俄罗斯个人信息保护制度
2021-05-13
近年来,中俄全面战略协作伙伴关系不断深化,两国务实合作更加稳健,经济交流更加密切。同时,随着大数据、云计算等技术的广泛应用,通过互联网进行的经济交易活动数量激增,出现各种需要收集和处理公民个人信息的场景。随着中国企业整体实力的提升,越来越多的企业开始将眼光转向海外市场,产品需求巨大的近邻俄罗斯无疑成为他们的重点发展对象。但是,俄罗斯毕竟与国内有着完全不同的背景、制度与规则,国内企业在拓展俄罗斯市场,尤其是通过互联网进行经营活动时也受到重重阻碍。俄罗斯对于公民信息安全严格的监管制度和复杂的法律规定常常令中国企业感到头痛。2017年5月5日,微信因违反俄罗斯网络监管条例被俄罗斯封杀的消息刷爆朋友圈。时隔一年后,微信在历经重重调整后,才得以正式进军俄罗斯。为何作为行业龙头企业的微信,Tiktok等公司,会在俄罗斯处处碰壁?究其根本,是对俄罗斯网络信息领域法律知之甚浅,对于中俄两国在该领域法律差异缺乏了解。那么,俄罗斯在网络信息安全领域有哪些特殊规定?中国企业如何在俄罗斯互联网环境下正确履行自己义务?违反俄罗斯个人信息保护的法律规定需要承担什么法律后果?
本文通过探究俄罗斯个人信息保护制度,介绍公民作为信息提供者固有的权利,以及信息处理者的义务和面对的法律责任。希望为广大进军俄罗斯市场的中国企业提供参考。
一、俄罗斯个人信息保护制度的历史沿革
相比于西方国家,俄罗斯信息化建设起步较晚。上世纪九十年代,俄罗斯信息技术开始发展,但受限于经济社会发展条件,投入到网络安全领域的司法资源着实有限。
进入21世纪后,随着俄罗斯经济的迅速发展,信息技术被广泛应用到各个领域,网络个人信息安全问题日益凸显,引发政府和社会各界关注。俄罗斯制定一系列针对网络安全法律法规,包括《网络支付限制法》《反盗版法》《博客法》《个人数据保存限制法》《个人信息法》《信息、信息技术和信息保护法》《电子签名法》等等。其中,在个人信息保护领域作用最为显著的是2006年颁布的《俄罗斯联邦个人信息法》(以下简称《个人信息法》)。该法在法律层面承认个人隐私与个人信息的合法权益,并禁止任何组织和个人侵犯。《个人信息法》以个人信息处理为规制对象,强调制度的可操作性和指导性,为全社会各行业的信息数据收集、处理、传输提供规范指引。
2013年“棱镜门”事件后,俄罗斯开始启动修法进程,对《信息、信息技术和信息保护法》和《个人信息法》进行了修订,加强对跨境数据流动的管理,并相继颁布了多个法令,确立了“数据本地化存储”的规则。
多年来俄罗斯出台多部信息保护相关的法律,建立了较为完善法律体系,搭建具体信息保护的制度框架,全面地规定了各方主体对个人信息保护的法律义务,法律实施效果显著。
二、个人信息的范围
互联网大数据时代,处处充斥着信息,大到公司注册、婚姻登记,小到网络购物,随时随地都需要我们提供个人信息。那么,到底什么是个人信息呢?在俄罗斯的法律体系下,个人信息又包含什么呢?
“个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息[1]。俄罗斯《个人信息法》第3条中规定:“个人信息是指与已识别或可识别的的个人直接或间接相关的各种信息。” 换言之,个人信息是可以识别特定主体的一组数据。这些数据专属于数据源主体,未经许可其他人不得随意收集和处理。
《个人信息法》根据个人信息的隐私程度,可以将个人信息分为普通个人信息和敏感个人信息。普通个人信息通常包括姓名、出生日期、地址、家庭、文化程度、职业、收入等。敏感个人信息是指一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括国籍、种族、宗教信仰、个人生物特征、健康状况、金融账户、犯罪记录信息、个人行踪等。基于敏感个人信息的特殊性,个人信息处理者只有在具有特定的目的和充分的必要性时,方可处理敏感个人信息。
三、个人信息提供者的权利
个人信息是个人身份的象征,是一个人进行正常的生产生活所必不可少的。因此,信息提供者对其个人信息享有特殊的权利。企业通过互联网收集、处理俄罗斯公民的个人信息时,一定要熟悉相关法律规定,尊重信息提供者的权利,遵守相关程序要求,不得随意进行收集和处理。《个人信息法》第三章专门对个人信息提供者的权利进行了列举和详细的解释。
首先,作为个人信息的主体,信息提供者享有知情权,有权获取以下信息:确认信息处理者处理个人信息的事实;处理信息的法律依据、目的和方法;信息处理者的名称和住所;根据双方达成的协议或法律规定,(除信息处理者的工作人员外)有权访问个人信息的人员的信息,或可向其披露用户信息的人相关信息;个人信息的来源;个人信息的处理期限和存储期限;已实施或预期进行的信息跨界传输的相关信息等等。
其次,个人信息提供者具有查阅权,有权向信息处理者查阅、复制其个人信息;个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。在个人信息存在错误、不完整、过时,存在非法取得或超出声明范围目的而使用时,个人信息提供者有权要求处理更正、屏蔽或者删除自身的个人信息。信息处理者要在接到申请之日起7个工作日内进行相应操作。
最后,只有事先征得个人信息提供者同意,才允许通过借助于通讯设备直接联系潜在的消费者以推销市场上的商品、工作和服务,以及为了进行政治宣传目的处理其个人信息。同时,未经信息提供者书面同意,禁止在自动化处理个人信息的基础上,作出对个人信息提供者产生法律后果,或以其他方式影响其权利和合法利益的决定。
四、个人信息处理者的义务
信息处理者作为整个交易环节的服务提供方,无论是中国法律,还是俄罗斯法律,都对其行为作出更加详细的规范。除了上文提到的要尊重信息提供者的权利外,作为信息处理者,还必须要履行法律规定的强制性义务,如保守他人信息的秘密;未经同意,不等散播他人信息等等。违反这些义务,除了承担相应的法律责任,甚至会降低企业的名誉和公信度,使得企业经营环境恶化。
首先,收集个人信息必须事先征得信息提供者的书面同意。个人信息涉及个人隐私,不得在违背个人意愿的情形下强行收集。同时信息处理者有义务保障信息提供者的知情权,应个人申请或法律的强制性规定向其提供上述信息提供者的“知情权”中所包含的内容。
其次,在“棱镜门”事件后,俄罗斯确立了“数据存储本地化”的规则。要求信息处理者对俄罗斯公民的个人数据进行搜集、记录、整理、保存、更改(更新、变动)和提取时,必须保证使用位于俄罗斯境内的数据库。
再次,为了更好地对信息处理进行监督,信息处理者必须在互联网上发布文件,阐明其信息处理策略以及落实信息保护要求的举措,并确保该文件可以被用户访问,以获取与个人信息保护相关的信息。除了公众监督外,信息处理者也要保证自身行为也要合法合规。在具体操作过程中,信息处理者要采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并运用法律、组织和技术手段确保个人信息的安全,防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除。如果发现对个人信息进行了不当处理,信息处理者有义务自发现之日起3个工作日内停止非法处理个人信息,并采取措施减轻危害。
最后,如果个人信息主体不愿意再提供其个人信息,或是撤回对处理其个人信息的同意,信息处理者必须停止处理;如不再需要保存该个人信息,应该自收到该项撤回之日起30日内销毁个人信息,除非与个人信息提供者签订的的合同另有约定,或信息处理者基于本联邦法或其他联邦法律规定的理由。
由此可见,收集和处理个人信息不仅仅是简简单单的技术问题,对具体操作程序还有许多法律上的要求。因此,企业开展相关业务必须合理确定信息处理的操作权限,并定期对从业人员进行安全教育和法律培训,使其熟悉俄罗斯联邦个人信息保护法的规定,才能保证整个流程的合规。
五、法律责任
俄罗斯在信息保护领域的法律规定十分严格,条文准确具体,并投入了大量的人力、物力、财力落实相关规定。所以,中国企业在开拓俄罗斯市场的同时,一定注重遵守法律规定。美国互联网巨头Twitter和Facebook和Google都曾因违反俄罗斯个人信息保护领域的法律规定,被俄电信、信息技术和大众传媒监管局起诉,被判处天价罚款[2]。在俄罗斯根据信息处理者违法行为的具体情况和严重性,其不仅可能面临行政和民事责任,还可能面临刑事责任和其它法律责任。
(一)行政责任[3]
通过追究违法主体行政责任,处以行政处罚,是俄罗斯打击互联网信息违法行为的重要法律手段。此处的行政违法主要指行政过错,即公民和法人违反行政管理法规的行为。《俄罗斯联邦行政违法法典》第十三章规定了通讯信息领域的行政违法行为和相应的法律责任,其中第13.11条是专门针对于个人信息保护领域。该条法律规范与时俱进,在2019年12月和2021年2月进行了两次修改,适应了时代的变化和要求,进一步完善个人信息保护体系,行政违法法律规范更加准确、具体。《行政违法法典》第13.11条规定了如下的行政违法行为:
1.未在《个人信息法》规定的情况下处理个人信息,或信息处理的目的与信息收集目的不符;
2.未经信息提供者的书面同意处理其个人信息;
3.未公开发布信息处理政策的文件,或未允许用户通过其他方式无限访问政策文件,以获取与个人信息保护相关的信息;
4.信息处理者没有向个人信息主体提供与处理其个人信息有关资料;
5.在个人信息存在错误、不完整、过时或者是存在非法取得或超出声明范围目的而使用时,信息处理者未在法律规定期限内,根据个人信息提供者的申请,更正、屏蔽或销毁该个人信息;
6.信息处理者处理信息时,未能保护个人资料免受非法或意外的获取、销毁、修改、封存、复制、提供、传播,以及个人资料方面的其他非法行为的侵害。
对于以上违法行为,主管部门可进行警告或处以行政罚款,根据其违法行为的严重程度,对公民可处以金额从1,000卢布到3,000卢布不等的罚款,对公职人员处以从3,000卢布到20,000卢布不等的罚款,对法人企业处以从15,000卢布到75,000卢布不等的罚款。
2019年《行政违法法典》修改后,对于违反“数据存储本地化”的行为可处以行政罚款。即对俄罗斯公民的个人信息进行搜集、记录、整理、保存、更改(更新、变动)和提取时,信息处理者未使用位于俄罗斯境内的数据库,对公民可罚款30,000—50,000卢布,对法人罚款1,000,000—6,000,000卢布。经处罚后,仍未使用使用位于俄罗斯境内的数据库,构成累犯,可再次进行罚款,对公民罚款金额上限提升至100,000卢布,对法人最高可罚款18,000,000卢布。
(二)民事责任
违反个人信息保护法律规定的信息处理者,还可能被追究民事责任。俄罗斯联邦法律规定,公民的个人信息和合法权益受到侵犯,有权按照民事诉讼程序起诉,向法院申请保护受到侵犯或有争议的权利、自由或合法利益,包括要求物质损害赔偿、精神损害赔偿、个人荣誉、尊严和商业声誉的保护。
信息处理者因违反信息处理规则给个人造成物质损失的,应赔偿其损失。损失额度为:为恢复被侵犯权利已经支出或需要支出的费用;财产灭失、损坏的;如果权利没有受到侵犯,预期获得的收入[4]。
信息处理者因违反信息处理规则给个人造成精神损害的,应赔偿其精神损害。精神损害不包括对信息提供者造成的财产损害和因个人信息泄露带来的损失。精神损害赔偿额由法院决定,取决于受害人遭受的身体和精神痛苦的程度,以及加害者的罪行程度。法院在确定损害赔偿数额时,必须考虑合理性和公平性要求[5]。
(三)刑事责任
如果信息处理者的违法行为性质恶劣,情节严重,已经达到了犯罪的程度,那么信息处理者则需要承担刑事责任。除了缴纳罚金外,信息处理者还可能受到强制劳动、剥夺自由等其他类型的刑罚。
如果未经他人同意,非法收集或散播构成他人个人或家庭秘密的信息,或在公开演讲、公开展示的作品或利用大众媒体散布此类信息,可以判处200,000卢布以下罚金;或处360小时以下强制性社会公益劳动;或处1年以下劳动改造;或处2年以下的强制劳动(并处或不处3年以下剥夺担任一定职务的权利);或处4个月以下的拘役;或处2年以下的剥夺自由(并处3年以下剥夺担任一定职务的权利)[6]。
除了一般个人隐私外,俄罗斯刑法对未成年被害人的隐私给予了特殊保护。在公开演讲、公开展出的作品、大众传媒或互联网上非法传播刑事案件未满16岁的未成年被害人信息的,或传播描述未满16岁的未成年人受犯罪侵害而遭受的身体痛苦或精神痛苦的信息,可以判处150,000—350,000卢布罚金;或处5年以下剥夺担任一定职务的权利;或处5年以下的强制劳动(并处或不处6年以下剥夺担任一定职务的权利);或处6个月以下的拘役;或处5年以下的剥夺自由(并处6年以下剥夺担任一定职务的权利)[7]。
近年来,“黑客”活动日益猖獗。故俄罗斯刑法规定,如果不正当访问受法律保护的计算机信息,且该行为导致信息损坏、封锁、变更或复制,则对其可判处200,000卢布以下罚金;或处1年以下劳动改造;或处2年以下的限制自由;或处2年以下的强制劳动;或处2年以下的剥夺自由[8]。该条规定将打击“黑客”行动直接纳入法律体系,使之有法可依。
(四)其他类型法律责任[9]
俄罗斯个人信息保护领域法律除了规定违法者需要承担行政、刑事和民事责任之外,还规定了一些其他类型的法律责任。如在劳动法领域,信息处理者的工作人员在工作中得知受法律保护的秘密(国家秘密、商业秘密等),后向他人泄露;或信息处理者的工作人员在工作中得知他人的个人信息,后向他人散布。根据《俄罗斯联邦劳动法典》第81条第1款的规定,公司可以解雇该工作人员。此外,信息处理者未按照规定采取必要的安全保护措施的,可以由履行个人信息保护职责的部门进行批评、警告、责令改正,没收违法所得等。
六、数据存储本地化
互联网迅速普及和数字经济蓬勃发展的背景下,“云”概念的应用直接将世界各国信息沟通联系起来,并突破了传统对计算机硬件存储器的需要。世界各国都需要从其他国家收集政治、经济、文化、科技等多个领域的信息,信息开始在全球范围内自由流通,但随之而来的数据安全和隐私保护问题引发了各国的思考。关于数据流通和存储问题,国际社会主要发展为两大趋势,以美国为代表的阵营支持数据在全球范围内自由流动,反对任何形式的壁垒;以欧盟、俄罗斯为代表的阵营主张“数据存储本地化”,维护国家数据主权和国家安全。
美国作为互联网的诞生地,第三次科技革命的领头军,拥有谷歌、微软、苹果、推特、脸书等多个大型跨国公司,其业务范围覆盖全球。对于这些美国企业而言,数据信息就意味着利润,在全球范围内获取尽可能多的数据是这些企业获利的重要手段。因此,美国极力主张“数据全球化”,强调数据在全球范围内自由流通,尽可能减少壁垒。但值得注意的是,在信息收集方面,美国对本国企业和外国企业制定了明显的“双重标准”。《美国爱国者法案》中规定,美国的远程电子服务和信息通讯服务提供商可以直接获取国内外的通讯记录,包括语言和文字,并将其披露给美国政府。而《境外合法使用数据法》一法中,则要求外国实体对调取包含美国公民的数据时,必须作出合理解释,同时要经过美国法院的审查,才能以最小化原则处理数据,之后还要定期审查。以上不难看出,美国试图最大化地收集其他国家的数据,谋取利益,推动本国信息化发展;同时阻碍他国在美国跨境信息的自由采集。其“双标”行为实质上是自己在网络领域霸权行为的体现。
2013年的“棱镜门”事件,美国对世界多国的监听、监视给俄罗斯和欧盟等国敲响了警钟。欧俄等国逐渐意识到,“云”概念的广泛应用下,传统意义上以国界线为边界的国家主权的行使在此失效,国家实质上丧失了对本质属于国内的数据的控制权[10]。而数据主权作为国家主权的重要组成部分,如果缺失数据主权保护的法律机制,将有可能直接影响公民的隐私和自由乃至整个国家的经济运行,最终危及到国家安全。出于全球数据安全政策以及政治因素的考虑,目前,约有二十多个国家把“数据存储本地化”纳入立法议程。
从2014年开始俄罗斯逐渐加强对信息跨境传输的监管,并通过立法手段确立信息本地化存储的规则。5月,俄罗斯对《信息、信息技术和信息保护法》进行了修改,要求互联网信息运营者需要在产生、传播和处理的数据6个月内,将相关主体信息存储到俄罗斯境内,包括文字、语音、图像等信息。同年7月,普京签署总统令,强调个人信息处理者必须确保使用俄罗斯联邦境内的数据库,来搜集、记录、整理、保存、更正(更新、修改)和提取俄罗斯联邦公民的个人信息。此外,法律还要求信息处理者在处理数据前,要告知数据保护机关——联邦通讯、电信技术和大众传媒监管服务局,包含俄罗斯公民个人信息的数据库所在地的信息,并且根据俄罗斯联邦法律规定,对违反俄罗斯联邦个人信息法的信息进行限制访问。
