一、相关立法
在俄罗斯,有关数据治理的政策规范框架主要覆盖数据和隐私的处理规则,其制度要点阐述如下:
1.1《俄罗斯宪法》
《俄罗斯宪法》第二十三条规定每个人都有私生活、个人和家庭秘密不受侵犯、维护其荣誉和良好声誉的权利。每个人都有通讯、电话交谈、邮政及电报和其他交际秘密的权利。只有根据法庭决定才可限制这一权利。《俄罗斯宪法》规定未经本人同意不得搜集、保存、利用和扩散有关其私生活材料。
1.2《俄罗斯个人数据保护法》
《俄罗斯个人数据保护法》主要调整与个人数据处理和保护相关的法律关系。该法共六个章节25条,以个人数据处理行为为规制对象,强调对个人数据的保护。《俄罗斯个人数据保护法》在法律适用范围、数据处理规则、数据主体权益、数据监管机构、数据本地化储存、数据跨境流动等方面加以规定,明确规定了个人数据专属于数据主体,对未授权的个人数据处理行为明确予以禁止,并赋予数据主体一系列数据权益。主要涉及数据处理的规则、数据主体权益、数据监管机构、数据跨境流动以及数据的本地化储存。《俄罗斯个人数据保护法》确立了五大数据处理原则,即“合法公平原则”“目的限制原则”“安全保障原则”“准确充分原则”“及时删除原则”。
1.3《俄罗斯信息、信息化和信息保护法》
《俄罗斯信息、信息化和信息保护法》于1995年发布,对信息领域中的基本概念、信息资源及其利用、信息主体权益等法律问题作出规定。2015年7月,俄罗斯颁布了第264-FZ号联邦法律,对《俄罗斯信息、信息化和信息保护法》作出修订,确立了被遗忘权制度。2021年2月,《俄罗斯信息、信息化和信息保护法》的一项修正案正式生效,进一步加强了对网络社交平台的监管。该法规定了关于信息收集、处理和保护的八大基本规则:1)在无特别规定的情况下,任何人可以任何方式自由地收集、处理和传播信息;2)只有联邦法律能对信息的访问作出限制;3)除非联邦法律特别规定,关于联邦政府机构和地方自治机构活动的信息应当被公开且可自由访问;4)各民族语言平等;5)保障俄罗斯联邦的安全;6)确保信息的真实性以及信息传播的及时性;7)确保私人生活的不可侵犯性;8)禁止优先某些信息技术。
1.4《俄罗斯关键信息基础设施安全法》
《俄罗斯关键信息基础设施安全法》在适用范围、基本概念、安全保障原则、安全保障体系、关键设施主体权利和义务、安全保障系统、关键设施重要客体等方面加以规定。《俄罗斯关键信息基础设施安全法》通过确立关键设施安全保障原则,通过建立监测、预防和应对计算机攻击的信息系统,通过明晰关键设施主体的权利义务,以及通过划分国家机构在关键设施安全保障方面的职权,构建起关于信息基础设施安全的法律规范体系。该法主要涉及安全保障的三大基本原则、由上而下的关键基础设施安全保障体系、关键设施主体权利、关键设施主体义务、安全保障系统、关键设施重要客体等。
1.5《俄罗斯主权互联网法》
2018年12月俄罗斯发布《〈俄罗斯联邦通信法〉及〈俄罗斯联邦关于信息、信息技术和信息保护法〉修正案》,也被称为《主权互联网法》(Sovereignty Internet Law)。俄罗斯《主权互联网法》的主要内容,是从五个方面立法确立了俄罗斯网络的“自主可控”网络主权,主要涉及域名自主、定期演习、平台管控、主动断网以及技术统筹。域名自主是指俄罗斯须建立可接收域名信息的全国系统和自主地址解析系统;定期演习是指政府、电信运营商和技术网络所有者定期演习的必要性,以识别威胁并制定应对措施;平台管控是指规范了互联网流量管理;主动断网是指由俄联邦的电信、信息技术和大众传媒监督局(Roskomnadzor)负责维持俄网的稳定性;技术统筹是指法案定义路由选择的原则,提出用之于追踪监控的方法,并要求俄联邦的电信、信息技术和大众传媒监督局下设公共通信网络监测和管理中心。
二、监管机构
俄罗斯安全委员会总体负责国家信息安全工作,制定统一的网络安全政策、审议重要的网络安全及信息安全等事项。
俄罗斯联邦电信和大众传媒部是重要的互联网监管机构,一方面拥有立法权,负责制定电信和大众传媒领域的政策和法规,如个人数据处理和网络治理等;另一方面具有执法权,包括对通信及信息传播的监管。该部下设相关监管机构,如联邦电信、信息技术和大众传媒监管局,负责监管相关法律的遵守、依法保护和处理个人信息等。即联邦电信和大众传媒部负责监管立法和政策的制定,该部下设的机构负责监管措施的具体落实。
