俄罗斯强化数据主权保护

孙祁

历经15年的不断完善与修改，俄罗斯已初步构建起数据与信息安全法律制度体系

2020年12月10日，俄罗斯联邦会议国家杜马发布《俄罗斯联邦个人数据法》修正案，进一步明确公共个人数据处理规则，旨在建立保护个人数据主体权利和自由的机制。2021年2月18日，俄罗斯国家杜马颁布《俄罗斯联邦关于数据与数字发展2021—2025规划》，再次明确数字经济下的数据规制与数据保护规则的具体发展前景与内容。

数据立法是数字经济的关键

随着全球数字经济的发展，数据流动既赋予全球经济新的增长动能，也对现代社会有正向的推动作用，但不可避免地触发了各国对个人隐私、国家安全和经济前景的风险担忧，致使国外主要国家和地区针对全球跨境数据流动的法律政策和监管实践不断出新。不过，各国对数据流动采取的法律政策有所差异。例如美国不断致力于倡导和推动数据全球自由流动，在美国曾主导的《跨太平洋伙伴关系协定》中明确指出：当通过电子方式跨境传输信息是为涵盖的人执行其业务时，缔约方应允许此跨境传输，包括个人信息;但以俄罗斯、欧盟为代表的国家和地区采取了与美国截然不同的做法。2018年5月25日生效的欧盟《通用数据保护条例》被称为史上最严数据保护立法。2013年“棱镜事件”曝光后，基于保护国家安全与互联网数据潜在危险，由时任俄罗斯总统普京递交法案，对现行立法关于公民数据存储和数据处理地进行修改，推行数据存留本地化原则，且限制跨境数据流动。俄罗斯是推动数据存留本地化、限制跨境数据流动的代表，其出发点是国家安全立场和实际存在的数据安全威胁，与我国目前的数据立法方向基本相同。

關注存储本地化与数据安全

2020年12月，俄罗斯通信监管机构“联邦通信、信息技术与大众传媒监督局”局长亚历山大·扎罗夫再次向Twitter和Facebook等公司发出警告，限时6个月将公司关于俄罗斯用户的个人数据存储在俄罗斯境内的服务器上，以遵守俄罗斯的数据立法。

俄罗斯第一部关于数据与信息安全的联邦法律是《关于信息、信息技术和信息保护法》，历经15年的不断完善与修改，俄罗斯已初步构建起数据与信息安全法律制度体系。形成了以《俄罗斯联邦宪法》与已缔约的国际条约为基础，《关于信息、信息技术和信息保护法》与《俄罗斯联邦个人数据法》为准则，其他联邦法律与规范性文件为补充的数据与信息安全法律制度体系。

其中，《俄罗斯联邦宪法》载有信息安全法律框架的一般性基础规则，即信息关系主体法律地位的关键要素，信息安全原则（合法性，尊重人权、人格、社会和国家利益的平衡），确保信息安全的国家机构的宪法地位等。《俄罗斯联邦宪法》第23.1条“人人享有私生活不可侵犯、个人及家庭秘密、保护自己的名誉和名声的权利”;第24.1条“非经同意不允许收集、保管、使用和传播个人的私生活信息”确立了个人的隐私权属于公民的宪法权利;《俄罗斯联邦宪法》第55条第3款“个人和公民的权利和自由，只能在捍卫宪法制度基础、他人的道德、健康、权利和合法利益、保证国防和国家安全所必需的限度内，由联邦法律予以限制”。

国际条约方面，俄罗斯除缔约了2000年6月22日《全球信息社会宪章》外，还于2006年批准加入了1981年《个人数据自动化处理中的保护公约》。俄罗斯根据《个人数据自动化处理中的保护公约》就数据跨境转移列出了被官方认可为“确保充分保护”的国家名单。除了公约成员国外，截至目前，还有23个国家被列入“白名单”。

2006年《关于信息、信息技术和信息保护法》由俄罗斯联邦议会审议通过，该法主要规定了整个信息立法系统的准则，以及包括信息安全的立法保护，调整了相关主体在进行寻找、获得、传递、生产和传播信息以及使用信息技术和进行信息保护时产生的法律关系。其中《关于信息、信息技术和信息保护法》第6条对数据权属问题进行了规定：“规定了信息资源是财产的组成部分和所有权的客体，明确了信息可为资产，其主体可以是公民、国家机关、地方自治机关或者机构及社会团体”;《关于信息、信息技术和信息保护法》第11.4条对数据处理许可及告知制度进行了规定：“非国家机构和私人从事有关个人资料处理和向使用者提供个人资料的活动应经过必需的特许（申请许可证，申领执照）。”该法规定了信息拥有者、信息系统运营者需要承担的信息保护义务，包括：预防非法获取信息和（或）将其传递给无权获取该信息的人员;及时发现非法获取信息的事实;对违法获取信息规定可能产生的后果进行警告;不采取破坏信息处理设备和手段功能的行为;迅速恢复因非法获取信息而被异化和销毁的信息;经常检查信息保护水平。

除此之外，俄总统令《关于在使用国际信息交换的信息和电信网络时确保俄罗斯联邦信息安全的措施》《就“进一步明确互联网个人数据处理规范”对俄罗斯联邦系列法律的修正案》《俄罗斯联邦〈关于信息、信息技术和信息保护法〉修正案及个别互联网信息交流规范的修正案》《俄罗斯联邦澄清部分关于信息和电信网络联邦法律中适用处理个人资料程序的修正案》等其他规范性文件也逐步充实与完善着俄罗斯的数据保护及数据流动的法律制度体系。

解决公开数据处理问题

2006年《俄罗斯联邦个人数据法》已规定了公开的个人数据处理规则，但不设限制地允许第三方处理公开的个人数据将可能侵犯公民数据保护与信息权。为此，2020年12月10日颁布的《俄罗斯联邦个人数据法》修正案明确了已公开个人数据的处理要求：一是公开个人数据的同意必须是单独的、明确的;二是公开个人数据的同意并非永久性同意，而是具备有效期限的暂时性同意，网络运营者在获得个人同意时，需要告知个人同意的具体期限;三是公开个人数据的同意可以是限制范围的同意，个人在同意公开其个人数据时，可以做出两方面的限制——一方面是可限制网络经营者将公开个人数据转移给第三方，另一方面可禁止第三方处理公开个人数据或者规定第三方处理公开个人数据的要求;四是规定处理公开个人数据的例外情形，为履行法定职责所必需或者为维护国家、社会和其他公共利益时，可以不受个人同意的限制而处理公开个人数据;五是个人数据主体有权要求网络运营者删除其已公开的个人数据，而且无须证明其个人数据被非法处理，在收到个人的删除请求时，网络运营者应及时删除相关个人数据。

强化数据安全，保护数据主权

在俄罗斯，“数据保护”已逐渐成为广泛共识。俄罗斯自“棱镜事件”后，不断加强数据领域的治理与监管，对各类数据收集人违规收集用户数据、滥用甚至贩卖用户数据等非法行为采取了严格措施。在跨境数据流动方面，俄罗斯实行严格管控制度，对涉及的不同国家数据主体实行不同法律监管，以法律监管保护数据安全。

俄罗斯推行数据本地化制度的根本要因是担心本国数据向境外转移会有损本国监管目标的实现，其中包括隐私保护、维护网络安全、便利执法等具体监管目标。但从美国推行的数据自由政策来看，认为数据本地化是限制数据跨境自由流动的直接要素，会直接对数字贸易自由化形成政策性阻碍。尽管美国的提法存在夸大之嫌，但数据本地化制度本身作为数据监管手段所产生的副作用，以及数据本地化制度的消极影响会直接限制数据跨境流动、影响数字经济价值的实现。因此在数据跨境流动方面如何寻找数据自由与数据本地化的平衡至关重要。

编辑：黄灵  yeshzhwu@foxmail.com