2022年7月6日,俄罗斯国家议会(“杜马”)通过了关于《俄罗斯联邦个人数据法》的修正案(№ 266-ФЗ,以下简称“2022年修正案”)。2022年7月14日,俄罗斯总统普京签署了№ 266-ФЗ号法案,大部分修正案内容自2022年9月1日起生效,还有部分内容自2023年3月1日起生效。[1]
由于特殊的历史文化背景和社会经济基础,俄罗斯基于本国的安全利益以及国内数据监管的目标对数据跨境流动实行严格的管控制度,对不同国家的数据主体实行差别化的法律监管,不同于美国等主动型数据流动国家,俄罗斯在保护数据主权的同时,主动立法以识别网络主权威胁。因此,俄罗斯的立法及执法趋势,对于权衡“保安全”与“促发展”之间的数据跨境流动治理模式而言,有很重要的研究意义。
2. 俄罗斯个人数据治理的相关概况
俄罗斯涉及网络主权与数据保护的立法实践形成了以《俄罗斯联邦宪法》等传统部门法为基础,以《俄罗斯联邦关于信息、信息技术和信息保护法》《俄罗斯联邦个人数据法》和《俄罗斯联邦主权互联网法案》等特殊法为准则,以其他联邦法律与规范性文件为补充的数据与信息安全法律体系(见表1)。而本次修改的《俄罗斯联邦个人数据法》就属于网络与数据保护专项法中的内容,对跨境数据作出了严格的规制,对个人信息保护实施严格的监管,针对国内、国外两个层次形成了“内外双严”保护数据主权的法律特征。
2.1 《俄罗斯联邦个人数据法》的历史沿革
《俄罗斯联邦个人数据法》(№ 152-ФЗ)于2006年7月27日正式通过,旨在保障公民个人数据处理中的权利和自由,并对个人数据的跨境转交提出了同等保护的要求。该法定义了个人数据和数据处理,规定了数据主体的权利和数据控制者的义务、同意规则、数据本地化和数据跨境传输。该法还调整个人与数据处理者的关系,数据处理者包括联邦国家权力机关、其他国家机关、地方自治机关、市政机关、使用或不使用自动化方法的法人和自然人。因此,企业对于公民个人数据的处理会受到该法的管辖,企业的数据存储、处理、跨境传输等环节会受到全面控制。
自2006年颁布以来,《俄罗斯联邦个人数据法》经历了24次修订,其中:2013年俄罗斯国家杜马批准了个人数据匿名化的要求和方法;2015年修订了个人数据本地化的要求,根据该要求,俄罗斯公民的个人数据必须存储在位于俄罗斯境内的服务器上;[2]2017年增加违反个人数据法的行政罚款等等。本次修正案(№ 266-ФЗ)针对个人数据跨境转移的通报和限制、个人数据非法转移造成的侵权及个人数据处理的程序等内容进行了修改。
2.2 主管机构及职权
目前,俄罗斯数据跨境的主要监管机构为“联邦通信、信息技术和大众媒体监督局(Roskomnadzor)”,Roscomnadzor有权根据《俄罗斯联邦个人数据法》的规定,对个人数据处理行为进行监督和合规控制、有权审议法人和个人在处理个人资料方面提出的申诉,并在主管职权范围内对申诉的结果作出决定、负责对处理个人信息的处理人进行登记。
其职权具体还包括:
1) 依法采取措施暂停或终止违法的个人数据处理行为;
2) 代表数据主体的利益向法院起诉,向政府当局及数据主体告知保障数据主体权利的情况;
3) 依法向联邦安全执行局和联邦技术情报对策与技术信息保护执行局提交包含技术保护措施的信息,包括加密工具的名称和信息;
4) 向自然人或者法人无偿获取为实现权限所必要的信息;
5) 法定条件下,向有关机构发出建议暂停或终止数据处理许可证;
6) 根据管辖,向检察机关、其他司法机关发送与侵犯数据主体权利有关的犯罪材料;
7) 对违反上述联邦法律的行为实施行政监管处罚;
8) 对职权范围内的信息进行审查并在权限范围内委托其他国家机关查阅相关信息;
9) 就改善保障数据主体权利事宜向俄罗斯联邦政府提出建议;
10) 与外国当局合作,保障数据主体的权利,包括:在国际间就保障数据主体权利交流经验及批准提供适当个人资料保护水平的外国国家名单。
2.3 基本原则和数据跨境传输制度
1) 基本原则:《俄罗斯联邦个人数据法》确立了如下个人数据处理的基本原则:
• 合法与公平原则:对个人数据的处理应当在合法和公平的基础上进行。
• 目的限制原则:处理个人数据应当仅限于实现具体的、事先确定的、合法的目的,个人数据的处理不得违背收集个人数据的目的,只能处理符合处理目的的个人数据。
• 禁止数据库混合原则:不得出于让个人数据相互不兼容的目的,合并包含个人数据的数据库。
• 内容和范围限制原则:处理的个人数据的内容和范围应当符合所声明的处理目的。处理人无权处理与处理目的无关、超出处理目的所确定范围的个人数据。
• 适度处理原则:处理个人数据时应当确保个人数据的准确性、完整性以及在必要时对个人数据处理目的而言的时效性。处理人应当采取必要的措施或确保采取措施,删除或更正不完整或不准确的数据。
• 禁止永久保存原则:个人数据的保存应当以能够确定个人数据主体的方式进行,不得超过个人数据处理目的所要求的时限,联邦法律、个人数据主体作为合同受益人或担保人的的合同另有规定的除外。处理目的已实现或在实现此目的的必要性已丧失的情况下,对处理后的个人数据应当进行销毁或匿名化处理,联邦法律另有规定的除外。
2) 数据跨境传输制度:
根据《俄罗斯联邦个人数据法》的规定,个人数据跨境传输是指:跨越国境向外国权力机关、外国自然人或者法人移转个人数据的行为,并根据接收国家的不同,将跨境数据传输行为区分为两种类型:
• 为个人数据主体的权利提供充分保障的国家(“安全国家”)
• 向不安全国家传输数据。
根据《俄罗斯联邦个人数据法》的规定,数据处理者可以根据内部数据传输的要求,将个人数据跨境传输至安全国家/地区。但向不安全国家的跨境传输数据需要获得数据主体的书面同意,法律明确规定的情况除外。
目前俄罗斯认可的安全国家包括:
• 加入欧洲理事会(Council of Europe)发布的《关于个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)的国家
• 虽然没有加入公约但是被俄罗斯列入“白名单”的国家。[3]Roskomnadzor会修改“白名单”,截至目前有29个国家被列入“白名单”,包括澳大利亚、以色列、卡塔尔、加拿大、马来西亚、蒙古、加蓬、新西兰、韩国、日本、新加坡、越南、巴西、尼日利亚、南非、孟加拉、安哥拉、白俄罗斯、贝宁、赞比亚、哈萨克斯坦、哥斯达黎加、马里、秘鲁、塔吉克斯坦、乌兹别克斯坦、乍得、多哥。值得注意的是,中国并不在“白名单”中。据俄媒体Vedomosti 7月20日报道,RKN已计划将中国、印度、泰国等国家列入“白名单”。
3. 本次修正案关于个人数据跨境转移部分的相关内容
本次修正案重点更新了个人数据跨境转移的规则,经营者需要在跨境转移数据之前通知监管机构,也就是联邦通信、信息技术和大众媒体监督局(Roskomnadzor)。从条款的数量上来看,旧法案关于个人数据跨境的第12条只有4款内容,而2022年修正案扩展为15款内容,从逻辑、格式和内容的角度来看都有较大变化,具体内容如下。
3.1 新增前置程序
2022年修正案增加了个人数据跨境转移的前置程序——经营者(оператора)需要向监管机构(Roskomnadzor)进行事先通知。需要注意的是,根据修正案第12条第3款,该通知义务不同于《俄罗斯联邦个人数据法》中第22条的“个人数据处理通知”义务,本次修正案特意强调了“个人数据跨境转移”也需要履行通知程序。
同时,新修正案明确列出了经营者发出的通知所需要包含的信息:
3.2 限制可以跨境转移的接受国
2022年修正案进一步限制了可以进行数据跨境转移的情况。根据修正案第12条第2款,一般情况下,经营者只能向欧洲理事会《关于个人数据自动化处理的个人保护公约》的缔约国和“白名单”(上文第2节提到的)中的国家或地区进行数据的跨境传输。而根据旧法案第4款,经营者在进行跨境传输时还可以依据个人数据主体的书面同意、所签署的合同向非缔约国以及不在“白名单”上的国家进行传输。
3.3 增加禁止或限制转移的情况
在进行个人数据跨境传输的通知时,2022年修正案增加了监管机构禁止或限制转移的情况,包括:
1) 监管机构根据经营者提供的通知作出审议结果,为了保护公民的道德、健康、权利和合法利益禁止或者限制数据跨境传输。
2) 监管机构根据其他联邦机构的建议作出禁止或者限制经营者数据跨境传输的决定,具体内容包括:
• 为了保护俄罗斯联邦宪法制度基础和国家安全;
• 为了保障国家国防;
• 为了保护俄罗斯联邦的经济和金融利益;
为了确保通过外交和国际法律手段保护俄罗斯联邦公民的权利、自由和利益、俄罗斯联邦的主权、安全、领土完整及其在国际舞台上的其他利益。
4. 结语
首先,2022年修正案通过之后,对于企业来说,需要承担更多的合规义务,如果在经营中涉及到个人数据跨境的业务,需要按照新法履行事先通知义务,并且报送相关文件。
具体流程如下图:
从以上流程可以看出,对于企业来说,企业在处理个人数据跨境传输的业务时,会涉及大量的沟通和协调,需要企业在进行相关业务时预留大量的时间,并且作好事先的检索工作,比如境外接收方所在国不是欧洲理事会欧洲理事会《关于个人数据自动化处理的个人保护公约》的缔约国也并非“白名单”上的国家,运营商和数据接收方承担的责任会更重,需要等待监管机构的审议,因此可能会给企业带来更多的不确定性。
其次,俄罗斯虽然已经制定了具体的数据跨境传输治理框架,但对于一些具体的细节问题还需要进一步的明确,比如经营者计划向多个国家传输数据,那么需要提交一份通知还是多份通知?如果被监管机构禁止或限制跨境传输数据后,运营商可否重新提交修改后的通知?在提交补充信息时,经营者需要以什么形式提交数据接收方为保护数据的措施以及终止处理所传输的数据的信息?这些问题都需要我们持续关注立法机关以及监管机关的态度。
附件
№ 266-ФЗ号修正案中关于第12条个人数据的跨境传输内容梳理:
参考文献
[1]
[2]第242号联邦法律在《俄罗斯联邦个人数据法》中增补了第18条第5款和第22条第3款第10.1)项,分别规定了运营者对俄罗斯联邦公民的个人数据需进行本地化处理,以及向政府告知俄罗斯境内的数据库地址的义务。
[3]https://rkn.gov.ru/news/rsoc/news73940.htm返回搜狐,查看更多
责任编辑:
