俄罗斯修改个人数据跨境传输程序
引言
2022年7月14日,俄罗斯总统普京签署了对2006年版《联邦个人数据法》进行大规模修改的第266号联邦法律(以下简称“修正案”),增加了通报作为个人数据跨境传输的前置程序。修正案将于2023年3月1日生效,在生效之前之前,运营商(оператора)需要向主管机构联邦通信、信息技术和大众媒体监管局(Roskomnadzor,以下简称“RKN”)提交对新规则实施的说明。
1►
通报成为个人数据跨境传输的前置程序
《联邦个人数据法》第22条规定了“个人数据处理通报”义务,即:在处理个人数据之前,运营商有义务将其处理个人数据的意图通报RKN。因为数据跨境流动必然包含着对数据的处理,所以在未增加通报作为个人数据跨境传输的前置程序之前,运营商需要就“个人数据处理”履行通知义务。
修正案在数据跨境流动方面增加前置程序意味着运营商要履行两份通报义务,即:“个人数据处理通报”义务和“个人数据跨境流动通报”义务。而且根据修正案规定,两份通报要分开发送。
2►
修改后的个人数据跨境传输流程
充分性认定国家和非充分性认定国家
对于接受方所在国或地区,修正案沿用了获得充分性认定的国家和未获得充分性认定的国家的分类。接收方所在国是否提供充分性保护由RKN确定。为个人数据主体权利提供充分性保护的外国名单包括:
(1) 欧洲理事会《关于自动化处理的个人信息保护公约》缔约国,以及
(2) 非欧洲理事会《关于自动化处理的个人信息保护公约》缔约国,但该国关于处理个人数据时保证数据保密性和安全性的现行法律和措施符合公约规定。
目前中国尚未获得充分性认定。据俄媒体Vedomosti 7月20日报道,RKN已计划将中国、印度、泰国等国家列入充分性保护国家名单。
通知模式与许可模式
在通报制度下,根据接收方所在国是否属于获得充分性认定的国家,运营商向境外传输个人数据的模式又分为通知模式和许可模式。
接收方所在国属于获得充分性认定的国家,运营商遵循通知模式,即:运营商在通报RKN之后即可跨境传输数据,直至RKN决定禁止或者限制跨境传输。可能被作为禁止或者限制跨境传输的理由包括:
(1) 审议通报后,以保护公民的道德、健康、权利和合法利益为目的禁止或者限制数据跨境传输;
(2) 在其他联邦机构的提议下,以保护俄罗斯联邦宪法秩序的基础和国家安全,确保国防,保护俄罗斯联邦的经济和金融利益,确保通过外交和国际法律手段保护俄罗斯联邦公民的权利、自由和利益、俄罗斯联邦的主权、安全、领土完整及其在国际舞台上的其他利益为目的,禁止或者限制数据跨境传输。
接收方所在国不属于获得充分性认定的国家,运营商践行许可模式,即:运营商在提交通报后需要等待RKN完成审议,在RKN完成审议之前,运营商无权跨境传输数据。除非传输数据是为了保护个人数据主体或其他人的生命、健康、其他切身利益所必须。
RKN将在10个工作日内完成审议,根据审议结果,RKN将作出许可或者不许可跨境传输的决定,RKN保持沉默视同为不禁止跨境传输。RKN禁止或者限制跨境传输的理由同上。RKN也可能要求运营商提交补充信息(见3.4提交补充信息),以证实通报内容的正确性。运营商应当在收到要求后10个工作日内提供信息,说明理由后可最多延长至15个工作日。这也意味着,运营商能够跨境传输数据的日期将延后。
通报的内容
根据修正案规定,通报必须包含以下信息:
(1) 运营商的姓名、地址,以及运营商先前发送的“个人数据处理通报”的日期和编号;
(2) 负责组织处理个人数据的人员的姓名、联系电话、邮政地址和电子邮件;
(3) 个人数据跨境传输以及对传输的个人数据进行进一步处理的法律依据和目的;
(4) 传输的个人数据的类别和列表;
(5) 个人数据被传输的个人数据主体类别;
(6) 跨境传输个人数据的目的地国清单;
(7) 运营商评估外国接收方在处理个人数据时对个人数据保密性和安全性的保护程度的日期。
提交补充信息
在向RKN提交通报之前,运营商有义务从接收方处获得一定信息,无论接收方所在国是否获得充分性保护认定。该等信息并不随着通报一同提交,而是在RKN审议通报之时应其要求提供。也即,该等信息可能并不需要提交。该等信息包括:
(1) 数据接收方为保护所传输的个人数据采取的措施,及终止处理所传输的数据的条件;
(2) 数据接收方所在国个人数据领域的法律法规信息(如果该国未被列入提供充分性保护国家名单);
(3) 数据接收方的相关信息(姓名,以及联系电话、邮政地址和电子邮件)。
根据上述信息,如果接收方所在国未被认定为提供充分性保护的国家,运营商和接收方承担的责任会更重。
禁止或者限制传输后的义务
如果RKN对运营商做出禁止或限制跨境传输个人数据的决定,运营商应确保外国接收方销毁其此前接收到的个人数据。
3►
新法适用引发的问题
目前,由于修正案在某些方面规定得并不详细,有关机构尚未作出解释,存在一些问题悬而未决,如:
(1) 在通报的频次方面,假如运营商计划向多个国家的多个运营商传输数据,那么运营商需要提交一份通报还是多份通报?假如运营商为多个目的向同一个接收方传输数据,那么运营商需要提交一份通报还是多份通报?
(2) 在被禁止或者限制跨境传输数据后,运营商可否重新提交相似或者修改后的通报?
(3) 是否会出现禁止向接收方A传输数据,但是却允许向同一国家或地区的B传输的情况?
(4) 在许可模式下,无须等待RKN完成审议而直接跨境传输的例外条款将如何发挥作用?如何证明满足例外条件?
(5) 在提交补充信息方面,运营商应以何种形式提交有关数据接收方为保护所传输的个人数据采取的措施及终止处理所传输的数据的条件的信息?
小结
俄罗斯出台新的数据跨境流动规则后,各方对其评价褒贬不一。持积极评价的人认为,新规则为个人数据提供了额外的保护,使运营商对个人数据跨境传输和处理形成负责任的态度。持消极评价的人认为,新规则增加了行政程序的负担,也不利于企业发展,因为在接收方所在国没有获得充分性认定的情况下,运营商必须等待RKN审议,而不管所要进行的数据跨境传输行为多么常规,或者运营商和接收方多么迫切交换数据。而且许可模式本身就给数据跨境行为增加了不确定性。
[1] 俄罗斯法律信息官方门户网站:http://publication.pravo.gov.ru/Document/View/0001202207140080,2022年8月17日访问。
[2] Екатерина Кинякина, Китай и Индию внесли в число надежных стран для персональных данных россиян, Vedomosti (Jul. 20, 2022), https://www.vedomosti.ru/technology/articles/2022/07/19/932115-kitai-indiyu-nadezhnih.
[3] Павел Ариевиччитать блог, Трансграничная передача персональных данных: новая процедура, новые квесты, Zakon (Aug. 11, 2022), https://zakon.ru/blog/2022/08/11/transgranichnaya_peredacha_personalnyh_dannyh_novaya_procedura_novye_kvesty.
[4] Вуколова ТатьянаИсточник, Любое использование материалов допускается только при наличии гиперссылки, Law (Aug. 11, 2022), https://www.law.ru/blog/22942-novye-pravila-transgranichnoy-peredachi-dannyh.
[5] Мария ШестаковаИсточник, Новые обязанности для операторов персональных данных и выписки из ЕГРН без фамилий собственников: принят новый законИсточник, Eg-Online (Jul. 20, 2022), https://www.eg-online.ru/article/457672/.
(完)
往期文章:
1、数据跨境流动治理
英国“数据 新方向”咨询结果|促进贸易和减少数据跨境传输壁垒(第三章)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(下)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(上)
数据跨境流动的规则监管与多元治理
2.全球数据治理观察
作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)
3.欧盟数据治理模式
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评(附征求意见前后对比中译本全文)
EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文
EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文
4、国际数据空间
全文首发|EDPB和EDPS就《欧洲健康数据空间条例》提案发布联合意见(中译本)
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
合作发布|国际数据空间IDS China Research Lab正式启动
5、数据权属与数据治理之争
6、产业数据治理