論全球化背景下歐洲理事會108號公約的優(yōu)勢和不足

潘鑫

摘 ?要：文章基于個人數(shù)據(jù)跨境傳輸角度分析了全球化背景下歐洲理事會第108號公約的優(yōu)勢與不足。通過學(xué)者論著、相關(guān)條文、官方說明等文獻(xiàn)研究發(fā)現(xiàn)108號公約的優(yōu)勢在于設(shè)立了一套具有國際法約束力的有關(guān)個人數(shù)據(jù)保護(hù)的基本原則，在一定程度上緩解了當(dāng)前全球個人數(shù)據(jù)保護(hù)立法碎片化的問題。但同時，該公約存在程序不夠透明、條文難以適應(yīng)時代、與各國實(shí)踐契合度較低及與GDPR聯(lián)動性不佳等不足。針對108號公約的不足，文章立足全球化背景，從公約的未來展望進(jìn)行評價并提出優(yōu)化建議。

關(guān)鍵詞：個人信息保護(hù);個人數(shù)據(jù)跨境數(shù)據(jù)傳輸;GDPR;歐洲理事會;國際條約

作為“新時代的石油”，數(shù)據(jù)在全球電子商務(wù)中的重要性正與日俱增。諸如谷歌、蘋果和百度依托信息技術(shù)發(fā)展的企業(yè)正通過分析收集而來的用戶數(shù)據(jù)獲利。它們設(shè)計的算法可以預(yù)測個體在消費(fèi)方面的偏好甚至是某個消費(fèi)群體的消費(fèi)趨勢，以此設(shè)計或提供更能滿足消費(fèi)者需求的服務(wù)或產(chǎn)品盈利。然而，數(shù)據(jù)處理需要消耗大量的運(yùn)算力，這些運(yùn)算力通常需要昂貴的計算設(shè)備提供。對企業(yè)而言，在每一個提供服務(wù)或產(chǎn)品的地方設(shè)立數(shù)據(jù)中心、采購機(jī)器并雇用技術(shù)人員顯然是不切實(shí)際的，這不僅僅是因?yàn)樯鲜隽鞒绦枰馁M(fèi)大量的資金，更是因?yàn)楦鲊鴩鴥?nèi)的個人數(shù)據(jù)保護(hù)法可能對企業(yè)對個人數(shù)據(jù)的收集和處理進(jìn)行監(jiān)管，從而限制了企業(yè)對數(shù)據(jù)的利用?？缇硞€人數(shù)據(jù)流通通過將從世界各處收集的數(shù)據(jù)傳輸?shù)揭惶幖羞M(jìn)行處理的方式，使企業(yè)更好地集中資源處理數(shù)據(jù)。然而，某些國家已經(jīng)意識到個人數(shù)據(jù)中可能包含有關(guān)國家安全或基本人權(quán)保護(hù)的信息，這些數(shù)據(jù)轉(zhuǎn)移出境將會給本國保護(hù)公民合法權(quán)利甚至保護(hù)國家安全帶來不可預(yù)知的風(fēng)險。為了降低這一風(fēng)險，這些國家就個人數(shù)據(jù)的跨境傳輸出臺了一系列諸如數(shù)據(jù)本地化的限制性規(guī)定，對個人數(shù)據(jù)的跨境傳輸產(chǎn)生了阻礙。

歐洲理事會是一個由四十七個成員國組成的國際政府間組織，其中的二十八個成員國為歐盟成員國。其起草并邀請各成員國加入的第108號公約是目前世界上唯一與個人數(shù)據(jù)保護(hù)有關(guān)的國際條約。同時，其也是歐洲個人數(shù)據(jù)傳輸法律框架的重要組成部分。本文將從個人數(shù)據(jù)跨境傳輸?shù)慕嵌?，探討全球化背景下歐洲理事會第108號公約的優(yōu)勢和不足及如何進(jìn)一步優(yōu)化這一公約，以為全球的個人數(shù)據(jù)保護(hù)作出貢獻(xiàn)。

一、108號公約的優(yōu)勢

（一）緩解當(dāng)前個人數(shù)據(jù)保護(hù)立法的碎片化狀態(tài)

當(dāng)前，世界范圍內(nèi)的數(shù)據(jù)保護(hù)法立法碎片化，缺乏較為統(tǒng)一的框架，第108號公約在一定程度上可以緩解當(dāng)前的碎片化問題。

首先，從個人數(shù)據(jù)保護(hù)的角度來看，108號公約包含了一系列個人數(shù)據(jù)保護(hù)的基本原則。例如，在收集個人數(shù)據(jù)時，數(shù)據(jù)收集者應(yīng)當(dāng)遵循“有限，合法和公平”的方式，并且在數(shù)據(jù)主體“同意”的基礎(chǔ)上收集數(shù)據(jù)。^]同時，數(shù)據(jù)處理者應(yīng)當(dāng)在“特定的目的”范圍內(nèi)對所搜集的數(shù)據(jù)進(jìn)行處理。這些原則，已經(jīng)被各國的數(shù)據(jù)保護(hù)官方機(jī)構(gòu)所承認(rèn)，甚至寫入了立法當(dāng)中。換言之，這些國家的數(shù)據(jù)保護(hù)立法在價值取向上與第108號公約是有共通之處的。同時，作為一個國際條約，108號公約不只影響著歐洲國家。Greenleaf學(xué)者對全球GDP排名前二十名的非歐盟成員國進(jìn)行了數(shù)據(jù)保護(hù)法的研究，結(jié)果顯示：截至2017年，上述國家中有60%的國家采用了歐洲的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。

其次，108號公約相比其它個人數(shù)據(jù)跨境傳輸?shù)某h具有更強(qiáng)的法律強(qiáng)制力。國際組織在起草個人數(shù)據(jù)跨境傳輸?shù)某h或框架時，時常需要考慮國家安全、人權(quán)保護(hù)以及經(jīng)濟(jì)效益等多方面的問題。而各國應(yīng)對這些問題的優(yōu)先級并不相同。歐洲國家傾向于將人權(quán)保護(hù)放在第一位，其他國家則有可能傾向于將國家安全放在第一位。因此，將這些問題放進(jìn)國際個人數(shù)據(jù)傳輸?shù)某h當(dāng)中來討論時，常常會產(chǎn)生難以調(diào)和的價值沖突。為了緩和這種沖突，諸如OECD原則的國際數(shù)據(jù)保護(hù)倡議常常只擬定籠統(tǒng)的個人數(shù)據(jù)保護(hù)原則。相較之下，108號公約并不是一個沒有法律拘束力的個人數(shù)據(jù)保護(hù)倡議。根據(jù)公約的第三和第四條，一旦一國加入該公約，其有義務(wù)使其本國的個人數(shù)據(jù)保護(hù)立法與公約中訂立的規(guī)則保持一致。此外，公約的第二十五條規(guī)定禁止成員國提出的任何保留。這進(jìn)一步強(qiáng)化了公約對成員國的規(guī)制效力。由此看來，108號公約相比其它個人數(shù)據(jù)跨境傳輸?shù)某h具有更強(qiáng)的法律強(qiáng)制力，可以更好地促進(jìn)國際間個人數(shù)據(jù)傳輸?shù)暮献?。這一觀點(diǎn)也被聯(lián)合國貿(mào)易和發(fā)展會議在2016年的報告中認(rèn)同。在綜合評估了四個主要的國際個人數(shù)據(jù)保護(hù)倡議之后，聯(lián)合國貿(mào)易和發(fā)展會議發(fā)現(xiàn)108號公約在“解決適用范圍缺陷”、“管理跨境個人數(shù)據(jù)傳輸”和“確定管轄權(quán)”方面均做到了最好。報告進(jìn)一步說明了在所研究的四個倡議中，108號公約被認(rèn)為是最具影響力的國際個人數(shù)據(jù)保護(hù)倡議。

（二）降低個人數(shù)據(jù)跨境傳輸?shù)淖璧K

首先，公約的第十二條規(guī)定，除兩種特別情況外，公約不允許成員國以保護(hù)公民隱私為由限制或禁止本國的個人數(shù)據(jù)傳輸給另一公約成員國。在第一種特別情況，由于某類個人數(shù)據(jù)的特殊性質(zhì)，輸出國對該類個人數(shù)據(jù)設(shè)立特殊法用于保護(hù)。第二種是從某一成員國到另一成員國的數(shù)據(jù)傳輸，實(shí)際上是為了逃避公約對個人數(shù)據(jù)保護(hù)作出的規(guī)定。常見的情況為，從成員國A傳輸?shù)匠蓡T國B的數(shù)據(jù)又被傳輸?shù)搅朔浅蓡T國C，在此情況下，B國只是用以掩蓋數(shù)據(jù)傳輸真實(shí)目的地的中轉(zhuǎn)站。在不符合上述兩種特殊規(guī)定的情況下，各成員國基于108號公約的規(guī)定，不能隨意阻礙個人數(shù)據(jù)在成員國之間的傳輸。

第二，從地域的角度看，108號公約促進(jìn)了歐洲成員國與非歐洲成員國之間的數(shù)據(jù)流通。從歐洲成員國的角度來看，108號公約可以促進(jìn)它們與非歐洲成員國之間在個人數(shù)據(jù)跨境傳輸之間的合作。最新頒布的《通用數(shù)據(jù)保護(hù)條例》（下稱“GDPR”）雖然很好地規(guī)制了個人數(shù)據(jù)從歐洲經(jīng)濟(jì)區(qū)內(nèi)傳輸?shù)綒W洲經(jīng)濟(jì)區(qū)外，但不能促進(jìn)個人數(shù)據(jù)從歐洲經(jīng)濟(jì)區(qū)外輸入歐洲經(jīng)濟(jì)區(qū)，這對歐洲經(jīng)濟(jì)區(qū)內(nèi)需要對數(shù)據(jù)進(jìn)行分析和處理的企業(yè)是不利的。當(dāng)前，全世界已有超過半數(shù)的國家設(shè)立了自己的數(shù)據(jù)保護(hù)法，這些數(shù)據(jù)保護(hù)法都或多或少地對個人數(shù)據(jù)的跨境傳輸做出了限制。歐洲經(jīng)濟(jì)區(qū)內(nèi)的企業(yè)若想通過個人數(shù)據(jù)跨境傳輸獲得更多的有價值的信息，將受到較大的阻礙，這種阻礙將會隨著越來越多的國家設(shè)立個人數(shù)據(jù)保護(hù)法而變得更加嚴(yán)峻。108號公約基于互惠原則的法律約束力，可以幫助歐洲經(jīng)濟(jì)區(qū)內(nèi)的國家更好地從歐洲經(jīng)濟(jì)區(qū)外的成員國家輸入數(shù)據(jù)。從非歐洲國家的角度看，加入108號公約可以幫助他們獲得歐盟委員會頒布的“adequacy decision”（下稱“充分性認(rèn)定”）。根據(jù)GDPR的立法原因說明第一百零五條，歐盟委員會就個人數(shù)據(jù)跨境傳輸問題對一國作“充分性認(rèn)定”時，會參考該國是否加入了108號公約。換言之，如果一個非歐盟國為108號公約的成員國，那么該國就有更大的可能被歐盟委員會視為“提供了充足的個人數(shù)據(jù)保護(hù)”的國家，獲得“充分性認(rèn)定”。作為第一個獲得歐盟“充分性認(rèn)定”的非歐盟國家，烏拉圭于2010年分別向歐洲理事會和歐盟委員會提交了加入108號公約和獲得“充分性認(rèn)定”的申請。不久之后，其成功加入了108號公約并獲得了“充分性認(rèn)定”。這一成功案例將會鼓勵更多的歐洲之外的國家加入108號公約以便縮短獲得“充分性認(rèn)定”的周期。一旦獲得了“充分性認(rèn)定”，該國便可以依照GDPR第二十五條的規(guī)定的進(jìn)行自由度更高的個人數(shù)據(jù)跨境傳輸，從而為本國的新興經(jīng)濟(jì)發(fā)展提供幫助。

總而言之，108號公約能在一定程度上促進(jìn)個人數(shù)據(jù)的跨境傳輸，這種促進(jìn)作用同時有利于歐洲內(nèi)的成員國和歐洲外的成員國。

二、108號公約的不足

（一）準(zhǔn)入標(biāo)準(zhǔn)不夠透明，加入時長不合理

首先，當(dāng)前的108號公約在準(zhǔn)入標(biāo)準(zhǔn)和加入程序方面不夠透明，難以給有意向加入公約的國家提供參考。雖然條約辦公室發(fā)布的“備忘錄”解釋了一些程序問題，但其沒有進(jìn)一步考慮歐洲以外的國家在加入該公約時可能出現(xiàn)的問題。例如，108號公約沒有設(shè)立對歐洲外的國家設(shè)立清晰的準(zhǔn)入條件。同時，在審核一國的是否達(dá)到準(zhǔn)入條件時，Consultative Committee（下稱“意見委員會”）只會對被審核國的法律條文進(jìn)行審核，而不會評價該國在法律適用及執(zhí)行方面做出的努力。這些不足會使原本有意向加入該公約的非歐洲國家懷疑該公約是否真的歡迎世界上每一個國家的加入。同時，透明度的缺失也有可能使有意向加入的國家懷疑意見委員會對準(zhǔn)入資格的判斷是基于政治考量做出的。

其次，一個國家加入108號公約所需的時長不夠合理。如土耳其作為歐洲理事會的成員國，加入該公約共花費(fèi)三十五年。同時，至今為止，并不是所有的國家都加入了于2001年頒布了附加議定書。阿塞拜疆，馬耳他，圣馬力諾和斯洛文尼亞尚未簽署該附加議定書。比利時，希臘，冰島，意大利，挪威，俄羅斯聯(lián)邦和聯(lián)合王國仍在批準(zhǔn)該附加議定書的過程中。就2018年的修訂文件而言，截至目前，只有二十六個成員國簽署。而2018年的修訂文件的第三十七條規(guī)定：該修訂文件只有在“所有成員國明確表示受該修訂文件的約束”的情況下，或在“五年之后，至少有三十八個國家明確同意受該修訂的約束”的情況下才能生效。然而，當(dāng)前沒有可以加快這一程序的國際法基礎(chǔ)，如果在修訂文件規(guī)定的期限屆滿后，同意加入該修訂文件的成員國仍然沒有超過三十八個，那么這個修訂文件極有可能就此失效。

綜上，如果未來108號公約需要進(jìn)一步修訂，新一輪的修訂及加入程序又會花費(fèi)成員國大量的時間。這與當(dāng)前信息技術(shù)飛速發(fā)展的大趨勢是相背離的，有可能導(dǎo)致108號公約跟不上最新的個人數(shù)據(jù)跨境傳輸實(shí)踐而被各國棄置。

（二）條文難以應(yīng)對新興信息技術(shù)

