孫祁
歷經(jīng)15年的不斷完善與修改,俄羅斯已初步構(gòu)建起數(shù)據(jù)與信息安全法律制度體系
2020年12月10日,俄羅斯聯(lián)邦會議國家杜馬發(fā)布《俄羅斯聯(lián)邦個人數(shù)據(jù)法》修正案,進(jìn)一步明確公共個人數(shù)據(jù)處理規(guī)則,旨在建立保護(hù)個人數(shù)據(jù)主體權(quán)利和自由的機(jī)制。2021年2月18日,俄羅斯國家杜馬頒布《俄羅斯聯(lián)邦關(guān)于數(shù)據(jù)與數(shù)字發(fā)展2021—2025規(guī)劃》,再次明確數(shù)字經(jīng)濟(jì)下的數(shù)據(jù)規(guī)制與數(shù)據(jù)保護(hù)規(guī)則的具體發(fā)展前景與內(nèi)容。
隨著全球數(shù)字經(jīng)濟(jì)的發(fā)展,數(shù)據(jù)流動既賦予全球經(jīng)濟(jì)新的增長動能,也對現(xiàn)代社會有正向的推動作用,但不可避免地觸發(fā)了各國對個人隱私、國家安全和經(jīng)濟(jì)前景的風(fēng)險擔(dān)憂,致使國外主要國家和地區(qū)針對全球跨境數(shù)據(jù)流動的法律政策和監(jiān)管實踐不斷出新。不過,各國對數(shù)據(jù)流動采取的法律政策有所差異。例如美國不斷致力于倡導(dǎo)和推動數(shù)據(jù)全球自由流動,在美國曾主導(dǎo)的《跨太平洋伙伴關(guān)系協(xié)定》中明確指出:當(dāng)通過電子方式跨境傳輸信息是為涵蓋的人執(zhí)行其業(yè)務(wù)時,締約方應(yīng)允許此跨境傳輸,包括個人信息;但以俄羅斯、歐盟為代表的國家和地區(qū)采取了與美國截然不同的做法。2018年5月25日生效的歐盟《通用數(shù)據(jù)保護(hù)條例》被稱為史上最嚴(yán)數(shù)據(jù)保護(hù)立法。2013年“棱鏡事件”曝光后,基于保護(hù)國家安全與互聯(lián)網(wǎng)數(shù)據(jù)潛在危險,由時任俄羅斯總統(tǒng)普京遞交法案,對現(xiàn)行立法關(guān)于公民數(shù)據(jù)存儲和數(shù)據(jù)處理地進(jìn)行修改,推行數(shù)據(jù)存留本地化原則,且限制跨境數(shù)據(jù)流動。俄羅斯是推動數(shù)據(jù)存留本地化、限制跨境數(shù)據(jù)流動的代表,其出發(fā)點是國家安全立場和實際存在的數(shù)據(jù)安全威脅,與我國目前的數(shù)據(jù)立法方向基本相同。
2020年12月,俄羅斯通信監(jiān)管機(jī)構(gòu)“聯(lián)邦通信、信息技術(shù)與大眾傳媒監(jiān)督局”局長亞歷山大·扎羅夫再次向Twitter和Facebook等公司發(fā)出警告,限時6個月將公司關(guān)于俄羅斯用戶的個人數(shù)據(jù)存儲在俄羅斯境內(nèi)的服務(wù)器上,以遵守俄羅斯的數(shù)據(jù)立法。
俄羅斯第一部關(guān)于數(shù)據(jù)與信息安全的聯(lián)邦法律是《關(guān)于信息、信息技術(shù)和信息保護(hù)法》,歷經(jīng)15年的不斷完善與修改,俄羅斯已初步構(gòu)建起數(shù)據(jù)與信息安全法律制度體系。形成了以《俄羅斯聯(lián)邦憲法》與已締約的國際條約為基礎(chǔ),《關(guān)于信息、信息技術(shù)和信息保護(hù)法》與《俄羅斯聯(lián)邦個人數(shù)據(jù)法》為準(zhǔn)則,其他聯(lián)邦法律與規(guī)范性文件為補充的數(shù)據(jù)與信息安全法律制度體系。
其中,《俄羅斯聯(lián)邦憲法》載有信息安全法律框架的一般性基礎(chǔ)規(guī)則,即信息關(guān)系主體法律地位的關(guān)鍵要素,信息安全原則(合法性,尊重人權(quán)、人格、社會和國家利益的平衡),確保信息安全的國家機(jī)構(gòu)的憲法地位等。《俄羅斯聯(lián)邦憲法》第23.1條“人人享有私生活不可侵犯、個人及家庭秘密、保護(hù)自己的名譽和名聲的權(quán)利”;第24.1條“非經(jīng)同意不允許收集、保管、使用和傳播個人的私生活信息”確立了個人的隱私權(quán)屬于公民的憲法權(quán)利;《俄羅斯聯(lián)邦憲法》第55條第3款“個人和公民的權(quán)利和自由,只能在捍衛(wèi)憲法制度基礎(chǔ)、他人的道德、健康、權(quán)利和合法利益、保證國防和國家安全所必需的限度內(nèi),由聯(lián)邦法律予以限制”。
國際條約方面,俄羅斯除締約了2000年6月22日《全球信息社會憲章》外,還于2006年批準(zhǔn)加入了1981年《個人數(shù)據(jù)自動化處理中的保護(hù)公約》。俄羅斯根據(jù)《個人數(shù)據(jù)自動化處理中的保護(hù)公約》就數(shù)據(jù)跨境轉(zhuǎn)移列出了被官方認(rèn)可為“確保充分保護(hù)”的國家名單。除了公約成員國外,截至目前,還有23個國家被列入“白名單”。
2006年《關(guān)于信息、信息技術(shù)和信息保護(hù)法》由俄羅斯聯(lián)邦議會審議通過,該法主要規(guī)定了整個信息立法系統(tǒng)的準(zhǔn)則,以及包括信息安全的立法保護(hù),調(diào)整了相關(guān)主體在進(jìn)行尋找、獲得、傳遞、生產(chǎn)和傳播信息以及使用信息技術(shù)和進(jìn)行信息保護(hù)時產(chǎn)生的法律關(guān)系。其中《關(guān)于信息、信息技術(shù)和信息保護(hù)法》第6條對數(shù)據(jù)權(quán)屬問題進(jìn)行了規(guī)定:“規(guī)定了信息資源是財產(chǎn)的組成部分和所有權(quán)的客體,明確了信息可為資產(chǎn),其主體可以是公民、國家機(jī)關(guān)、地方自治機(jī)關(guān)或者機(jī)構(gòu)及社會團(tuán)體”;《關(guān)于信息、信息技術(shù)和信息保護(hù)法》第11.4條對數(shù)據(jù)處理許可及告知制度進(jìn)行了規(guī)定:“非國家機(jī)構(gòu)和私人從事有關(guān)個人資料處理和向使用者提供個人資料的活動應(yīng)經(jīng)過必需的特許(申請許可證,申領(lǐng)執(zhí)照)?!痹摲ㄒ?guī)定了信息擁有者、信息系統(tǒng)運營者需要承擔(dān)的信息保護(hù)義務(wù),包括:預(yù)防非法獲取信息和(或)將其傳遞給無權(quán)獲取該信息的人員;及時發(fā)現(xiàn)非法獲取信息的事實;對違法獲取信息規(guī)定可能產(chǎn)生的后果進(jìn)行警告;不采取破壞信息處理設(shè)備和手段功能的行為;迅速恢復(fù)因非法獲取信息而被異化和銷毀的信息;經(jīng)常檢查信息保護(hù)水平。
除此之外,俄總統(tǒng)令《關(guān)于在使用國際信息交換的信息和電信網(wǎng)絡(luò)時確保俄羅斯聯(lián)邦信息安全的措施》《就“進(jìn)一步明確互聯(lián)網(wǎng)個人數(shù)據(jù)處理規(guī)范”對俄羅斯聯(lián)邦系列法律的修正案》《俄羅斯聯(lián)邦〈關(guān)于信息、信息技術(shù)和信息保護(hù)法〉修正案及個別互聯(lián)網(wǎng)信息交流規(guī)范的修正案》《俄羅斯聯(lián)邦澄清部分關(guān)于信息和電信網(wǎng)絡(luò)聯(lián)邦法律中適用處理個人資料程序的修正案》等其他規(guī)范性文件也逐步充實與完善著俄羅斯的數(shù)據(jù)保護(hù)及數(shù)據(jù)流動的法律制度體系。
