律师视点 | 罗兰：数据隐私合规——俄罗斯个人数据跨境转移新要求

罗兰德和衡律师

2024-08-25

罗兰

北京德和衡律师事务所

高级顾问

摘要：俄罗斯个人数据跨境转移的新要求从2023年3月1日起生效，处理者跨境转移个人数据时将引入强制性通知程序。该通知程序是法定额外要求，不免除个人数据处理者根据俄罗斯联邦《个人数据法》第二十二条，应当提交关于开始处理个人数据的通知。如果您的业务涉及到将俄罗斯公民的个人数据转移到俄罗斯以外，则除了重点关注俄罗斯关于本地存储的要求外，还应当向俄罗斯联邦通信、信息技术和大众传媒监督局Роскомнадзор（以下简称“俄罗斯通信监督局”）发送单独的通知，该监管机构即保护个人数据主体权利的主管机构将决定是否允许或者禁止个人数据出境。

关键词：个人信息保护数据跨境俄罗斯隐私合规本地存储

企业的业务涉及到将俄罗斯公民的个人数据转移到俄罗斯以外，在向俄罗斯通信监督局提交个人数据跨境转移的通知之前，作为数据处理者应从计划进行个人数据跨境转移的外国当局、外国自然人、外国法律实体那里获得以下信息^[1]：

（1）关于外国当局、外国自然人、外国法律实体（计划向其跨境转移个人数据）为保护所转移的个人数据而采取的措施以及终止个人数据处理条件的信息。

（2）关于外国个人数据领域的法律规定的信息，在其管辖下的外国当局、外国自然人、外国法律实体计划向其跨境转移个人数据(如果个人数据跨境转移是为了向外国当局、外国自然人、外国法律实体进行的，而该外国不是《欧洲委员会关于在个人数据自动处理方面保护个人的公约》的缔约国，也没有被列入为个人数据主体权利提供充分保护的外国名单)。

（3）计划向其跨境转移个人数据的外国当局、外国自然人、外国法律实体的信息（姓名或名称，以及联系电话、邮政地址和电子邮件地址）。

2022年7月14日俄罗斯总统普金签发俄罗斯第152号联邦法律《个人数据法》（2006年版）的修正案^[2]，更新为第266号联邦法律《个人数据法》。2022年11月29日，俄罗斯通信监督局公布了《关于批准在违反联邦法律《个人数据法》的情况下可能对个人数据主体造成损害的评估要求》（2022年11月28日在俄罗斯司法部登记编号№71166）^[3]，引入了评估损害可能性的规则和标准，以及在发生损害时向俄罗斯通信监督局发送声明的要求，该要求2023年3月1日开始生效，适用于所有个人数据信息系统的运营商和所有者^[4]。个人数据处理者必须进行评估（可以委托第三方评估），确定可能造成的损害程度，比如：处理者处理未成年人的信息评估为高风险，例如执行以未成年人为承包商、受益人或担保人的合同；处理者通过他人的资料库（个人数据的数据库）与潜在的消费者直接接触，推广商品、工程和服务评估为中风险；处理者指定了一名自由职业者负责处理个人数据评估为低风险等等。如果一个公民可能受到不同程度的损害，则必须考虑其中较高的风险程度。

俄罗斯联邦《个人数据法》修正案大部分内容已于2022年9月1日生效，修改的具体内容和解读如下：

第一条联邦法律适用的范围增加了第1.1款

1.1 本联邦法的规定适用于外国法律实体或外国个人，根据俄罗斯联邦公民为缔约方的协议、外国法律实体或外国个人与俄罗斯联邦公民之间的其他协议或根据俄罗斯联邦公民同意处理其个人数据而进行的俄罗斯联邦公民个人数据处理。

解读：2017年微软旗下的专业社交网络LinkedIn在俄罗斯的个人数据事件，俄罗斯法院裁决，LinkedIn违反了俄罗斯联邦《个人数据法》^[5]，结果让LinkedIn应用程序在俄罗斯失去了通过appStore或Google Play下载的能力。LinkedIn的律师提出其是一家外国法律实体，没有在俄罗斯设立公司或者代表处，并不需要按照俄罗斯《个人数据法》的要求满足个人数据本地化存储的要求在当时引起了热议。在2022年的修正案中，进一步明确了俄罗斯联邦《个人数据法》适用于处理俄罗斯联邦公民个人数据的外国法律实体或外国个人。

第四条俄罗斯联邦关于个人数据的立法增加了第3.1款

3.1 根据本章第2部分通过的规范性法律文件，如果涉及个人数据跨境转移、处理特殊类别的个人数据、生物识别个人数据、未成年人的个人数据、提供和传播因匿名化而获得的个人数据时，均应得到保护个人数据主体权利的主管机构的强制性批准，上述批准的期限从保护个人数据主体权利的主管机构收到规范性法律文件之日起算不得超过30日。

解读：在联邦法律的基础上，国家机构、俄罗斯银行、地方当局在其权限范围内可以通过有关个人数据处理的某些问题的条例、法规以及监管法规，这些法律法规不得包含限制个人数据主体权利的条款，不得对处理者的活动施加联邦法律未规定的限制和未规定的义务，并且应正式公布。如法律法规涉及个人数据跨境、特殊类别的个人数据、生物识别数据、未成年人的个人数据、匿名化个人数据，则必须通过监管机构的强制批准。

第六条处理个人数据的条件修改了第（1.5）款和第3款，增加第6款.

（1.5）个人数据的处理是履行合同所必要的，个人数据主体是合同一方当事人、受益人或担保人，以及在个人数据主体的提议下缔结的合同，在该合同中个人数据主体将是受益人或担保人。与个人数据主体签订的合同不得包含限制个人数据主体权利和自由的条款，明确未成年人的个人数据处理情况，除非俄罗斯联邦法律另有规定，允许个人数据主体不作为条款作为合同缔结条件。

3.处理者有权在征得个人数据主体同意的情况下将个人数据的处理转让给另一人，除非联邦法律另有规定，根据与该人达成的协议，包括国家或市政合同，或由国家或市政当局通过的相关文件（以下简称 "处理者指令"）。根据处理者指令处理个人数据的人有义务遵守本联邦法规定的个人数据处理原则和规则，遵守个人数据的保密性，采取必要的措施，确保履行本联邦法规定的义务。处理者指令必须明确个人数据清单，执行个人数据处理的人将执行的个人数据的行动（操作）清单，进行个人数据处理的人，其处理的目的，以及遵守个人数据保密的义务，本联邦法第18条第5部分和第18.1条规定的要求。在处理者指令期限内，包括在处理个人数据之前，应个人数据处理者的要求，有义务提供文件和其他信息，确认为执行处理者指令而采取的措施和遵守本条规定的要求，有义务在处理过程中确保个人数据的安全，必须根据本联邦法第19条规定，对已处理的个人数据的保护要求作出规定。

6.如果处理者指示外国自然人或外国法律实体处理个人数据，处理者和代表处理者处理个人数据的人应就上述人员的行为对数据主体负责。

解读：处理者在取得个人数据主体同意后可以委托第三方进行个人数据处理。第三方需遵守《个人数据法》规定的个人数据处理原则和规则，遵守个人数据的目的和保密义务，采取必要的安全措施和确保履行法律规定的义务，以及按照处理人的要求提供相应的证明文件。第三方必须明确个人数据清单，个人数据的操作清单和具体进行个人数据处理的人。

第九条个人数据主体对其个人数据处理的同意增加了第1款中同意的实质性和明确性两个单词

1. 个人数据主体决定提供他或她的个人数据，并自由地、自愿地和为了他或她的利益同意对其个人数据进行处理。对个人数据处理的同意应是具体的、实质性的、知情的、有意识的和明确的。除非联邦法律另有规定，个人数据主体或其代表可以以任何形式对个人数据的处理表示同意。如果从个人数据主体的代表那里获得对个人数据处理的同意，则该代表个人数据主体给予同意的授权应得到处理者的核实。

