俄罗斯数据本地化和跨境流动条款解析
编者按:
以下内容来自于笔者今年完成的课题,摘出一小部分给大家参考。
正文:
一、数据本地化规定
俄罗斯的数据本地化立法在第242-FZ号联邦法中确定[1]。其于2015年9月1日生效,要求所有国内外公司在俄罗斯境内的服务器上存储和处理俄罗斯公民的个人信息。[2]根据法律规定,任何存储俄罗斯国民信息的组织,无论是客户还是社交媒体用户,都必须将该数据移至俄罗斯服务器。
第242-FZ号联邦法在第二条规定:“在个人数据收集期间,包括通过因特网,运营人应确保使用位于俄罗斯联邦境内的数据库以记录、系统化、积累、存储、澄清(更新或修改)和取回俄罗斯联邦公民的个人数据。除本联邦法第6条第1部分第2、3、4、8条规定的情况外。”[3]
2015年8月3日,俄罗斯通信和大众传媒部(通常称为“Minsviaz”)发布了详细的也是唯一的书面指南,阐明了第242-FZ号联邦法实施的新的个人数据本地化要求。俄罗斯交通部和大众媒体部表示,澄清的目的是“尽量减少因制定第242-FZ号联邦法律而引起的紧张局势”。[4]以下总结这份指南的主要内容
1、受该法约束的经营者
对该法的关注一直是围绕哪些实体必须遵守,这方面一直含糊不清。在该指南发布之前,大多数理解是该法只会更广泛地适用于俄罗斯运营商,但尚不知外国运营商会受到什么影响。现在,Minsviaz澄清了这个问题,表明以下实体受法律管辖:
俄罗斯实体。
在俄罗斯有官方代表和分支机构的外国实体。
没有在俄罗斯官方存在。但开展针对俄罗斯消费者的业务的外国实体。使用域名,例如.ru,俄语版本的.ru,.su,.moscow,俄语版的.moscow等,将使一个实体受到该法律的覆盖。俄罗斯的广告和消费者用俄罗斯卢布支付的机会是指南中提到的其他例子。俄语版本的公司网站的可访问性也可以用作该公司受数据本地化法律约束的指标。当然,该准则也承认俄语在其他司法管辖区(主要是前苏联国家)的广泛使用,并表明可能需要其他标准来确定俄罗斯语网站的实体实际上是针对俄罗斯消费者的。例如,广告产品可用于向俄罗斯交付,或者以俄罗斯货币支付,可提供这样的附加因素。仅仅从俄罗斯访问实体的互联网站点的能力并不会自动将该实体置于法律范围之内。
在俄罗斯境外设立和经营的实体和个人,如果收集俄罗斯公民在国外的个人数据,则不受法律约束(只要该收集不是针对俄罗斯消费者的目的)。
2、有意的行为(Deliberate Activities)
Minsviaz的指南表明,新法律将涵盖仅为收集个人数据而有意进行的活动。以意外(incidental)或非征求方式(non-solicited)收到的个人数据,无需根据新法律进行存储和处理。
例如,当没有寻求这样的信息时,运营商接收包含关于俄罗斯公民的个人数据的电子邮件,并不强制运营商在本地存储所接收的信息。同样,如果在适当的业务过程中,一个操作员向另一个操作员发送前雇员的联系信息,则这种收据不会被视为个人数据收集。
该指南指出,第242-FZ号联邦法律不限制俄罗斯公民披露个人数据,以便使用外国实体提供的跨境服务,如在线预订,银行服务或在线订购商品。
该指南还指出,法律不会限制远程访问俄罗斯的数据库。
3、没有追溯效力
根据该指南,第242-FZ号联邦法的规定不能被解释为具有追溯效力。只要数据保持不变,俄罗斯公民在2015年9月1日之前收集的个人数据可以保留在外国司法管辖区的数据库中。但是,如果这些数据库在2015年9月1日之后更新和更改,那么根据指南,这些数据库将受到数据本地化要求的限制。
4、对数据跨境传输的影响
根据该指南,新法律仅适用于法律中具体列举的数据操作。远程访问数据,使用该数据或删除数据(只要删除不会违反相关法律)不会受到影响。
Minsviaz指南表明,新法律不会影响任何有关个人数据跨境传输的现行俄罗斯法律和法规。与过去的做法一致,只要遵循俄罗斯关于个人数据的其他法律,就可以将有关俄罗斯公民的个人数据转移出俄罗斯。
但是,俄罗斯公民的个人数据必须首先在俄罗斯数据库(“主数据库”)中“记录、系统化、累积、存储、修改、更新和检索”,但随后可以转移到俄罗斯以外的其他数据库(“数据库”)。例如,这种个人数据的二级/并行数据库可用于备份目的。
同时,指南要求,国外可用的二级数据库不应具有俄罗斯主要数据库中没有存储的信息,换句话说,俄罗斯的主数据库应当含有必需是最新、最全面的数据。
5、公民身份确定和数据格式
由于第242-FZ号联邦法律没有明确规定运营商如何确定数据主体的公民身份,Minsviaz的指南表明,每个运营商都有机会选择自己的方法来确定其收集个人数据的个人的公民身份。指南指出,运营商的活动范围将影响运营商选择其确定公民身份的方法的决定。
该指南指出,如果特定实体通常以纸张形式存储此类信息,则可能存在以下情况:额外使用电子形式存储个人数据会产生高费用但又没有额外收益。该指南提出最初在俄罗斯“记录,系统化,累积,存储,修改,更新和检索”的个人数据,如果进行纸张复印后存储在俄罗斯即遵守了该法律,即使最终将这些信息输入国外的电子数据库。
二、俄罗斯对个人数据跨境流动管控的规定
1、俄罗斯数据跨境流动基本规则
俄罗斯现行生效的《个人信息保护法》是Federal Law No. 152-FZ of 27 July 2006 “On Personal Data”。该法12条集中规定了“个人数据的跨境传输”,具体如下:
应根据本联邦法律将个人数据跨境传输到欧洲委员会《个人数据自动化处理时个人保护公约》的公约国及其他充分维护个人数据主体权利的国家。为维护俄罗斯联邦宪法制度原则、道德、健康、权利和公民合法利益以及保障国防和公民安全,个人数据的跨境传输可能会被禁止或限制。
维护个人数据主体权利的授权机构批准欧洲委员会《个人数据自动化处理时个人保护公约》的公约国和充分维护个人数据主体权利的国家的名单。只要相关国家的现行法规和所采取的保证个人数据安全的措施与该项公约的规定相符,即便该国家不属于欧洲委员会《个人数据自动化处理时个人保护公约》的公约国,也可列入充分维护个人数据主体权利的国家名单中。
在开始跨境传输个人数据之前,处理者有义务确保在个人数据传输到的外国境内对个人数据主体的权利提供充分的保护。
向不能对个人数据主体权利提供充分保护的外国境内传输个人数据可在以下情况下进行:
个人数据主体以书面形式同意跨境传输其个人数据;
俄罗斯联邦国际条约规定的情况;
联邦法律以维护俄罗斯联邦宪法制度原则、保障国防和国家安全以及为保障运输系统安全稳定运行、在运输系统方面保护个人、社会和国家的利益不受非法干涉为目的规定的情况;
个人数据主体作为合同当事人履行合同;
不能取得个人数据主体的书面形式同意,但为了保护个人数据主体或他人的生命、健康和其他切身利益。
2、简要分析
总的来说,《个人信息保护法》区分了为个人数据提供充分保护的国家和不提供个人数据保护的国家。如果数据接收方位于法律仅提供“不充分保护”的国家,则“个人数据法”要求满足某些条件。
具体来说,由于俄罗斯于2001年签署加入《欧洲理事会第108号公约》(the Council of Europe’s Convention for the Protection of Individuals with regard to AutomaticProcessing of Personal Data)。因此,俄罗斯No. 152-FZ联邦法案允许个人信息从俄罗斯境内传输至其他《第108号公约》的签署国。签署国主要是欧洲国家,加上摩洛哥和乌拉圭。
其次,根据No. 152-FZ联邦法案,Roskomnadzor 可以将非《第108号公约》的签署国,加入其个人信息跨境流动的“白名单”中。按照Roskomnadzor的说法,其主要评判标准是该国是否具备有效的个人信息保护法律、是否设立了个人信息保护机构,以及是否针对违反个人信息保护法律的行为建立了有效的惩罚措施等。目前,该名单的当前版本包括安哥拉,阿根廷,澳大利亚,贝宁,加拿大,佛得角,智利,哥斯达黎加,加蓬,以色列,哈萨克斯坦,马来西亚,马里,墨西哥,蒙古,摩洛哥,新西兰,秘鲁,卡塔尔,新加坡,南非,韩国和突尼斯。
最后,如果转移到上述国家之外的国家(即不在其他国家名单上或不是“个人数据公约”签署国的司法管辖区)目前可以在相关数据主体的书面同意下进行。
[1] “Processing and Storageof Personal Data in the Russian Federation. Changes since September 1, 2015,”Ministry of Telecom and Mass Communications of the Russian Federation, February12, 2016.
[2] Duane Morris, “Russia’sNew Personal Data Localization Law Goes into Effect in September 2015,” DuaneMorris LLP & Affiliates.
[3] https://pd.rkn.gov.ru/authority/p146/p191/“During personal data collection, inter alia, through the Internet, theoperator shall ensure that databases located within the Russian Federation areused to record, systematize, accumulate, store, clarify (update or modify) andretrieve personal data of citizens of the Russian Federation, except for casesspecified in clauses 2, 3, 4, 8 of part 1 of Article 6 of this Federal Law”.
[4] http://minsvyaz.ru/ru/personaldata/#1438546984884
本公号关于数据本地化和跨境流动方面的部分文章见: