108号公约”（CETS 108）视为欧盟的个人数据公约。事实上，“第108号公约”即《有关个人数据自动化处理中的个体保护公约》是1981年欧洲委员会各成员国签署的、全球范围内有关数据保护的第一份具有法律约束力的国际性文件，它建立了有关数据保护的基本原则以及各缔约国之间的各项基本义务，对于制定明确的数据治理全球标准以及国内标准都具有重要的借鉴意义。

1、关于“第108号公约”的历史背景与价值追求。从20世纪60年代初开始，电子数据处理领域的快速发展和主框架的首次出使得公共管理部门和大企业能够广泛建立数据库，并改进和增加个人数据的收集、处理和联结。虽然这种发展在效率和生产率方面提供了相当大的优势，但相应的，它产生了一个明显的趋势，即大规模电子化存储有关个人隐私的数据。

面对这一趋势，欧洲委员会决定建立具体原则和规范框架，以防止不公平地收集和处理个人数据：于1973年和1974年采取了这一方向的第一步，通过了第(73)22号和第(74)29号决议，确立了保护私营部门和公共部门自动化数据库中个人数据的原则，其目标是在这些决议的基础上推动国家立法的发展。但是，只有通过具有约束力的国际准则进一步加强这些国家规则，才能有效地保护个人数据。1972年欧洲司法部长会议提出了同样的建议，1981年，经过四年的谈判，各国签署了《有关个人数据自动化处理中的个体保护公约》即“第108号公约”。

就“第108号公约”的价值追求而言，根据该公约，各方必须在其国内立法中采取必要措施适用其规定的原则，以确保在其领土内尊重所有个人在处理个人数据方面的基本人权。这些原则特别涉及公平合法地收集和自动化处理数据，存储用于特定的合法目的，不得用于与这些目的不相容的用途，也不得保存超过必要的时间，此外还涉及数据的质量，特别是它们必须是充分的、相关的而不是不相称的。

2、“第108号公约”的主要内容及制度框架。公约主要包括序言以及正文七章内容，共27条：

序言部分强调了签署国对人权和基本自由的承诺。考虑到保护个人数据的权利在社会中的作用，序言强调了个人的利益、权利和基本自由在必要时相互协调的原则以及不同的利益、权利和基本自由之间保持谨慎的平衡，

第一章内容主要包括条约的目标和宗旨以及相关的定义，同时包括条约的适用范围；第二章为数据保护的基本原则，主要包括缔约方的职责、数据质量、数据安全、数据的附加保障措施等内容；第三章规定了个人数据和国内法中相关的跨境流动规则；第四章主要内容为缔约方之间的互助原则，包括缔约方之间的合作、协助居住在国外的数据主体、指定当局提供有关协助的保障措施、拒绝协助请求以及援助的费用和程序等内容；第五章涉及协商委员会，公约生效后，应当设立协商委员会，因此第五章主要内容为委员会的组成和职能以及其运作的程序；第六章主要为其修正案相关内容；第七章为最后条款，包括生效方式、非成员国的加入、保留及退出等相关规定。

      3、“第108号公约”的国际影响。自1981年公约缔结以来，社会已经彻底改变，特别是由于个人计算机和因特网允许任何个人或组织进行“自动化处理数据”。与此同时，社会和经济发展导致基于强大的处理系统的更复杂的组织、管理和生产形式。在这种情况下，个人成为“信息社会”的积极推动者。同时，他的隐私受到众多公共和私人服务的信息系统的更大影响，例如银行、信贷服务、社会保障、社会救助、保险以及警察事务等。

这种演变在数据保护方面构成了巨大的挑战。今天，向国家数据保护机关提出了越来越多的新挑战和实际问题。在大多数国家，国家数据保护专员与监察员一样，已成为民主社会控制系统的一个组成部分，必须解释公约的原则并将其应用于这些新的问题。

尽管如此，经验表明，公约的原则和国家数据保护条例都不能完全规范在不同部门收集个人数据的所有情况：医疗保健和研究、社会保障、保险、银行、就业、警察以及电信等等。当然，在每个部门中，必须按照公约的基本原则收集和处理数据，但方法和手段可能不同。在某些部门，条件可能比其他部门更灵活，自律监管在一个职业中可能比在另一个职业中更先进。

因此，对于每个不同的部门，必须进一步阐述公约的原则。欧洲委员会不是修改公约或增加议定书，而是倾向于为此目的使用另一种治理工具：向政府提出的建议。这些建议的优点是，它们更容易拟订、采用和执行，每个成员国不需要签署和批准，而只需要部长委员会一致通过。因此，使它们适应不断变化的环境比修改公约更为简单;最重要的是，虽然它们没有法律约束力，但它们包含所有成员国的实际参考标准，无论其是否为公约缔约方。因此，一项建议要求本着诚意考虑是否有可能按照国际商定的（对公约规定的原则的）解释来制定和执行国内法。

为了起草这些建议，除了法律经验之外，还需要对建议所涉主题的具体知识。部长委员会于1976年成立了数据保护专家委员会，该委员会随后成为项目小组。多年来，项目组不仅制定了一系列建议，还出版了研究报告和指导原则，以引导数据保护原则在智能卡和视频监控等新技术中的应用。

在欧洲委员会绝大多数成员国批准公约之后的几年内，继续设立两个委员会，一个由公约缔约方代表组成，另一个委员会由公约所有成员国组成。基于对对资源和工作方法合理化的关切，这两个委员会在2003年底合并成为一个单独的、扩大的委员会，保留了T-PD的名称。

