米铁男：俄罗斯网络数据流通监管研究

　　数据信息资源在今天已经成为一国的战略资源，是信息网络时代关系到国计民生的重要因素。数据的流通亦可称为数据的流转，是数据信息资源价值实现的重要环节，同时也是网络数据安全的重要保障手段。换言之，数据流通的规范目的在于数据安全，而数据安全的规范目的则在于国家安全。俄罗斯在网络立法领域十分重视数据安全，其中关于数据流通的监管制度已经形成体系，并且发挥着调整网络信息资源配置的重要作用，对我国的数据流通管理具有一定的借鉴意义。　

　　俄罗斯关于数据流通监管的法律大多分散于各类网络相关立法中，也包括在部分传统法律，以及近年来出台的各类网络安全和发展的相关政策中。俄罗斯联邦互联网规范性文件主要呈现“两大类、双层次”的分布特征。所谓两大类是指政策类和法律类，其中政策类又包括综合类和专项类两个层次，法律类包括传统部门法和涉及网络领域的专项法律两个层次，参见表1。

　　表1　俄罗斯联邦互联网规范文件分类

　　为了更好地保障国家数据安全，俄罗斯还出台了关于规制数据流通的专门规定，例如2014 年所谓“数据本地化法案”。俄罗斯数据流通管理制度产生于国家信息立法的大背景之下，最初俄罗斯主要着眼于国家层面的信息安全，建设信息化社会，推动信息网络产业的发展，制定了一系列的规范，但此后网络安全事件频发严重威胁俄罗斯的网络安全，而这些事件的发生都离不开基本的技术事实——数据流通。为此俄罗斯在后续的政策和立法中开始关注数据信息的流通环节，并将其整合到一般数据安全的监管制度中，作为数据信息安全的重要组成部分予以规制。

　　俄罗斯历来重视社会治理的理论研究，在网络治理方面依托国家顶层的规划设计，指引立法和公共政策的制定，保证相关制度不偏离网络监管的目标价值。数据流通监管作为网络治理的一部分，与其遵循着同样的目标价值，该制度也同样承载着维护国家网络安全的重要职能。关于指导俄罗斯网络数据监管立法的政策，其国制定有专门的指引性文件，即2000年国家杜马通过的《俄联邦发展和使用互联网的国家政策的法律纲要》（以下称《纲要》）。根据该《纲要》依据联邦宪法、国际条约和联邦法律而采取的一系列监管网络安全的手段措施就构成了网络治理的国家政策。网络治理以及数据流通的监管需要符合国家发展及应用互联网的基本前提，即利用网络获取信息资源进而促进俄罗斯社会经济和科学技术的发展进步。俄罗斯制定相关网络政策及立法的总体目标是：支持有利于网络用户、经济组织、非商业机构、国家机关和地方政府的互联网产业发展，利用网络信息资源促进国家经济增长和社会问题的解决，确保网络作为普遍和有效的信息传递工具。由此可见，数据流通监管制度是在国家互联网发展规划的总体目标下构建的，应始终符合国家发展的目标价值观，这是根本导向的问题。

　　俄罗斯在传统上具有和欧美国家不同的社会文化背景和社会经济基础，这决定了它要站在不同的立场上来建立信息化发展道路。目标价值观是世界各国制定法律和政策的通用思考方式，但并不代表思考的内容具有同一性。俄罗斯始终致力于保持政治和文化的独立性，故此在政策和立法上表现出相对保守的特点，再加之俄罗斯饱受恐怖主义的危害，对网络安全事件更为敏感，因此在法益权衡方面，国家利益重于个人利益，而且在数据信息立法中更强调文化传统的自决和保持。在俄罗斯的政策和立法中明显反映了上述特点，此外俄罗斯还利用俄语这一天然对抗发达国家信息文化侵略的人文工具，积极推动独联体国家统一信息空间的建立，打造信息网络战略的缓冲地带。在信息立法方面一些学者的观点也存在分歧。有的学者从事实角度定义信息立法，例如科贝洛夫认为信息法的调整对象是信息关系，即为实现信息流转，在信息的生产、收集、加工、存储、保护、查找、分享、传播和利用过程中产生的社会关系。有的学者则从价值的角度诠释信息立法，例如巴奇罗认为信息法是关于在信息资源生产和利用、信息技术应用、信息通信、信息化过程的组织管理，以及保障公民、国家和社会在信息安全领域所形成的社会关系和活动的法律调整对象、原则和规则。学者们的观点在信息立法的概念、性质和功能等方面均有分歧且长期存在，但在立法层面则优先考虑了国家利益作为驱动信息立法的主要因素。在个人数据立法方面，也曾出现对立的声音：立法有利于保护个人信息；立法有助于公权力侵害个人信息自由。但最终博弈的结果仍然是通过了个人数据立法，基本观点就是个人数据安全也是维护国家安全的因素。