解读：增加了个人数据主体对其个人数据处理的同意应当是实质性的和明确的。增加的两个同意的定语意味着处理者提供的文件或协议，描述数据处理的目的等，措辞都应当准确易懂，不会造成个人数据主体的理解上的歧义。

第十点一条个人数据主体授权传播的个人数据处理的具体内容修改了第15款

15. 本条规定不适用于为履行俄罗斯联邦法律规定的国家机关、市政机关和这些机关下属组织的职能、权力和义务而进行的个人数据处理。

解读：处理者有义务使个人数据主体能够就个人数据处理同意中规定的每一类个人数据单独拟定一份个人数据清单，由个人数据主体允许分发。个人数据主体允许的个人数据分发同意应与个人数据主体对其个人数据处理的其他同意分开拟定。

第十一条个人生物识别数据增加了第3款

3. 除本条第2部分规定的情况外，提供个人生物识别数据不应具有强制性。如果个人数据主体拒绝提供个人生物识别数据和（或）同意处理个人数据，处理者无权拒绝服务，如果根据联邦法律，获得处理者对处理个人数据的同意不是强制性的。

解读：可以不经个人数据主体同意而处理其生物识别个人数据的情形：在执行俄罗斯联邦重新接纳的国际条约时，在司法和执行司法行为时，在强制性国家指纹登记时，以及在俄罗斯联邦关于国防、安全、反恐、运输安全、打击腐败、俄罗斯联邦关于调查和搜查活动的法律、关于俄罗斯联邦公务员制度的法律、俄罗斯刑事执法、关于俄罗斯联邦出入境流程的法律、关于俄罗斯联邦公民身份的法律、关于俄罗斯联邦公证法律规定的特殊情形，除所列情形外，任何处理者不得强制要求个人数据主体提供生物识别数据，如指纹、声纹、人脸等。

第十四条数据主体对其个人数据的访问权修改第3款和第（9.1）款

3. 本条第7款所指的信息应在个人数据主体或其代表提出要求或处理者收到个人数据主体或其代表的请求之日起10个工作日内，由处理者提供给个人数据主体或其代表。如果处理者向个人数据主体发出合理的通知，说明延长提供所需信息期限的原因，则该期限可以延长，但不超过5个工作日。该请求应包含个人数据主体或其代表的主要身份证明文件号码、上述文件的签发日期和签发机构、确认个人数据主体参与与处理者关系的信息（合同编号、合同签署日期、常规文字标识和（或）其他信息），或以其他方式确认处理者处理个人数据事实的信息、个人数据主体或其代表的签名。该请求可以以电子文件的形式发送，并根据俄罗斯联邦的法律以电子签名的方式签署。处理者应以发送相关请求或申请的形式向个人数据主体或其代表提供本条第7部分规定的信息，除非请求或申请中另有规定。

（9.1）关于处理者履行本联邦法第18.1条规定的职责的信息。

解读：处理者应当保障数据主体的权利，向数据主体提供相关的信息之前，需要按照联邦《个人数据法》的要求核实确认数据主体的身份信息，自收到请求之日起应当在10个工作日内向数据主体提供，最长不得超过15个工作日。

第十八条处理者在收集个人数据时的义务修改了第2款，增加第（2.1）款

2. 如果根据联邦法律，提供个人数据和（或）由处理者获得同意个人数据的处理是强制性的，处理者应向个人数据主体解释拒绝提供其个人数据和（或）同意处理其个人数据的法律后果。

（2.1）个人数据清单。

解读：如果个人数据不是从个人数据主体那里获得的，除了本条第4款规定的情况外，处理者有义务在开始处理这些个人数据之前向个人数据主体提供：经营者或其代表的姓名和地址；个人数据处理的目的及其法律依据；个人数据的预期用户；个人数据主体的权利；个人数据的来源；增加了向个人数据主体提供个人数据清单的要求。