三、欧洲委员会与“108号公约+”：更新的数据治理话语场

放眼未来，尤其值得关注的是欧洲委员会晚近提出的“108号公约+”动议（“Convention 108+”）。“108号公约+”即“第108号公约”的现代化，是2018年5月18日部长委员会第128次会议在Elsinore通过的“第108号公约”补充议定书，该议定书于2018年10月10日在斯特拉斯堡开放签署。其出台意味着欧洲委员会面对信息社会2.0与个人数据治理问题的新认识，形成其独特的话语场，反映了个人数据国际治理的新走向。

虽然“第108号公约”所载的核心原则经得起时间的考验，其技术中立、基于原则的进路构成了不可否认的优势，但欧洲委员会认为有必要使其具有里程碑意义的文书符合现代化的发展。

“108号公约+”是必要的，一方面是为了更好地应对因使用新的信息和通信技术而产生的挑战，另一方面是为了加强“第108号公约”的实施，其主要有两个目标指向：应对使用新的信息和通信技术所带来的挑战以及加强公约的有效执行。

该现代化工作始于编写一份报告，旨在确定需要对“第108号公约”进行现代化以应对新挑战的领域，秘书长在第5届数据保护日之际启动了多利益攸关方磋商。第一阶段工作委托给“第108号公约”委员会，并于2012年11月27日至30日在委员会第29次全体会议上达成了关于提案的协议。随后在2013年和2014年由政府间委员会（数据保护特设委员会CAHDATA）审查了这些提案，其工作在2016年6月15日至16日的最后一次会议上定稿。最后阶段的工作是在部长委员会一级进行的。部长委员会及其法律合作报告员小组（GR-J）审查了2016年至2018年的CAHDATA提案，并于2018年5月18日通过了修订议定书。

随着1981年公约108的现代化，其原始原则得到了重申，一些原则得到了加强，并制定了一些新的保障措施：它们必须适用于互联网环境的新现实，而新的做法导致并承认该领域的新原则：透明度、比例性、问责性、数据最小化、设计隐私等原则现已被公认为保护机制的关键要素，并已纳入“108号公约+”。作为示例，“108号公约+”的主要革新之处在此概述如下：

（1）“108号公约+”的目的和宗旨(第1条)。根据第1条，明确强调了公约的目标，即保证其中一方当事人（不论其国籍或居住地）的管辖范围内的每个人在进行处理时保护其个人数据，从而有助于尊重他们的权利和基本自由，特别是他们的隐私权。“108号公约+”的措辞强调了个人数据主体可以积极地行使其他基本权利和自由，从而保证数据保护权。

（2）敏感数据（第6条）。敏感数据目录已扩展到包括遗传和生物识别数据以及与工会资格或民族有关的数据，而原有的敏感数据包括揭示种族、政治观点、宗教或其他信仰、健康或性生活以及与犯罪、刑事诉讼和定罪有关的个人数据）。

（3）数据安全（第7条）。在数据安全性方面，引入了毫不拖延地通报任何安全漏洞的要求。这一要求仅限于可能严重干扰数据主体的权利和基本自由的情况，至少应通知监管当局。

（4）处理的透明度（第8条）。数据控制者有义务保证数据处理的透明度，为此目的，控制者必须基于法律依据和处理的目的、数据接收者和个人类别，提供一系列所需的信息，特别是与他们的身份和通常居住或营业地点有关的信息。此外，他们还应提供确保公平透明处理所需的任何其他信息。如果法律明确规定了处理过程，或者证明不可能或涉及不适当的付出，则不要求控制者提供此类信息。

（5）数据主体的权利（第9条）。数据主体被授予新的权利以便他们可以更好地控制其数据。其扩展了在数据主体行使访问权时传输给他们的信息目录。此外，数据主体被赋予权利以获得数据处理所依据的算法的知识。这种新的权利在用户画像方面尤其重要，并且它与另一种新颖性相关联，即不受特定决定（也即该决定仅基于自动化处理，而不考虑数据主体的意见）所影响的权利。数据主体有权随时反对他们的个人数据处理，除非控制者表明有超越其利益或权利和基本自由的、充分的合法理由进行处理。

（6）个人数据跨境流动（第14条）。该条款的目的是在适用的情况下促进数据的自由流动，而不论边界如何，同时确保在处理个人数据方面对个人给予适当保护。跨境流动制度的目的是确保在缔约方管辖范围内最初处理的数据始终受到数据保护原则的适当保护。缔约方之间的数据流不能被禁止或要求获得特别授权，因为所有缔约方在签署了公约规定的数据保护共同核心条款后，都提供了适当的保护水平。。存在一个例外情形是：当存在真正和严重的风险时，这种传输将导致规避公约的规定。由于没有区域国际组织的国家共享的统一保护规则和数据流管理，缔约方之间的数据流应因此自由运作。

此外，关于向不受缔约方管辖的接收国的跨境数据流动，应保证接收国或组织的适当保护水平。由于接收国不是公约缔约方，因此不能推定这一点，为此公约确立了两种主要手段以确保数据保护水平确实合适：或者通过法律、或者通过具有法律约束力和可执行的临时性或经批准的标准化保障措施（特别是标准合同条款或约束性公司规则），并得到适当实施。

结语

以维护人权、民主和法治为宗旨的欧洲委员会作为独立的国际人权组织，是现今国际民主法治进展的重要角色扮演者，其“第108号公约”尤其是“108号公约+”通过其规定的原则及其所承载的价值诉求在现代信息社会中发挥着越来越重要的作用，特别是在促进创新和社会经济进步的同时保护基本权利和自由，为应对泛在的新挑战引入新的认知范式与操作思路。对于全球范围内的数据治理而言，欧洲委员会的话语场有着举足轻重的作用。

声明：本文来自网络法治国际中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。