其他
【研究报告】数据跨境治理国别规则(9):俄罗斯
【代序】
当前数字经济蓬勃发展,特别在全球化浪潮下,世界各国都面对着一系列全新的治理挑战。无可否认,海量数据的处理与应用构成了新型数字经济样态存在与发展的关键性必要条件,时至今日,数据要素对于经济和社会发展变革有巨大驱动作用,数据作为基础性战略资源的论断已然成为国际社会的普遍共识,全球范围内的数据跨境流转利用成为各方高度关注的命题。
近年来,数据跨境流动的安全问题日益凸显。不可否认,数据治理问题本身具有非常复杂、宽广的视域,而系统检视这一问题、寻求应对方案的逻辑主线应当是新一代网络信息技术的发展态势以及与数据处理应用相伴随的机遇和风险类型考察。就此应当指出的是,一方面,围绕各类数据的利用,在以大数据、云计算、物联网以及人工智能等为代表的新一代信息技术的普及应用过程当中,人们不断拥抱更多的发展机遇;另一方面,围绕各类数据的保护,民众在快速数字化的环境中也持续面对来源更为广泛、程度更为深刻的安全风险。
主要的域外国家和发达地区高度关注在数字贸易领域建立国际规则的问题,对此已在其推动的多个经贸谈判中有所涉及,这也成为各个国家有关数据安全制度政策域外延伸的重要组成部分,构成企业跨国运营过程中需要持续跟进的核心因素。团队汇聚资深的理论和实务专家完成《数据跨境治理国别规则》研究报告,发布相关成果并会形成系列更新,以飨读者!(特别鸣谢北京大成律师事务所数字业务中心的协助支持。)
——吴沈括,北京师范大学法学院博士生导师、中国互联网协会研究中心副主任。
1.俄罗斯数据治理的规范框架在俄罗斯,有关数据治理的政策规范框架主要覆盖数据和隐私的处理规则,其制度要点阐述如下:1.1《俄罗斯宪法》《俄罗斯宪法》第二十三条规定每个人都有私生活、个人和家庭秘密不受侵犯、维护其荣誉和良好声誉的权利。每个人都有通讯、电话交谈、邮政及电报和其他交际秘密的权利。只有根据法庭决定才可限制这一权利。《俄罗斯宪法》规定未经本人同意不得搜集、保存、利用和扩散有关其私生活材料。1.2《俄罗斯个人数据保护法》《俄罗斯个人数据保护法》主要调整与个人数据处理和保护相关的法律关系。该法共六个章节25条,以个人数据处理行为为规制对象,强调对个人数据的保护。《俄罗斯个人数据保护法》在法律适用范围、数据处理规则、数据主体权益、数据监管机构、数据本地化储存、数据跨境流动等方面加以规定,明确规定了个人数据专属于数据主体,对未授权的个人数据处理行为明确予以禁止,并赋予数据主体一系列数据权益。主要涉及数据处理的规则、数据主体权益、数据监管机构、数据跨境流动以及数据的本地化储存。《俄罗斯个人数据保护法》确立了五大数据处理原则,即“合法公平原则”“目的限制原则”“安全保障原则”“准确充分原则”“及时删除原则”。1.3《俄罗斯信息、信息化和信息保护法》《俄罗斯信息、信息化和信息保护法》于1995年发布,对信息领域中的基本概念、信息资源及其利用、信息主体权益等法律问题作出规定。2015年7月,俄罗斯颁布了第264-FZ号联邦法律,对《俄罗斯信息、信息化和信息保护法》作出修订,确立了被遗忘权制度。2021年2月,《俄罗斯信息、信息化和信息保护法》的一项修正案正式生效,进一步加强了对网络社交平台的监管。该法规定了关于信息收集、处理和保护的八大基本规则:1)在无特别规定的情况下,任何人可以任何方式自由地收集、处理和传播信息;2)只有联邦法律能对信息的访问作出限制;3)除非联邦法律特别规定,关于联邦政府机构和地方自治机构活动的信息应当被公开且可自由访问;4)各民族语言平等;5)保障俄罗斯联邦的安全;6)确保信息的真实性以及信息传播的及时性;7)确保私人生活的不可侵犯性;8)禁止优先某些信息技术。1.4《俄罗斯关键信息基础设施安全法》《俄罗斯关键信息基础设施安全法》在适用范围、基本概念、安全保障原则、安全保障体系、关键设施主体权利和义务、安全保障系统、关键设施重要客体等方面加以规定。《俄罗斯关键信息基础设施安全法》通过确立关键设施安全保障原则,通过建立监测、预防和应对计算机攻击的信息系统,通过明晰关键设施主体的权利义务,以及通过划分国家机构在关键设施安全保障方面的职权,构建起关于信息基础设施安全的法律规范体系。该法主要涉及安全保障的三大基本原则、由上而下的关键基础设施安全保障体系、关键设施主体权利、关键设施主体义务、安全保障系统、关键设施重要客体等。1.5《俄罗斯主权互联网法》2018年12月俄罗斯发布《〈俄罗斯联邦通信法〉及〈俄罗斯联邦关于信息、信息技术和信息保护法〉修正案》,也被称为《主权互联网法》(Sovereignty Internet Law)。俄罗斯《主权互联网法》的主要内容,是从五个方面立法确立了俄罗斯网络的“自主可控”网络主权,主要涉及域名自主、定期演习、平台管控、主动断网以及技术统筹。域名自主是指俄罗斯须建立可接收域名信息的全国系统和自主地址解析系统;定期演习是指政府、电信运营商和技术网络所有者定期演习的必要性,以识别威胁并制定应对措施;平台管控是指规范了互联网流量管理;主动断网是指由俄联邦的电信、信息技术和大众传媒监督局(Roskomnadzor)负责维持俄网的稳定性;技术统筹是指法案定义路由选择的原则,提出用之于追踪监控的方法,并要求俄联邦的电信、信息技术和大众传媒监督局下设公共通信网络监测和管理中心。2.俄罗斯数据跨境的政策法规以下主要的条例、法规构成了俄罗斯现行数据跨境治理的基本法律制度架构:2.1《俄罗斯个人数据保护法》关于个人数据跨境流动,《俄罗斯个人数据保护法》根据外国对个人数据的保护程度不同,对个人数据跨境流动规制作出差异性规定。根据《俄罗斯个人数据保护法》的规定,俄罗斯境内的个人数据能够自由传输到对个人数据提供充分保护的国家。根据数据保护的程度将目的国分为两类:(1)充分保护个人数据主体权利的国家:包括a)《关于个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with regard to AutomaticProcessing of Personal Data)缔约国;b)非《关于个人数据自动化处理的个人保护公约》缔约国,但该国关于处理个人数据时保证数据保密性和安全性的现行法律和措施符合公约规定。2021年10月21日,俄罗斯联邦发布“充分保护个人数据主体权利”的名单,目前中国不在此列。2022年7月19日,俄罗斯联邦通信监管局发布一则法律草案,将中国、吉尔吉斯斯坦、泰国和印度等国家列入该名单。(2)不充分保护个人数据主体权利的国家。针对未对个人数据提供充分保护的国家,只有存在以下情况个人数据才可以跨境传输:1)征得数据主体的书面同意;2)基于国际条约的规定;3)基于维护俄罗斯联邦宪法制度、保障俄罗斯联邦国家安全和运输系统安全的目的;4)数据主体为履行合同义务;5)基于保障数据主体或他人生命、健康和其他切身利益的目的等。3.俄罗斯个人数据跨境的实践个人数据的传输主体需要向接收主体获取信息,并向俄罗斯联邦通信监管局通报如下信息:3.1向俄罗斯联邦通信监管局通报(1)数据传输主体的姓名/名称、地址;(2)数据传输主体先前向俄罗斯通信监管局通报其计划处理个人数据的日期和通报号码;(3)处理个人数据的负责人/单位的姓名/名称、联系电话、地址和邮箱;(4)数据跨境传输以及对传输的数据进一步处理的法律依据和目的;(5)传输的个人数据的类别和列表;(6)个人数据的数据主体类别,如员工、消费者等;(7)目的国/地区的列表;(8)评估数据接收主体对个人数据保密性和安全性的措施的日期。3.2俄罗斯联邦通信监管局的审查为了确认通报内容的正确性,俄罗斯联邦通信监管局可能要求通报主体提供从数据接收主体处获取外国主体的信息。如果接到要求通知,传输主体应当在收到要求通知后的10个工作日内提供。传输主体可以在说明理由的情况下,请求延长5个工作日。(1)数据接收主体为保护所传输的个人数据采取的保护措施,以及终止传输个人数据的条件;(2)如果目的国是不充分保护个人数据主体权利的国家,则需要提供该目的国个人数据领域的法律法规信息;(3)该数据接收主体的信息,包括姓名或名称、电话、地址、邮箱。3.3根据目的国的数据保护情况,区分审查程序(1)通知模式:若目的国是充分保护个人数据主体权利的国家,数据传输主体在通报后即可跨境传输个人数据。当出现下列情况时,数据传输主体应当停止或限制跨境传输:(i)俄罗斯联邦通信监管局审查通报内容后,以保护公民道德、健康、权利及合法利益为目的做出禁止或限制跨境传输个人数据的决定;(ii)俄罗斯通信监管局依照《俄罗斯联邦个人数据法》第12条第12款(保护俄罗斯联邦宪法基础、国家安全、经济利益等目的)做出禁止或限制跨境传输个人数据的决定,该决定需要在收到通报之日起5个工作日作出;
(2)许可模式:若目的地国为不充分保护个人数据主体权利的国家,除为了保护数据主体或他人生命、健康或其他重要利益的目的,需要由俄罗斯联邦通信监管局审查通报内容后方可进行传输。审查时限为10个工作日,若该局要求数据传输主体提供数据接收主体的相关信息,将相应延长审查时限。审查时限结束后,若未收到禁止传输个人数据的决定,数据传输主体可跨境传输个人数据。
若禁止或限制传输个人数据,数据传输主体应确保数据接收主体销毁此前接收的个人数据。
数据跨境治理国别规则研究课题组
吴沈括 北京师范大学法学院博士生导师、中国互联网协会研究中心副主任
— END —
“数据二十条”政策解读|吴沈括:构筑面向数字化和全球化的数据跨境流通生态
聚焦网络法治 护航数字经济:2022年世界互联网大会乌镇峰会网络法治论坛在浙江乌镇举行
动向|欧洲2023年立法议程:数字立法位于第二位
美国要求互联网公司研发针对中国电信设备的攻击武器 外交部回应“中国+中亚五国”数据安全合作倡议
前沿瞭望|美国首次公布联邦《数据隐私与保护法案》(全文)
动向|美国推动的"印太经济框架" 想做什么?动向|拜登宣布启动"印太经济框架" 日韩澳印等13国加入洞察|欧盟-美国有关未来数字治理的立场异同欧洲EDPS与EDPB关于欧盟数据法案的联合意见(5月5日)
高端视野|吴沈括 李涛:流量劫持的的刑法应对
吴沈括|数据要素市场建设中的公共数据与政企合作吴沈括|欧盟2022年《数字服务法案》:平台新治理的欧洲样板
吴沈括|欧盟2022年《数据治理法案》:数据要素流转利用的欧洲方案
美欧就跨大西洋数据隐私框架达成原则性协议(含监管历史演进梳理)光明网 | 吴沈括:强化数字安全助力数字经济高质量发展重磅|欧盟《数据法案》(Data Act)草案(中译本)重磅|欧盟《数据法案》(Data Act)草案全文
高端视野|吴沈括 Deuse Clément:欧盟数字主权与《数据法案》立法进程高端视野 | 吴沈括 S. Boutillier:网络空间国际规则与《巴黎倡议》高端视野|吴沈括 L. Valenti:数据跨境调取与布达佩斯公约第二补充议定书高端视野|吴沈括 H. MANZOOR:数字安全与联合国打击网络犯罪公约高端视野|吴沈括 Elena Scarpelli:欧盟数据主权与《电子证据条例》立法高端视野|吴沈括 Andrea Fusi:欧盟数字转型与《数字权利和原则宣言》高端视野 | 欧盟委员会《欧洲数据治理条例》提案研究数字治理全球洞察 | 跨境数据治理前沿系列:【研究报告】数据跨境治理国别规则(8):印度
【研究报告】数据跨境治理国别规则(7):马来西亚
【研究报告】数据跨境治理国别规则(6):新加坡
【研究报告】数据跨境治理国别规则(5):韩国
【研究报告】数据跨境治理国别规则(4):日本
【研究报告】数据跨境治理国别规则(3):德国
【研究报告】数据跨境治理国别规则(2):爱尔兰