　　俄罗斯较早制定的专门规制数据信息流通的法律是1995年的《信息、信息化和信息保护法》。10年后俄罗斯根据实际需要颁行了《信息、信息技术和信息保护法》，实际上是对《信息、信息化和信息保护法》的大规模修订，原法即被废止。《信息、信息技术和信息保护法》成为俄罗斯联邦调整数据信息法律关系的基本法，其中对数据流通的内容、范围、方式等作出了明确规定。该法与俄罗斯其他一些调整网络信息法律关系的规范共同构成了数据流通监管的核心制度体系。与此同时，俄罗斯频繁修订原有的传统部门法，《刑法》中关于网络犯罪的规定、《知识产权法》中关于网络侵权和软件保护的规定，《大众传媒法》中关于违法信息的规定，以及《通信法》中关于用户个人信息保护的规定等，最大限度地发挥传统法律调整信息网络的功能。至此，俄罗斯逐步形成了由国家宏观政策统领下的传统法律和网络领域专门立法相结合的数据流通监管制度体系。　　

　　“数据”在俄罗斯的立法中通常表述为“信息”，《信息、信息技术和信息保护法》中的信息是指不限于其传播方式的消息或数据，两者在内涵方面具有同一性。一般情况下，计算机设备和网络中的数据能够被人类直接感知的思想意义就是数据的内容，特殊情况下，数据本身含义未必能够被人类直接感知，但其功能意义却可被人类认识，故亦可认为是数据的内容。

　　俄罗斯通过多个立法明确划分了可流通数据和禁止流通数据的范围，这是从数据内容角度进行的划分，而且所谓的“流通”是指在法律评价意义上的流通，不是指事实上的流通，法律上认为禁止流通的数据，并不意味着在事实上没有流通，而是说这种流通将被予以法律上的否定评价。对可流通或者禁止流通数据范围的划分实际上就是确定内容合法的数据的范围，“内容合法”就是划分数据可流通与否的重要标准，内容合法的数据也就简称为合法数据。当然，合法数据是可流通数据，或者说不合法的数据即违法的数据是禁止流通的数据，这只是笼统的说法，一般来说禁止流通的数据是少数，根据相关立法，禁止流通的数据被类型化处理，这也是多数国家的常规做法，具体类型如下：

　　1.内容违法之数据流通的绝对禁止

　　数据信息承载的是被法律明确禁止的内容，那么该数据信息就属于违法信息，禁止在网络空间传播。数据违法与否采用的是规范形式标准，依据就是俄罗斯关于网络治理的各类法律法规。俄罗斯禁止流通的数据信息根据其危害的客体可以划分为有害于国家的数据、有害于社会的数据和有害于个人权益的数据。

　　从维护国家安全立场出发，有些数据信息被认为直接有损于国家基本制度，直接危害国家安全，当然属于禁止流通之列。根据《大众传媒法》、《国家信息安全学说》、《信息、信息技术和信息保护法》第10条第6款以及《知名博主新规则法》的规定，禁止利用大众传媒实施刑事犯罪活动，禁止传播实施恐怖主义行为或宣传恐怖主义的资料信息以及其他挑起战争，民族、种族或宗教仇恨、敌意的极端主义的材料。

　　有害于社会秩序和个人权益的数据信息也被划入禁止流通数据的范畴。根据《大众传媒法》以及2002年7月25日联邦第114号“关于反对极端主义行为”法律（《反极端主义法》），禁止传播含有色情、暴力、残忍和侮辱性语言内容的材料，禁止传播对人的潜意识和健康有害的信息，禁止宣传精神药品、传播谣言等信息。

　　根据俄罗斯《刑法》的规定，计算机程序也属于数据信息，当这些程序被应用于网络空间或仅仅作为传播客体出现在网络空间时，其本身也可能成为禁止传播流通的对象。《刑法》第273条规定了编制、使用和传播有害计算机程序罪，其中禁止传播有害软件，具体类型包括计算机病毒、蠕虫病毒、扫描程序、电子防护模拟器、计算机流量控制程序、其他有害的补丁程序等。此类计算机程序之所以被禁止流通，主要是因为其功能具有违法性，其所包含的思想内容严格来说并非人类所能直接感知，但其数据内容被机器读取后则直接产生违法功能，故从广义角度将网络空间中的有害软件划入禁止流通数据的范围。