俄罗斯联邦网络和服务协会主要负责组织互联网相关活动,推广互联网安全理念,也有一定的监管权。实际上,俄罗斯联邦数据监管机构繁多,从政府、协会到企业及社会组织等,均对数据跨境活动发挥监管作用。
三、监管对象
基于国内数据监管的目的,俄罗斯对数据跨境流动实行严格的管控制度。通过多项立法将数据分为可流通数据和禁止流通数据。与企业相关的数据,是内容合法但相对禁止流动的数据,包括保密性数据信息、公民个人数据信息和知识产品型数据信息,其中保密性数据是指涉及国家秘密或者法律所保护的数据,此类数据为限制存取的信息;公民个人信息侧重个人同意制度,并且强调未成年人的个人数据保护。知识产品型的数据通常表现为数字化作品,为防止对知识产权的侵犯,其流动需要取得知识产权人的许可。
《俄罗斯联邦个人数据法》修正案,对跨境数据作出对内对外均严格的管理模式。俄罗斯联邦立法将个人敏感数据称为特殊类别的个人数据,涉及种族、政治倾向、哲学信仰、健康状况、性生活等个人信息。同时俄罗斯将生物信息与敏感信息(特殊类别资料)进行区分,生物信息是指依据特定的生物或生理特征能够识别特定个人的信息。对于个人数据的处理而言,数据主体应当享有对个人数据加工报告中的信息进行检查的权利,并在国家机关职权范围内实施个人数据检查等。
四、合规要求
个人数据的传输主体需要向接收主体获取信息,并向俄罗斯联邦通信监管局通报如下信息:
1.向俄罗斯联邦通信监管局通报
(1)数据传输主体的姓名/名称、地址;
(2)数据传输主体先前向俄罗斯通信监管局通报其计划处理个人数据的日期和通报号码;
(3)处理个人数据的负责人/单位的姓名/名称、联系电话、地址和邮箱;
(4)数据跨境传输以及对传输的数据进一步处理的法律依据和目的;
(5)传输的个人数据的类别和列表;
(6)个人数据的数据主体类别,如员工、消费者等;
(7)目的国/地区的列表;
(8)评估数据接收主体对个人数据保密性和安全性的措施的日期。
2.俄罗斯联邦通信监管局的审查
为了确认通报内容的正确性,俄罗斯联邦通信监管局可能要求通报主体提供从数据接收主体处获取外国主体的信息。如果接到要求通知,传输主体应当在收到要求通知后的10个工作日内提供。传输主体可以在说明理由的情况下,请求延长5个工作日。
(1)数据接收主体为保护所传输的个人数据采取的保护措施,以及终止传输个人数据的条件;
(2)如果目的国是不充分保护个人数据主体权利的国家,则需要提供该目的国个人数据领域的法律法规信息;
(3)该数据接收主体的信息,包括姓名或名称、电话、地址、邮箱。
3.根据目的国的数据保护情况,区分审查程序
(1)通知模式:若目的国是充分保护个人数据主体权利的国家,数据传输主体在通报后即可跨境传输个人数据。当出现下列情况时,数据传输主体应当停止或限制跨境传输:
(i)俄罗斯联邦通信监管局审查通报内容后,以保护公民道德、健康、权利及合法利益为目的做出禁止或限制跨境传输个人数据的决定;
(ii)俄罗斯通信监管局依照《俄罗斯联邦个人数据法》第12条第12款(保护俄罗斯联邦宪法基础、国家安全、经济利益等目的)做出禁止或限制跨境传输个人数据的决定,该决定需要在收到通报之日起5个工作日作出;
(2)许可模式:若目的地国为不充分保护个人数据主体权利的国家,除为了保护数据主体或他人生命、健康或其他重要利益的目的,需要由俄罗斯联邦通信监管局审查通报内容后方可进行传输。审查时限为10个工作日,若该局要求数据传输主体提供数据接收主体的相关信息,将相应延长审查时限。审查时限结束后,若未收到禁止传输个人数据的决定,数据传输主体可跨境传输个人数据。
若禁止或限制传输个人数据,数据传输主体应确保数据接收主体销毁此前接收的个人数据。
参考文献: 1.https://mp.weixin.qq.com/s/4Vt5-WdQDg-vy6K0XE-uMQ 2.《俄罗斯数据跨境流动监管机制》https://www.chinacourt.org/article/detail/2024/07/id/8023534.shtml