第十八条 18.1采取措施确保处理者履行本联邦法规定的义务修改了第（1.2）款和第2款

（1.2）作为法律实体的处理者应发布文件，确定处理者的个人数据处理政策，个人数据处理的地方性法规，为个人数据处理的每个目的确定处理的个人数据类别和清单，个人数据被处理的类别，处理和储存的方法、条件，在实现其处理目的或发生其他法定事由时销毁个人数据。这些文件和地方法规不得包含限制个人数据主体权利的条款，也不得将俄罗斯联邦法律未规定的权利和义务强加给处理者。

2.处理者应公布或以其他方式，不受限制地提供其个人数据处理政策的文件、关于正在实施的个人数据保护要求的信息。使用互联网收集个人数据的处理者应在相关的互联网，包括在互联网中由处理者所有的网页上公布，使用的个人数据处理政策的文件和关于正在实施的个人数据保护要求的信息，以及确保上述文件可以通过适当的方式获取。

解读：处理者有义务采取必要的措施，包括但不限于指定个人数据处理的责任人；制定个人数据处理政策；采取数据保护的组织和技术措施，确保个人数据安全；审计；风险评估；对处理个人数据的员工进行培训等等，以确保处理者履行《个人数据法》规定的义务。增加处理者发布个人数据处理政策的内容：为个人数据处理的每个目的确定处理的个人数据类别和清单，个人数据被处理的类别，处理和储存的方法、条件，在实现其处理目的后或发生其他法律事由时销毁个人数据，个人数据处理政策需公开和容易获取。

第十九条确保个人数据处理过程中的安全措施增加了第12款、第13款和第14款

12. 处理者应按照主管安全的联邦执行机构确定的程序，确保与国家检测、预防和消除对俄罗斯联邦信息资源的计算机攻击后果的系统互动，包括向其通报导致非法转移（提供、传播、访问）个人数据的计算机事件。

13. 本条第12款规定的信息（构成国家机密的信息除外）应由主管安全的联邦执行机构传送给保护个人数据主体权利的主管机构。

14. 根据本条第13部分的规定，信息转移的程序应由主管安全的联邦执行机构和保护个人数据主体权利的主管机构共同制定。

解读：俄罗斯联邦每年发生大量网络攻击事件，如金融领域、关键基础设施和重要社会组织等，所以俄罗斯联邦特别强调确保计算机网络安全，防止计算机攻击和应对计算机攻击。检测、预防和消除对俄罗斯联邦信息资源的计算机攻击后果的系统（ГосСОПКА），该系统的作用是调查网络攻击事件，并确定了信息安全系统的漏洞。如果某个组织发生计算机事件，则有义务及时将信息传递到该系统。

第二十条当个人数据主体提出要求，或收到个人数据主体或其代表的申请，以及保护个人数据主体权利的主管部门提出请求时，处理者的义务修改了第1款、第2款、第4款

1. 处理者应以本联邦法第14条规定的方式通知个人数据主体或其代表，提供与相关个人数据主体有关的个人资料，并应根据个人数据主体或其代表的要求或在收到个人资料主体或其代表的要求后10个工作日内提供熟悉这些个人资料的机会。如果处理者向个人数据主体发出合理的通知，说明延长提供所需信息的期限的原因，这一期限可以延长，但不超过5个工作日。

2. 如果在个人数据主体或其代表提出申请或收到个人数据主体或其代表的请求后，拒绝提供有关个人数据的内容，处理者应在拒绝之日起不超过10个工作日内作出书面的合理的说明，其中应包含本联邦法第14条第8款的规定，或包含拒绝依据的其他联邦法律。如果处理者向个人数据主体发出合理的通知，说明延长提供所需信息的期限的原因，该期限可以延长，但不超过5个工作日。

3. 处理者应在收到此类请求之日起10个工作日内通知负责保护个人数据主体权利的主管部门。如果处理者向保护个人数据主体权利的主管部门发出合理的通知，说明延长提供所需信息的期限的原因，该期限可以延长，但不超过5个工作日。

解读：本次修改加强了数据主体的权利，缩短了向数据主体提供相关信息的时间。修正案之前的版本，处理者应当自收到数据请求之日起30日内提供信息，现修改为10日，最多不超过15日。

根据联邦法律，只有在以下情况下个人数据主体对其个人数据的访问权可能会受到限制：

（1）处理个人数据，包括因调查行动、反间谍和间谍活动而获得的个人数据，是为了国防、国家安全和执法的目的而进行的；

（2）个人数据的处理应当由拘留涉嫌犯罪的个人数据主体，或在刑事案件中指控个人数据主体，或在指控之前对其采取预防措施的当局进行，但俄罗斯联邦刑事诉讼法规定的情况除外，如果允许嫌疑人或被告熟悉这些个人数据；

（3）个人数据的处理应按照反洗钱和反恐怖主义融资立法进行；

（4）个人数据主体对其个人数据的访问侵犯了第三方的权利和合法利益；

（5）个人数据的处理应在俄罗斯联邦运输安全法律规定的情况下进行，以确保运输综合体的可持续和安全运行，保护个人、社会和国家在运输综合体领域的利益免受非法干扰。

即使因为以上5点原因，处理者拒绝向个人数据主体提供相关信息，应当在10个工作日内，最长不超过15个工作日，以书面形式说明不能提供的原因。处理者还应在收到个人数据主体请求之日起不超过15个工作日内通知负责保护个人数据主体权利的主管部门。

第二十一条处理者有义务消除在个人数据处理过程中的违法行为，澄清、封锁和销毁个人数据增加第3.1款、第（3.1.1）款、第（3.1.2）款和第5.1款

3.1 如果确定非法或意外转移（提供、传播、访问）个人数据的事实，导致个人数据主体的权利受到侵犯，处理者应在发现此类事件时通知保护个人数据主体权利的主管机构或其他相关方。

（1）在24小时内说明所发生的事件、可能导致侵犯个人数据主体权利的原因和可能对个人数据主体权利造成的损害、为消除相关事件的后果所采取的措施，以及提供由处理者授权的负责人与个人数据主体权利保护主管部门就发生的事件进行协作的相关信息。

（2）在72小时内提供对已发生的事件进行内部调查的结果，并提供导致已发生事件的人员行为的详细资料（如有）。

5.1 如果个人数据主体向处理者提出终止处理其个人数据的要求，处理者有义务在收到要求之日起不超过10个工作日，终止处理或确保这种处理（如果这种处理是由执行个人数据处理的人进行的），但本联邦法第6条第1款第2-11点、第10条第2款和第11条第2款规定的情况除外。如果处理者向个人数据主体发出合理的通知，说明延长提供所需信息的时限的原因，上述时限可以延长，但不超过5个工作日。

解读：增加了向保护个人数据主体权利的主管机构上报的义务，在24小时内上报数据事件可能的原因、可能造成的损害、采取的消除措施、事件负责人和联系方式等信息；72小时内上报内部调查结果和导致数据事件的人员信息，如果有的话。

增加了数据主体的权利，个人数据主体有权要求处理者或者其代表终止处理数据主体的个人数据，而且严格限定了停止处理的时间要求。

第二十二条个人数据处理的通知修改了第2.1）-2.6）款、第2.7）款、第（2.8）款、第（10.2）款、第3.1款、第4.1款、第8款1）-6）从2022年9月1日起停止生效。—— 2022年7月14日第266号联邦法律。

（7）包括在为保护国家安全和公共秩序而建立的国家个人数据信息系统中。

（8）如果处理者完全不使用自动化手段进行个人数据处理活动。

（10.2）有权访问和（或）依据合同处理国家和市政信息系统中的个人数据的自然人或法人的名字。

3.1 在提供本条第3款规定的信息时，处理者应就每个个人数据处理目的说明个人数据的类别、个人数据被处理的主体类别、处理个人数据的法律依据、涉及个人数据的处理行为清单、处理个人数据的方法。