108號公約的條文有一定局限性，使其難以應(yīng)對新興信息技術(shù)。首先，108號公約中所載的定義顯得過于老舊而不夠周延。以第二條為例，1981年版的公約將決定何時和如何處理個人數(shù)據(jù)的主體稱為“數(shù)據(jù)文件的控制者”。這一概念與GDPR中的“數(shù)據(jù)控制者”相似但并不完全相同。在制定第108號公約時，信息技術(shù)仍然是新興事物，為了使公約的條款易于理解，公約的第二條在“數(shù)據(jù)”后加上“文件”（file）二字。但如今，在實(shí)踐及立法領(lǐng)域，“數(shù)據(jù)”不會再與“文件”組合作為個人信息相關(guān)的術(shù)語一同出現(xiàn)。人們更偏向于將數(shù)據(jù)理解為一種儲存于數(shù)碼介質(zhì)（如硬盤）的無形物，而不是一堆被打印在紙張上的信息。除此之外，1981年版的公約沒有清晰地定義個人數(shù)據(jù)跨境傳輸，缺乏清晰定義會帶來潛在的問題。如，某個非公約成員國的公司訪問了儲存于公約成員國境內(nèi)設(shè)立的網(wǎng)站的數(shù)據(jù)，這種情況是否應(yīng)當(dāng)被視為個人數(shù)據(jù)的跨境傳輸？在Bodil Lidqvist案中，歐盟法院認(rèn)為僅僅只是將數(shù)據(jù)公布在網(wǎng)站上的行為并不能視作個人數(shù)據(jù)的跨境傳輸。這一判推斷是在實(shí)踐過程中產(chǎn)生的，歐盟以外的人不太可能會主動訪問涉案網(wǎng)站的數(shù)據(jù)。然而，這個判決不是基于108號公約而是歐盟個人資料保護(hù)指令做出的。同時，由于108號公約不為個人提供任何直接救濟(jì)，歐盟法院不太可能會援引108號公約做出判決。由此可以看出，定義的不完善，會使108號公約在處理與跨境數(shù)據(jù)傳輸有關(guān)的糾紛時陷入被動的境地。

第二，108號公約的條款中存在不合時宜的推定，這些推定不利于其適應(yīng)新信息技術(shù)的發(fā)展。在這些推定當(dāng)中，有三條值得討論。第一，每個數(shù)據(jù)控制者（數(shù)據(jù)文件控制者）都有具體并且可定位的位置。并且，他們都具備處理數(shù)據(jù)傳輸?shù)南嚓P(guān)知識。在此環(huán)境下，服務(wù)器的地點(diǎn)可以視作判定數(shù)據(jù)控制者所在地的關(guān)鍵性因素。第二，個人數(shù)據(jù)的跨境傳輸是一個分割并且獨(dú)立的過程。為了完成數(shù)據(jù)傳輸，公司或組織需要雇用一群專門的技術(shù)人員每天將數(shù)據(jù)封裝在文件中并手動傳輸給接收方。第三，每個國家都有充足的能力管理個人數(shù)據(jù)的跨境流動。然而，如果將現(xiàn)有的信息技術(shù)套入，上述的三個推斷，沒有一個是成立的。以云計算為例，在“軟件即服務(wù)”（“Software as a Service”）模式下，云服務(wù)提供方為客戶提供運(yùn)算力和儲存空間，所有的數(shù)據(jù)處理都會在服務(wù)器端進(jìn)行，以此為客戶節(jié)省大量的購置機(jī)器所需的費(fèi)用。然而，如果這一云服務(wù)的提供者的總部和主要的數(shù)據(jù)處理中心不在一個國家，依據(jù)108號公約界定“數(shù)據(jù)文件控制者”將會變得十分困難。同時，在云計算的環(huán)境下，若服務(wù)提供者也是將所需數(shù)據(jù)儲存在自由服務(wù)器內(nèi)的數(shù)據(jù)處理者，界定這一服務(wù)提供者的難度將會大大提高。在此情況下，“數(shù)據(jù)文件控制者”和數(shù)據(jù)處理者的界限并不明確，但在某些國內(nèi)法下，數(shù)據(jù)控制者需要對數(shù)據(jù)主體負(fù)責(zé)，數(shù)據(jù)處理者并不直接產(chǎn)生相應(yīng)的法律責(zé)任。如前所述，108號公約對成員國具有法律約束力，公約難以區(qū)分?jǐn)?shù)據(jù)控制者和數(shù)據(jù)處理者的不足會增加成員國的國內(nèi)法與公約產(chǎn)生沖突的風(fēng)險，這并不利于公約的進(jìn)一步推廣。第三，目前絕大部分的個人數(shù)據(jù)傳輸都是持續(xù)并無處不在的，而不是間歇或具有周期性的。負(fù)責(zé)計算的模塊需要持續(xù)地從儲存模塊獲取數(shù)據(jù)進(jìn)行處理，并持續(xù)地將處理結(jié)果發(fā)揮儲存模塊。也就是說，只要持續(xù)運(yùn)算，數(shù)據(jù)傳輸就不會停止。在此情況下，可以看出，當(dāng)前的個人數(shù)據(jù)跨境傳輸呈現(xiàn)出即時性和復(fù)雜性，而非以往的可預(yù)測性和可定位性。

總而言之，108號公約在其條文的定義及其背后的推論中都存在滯后性，這既不利于該公約規(guī)制基于新信息技術(shù)發(fā)展而產(chǎn)生的個人數(shù)據(jù)跨境傳輸，也不利于其在未來推向全世界的目標(biāo)。