　　2.内容合法之数据流通的相对禁止

　　内容合法的数据在多数情况下是可以自由流通的，甚至是鼓励流通，以期最大化地实现其价值。但部分合法数据也存在禁止流通的情形，主要是因为这些数据在流通范围、流通方式等方面有专门的规定，一旦违反这些规定则即便是内容合法的数据也会被禁止流通。根据俄罗斯的相关立法，相对禁止流通的数据信息包括保密型数据信息、公民个人数据信息和知识产品型数据信息。

　　所谓保密型数据信息，主要是指涉及国家秘密的数据信息，也包括法律规定的其他需要保密的信息。根据《大众传媒法》《知名博主新规则法》《俄罗斯政府信息公开法》的规定，禁止披露国家秘密或者法律所保护的特别秘密。《信息、信息技术和信息保护法》第9条规定了限制存取的信息，具体包括：为了保护基本的宪政制度，保护他人的道德、健康、权利和合法利益，保卫国防及国家安全，联邦法律规定限制存取的信息，联邦法律限制存取的信息必须遵守信息的保密性。这里的限制存取就是指限制获得，是信息公开类立法中经常使用的概念，信息的存取与获得实际上就是数据流通的表现形式之一。因此，关于数据信息限制存取的规定也就是关于数据限制流通的规定。

　　个人信息的安全问题是近些年来全世界关注的热点，俄罗斯对个人信息的保护也非常严格。从数据本身的内容来看，个人信息属于合法的数据信息，因此对此类数据的管理主要是从行为角度进行规范。关于数据的流通行为，俄罗斯制定了一系列规范，具体内容如下：传播信息应以合法的方式进行，未经本人同意不得传播与个人私生活有关的信息，禁止要求公民（自然人）提供与其私生活有关的、构成其私人及家庭秘密的信息，或违背公民（自然人）意志获取该信息，联邦法律有其他规定的除外。俄罗斯特别强调了对未成年人隐私数据的保护，未经其本人及法定监护人的同意，一般不得传播关于该未成年人的个人信息。

　　知识产品型的数据信息通常表现为网络空间中的各种数字化作品，其权利归属于作者或其授权许可的人。未经权利人许可将线下作品数字化则构成对原权利人的侵害，由此产生的数字化作品就是侵权作品。未经权利人许可在线上传播权利人的数字化作品也构成对原作品的侵权。两种情形均构成对知识产权的侵犯。数字化作品以数据信息的形式存在于网络空间中，当该作品被定性为侵权作品或传播行为被定性为侵权行为时，数据信息的流通就被法律所禁止。由此可见涉及知识产品的数据流通之禁止包括两种情形：一是作为知识产品的数据信息本身就是侵权作品，不得流通；二是承载知识产权即著作权的数据信息本身是内容合法的数据信息，是可以流通的，但流通主体却未得到原权利人授权或法律上的授权，故流通主体的流通行为违法。因此严格来说，前者属于数据流通资格之禁止，后者属于数据流通行为之禁止。俄罗斯联邦《民法》及《反盗版法案》对网络空间中作品的传播进行了明确规定，侵犯著作权的电影、电视剧、视频作品等各类作品不得传播。　

　　合法数据的流通亦应符合法律规定，即合法数据按照法律规定的方式流通才能得到法律保护，这就涉及数据的流通方式问题。根据法理和俄罗斯的相关立法，数据流通主要有法定方式和意定方式两种，两种方式均为合法方式，当然意定方式不得违背强行法的规定。这是在数据信息本身内容合法且可以流通情况下的进一步讨论。

　　俄罗斯相关法律规范中通常规定有数据信息的流通方式。联邦《宪法》第29条第4款规定：“每一个公民都享有合法搜集、获取、传递、制造和传播信息的权利。”《信息、信息技术和信息保护法》也明确规定：“以任何合法的方式自由地查找、获得、传递、生产和传播信息。”上述规定可以被视为信息数据传播的合法性原则，而且明显涵盖了数据获取、传输和处置等行为环节。实践中，不少数据流通行为发生在网络关联企业之间，通过数据传输共享数据，也就是进行数据信息的商业化流转，进而获取经济利益。笔者认为，不宜将数据流通仅仅与商业流转对应起来，而是应从广义上来理解，涵盖数据动态运动的各个环节，故认为合法的数据流通方式应包括合法获取、合法传输与合法处置的方式。

　　在数据获取环节，俄罗斯法律强调应具有法定依据或其他合法的授权作为根据，数据获取行为才能被认为是合法的。例如俄罗斯《刑法》第272条规定的非法调取计算机信息罪，其中的“非法”就是指行为人没有调取该信息的权利，或者犯罪人有权调取该信息，但不按照管理程序、违反信息保护规则而调取信息。可见若是合法获取行为，则应包括获取资格合法与获取程序合法。再如《刑法》第274条违反电子计算机、电子计算机系统或其网络的使用规则罪规定的就是典型的程序规则不合法的行为。

　　典型的合法传输行为存在于知识产权保护领域以及用户数据保护领域。正如前文所述，俄罗斯民法中知识产权篇和《反盗版法案》均明确规定了网络空间中传输作品应符合知识产权法的规定，禁止传播未经授权的盗版侵权作品。这里所谓的传输行为合法就是要求数据信息传输人在获得权利人授权或经法律许可的情况下才能使其数据流通行为得到肯定评价。在个人信息保护领域，根据《个人数据法》《信息、信息技术和信息保护法》和《大众传媒法》，数据信息的传输强调用户授权后的合法流通方式，也就是数据流通者事前取得数据主体的同意，从而获得合法的流通依据，如果数据主体是未成年人则应取得未成年人本人及其监护人同意，如果数据主体是精神病人则应取得其监护人的同意。

　　俄罗斯规范合法传输行为的特色制度是专门针对未成年人信息产品流通的分级管理制度，主要法律依据是《保护青少年免受对其健康和发展有害的信息干扰法》，该法的调整范围不限于互联网，其为相关数据信息的流通确立了绝对严格的法定标准，也就是绝对地排除了数据主体的意定适用。该法建立了俄罗斯联邦的信息分级管理制度，或者说确立了信息分类的规范标准，其目的在于区分信息产品的使用主体，进而限制未成年人接触到不适合其接触的内容。其中，对信息产品进行分级管理时依据的评价要素包括三项：（1）产品的主题、题材、内容和艺术形式；（2）含有特定年龄阶段儿童信息的产品被该阶段儿童感知的特点；（3）产品所含信息对损害儿童健康与发展的概率。根据该法，国家对信息产品进行下列分级管理：（1）适合6岁以下儿童的信息产品；（2）适合6岁以上不满12岁儿童的信息产品；（3）适合12岁以上不满16岁儿童的信息产品；（4）适合16岁以上未成年人的信息产品；（5）禁止向儿童传播的信息产品。可见，俄罗斯信息产品共分为五个等级，其中有四个等级的信息产品可供未成年用户选用，不符合法定级别要求的信息数据产品不得向相应年龄的未成年人流通。

　　数据信息的处置也应处于合法范围之内。根据俄罗斯联邦《个人数据法》的规定，在对用户个人数据信息进行加工的过程中应满足数据主体的法定权利要求，否则其加工处置行为将被视为违法。数据主体的权利包括：要求自然人和法人，即数据信息处置者提供为实施其职能所必需的信息，并无偿获得这些信息；对个人数据加工报告中的信息进行检查，并可会同其他国家机关在其职权范围内实施该检查；要求经营者说明、封锁、销毁不准确或通过非法途径获得的个人数据；根据联邦法律规定采取措施暂时停止或终止违法实施个人数据加工的行为；等等。

　　综上所述，俄罗斯对于数据流通的法律规制采取的是双重标准：一是特殊领域的绝对法定标准，具体是指针对特殊社会群体——包括未成年人在内的青少年群体所采取的信息产品分级制度，未达法定标准者绝对不得流通；二是常规领域法律允许范围内的知情同意标准，该标准适用范围最广，是一般性的合法标准，要求数据信息的流通应事前取得数据主体或数据权利人的同意，包括对数据的处置亦应满足数据主体的知情权并经其同意方为合法，同时知情同意标准原则上不得违背特殊领域的绝对法定标准。需要指出的是，与一些国家不同，俄罗斯绝对法定标准是排斥一般内容违法的数据的，也就是说针对青少年的信息产品是在其内容合法的前提下进行的再分级管理。而有的国家虽然也存在分级制度，但其中包含的内容在俄罗斯则可能直接构成违法。　

　　所谓数据流通的界限就是指数据流通的空间范围，也就是探讨数据可以在什么范围内存取和传播。俄罗斯最初并未限制数据流通的网域范围，但随着国际互联网应用技术的普及，数据跨境流通需求和规模日渐增大，为了控制数据跨境流通的风险，1996年俄罗斯制定了《国际信息交换法》，用以规制数据信息的跨境流通行为。2008年3月17日俄罗斯联邦总统普京发布第351号总统令，标题为《国际信息交换领域联邦信息安全保障措施》，其中明确规定，不允许将那些为了保存、加工或传递含有国家秘密、国家机关掌握的部门秘密而使用的信息系统、信息通信网络和计算机技术媒介，连接到可以进行跨境传输信息的信息通信网络，其中也包括因特网。上述法律虽然属于对数据流通界限的规制，但仍然是有选择地跨境限制。而到了2014年俄罗斯则出台了关于严格限制数据向境外流通的法案。此后随着网络安全状况的日益严峻和国际网络力量的博弈，俄罗斯最终选择了实行所谓的“孤岛计划”，尤其是随着《主权互联网法》的颁行更是主动采取了断网行动，使其此前的数据本地化制度得到了进一步强化。

　　所谓的数据本地化问题实际上就是对数据信息的跨境流动进行规制的问题，其中最主要的就是网络用户的个人信息，以及基于网络用户个人信息的应用而产生的大量与用户网络行为相关的其他信息。数据本地化已经成为关涉互联网产业发展、网络安全，乃至国家安全的重要内容之一。俄罗斯近年来不断加强数据信息本地化的网络立法，其根本出发点就在于维护国家利益与安全，其中最为直接具体的推动因素就是由斯诺登曝光的“棱镜门”事件，该事件把信息系统数据安全问题暴露无遗。很多国家因此而十分担忧本国的安全，俄罗斯也不例外，就在该事件发生不久后，俄罗斯信息政策、信息技术与通信委员会就发出声音，呼吁加强对数据信息的管理，强调国家的所谓“数据主权”，希望通过法律将网络用户在俄罗斯互联网交互中产生的数据信息留存在俄罗斯本土的服务器上。此后俄罗斯通信部还草拟了一份法令，规定电信服务商及网络服务提供者负有将用户数据留存在俄罗斯境内的义务。

　　2014年5月5日普京签署的97号联邦法令《俄罗斯联邦〈关于信息、信息技术和信息保护法〉修正案及个别互联网信息交流规范的修正案》中对原法律的第10条第1款补充了如下内容：网络服务提供者有义务将网络用户接收、提供、传输、处理的语音信息、文字信息、图像信息、声音信息或者其他电子信息储存在俄罗斯联邦境内六个月，互联网信息传播服务提供者必须在俄罗斯境内对上述信息及网民个人信息进行保存。互联网信息传播服务者有义务保留和（或）提供给国家侦查机关和安全机关上述信息，不履行该义务者将受到行政处罚。

　　2014年7月21日普京签署了242号联邦法令《关于“进一步明确互联网个人数据处理规范”之俄罗斯联邦系列法律修正案》，再次补充了关于数据本地化的内容。在《信息、信息技术和信息保护法》第16条第4款中增加了以下内容：规定信息拥有者、信息系统运营方有义务将对俄罗斯联邦公民个人信息进行收集、记录、整理、保存、核对（更新、变动）、提取而形成的数据库存放在俄罗斯境内。在《个人数据法》第18条增加第5款，规定收集个人数据（包括使用网络手段）时，运营商需要保证使用位于俄罗斯境内的数据库，对俄罗斯公民的个人数据进行搜集、记录、整理、保存、核对（更新、变动）和提取。数据处理者在处理数据前应该向数据保护机关告知包含俄罗斯公民个人数据的数据库所在地的信息，并且根据俄罗斯联邦法律规定，对违反俄罗斯联邦个人数据法的信息进行访问限制。

　　俄罗斯联邦数据本地化立法主要是从行为和内容两个方面来加以规制：一是网络服务提供者，主要是从事网络信息传播业务的主体，负有使用本国境内数据库来加工处理公民个人信息的义务，同时也负有配合执法机关执法的义务；二是数据本地化中的数据，主要指的是公民个人信息、公民在网络上处理数据的记录，以及由上述数据构成的数据库，这些都应依法存储于俄罗斯联邦境内的设备上。通过数据本地化立法，俄罗斯实现了国家对国内数据信息情况的准确认知和对数据信息资源的有效控制，加强了对数据跨境流动的监管，有效提升了国家信息安全水平。　

　　俄罗斯不仅建立起规范数据流通的法律体系，还通过立法设置了若干辅助于数据流通监管的制度。具体而言包括通知删除制度、数据传播豁免制度、实名制度、被遗忘权制度和网络黑名单制度等。

　　网络中的数据信息流通量巨大，并且还在快速增加，如此庞大的数据流给监管本身带了极大的困难，虽然法律明确规定了网络空间中各类主体的安全保障义务，但鉴于网络数据流的海量性，显然不宜过于苛刻地要求此类安保义务的履行，而是应该将其限定于一个适当的范围内。由此产生了通知删除制度和数据传播的豁免制度。《反盗版法案》中规定了知识产权领域的通知删除制度，从其具体内容可以看出，俄罗斯的这项制度颇为类似“避风港原则”。法案第3条规定，根据权利人或专门机关的通知，网络服务提供商有3天的时间来删除侵权内容，若未按照要求及时删除，法庭可对网络服务提供商发出长达15天封锁网站的禁令。通知删除制度给网络服务商提供了规避流通违法数据信息的免责机会，适当降低了网络服务商在数据流通中的违法风险。《信息、信息技术和信息保护法》中规定了数据信息传播的豁免制度。该法明确规定，如果传播联邦法律限制存取或禁止存取的信息，提供如下服务的当事人不承担传播信息的民事法律责任：（1）在向他人传递信息时，信息未发生变化或修改；（2）在保存和提供信息存取时，当事人无法知晓信息传播的非法性。此外，网络服务提供商和网站经营者在符合本法规定的情况下限制权利人和用户存取或传播信息，不承担责任。

　　关于网络实名制，典型的例子是2014年5月俄罗斯颁布的《知名博主新规则法》，该法将所谓知名博主的社交网络平台视为媒体，同时规定知名博主应当实名。根据该法，博客网页日均访问量超过3000人次的，该博客的博主就会被确认为是知名博主，知名博主必须履行俄联邦法律对大众传媒的规定，博主不能匿名，有权发布广告。如果不能确定知名博主的身份，俄监管机构将向网站托管服务提供商发去通知，告知其必须提供相关资料。提供商在收到通知起3个工作日内必须做出回答，对不提供信息者将予以罚款。知名博主不能利用网站或自己的博客网页从事违法活动，泄露国家机密，传播包含公开呼吁实施恐怖活动或公开美化恐怖主义的材料及其他极端主义材料，传播宣传色情、暴力、残暴行为的材料，传播包含污言秽语的材料。知名博主在发布信息前还必须检验其可靠性，一旦发现信息不可靠应立即删除。同时，不允许传播公民私生活信息。对滥用传播信息的权利将追究刑事、行政或其他责任。此外，社交网络、搜索引擎和论坛必须将使用者留下的信息保留至少半年，以备查证。

　　俄罗斯国家杜马2015年7月通过“被遗忘权”法案，该法案自2016年1月1日开始生效。根据法案，俄罗斯公民享有互联网“被遗忘权”，即有权要求搜索引擎运营商删除指向自己的不实信息或非法信息链接，如果后者没能应用户请求删除相关不实信息或链接，将可能受到处罚。网民如果认为按其名字在网上搜索得出的链接是指向他们的不实、无关紧要或涉嫌侵犯个人隐私的信息，则有权要求删除。法定可删除的内容不包括申请者的刑事指控信息或犯罪记录，以及公务员的收入和个人资产信息等。关于被遗忘权的规定，俄罗斯并未出台专门的部门法，而是将其作为修订内容置于其他多个部门法中，从而就形成了具有多层面性和相互补充性的被遗忘权规范体系。在实体法上存在民法典意义上的被遗忘权和信息法意义上的被遗忘权，在程序法上存在民事诉讼法典意义上的被遗忘权，三者分工明确，相互配合，共同保障公民被遗忘权的实现。

　　俄罗斯总统普京于2012年7月28日签署了139号法案，即所谓的《网络黑名单法》。该法是对《信息、信息技术和信息保护法》的补充性规定，是关于统一自动化信息系统“对信息电子通信网络上含有禁止在俄罗斯联邦传播信息的域名、网页的索引和允许识别网站的网址进行统一登记”的规定。该法案在形式上是对不良网站登记的规制，但实质上是通过建立网络黑名单制度，来加强对违法网络信息流通的监管。因此，法案中既有不少关于网站登记的细节性规定，也有不少关于违法信息的监管主体的规定。　

　　俄罗斯联邦施行的一系列与数据流通有关的法律法规及公共政策始终围绕着如何实现其安全有效流通这个重点问题展开，其数量大，层级高，规范比较全面。俄罗斯已经出台涉及数据信息流通管理的重要公共政策与法律多达四十余个，而且普遍都是国家层级的规范，从数据的产生到国内外流通具有明确的指引，取得了较好的效果。另外还应该看到，数据流通立法只不过是手段而已，其背后存在着网络安全乃至国家安全的重要目标价值，通过政策和法律来规范数据流通是实现上述目的的手段，那么该手段是否适当则应客观分析。俄罗斯联邦规范数据流通的目的在于维护国家安全、网络安全，也包括全体俄罗斯公民的个人权益，在信息网络领域体现为个人、社会和国家免遭国内外信息威胁的防护态势，在遭到威胁的情况下保障个人和公民实现其宪法赋予的权利与自由，保障公民的生活质量和水平，维护俄罗斯联邦国家主权和领土完整、社会经济稳定发展，巩固国防和保护国家安全。

　　首先，国家主权至上的理念主导着数据流通的立法。截至目前，有两项俄罗斯立法举措引起了国际社会的普遍关注：一是数据本地化的立法，二是《主权互联网法案》。这两项立法从内容方面和技术方面极大限制了数据的自由流通。其根本目的就在于通过限制数据的流通来达到维护国家安全的目的，极端手段就是完全隔离国内数据与国际网络的交互。俄罗斯为免于跨国网络犯罪以及国际黑客的侵袭，尤其是来自其他网络强国的侵扰，经过利益权衡选择了网络孤岛模式，常态下数据信息留存境内，异常情况下则直接切断国内网与国际互联网的交互。

　　其次，公民权利保护引导数据流通制度的设计。俄罗斯历来重视数据信息的安全，对公民的个人信息保护尤为重视。多个立法中都特别规定了网络用户个人信息的保护制度，对网络服务提供者等运营商和各类网络企业收集、传输、处置用户个人信息的行为进行规制，以确保数据流通过程中，公民个人的合法权利得以实现。打造良好的个人信息保护环境，不仅对网络相关产业的发展起到良性促进作用，而且对整个社会稳定和国家安全也是不无裨益的。当个人数据信息上升为国家战略资源、个人信息保护状况成为新的国际贸易壁垒之时，对个人数据信息流通的监管也就获得了更为重要的地位。

　　目前世界各国普遍重视数据流通与个人信息保护之间的平衡，俄罗斯也不例外，但俄罗斯在推进个人信息保护立法过程中更加强调国家法益，两种法益之间具有优先级，在保障国家信息利益的前提下充分对公民的个人信息利益予以保护。

　　俄罗斯采用孤岛模式治理网络，显然是目前世界上规制数据流通的极端做法。至于如何评价这种做法，应该结合其目的与手段的关系来进行分析。需要特别说明的是，俄罗斯在国内层面的数据流通规制与世界各国的做法比较趋同，符合基本的法理与法治精神，符合法益保护的基本要求，与我国相比也更早地实现了数据流通的规范化，因此从这个角度来看俄罗斯与世界各国的差异性并不大。需要着重分析的是针对境外国际网络的数据流通限制。从其目的来看具有正当性，是为了维护国家安全而不是为了侵害他国利益或者本国公民的利益。从手段来看，确实发挥了达到上述目的的作用，那么是否超出一定限度而有违比例原则呢？或者说是否存在更为温和的限制手段呢？俄罗斯的数据本地化主要限制了境外网络企业的数据流通行为，对本国企业的数据流通虽然也有一定的限制作用，但并非主流，而且本地化具有明确的法律标准，在符合俄罗斯法律规定的情况下，境外网络企业仍然可以合法合规地远程访问、使用和删除数据。那么是否违反比例原则，这与立场有关，俄罗斯自认为网络安全受到极大威胁，通过国际协调活动并不能根本或尽快解除这个威胁，那么目前最佳的处置就是远离危险。当然，这并非说俄罗斯在断网的同时也断绝了国际合作，而是在尽最大可能保全自身安全的情况下继续推进国际合作、创造优化的国际网络环境之举措。据此，笔者将其数据流通监管行为的思维路径概括为两个层次的价值，即国内利益法治观和国际利益安全观的结合。　　