【研究报告】数据跨境治理国别规则(1):欧盟
数据跨境|欧-美数据隐私框架充分性决定草案:认可美国数据保护水平
数据跨境|英国就韩国达成数据跨境充分性认定 助力实现双边经济增长
数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)
数据跨境|拜登《关于加强美国信号情报活动保障的行政命令》(中译本)高端视野|吴沈括 孙鹏程:《数据出境安全评估办法》下的出境合规准备工作重磅 | 国家互联网信息办公室《数据出境安全评估办法》(全文)
重磅 | 国家互联网信息办公室公布《数据出境安全评估办法》(附答记者问)
速递|欧洲数据保护委员会关于欧美跨大西洋数据隐私框架协议的声明动向|欧盟与美国有望在2022年春季达成新的数据跨境传输协议高端视野|吴沈括 蔡佩原:欧盟《数据法案》(草案)的非个人数据跨境制度高端视野 | 吴沈括 邓立山:WTO框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:OECD框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:DEPA框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:G20框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:CPTPP框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:RCEP框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:APEC框架下的数据跨境规则研究高端视野|吴沈括 邓立山:APEC框架下关于数据跨境的CBPR规则研究数字治理全球洞察 | 数据治理前沿系列:速递|最高人民法院发布第35批指导性案例 强化个人信息刑法保护
吴沈括|全面落实上位法律规范 培育数据安全管理生态
重磅|工信部《工业和信息化领域数据安全管理办法(试行)》(全文)
数据司法|欧盟法院:如果个人信息“明显不准确” 有权要求搜索引擎移除搜索结果
最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例
《“十四五”全民健康信息化规划》:医院核心信息全国互通 强化网络与数据安全
汽车数据处理、个人信息安全工程指南等14项国家标准发布
EDPB:执法资源不足导致个人数据保护的监管面临风险
速递|印尼国会审议通过《个人数据保护法》高端视野|吴沈括:《企业涉个人信息刑事风险合规风控》研究报告重磅|中央深改委通过《关于构建数据基础制度更好发挥数据要素作用的意见》
瞭望|英国公布2022年《数据改革法案》具体计划 称为“脱欧后的胜利”数据执法|法国数据监管机关:对谷歌分析工具的整改不会让它变得合法高端视野 | 跨国企业数据保护官(DPO)设置研究(上篇)国家市场监督管理总局 国家互联网信息办公室关于开展数据安全管理认证工作的公告观点|阻碍医疗数据研究革命的是法律问题,而不是基础设施
检察日报|吴沈括 李涛:数字经济语境下流量劫持的刑事治理数据监管|匈牙利就AI数据处理侵权对布达佩斯银行科处高额罚款数据监管|法国数据保护机关就健康数据泄露处罚生物公司150万欧元
欧洲数据保护委员会(EDPB)关于执法合作的声明(4月28日)
速递|欧洲数据保护委员会关于比利时数据保护机关独立地位的质疑关切数据监管|芬兰数据保护机关因诊所实现数据主体权利不力科处行政罚款数据监管|欧洲数据保护专员(EDPS):是时候瞄准在线广告了!数据监管|爱尔兰数据保护委员会宣布对Meta(脸书)处罚1700万欧元数据监管|意大利数据保护机关就面部识别处罚美国Clearview公司2000万欧元数据监管|波兰数据保护机关就员工造成数据泄露对公司处以创纪录罚款数字治理全球洞察 | 网络安全治理前沿系列:速递|美国禁止华为中兴等5家中企在美销售设备
英国延后华为临时禁令 但2027年底前全面移除5G设备不变
美国网络安全禁令生效,限制向中国等国家共享网络漏洞重磅|欧盟委员会2022年《网络安全条例》提案(全文)重磅|欧盟委员会2022年《信息安全条例》提案(全文)数字治理全球洞察 | 网络平台治理前沿系列:速递|工信部征求意见:提升移动互联网应用服务能力,强化全流程个人信息保护
重磅|市场监管总局对知网滥用市场支配地位罚款8760万元并责令全面整改(附行政处罚决定书)
重磅|中央网信办秘书局 中国证监会办公厅《非法证券活动网上信息内容治理工作方案》(全文)
重磅|国家网信办、工信部、公安部《互联网信息服务深度合成管理规定》(全文)
国家六部门:网约车平台采集个人信息应在中国内地存储使用 保存不少于2年
重磅|反不正当竞争法(修订草案征求意见稿)禁止利用数据算法不正当竞争
国家互联网信息办公室修订《互联网跟帖评论服务管理规定》发布施行
EDPB通过有关TikTok的法律文书 TikTok停更个性化广告的法律基础重磅|国家广电总局、文旅部《网络主播行为规范》(全文)
重磅|中央深改委:将平台企业支付和其他金融活动纳入监管 服务实体经济
国家网信办《互联网跟帖评论服务管理规定(修订草案征求意见稿)》(全文)全国人大常委会法工委披露反垄断法、反电信网络诈骗法二审稿修改内容
重磅|国家网信办修订发布《移动互联网应用程序信息服务管理规定》(全文)
数字治理全球洞察 | 数字政府治理前沿系列:重磅|国务院《关于加强数字政府建设的指导意见》(全文)数字治理全球洞察 | 未成年人保护前沿系列:光明网|吴沈括:未成年人网络保护面临技术、组织、内容三重风险
数字治理全球洞察 | 电信网络诈骗治理前沿系列:2022年电信网络诈骗治理报告:以短视频平台为样本的研究
发布反电信网络诈骗倡议!北师大主办2022年世界互联网大会乌镇峰会网络法治论坛
吴沈括 黄诗亮|《反电信网络诈骗法》的治理要旨与合规启示英译本|《中华人民共和国反电信网络诈骗法》(全文)重磅|《中华人民共和国反电信网络诈骗法》(全文)重磅 | 《反电信网络诈骗法(草案二次审议稿)》(全文)数字治理全球洞察 | 数据跨境取证前沿系列:重磅|司法部明确涉诉数据信息的跨境调取规则数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)数字治理全球洞察 | 数据认证前沿系列:高端视野|吴沈括:个人信息保护认证的制度意义与实践价值
吴沈括 邱芷蕙|美国TrustArc隐私与数据治理框架(P&DG)要览吴沈括 周奕达|美国TRUSTe企业隐私认证的机制概要与价值启示前沿|EDPB批准德国州数据保护机关有关数据保护认证计划的意见数字治理全球洞察 | 数据要素市场前沿系列:Meta将个人数据用于广告投放 被欧盟罚款3.9亿欧元
数据要素市场|厦门公布《厦门经济特区数据条例》(全文)
《四川省数据条例》获表决通过 2023年1月1日起实施
数据要素立法|《陕西省大数据条例》(全文)数字治理全球洞察 | 人工智能治理前沿系列:重磅 | 中国关于加强人工智能伦理治理的立场文件
速递|美国总统拜登签署《人工智能培训法案》
EDPS:欧洲委员会《人工智能公约》谈判应当加强基本权利保护数字治理全球洞察 | 数字经济治理前沿系列:动向|美国议员鼓动强化对美在中国投资审查
吴沈括|构筑面向数字化和全球化的数据跨境流通生态
美国PCAOB:现行合作框架满足对中概股审计底稿核查的要求
数据资产|财政部:企业应按规定披露不同类型数据资源
吴沈括 崔鑫铭|《北京市数字经济促进条例》助力建设全球数字经济标杆
重磅|《北京市数字经济促进条例》通过 重点培育数字经济核心产业