（三）與GDPR的聯(lián)動性不佳

于2018年生效的GDPR取代了原有的《歐盟個人資料保護(hù)指令》，但個人數(shù)據(jù)從歐盟內(nèi)傳輸?shù)綒W盟外仍然需要獲得輸入國提供“對個人數(shù)據(jù)進(jìn)行充分保護(hù)”的認(rèn)證。

GDPR的第五章整章對將個人數(shù)據(jù)轉(zhuǎn)移到第三國或國際組織進(jìn)行了規(guī)定，這些規(guī)定與108號公約的相關(guān)規(guī)定具有相似之處。第一，第四十四條的“一般規(guī)定”也強(qiáng)調(diào)對“正在處理或計劃進(jìn)行處理的個人數(shù)據(jù)，將其轉(zhuǎn)移到第三國或國際組織，包括將個人數(shù)據(jù)從第三國或國際組織轉(zhuǎn)移到另一國家”的情況進(jìn)行規(guī)制。第二，若將規(guī)制方式作為切入角度，108號公約和GDPR都使用了“geographically-based approach”來規(guī)制個人數(shù)據(jù)的跨境傳輸，只是二者使用的稱呼稍微不同。GDPR條文將關(guān)鍵條件稱為“保護(hù)程度具有充足性”（an adequate level of protection），而108號公約稱為“同等的保護(hù)程度”（“an equivalent protection”）。然而，在這些共通之處之外，兩者之間的互動存在著潛在的沖突。

首先，雖然加入108號公約有利于非歐盟國家更快地獲得“充分性認(rèn)定”，但該成員國需要分別向歐洲理事會和歐盟委員會提出申請。這意味著該成員國需要同時準(zhǔn)備兩個申請程序、準(zhǔn)備兩套文件、與兩方分別進(jìn)行磋商，增加了申請國的時間成本和金錢成本。同時，如前所述，是否加入108號公約只是歐盟委員會作出“充分性認(rèn)定”的參考點(diǎn)之一。就GDPR而言，其第四十五條還規(guī)定了一系列的評審項(xiàng)目和條件，若這些條件不滿足，申請國仍然不太可能獲得“充分性認(rèn)定”。

第二，根據(jù)GDPR的第四十五條，在獲得“充分性認(rèn)定”之后，歐盟委員會將“至少每四年對第三國或國際組織的所有相關(guān)發(fā)展進(jìn)行審查。一旦第三國或第三國內(nèi)的一個或多個特殊部門或國際組織不再提供本條第二段所規(guī)定的充足保護(hù)，歐盟委員會將制定不具有溯及力的實(shí)施性法案，在必要限度內(nèi)廢止、修正或中止本條第三段所規(guī)定的決定。”。這一條款具有一定的合理性，保證了第三國在獲得認(rèn)證后能持續(xù)符合歐盟關(guān)于個人數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn)。然而，如果綜合考慮108號公約的情況，將會出現(xiàn)令人困惑的問題。公約的二十六條只規(guī)定公約的一方成員國可以在任何時候通過通知的方式退出該公約，但沒有規(guī)定在何種情況下廢止一方成員國的成員國資格。如果一個歐洲外的國家加入了108號公約并獲得了歐盟委員會的“充分性認(rèn)定”，但在歐盟委員會的后續(xù)審查時被撤銷了“充分性認(rèn)定”，應(yīng)當(dāng)如何處理該國108號公約成員國的資格呢？若公約委員會不考慮歐盟委員會做出的撤銷決定，便有可能使108號公約和GDPR在個人數(shù)據(jù)跨境傳輸方面產(chǎn)生沖突。目前沒有確切的條文或官方解釋提出了這一問題的具體解決方案，如果公約委員會會參考?xì)W盟委員會的決定廢除了該成員國的資格，那么未來歐洲外的國家可能會以更加慎重的態(tài)度加入該公約。