4.1 保护个人数据主体权利的主管部门应在收到处理者停止处理个人数据的通知之日起30日内，将本条第3款所指的信息从处理者的登记册中排除。

8. 本条第1款、第4.1款和第7款规定的通知形式应由保护个人数据主体权利的主管部门制定。

解读：处理者在开始处理个人数据之前，应将其处理个人数据的计划通知负责保护个人数据主体权利的主管部门。该通知应包含处理者姓名、地址；个人数据处理的目的；处理者履行本联邦法义务的措施以及个人数据处理过程中的安全措施，包括关于加密（密码）手段的可用性和这些手段的名称信息；负责组织个人数据处理的个人或法律实体的全名，以及他们的联系电话、地址和电子邮件地址；个人数据处理的开始日期；终止个人数据处理的条款或条件；关于在个人数据处理过程中是否存在越境转移个人数据的信息；关于载有俄罗斯联邦公民个人数据的信息数据库的位置信息；有权访问和（或）根据合同处理国家和市政信息系统中的个人数据的个人或法律实体的名称；关于按照俄罗斯联邦政府规定的个人数据保护要求确保个人数据安全的信息。在提供以上信息同时，处理者还应就每个个人数据处理目的说明个人数据的类别、个人数据被处理的主体类别、处理个人数据的法律依据、涉及个人数据的处理行为清单、处理个人数据的方法。

减少了在不通知个人数据主体保护机构而有权处理个人数据的情形，删除了1）-6），仅保留如下三种情况：（1）为保护国家安全和公共秩序而建立的包含在国家信息系统中的个人数据；（2）处理者完全不使用自动化手段进行个人数据处理活动。（3）在俄罗斯联邦运输安全法律规定的情况下进行处理，以确保运输综合体的可持续和安全运作，保护运输综合体领域的个人、社会和国家的利益不受非法干扰的行为。

第二十三条保护个人数据主体权利的主管机构修改了第1款.、第（1.8）款，增加第5.2款

1. 负责保护个人数据主体权利的主管机构是联邦执行机构，独立履行控制和监督个人数据处理是否符合俄罗斯联邦在个人数据保护领域的法律要求。

（1.8）向俄罗斯联邦政府提交建议，以改善保护个人数据主体权利和个人数据处理活动的法律规定。

5.2 本条第3款和第4款规定的保护个人数据主体权利的主管机构的权利和义务应由其直接行使，不得转移给其他公共机构。

解读：俄罗斯通信监督局独立履行监督职责，有权要求自然人或法人提供行使其职权所需的信息，并免费接收这些信息；有权要求处理者澄清、终止或销毁无效的或非法获得的个人数据等等。俄罗斯通信监督局履行保护个人数据主体权利的职责，向俄罗斯联邦政府提交关于个人数据处理的优化建议；对违反《个人数据法》的行为进行行政问责等，以上权利不得转移给其他国家机关。

鉴于中国既不是《欧洲委员会关于在个人数据自动处理方面保护个人的公约》的缔约国，也没有被俄罗斯联邦列入为个人数据主体权利提供充分性保护的外国名单。如果您的业务涉及处理俄罗斯公民的个人数据，建议您调整个人信息保护政策（隐私政策）；重新审视和优化获得同意处理个人数据的程序；按照新的要求更新内部关于个人数据处理的制度以及相关文档；建立与俄罗斯联邦通信监督局的联系和互动；如果您的业务涉及个人数据跨境，则有必要按照规定的程序通知俄罗斯通信监督局。

注释：

[1]Новые правила трансграничной передачи данныхhttps://www.law.ru/article/27238-novye-pravila-transgranichnoy-peredachi-dannyh

[2]ИЗМЕНЕНИЕ ЗАКОНА РФ "О ПЕРСОНАЛЬНЫХ ДАННЫХ", РЕДАКЦИЯ ОТ 14.07.2022https://www.zakonrf.info/izmeneniya-v-zakonodatelstve/sravnenie-33884/

[3]Вред от персональных данных с 1 марта 2023 г.https://www.klerk.ru/tribune/aleksandr42/559699/

[4]个人数据信息系统是包含在个人数据数据库中的信息技术和硬件的组合，提供信息处理。如果一个网站符合该要求，则网站就是一个信息系统。

[5]LinkedIn направлена на блокировку операторам связиhttps://rkn.gov.ru/news/rsoc/news41615.htm