　　对我国的借鉴意义对我国而言，俄罗斯的一些做法颇具启示意义。

　　第一，数据流通背后的目的价值是立法的直接动力。我国目前在数据流通监管方面的宏观政策和立法都比较少，也尚未形成完善的体系，主要是《国家网络空间安全战略》《网络安全法》以及《全国人民代表大会常务委员会关于加强网络信息保护的决定》等规范性文件，还有大量的行政法规和部门规章。长期以来真正发挥作用的并不是法律层级的文件，而是行政法规和部门规章，难以保证调整数据流通的目标价值得以实现。无论是国家安全的维护，还是法秩序和法益的保障，表现在网络空间中都是包括数据流通立法在内的网络立法的目标价值，故此不能单纯复刻俄罗斯乃至其他国家的数据流通立法，应时刻关注其目的性并随时与目标价值进行校准。

　　第二，数据流通监管规范应符合基本的法治国精神，这是现代法治文明国家的共同特点，数据权利虽然仍处在学术探讨阶段，但其直接关乎个人的基本权利则是毋庸置疑的，因此对数据流通的保障就是在保障个人的基本权利。当然，数据流通本身也存在侵害他人权利的可能，故此应该适当加以限制，这是基本权利界限理论所能够容纳的。在个人信息权利保护方面，俄罗斯的规范相较于我国而言显得更为精细全面，其中体现了宪法与民事立法、信息立法的关系，在信息法域内也体现了一般信息立法与特殊信息立法的关系。我国正在推动个人信息保护立法的制定，可以借鉴俄罗斯的立法经验，在充分保护公民基本权利的同时处理好各个部门法的关系。

　　第三，数据流通的孤岛模式未必适合其他国家，该模式是俄罗斯根据自身的网络安全状况进行评估后所采取的措施，立场特征显著。对于我国而言，虽然也面临严峻的网络安全状况，但具体表现和细节均有所不同，此外我国对网络的应用与发展也有自己独立的视角，并已经具备了一定的安全防御能力，同时在全球也进行了网络安全发展的初步布局，与俄罗斯相比，我国采取的则是积极发展的方式，进而达到防御网络威胁、平衡网络力量的目的。当然，俄罗斯国内网络独立运行的成功也可为我国提供实验性的借鉴，其中在技术措施方面存在一定的合作空间，相关立法也可用于制定应急响应方面规则的参考。

　　第四，提升立法层级强化网络数据信息的监管。如今我国越来越重视对网络数据信息的监管，其中也包括数据的跨境流动。笔者认为，在此背景下首先应提升我国数据监管立法的层级，通过全国人大制定统一适用的数据规范类法律，包括个人信息保护法、数据跨境流动规范等，很多部门规章的内容具有较强的针对性，可以考虑在立法中予以采纳。同时有条件地推行数据本地化，尤其是关于公民个人信息的数据，既然是服务于整体安全价值，同时考虑到我国网络用户的体量，那么数据留存时间可比照俄罗斯有所延长，例如18个月。完善传统部门法中的数据规范条款，尤其可细化关于数据流通各个环节的内容。　

　　伴随着信息网络发展规划和法律体系的建立，俄罗斯对数据流通的监管从20世纪90年代就开始了，并在相对较短的时间内实现了数据流通监管的规范化和制度化。所谓规范化和制度化主要是从数据流通的限制角度进行规制，从最初流通内容合法性的限制到流通方式合规性的限制，再到数据流通的地域性制约，规范数据流通的制度体系不断完善，监管也日趋严格。时至今日，俄罗斯数据流通监管制度越发呈现出极端态势，已经从地域管控演变为特定条件下的强制中断。俄罗斯数据流通制度立法始终遵循国家的目标价值，无论是数据本地化还是断网行动，究其原因不外是维护国家根本利益的需要。从法理角度看，俄罗斯国内对数据流通限制的各种制度符合基本权利界限的原理，也是世界各国普遍的共识，至于国际社会中如何举措，则应根据自身的需要和实际处境、技术能力、预期目标、国际关系等诸多因素适时调整。俄罗斯的方法看似简单粗犷，实则经过了良久筹措，反复论证，其做法虽不足以复制，但其思考路径则值得借鉴。