（四）與各國個人數(shù)據(jù)保護(hù)實(shí)踐的契合度較低

總體來看，108號公約還是過于以歐洲為中心，這一特征使得其并不能很好地適應(yīng)世界上其他國家的個人數(shù)據(jù)保護(hù)實(shí)踐。第一，108號公約不一定能適應(yīng)其他國家的行政機(jī)構(gòu)框架。公約附加議定書的第二條要求成員國建立個人數(shù)據(jù)保護(hù)機(jī)構(gòu)，在一些學(xué)者看來，條文中所述的個人數(shù)據(jù)保護(hù)機(jī)構(gòu)更適合具有歐洲行政機(jī)構(gòu)框架特征的國家設(shè)置，這一要求會使成員國不得不調(diào)整本國的行政組織架構(gòu)。如果一個國家的行政機(jī)構(gòu)框架與歐洲的完全不同，為滿足這一要求，該國可能需要對進(jìn)行一定的政治改革，這會使問題復(fù)雜化。同時，即便一個國家建立了數(shù)據(jù)保護(hù)機(jī)構(gòu)，該國也可能會遇到諸如當(dāng)?shù)氐臄?shù)據(jù)保護(hù)機(jī)構(gòu)缺少資金與文化支持的問題。以加納共和國為例，雖然其建立了個人數(shù)據(jù)保護(hù)委員會，但其當(dāng)前囿于資金短缺的困境。同時，因當(dāng)?shù)厝鄙倬邆涑渥銓I(yè)知識的人進(jìn)行數(shù)據(jù)保護(hù)工作，委員會也缺乏足夠的人力資源進(jìn)行日常的工作，遑論依照本國的數(shù)據(jù)保護(hù)法進(jìn)行執(zhí)法。加上加納當(dāng)?shù)夭]有產(chǎn)生“個人隱私應(yīng)當(dāng)受到保護(hù)”的文化環(huán)境，當(dāng)?shù)氐臄?shù)據(jù)控制者和數(shù)據(jù)處理者并沒有將保障個人數(shù)據(jù)安全放在心上，當(dāng)?shù)氐墓褚膊粫鲃拥乩梅晌淦骱葱l(wèi)自身的隱私，當(dāng)?shù)氐臄?shù)據(jù)保護(hù)法可以說形同虛設(shè)。在此情況下，設(shè)立個人數(shù)據(jù)保護(hù)機(jī)構(gòu)似乎并不能說明該國真的就能在保護(hù)個人數(shù)據(jù)方面做出了顯著了努力。

第二，某些國家會因本國已經(jīng)建立了適合本國的個人數(shù)據(jù)保護(hù)的立法執(zhí)法框架而不愿意參照108號公約做出的要求進(jìn)行改變。以美國為例，“自我管理”被視為規(guī)制個人數(shù)據(jù)跨境傳輸?shù)闹匾绞街?。這一相對更靈活的方式已經(jīng)足以滿足美國設(shè)立的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。按照歐洲的要求對本國進(jìn)行改革，將會給美國帶來不合理的時間和金錢成本。再者，沒有證據(jù)證明引入歐洲的模式是利大于弊的，如果改革失敗，美國將有可能遭受更大的損失。由此看來，108號公約面對已經(jīng)建立好個人數(shù)據(jù)保護(hù)框架的國家，其吸引力仍然是不足的。

第三，全球的個人數(shù)據(jù)保護(hù)實(shí)踐缺少統(tǒng)一的概念和定義，這種碎片化的狀況會進(jìn)一步降低108號公約對世界上其它國家的吸引力。光是個人數(shù)據(jù)權(quán)利這一概念，就出現(xiàn)了諸如“隱私權(quán)”（“the right to privacy”）、“數(shù)據(jù)保護(hù)權(quán)”（“the right to data protection”）和“數(shù)據(jù)隱私”（“data privacy”）的表述方式，在某些情況下“信息隱私”（“information privacy”）會被認(rèn)為是一種“隱私”（“privacy”）而非“個人數(shù)據(jù)保護(hù)權(quán)”（“data protection”）。然而，當(dāng)前只有GDPR和108號公約發(fā)現(xiàn)了這一問題，其它法域暫時沒有明確提出這些概念的碎片化是個人數(shù)據(jù)保護(hù)領(lǐng)域亟待解決的問題之一。概念碎片化的問題與各國使用不同的語言密不可分。如中國雖然會為本國立法提供英文翻譯，但立法的全過程都是以中文進(jìn)行的，所有經(jīng)人大常委會審閱的概念都以中文寫成。如果翻譯我國法律的翻譯人員沒有充足的歐盟法背景，其很有可能會直接按照中文法條進(jìn)行翻譯，而不考慮在歐盟法的語境下對應(yīng)的概念是什么。同時，即便翻譯人員具有相應(yīng)的歐盟法知識，他們也不能肯定我國立法當(dāng)中的概念和歐盟法中對應(yīng)的概念是完全對等的，與其使用相同的稱謂產(chǎn)生混淆，不如重新使用不同的名稱。由此看來，概念的碎片化表面上是個人數(shù)據(jù)跨境傳輸?shù)淖璧K，不如說是不得以而為之的妥協(xié)。

三、108號公約的未來展望與完善

（一）現(xiàn)代化修訂與個人數(shù)據(jù)跨境傳輸

為了緊跟當(dāng)前全球數(shù)字經(jīng)濟(jì)的變化，歐洲理事會開始對108號公約進(jìn)行了進(jìn)一步的修訂（下稱現(xiàn)代化修訂）。該修訂自2018年10月公布開始接受現(xiàn)成員國的批準(zhǔn)加入，有關(guān)個人數(shù)據(jù)跨境傳輸?shù)臈l款也從原本的第十二條改為原本的第十四條。就概念而言，現(xiàn)代化修訂在其第二條修訂了所有的概念和定義。以“數(shù)據(jù)控制者”取代了“數(shù)據(jù)文件控制者”，以“數(shù)據(jù)傳輸”取代了“自動數(shù)據(jù)文件”和“自動化處理”。同時，該條也擴(kuò)大了“數(shù)據(jù)控制者”的外延，所有“自然人或法人、公共機(jī)關(guān)、服務(wù)方、代理或其他主體”都有權(quán)成為決定個人數(shù)據(jù)的處理。有關(guān)該公約的解釋報告的第一百零二段指出，披露個人數(shù)據(jù)給另一國家的接收方或使另一國家的接收方得以訪問個人數(shù)據(jù)的情況應(yīng)當(dāng)被視為個人數(shù)據(jù)的跨境傳輸。這一定義與GDPR中有關(guān)個人數(shù)據(jù)跨境傳輸?shù)囊?guī)定是一致的。

這些向GDPR靠攏而做出的修訂具有兩方面的優(yōu)點(diǎn)。首先，當(dāng)未來解釋108號公約處理因新興信息技術(shù)產(chǎn)生的有關(guān)個人數(shù)據(jù)跨境傳輸?shù)膯栴}時，CJEU的判例法和歐盟有關(guān)的文檔可以作為重要的參考而不至于因?yàn)镚DPR和公約二者在概念方面的不統(tǒng)一而無法互動。這可以在一定程度上促進(jìn)108號公約的法律確定性，幫助其更好地應(yīng)對基于新技術(shù)的個人數(shù)據(jù)跨境傳輸。其次，因?yàn)镚DPR設(shè)立的個人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)及域外效力過于嚴(yán)格，某些國家有可能會講GDPR當(dāng)作本國個人數(shù)據(jù)保護(hù)立法的“示范法”加以參考。這樣的參考可能會使這些國家的個人數(shù)據(jù)保護(hù)立法與GDPR相似。如上所述，在向歐盟申請“充分性認(rèn)定”時，一國可以同時申請加入108號公約，這種條文上的近似可以幫助申請國同時滿足公約和GDPR的審查要求，節(jié)省一定的程序時間。這樣可以鼓勵更多的國家加入108號公約。然而，我們也需要意識到，截至目前，現(xiàn)代化修訂尚未生效，并且由上所述，這一修訂有可能因加入的國家數(shù)量不足而失效。即便其生效了，我們?nèi)匀恍枰獣r間來驗(yàn)證這些現(xiàn)代化修訂是否能發(fā)揮實(shí)際作用。

（二）全球化背景下108號公約的優(yōu)化建議

首先，就加入程序而言，歐洲理事會應(yīng)公布加入108號公約的相關(guān)標(biāo)準(zhǔn)與指南，為歐洲外的國家設(shè)立清晰的準(zhǔn)入條件，減少不合理的政治考量因素，提升公約的公信力。在審查申請加入的國家是否滿足準(zhǔn)入條件時，不應(yīng)局限于該國的法律條文，申請國的司法案例和執(zhí)法情況也應(yīng)一并納入審查的范圍。只有這樣，才能認(rèn)定申請國從實(shí)質(zhì)上達(dá)到了加入108號公約的標(biāo)準(zhǔn)，便于日后該國與其他成員國之間的合作。

第二，應(yīng)優(yōu)化調(diào)整當(dāng)前的行政機(jī)構(gòu)，在保持當(dāng)前意見委員會基本架構(gòu)的前提下，適量引入具有個人數(shù)據(jù)保護(hù)或隱私保護(hù)經(jīng)驗(yàn)的從業(yè)人員，并將他們的專業(yè)意見納入?yún)⒖挤秶?。如此可以高效并且全面地審核申請加?08號公約的國家的個人數(shù)據(jù)保護(hù)狀況，鼓勵其他國家加入該公約，促進(jìn)個人數(shù)據(jù)在全球范圍內(nèi)安全高效地流通。

第三，應(yīng)號召各成員國加快簽署現(xiàn)代化修訂文件并盡快使其生效，令108號公約更好地適應(yīng)基于新信息技術(shù)產(chǎn)生的個人數(shù)據(jù)跨境傳輸。同時，現(xiàn)代化修訂生效后，委員會將獲得更多的職權(quán)和資金支持，可以進(jìn)一步提高行政效率，為該公約吸引更多國家加入提供有力保障。

第四，應(yīng)在實(shí)踐層面優(yōu)化108號公約與GDPR在個人數(shù)據(jù)跨境傳輸問題上的聯(lián)動機(jī)制，減少申請加入國和成員國的程序性負(fù)擔(dān)。例如，當(dāng)一國申請加入108號公約時，公約委員會可以考慮與歐盟委員會合作，一并考慮該國在GDPR下是否達(dá)到了可以做出“充分性認(rèn)定”的標(biāo)準(zhǔn)，無需該申請國再向歐盟委員會提交相關(guān)申請。當(dāng)某一公約成員國經(jīng)歐盟委員會后續(xù)審查被撤銷了“充分性認(rèn)定”時，公約委員會應(yīng)當(dāng)幫助該國與歐盟委員會進(jìn)行進(jìn)一步溝通并盡快將個人數(shù)據(jù)的保護(hù)水準(zhǔn)恢復(fù)到撤銷前的水準(zhǔn)。如此一來，108號公約既可以吸引更多的國家加入，還可以保證歐洲成員國在履行基于公約產(chǎn)生的義務(wù)時不會違背GDPR對個人數(shù)據(jù)跨境傳輸?shù)囊蟆?/p>

然而，108號公約中有關(guān)個人數(shù)據(jù)跨境傳輸?shù)木唧w規(guī)定以歐洲為中心，可能會導(dǎo)致這一公約無法適應(yīng)其他國家的實(shí)踐，但為此調(diào)整公約內(nèi)容并不符合歐洲理事會成員國的利益，這一矛盾在短期內(nèi)無法得到有效解決。對暫時無計劃加入該公約的其他國家而言，可以將其中具有共性的內(nèi)容作為各國保護(hù)本國個人數(shù)據(jù)的重要參考。以我國為例，108號公約中有關(guān)個人數(shù)據(jù)保護(hù)程度和個人數(shù)據(jù)保護(hù)原則的條文，與我國一直以來保護(hù)國家信息安全和保護(hù)公民隱私權(quán)的觀點(diǎn)不謀而合，即使我國不加入該公約，也可參考該公約的相關(guān)條文進(jìn)一步完善我國個人信息保護(hù)的立法。隨著“一帶一路”倡議的推廣以及我國深度參與“5G”技術(shù)的研發(fā)，中國很有可能會在未來成為全球信息傳播及數(shù)據(jù)處理的另一個中心。通過參考諸如108號公約的個人數(shù)據(jù)保護(hù)立法，我國可以構(gòu)建起具有中國特色的個人數(shù)據(jù)保護(hù)體系，全方位提升我國在信息時代的公信力和影響力。

四、結(jié)語

作為對締約國具有約束力的國際公約，108號公約在全球范圍內(nèi)促進(jìn)個人數(shù)據(jù)保護(hù)與個人數(shù)據(jù)跨境傳輸方面做出了一定的貢獻(xiàn)，其他個人數(shù)據(jù)跨境傳輸?shù)某h或框架相比，顯示出了更多的優(yōu)越性。然而，108號公約也存在程序不夠透明、條文難以適應(yīng)時代、與各國實(shí)踐契合度較低及與GDPR聯(lián)動性不佳等不足。因此，應(yīng)盡快使108號公約的現(xiàn)代化修訂生效，幫助108號公約跟上現(xiàn)代信息技術(shù)的發(fā)展。此外，歐洲理事會還應(yīng)在今后優(yōu)化108號公約與GDPR的聯(lián)動機(jī)制，公布加入公約的具體條件，引入具有經(jīng)驗(yàn)的專業(yè)人員提高審核加入公約申請的效率，以此進(jìn)一步提高108號公約對世界各國的吸引力。另一方面，對于一些暫無計劃加入該公約的國家，也可借鑒公約中具有共性的部分進(jìn)一步發(fā)展本國立法，有利于促進(jìn)全球各國個人數(shù)據(jù)保護(hù)合作，在信息時代更好地保護(hù)國家安全和公民權(quán)利。

參考文獻(xiàn)：

[1][9]Council of Europe. Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data[Z]?European Treaty Series，1981.

[2][3][10]Graham Greenleaf. The influence of European data privacy standards outside Europe：?implications for globalization of Convention 108[J].International Data Privacy Law，2012，2（02）：68.

[4]Graham Greenleaf. ‘European’?Data Privacy Standards Implemented in Laws Outside Europe[J].UNSW Law Research Paper，2018.

[5][7][17][18][20][23]Paul De Hert，?Vagelis Papakonstantinou. Three Scenarios for International Governance of Data Privacy：?Towards an International Data Privacy Organization，?Preferably a UN Agency [J].I/S：?A Journal of Law and Policy for the Information Society，2013（09）：271.

[6]Erica Fraser，?Data Localization and the Balkanization of the Internet [J]. Scripted，?2016（13）：359.

[8][21]United Nations Conference on Trade and Development. Trade and Development Board Intergovernmental Group of Experts on E-Commerce and the Digital Economy[EB/OL].（2017-07-26）[2020-10-06].https：//unctad.org/meetings/en/SessionalDocuments/tdb_ede1d2_ch.pdf.

[11]Graham Greenleaf. Renewing Convention 108 The COEs GDPR Lite Initiatives[J]. UNSW Law Research Paper，2017.

[12]Christopher Kuner. Reality and Illusion in EU Data Transfer Regulation Post Schrems[J/OL].SSRN Electronic Journal，2017.

[13][19]Council of Europe：?Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal data regarding supervisory authorities and transborder data flows[J].International Legal Materials，1998.

[14]EUR-Lex. Criminal proceedings against Bodil Lindqvist[EB/OL].（2013-11-06）[2020-09-25].https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX：62001CJ0101.

[15][22]Christopher Barth Kuner. Transborder Data Flows and Data Privacy Law[M]?Oxford University Press，2013：12.

[16]Council of Europe. Consultative Committee of the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data[EB/OL].（2017-11-22）[2020-09-15].https：//www.coe.int/en/web/data-protection/consultative-committee-tpd/meetings/agenda-35plenary.

[24]中國外交部網(wǎng)站.中方正積極考慮提出有關(guān)維護(hù)數(shù)據(jù)安全的倡議[EB/OL].（2020-09-04）[2020-09-15].http：//new.fmprc.gov.cn/web/wjbzhd/t1812023.shtml.

[25]Andrew Murray. Information Technology Law：?The Law and Society[M]?Oxford University Press，2016.

責(zé)任編輯??楊慧芝