俄罗斯个人信息保护机构对隐私政策和数据跨境流动的新举措
近来,俄罗斯个人信息保护机构 the Federal Service for Oversight of Communications, Information Technology, and Mass Media (Roskomnadzor) 接连出台了关于隐私政策和数据跨境流动方面的重要措施。
目前,中央网信办正在制定《个人信息和重要数据出境安全评估办法》,且中央网信办、工信部、公安部、国标委等四部委正在联合开展“隐私条款专项工作”。因此有必要将俄罗斯新出台的措施介绍进国内,作为参考。
数据跨境流动
俄罗斯现行生效的个人信息保护法是Federal Law No. 152-FZ of 27 July 2006 “On Personal Data”。由于俄罗斯于2001年签署加入《欧洲理事会第108号公约》(the Council of Europe’s Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)。因此,俄罗斯No. 152-FZ联邦法案允许个人信息从俄罗斯境内传输至其他《第108号公约》的签署国。
同时,根据No. 152-FZ联邦法案,Roskomnadzor 可以将非《第108号公约》的签署国,加入其个人信息跨境流动的“白名单”中。按照Roskomnadzor的说法,其主要评判标准是该国是否具备有效的个人信息保护法律、是否设立了个人信息保护机构,以及是否针对违反个人信息保护法律的行为建立了有效的惩罚措施等。
8月9日,Roskomnadzor批准将Costa Rica, Gabon, Kazakhstan, Mali, Qatar, South Africa, Singapore这7个非《第108号公约》签署国加入数据跨境流动的白名单中。此前,Roskomnadzor 还批准、认可过以下非《第108号公约》签署国:Angola, Argentina, Australia, Benin, Canada, Cape Verde, Chile, Israel, Malaysia, Mexico, Mongolia, Morocco, New Zealand, Peru, South Korea, and Tunisia(注:Tunisia于2017年签署加入《第108号公约》).
值得注意的是,中国和美国两个国家均未被纳入其中。
加强隐私政策
7月31日,Roskomnadzor发布了帮助个人信息控制者更好地撰写隐私政策的指南。该指南并不具强制的法律效力,但是体现了Roskomnadzor 对No. 152-FZ联邦法案的理解,因此事实上成为个人信息控制者合规的重要参考。
从指南来看,Roskomnadzor认为个人信息控制者的隐私政策,应是一份相对详细的个人信息处理说明,这样个人信息主体才可能得知其个人信息将会被如何处理。具体来说,指南认为隐私政策应包括以下内容:
1、说明隐私政策中所采取的定义和隐私政策覆盖的范围;
2、个人信息控制者和个人信息主体的主要权利和义务;
3、处理个人信息的(各个)目的;
4、处理个人信息的正当事由(例如,法律授权、个人同意、根据与个人签 订的合同所必需等);
5、所处理的个人信息的类型和数量;Roskomnadzor建议列出每个具体个人信息处理目的所对应的所有个人信息类型、所有的个人敏感信息类型;
6、个人信息使用规则和条件(例如,将对个人信息
将采取的具体操作、停止处理个人信息的情形、存储期限、遵循数据本地化要求的有关情况等);
7、更新、更正、删除、销毁个人信息的流程;
8、响应个人信息主体请求的程序;
Roskomnadzor在指南中同时强调,如存在与第三方共享个人信息的情况,则个人信息控制者应当:
1、说明其针对共享行为所采取的对个人信息的保护措施,特别是与第三方签订合同;
2、在隐私政策中说明共享的目的,共享的个人信息的类型和数量,对第三方使用个人信息方面的限制等;
3、第三方的名称和地址;非常值得注意的是,Roskomnadzor希望个人信息控制者不仅仅是列出第三方的类型,而是第三方的具体身份。