2006年《俄羅斯聯(lián)邦個人數(shù)據(jù)法》已規(guī)定了公開的個人數(shù)據(jù)處理規(guī)則,但不設(shè)限制地允許第三方處理公開的個人數(shù)據(jù)將可能侵犯公民數(shù)據(jù)保護(hù)與信息權(quán)。為此,2020年12月10日頒布的《俄羅斯聯(lián)邦個人數(shù)據(jù)法》修正案明確了已公開個人數(shù)據(jù)的處理要求:一是公開個人數(shù)據(jù)的同意必須是單獨的、明確的;二是公開個人數(shù)據(jù)的同意并非永久性同意,而是具備有效期限的暫時性同意,網(wǎng)絡(luò)運營者在獲得個人同意時,需要告知個人同意的具體期限;三是公開個人數(shù)據(jù)的同意可以是限制范圍的同意,個人在同意公開其個人數(shù)據(jù)時,可以做出兩方面的限制——一方面是可限制網(wǎng)絡(luò)經(jīng)營者將公開個人數(shù)據(jù)轉(zhuǎn)移給第三方,另一方面可禁止第三方處理公開個人數(shù)據(jù)或者規(guī)定第三方處理公開個人數(shù)據(jù)的要求;四是規(guī)定處理公開個人數(shù)據(jù)的例外情形,為履行法定職責(zé)所必需或者為維護(hù)國家、社會和其他公共利益時,可以不受個人同意的限制而處理公開個人數(shù)據(jù);五是個人數(shù)據(jù)主體有權(quán)要求網(wǎng)絡(luò)運營者刪除其已公開的個人數(shù)據(jù),而且無須證明其個人數(shù)據(jù)被非法處理,在收到個人的刪除請求時,網(wǎng)絡(luò)運營者應(yīng)及時刪除相關(guān)個人數(shù)據(jù)。
在俄羅斯,“數(shù)據(jù)保護(hù)”已逐漸成為廣泛共識。俄羅斯自“棱鏡事件”后,不斷加強(qiáng)數(shù)據(jù)領(lǐng)域的治理與監(jiān)管,對各類數(shù)據(jù)收集人違規(guī)收集用戶數(shù)據(jù)、濫用甚至販賣用戶數(shù)據(jù)等非法行為采取了嚴(yán)格措施。在跨境數(shù)據(jù)流動方面,俄羅斯實行嚴(yán)格管控制度,對涉及的不同國家數(shù)據(jù)主體實行不同法律監(jiān)管,以法律監(jiān)管保護(hù)數(shù)據(jù)安全。
俄羅斯推行數(shù)據(jù)本地化制度的根本要因是擔(dān)心本國數(shù)據(jù)向境外轉(zhuǎn)移會有損本國監(jiān)管目標(biāo)的實現(xiàn),其中包括隱私保護(hù)、維護(hù)網(wǎng)絡(luò)安全、便利執(zhí)法等具體監(jiān)管目標(biāo)。但從美國推行的數(shù)據(jù)自由政策來看,認(rèn)為數(shù)據(jù)本地化是限制數(shù)據(jù)跨境自由流動的直接要素,會直接對數(shù)字貿(mào)易自由化形成政策性阻礙。盡管美國的提法存在夸大之嫌,但數(shù)據(jù)本地化制度本身作為數(shù)據(jù)監(jiān)管手段所產(chǎn)生的副作用,以及數(shù)據(jù)本地化制度的消極影響會直接限制數(shù)據(jù)跨境流動、影響數(shù)字經(jīng)濟(jì)價值的實現(xiàn)。因此在數(shù)據(jù)跨境流動方面如何尋找數(shù)據(jù)自由與數(shù)據(jù)本地化的平衡至關(guān)重要。
編輯:黃靈? yeshzhwu@foxmail.com