2018年,欧盟颁布的《通用数据保护条例》号称史上最严的数据和隐私保护法律,其中明确规定了“数据存储本地化”规则,要求所有与欧盟公民存在互动或业务往来的商业主体,无论该主体是否位于欧盟境内,都必须在欧盟设置本地数据存储中心。该条规定对数据存储和跨境流动进行规范,旨在通过立法手段保护本国数据免遭外国的窥探和窃取。
在“数据存储本地化”逐渐成为立法趋势的背景下,2020年10月21日,中国公布的《个人信息保护法(草案)》中也提出,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。因业务需要,确需向境外提供的,应当通过国家网信部门组织的安全评估。该条规定针对个人信息和重要数据确立了以境内存储为原则、安全评估后向境外提供为例外的跨境数据传输制度。从中我们不难看出,中国数据本地化存储要求可以说是刚柔相济:对于个人信息和重要数据,不得随意跨境流通,这是其刚性的一面;同时又有所变通,“因业务需要,确需向境外提供的”,可以在通过安全评估后跨境流动,这是其柔性的一面。刚柔并济,既保护了数据安全,又满足了经营者的营业需求,两全其美,相得益彰。
近年来,美和欧俄两派关于数据主权问题进行多次交锋。“数据存储本地化”到底是优是劣,短时间内还难以下定论。支持者认为“本地化”是在维护数据主权,是捍卫国家主权的最新演变,是在全球化趋势下各种资源全球流动中保护国家稳定与安全的有效手段。反对者则认为“数据存储本地化”违背全球化趋势,不符合时代发展潮流,不利于信息灵活高效地流通。而且“数据存储本地化”给市场运营主体造成了沉重的成本。虽然市场经营者可以租赁目标国家境内的服务器进行存储,但是根据市场研究机构iKS-Consulting公司的调查数据显示,俄罗斯国内的数据存储中心服务市场价值自2016年开始每年保持超过20%的增长,其中2018年达到285亿卢布,2019年为360亿卢布[11]。可见,本地化存储给企业经营者带来一笔不菲的支出。长此以往,日益严格的“数据存储本地化”可能会对跨国投资造成负面影响。
七、相关案例
案例一:
2018年12月,俄罗斯联邦电信、信息技术和大众传媒监管局要求美国社交媒体网站Twitter和Facebook,在法院规定的9个月时间内,将俄罗斯用户的网络数据库“本土化”,否则将会受到行政处罚。在法律规定期限内,Twitter和Facebook未就数据库本地化与俄方进行沟通。2019年4月16日,莫斯科地方法院根据相关法律条款,分别对Twitter和Facebook处以3000卢布(约合人民币314元)罚款,并要求两家企业将俄罗斯用户的个人数据本地化存储。这一罚款金额是对违反相关条款进行处罚的最低罚款额。2020年2月,因仍未将数据库本地化,莫斯科塔甘斯基法院再次对Twitter和Facebook作出处罚,每家公司都被处以400万卢布的罚款。
2019年7月16日,俄罗斯联邦通讯、信息技术和传媒监督局发布消息表示,中国社交媒体TikTok同意本地化存储俄罗斯用户数据。
案例二:
《俄罗斯信息、信息技术和信息保护法》和《个人信息法》都规定了旨在保护公民免受恶意信息侵害的要求:搜索引擎要排除在俄罗斯境内发布该国所禁止的信息的网络链接。
2019年,谷歌因未能从搜索引擎中删除违禁内容而被起诉,判决其承担行政法律责任,并处以70万卢布的罚款(已缴纳)。根据俄罗斯联邦通讯、信息技术和传媒监督局(Roskomnadzor)后续监控记录显示,谷歌公司仍存在违反上述法律规定的行为。故Roskomnadzor以谷歌为被告再次提起行政诉讼。2020年5月,法院对谷歌处以150万卢布的罚款。
进一步的监测显示,谷歌的搜索引擎中,仍存有约30%的包含俄罗斯所禁止信息的网络链接。根据《俄罗斯联邦行政违法法典》第13.40条第2.1款的规定,谷歌重复实施行政违法行为,构成累犯。2020年12月17日,莫斯科塔甘斯基法院宣判,对谷歌处以300万卢布的罚款。
除谷歌外,Twitter也曾因未按照法律规定,及时删除涉及吸毒、儿童色情和煽动未成年人自杀等非法内容的链接和帖子,被俄罗斯莫斯科塔甘斯基法院裁定违反《行政违法法典》,对其共处罚金890万卢布(约合11.6万美元)。俄联邦通信、信息技术和大众传媒监督局还宣布,因Twitter在俄未能遵守相关法规,自当日起将Twitter在俄境内的服务速度降低。
八、结语
个人信息是个人身份的象征,是一个人进行正常的生产生活所必不可少的。然而随着社会的发展,人们的社会参与无论是从广度还是深度来讲都是前所未有的,各种需要个人信息的地方也越来越多。中国企业如何在俄罗斯互联网环境下正确履行自己义务,成为每个进军俄罗斯市场的企业必须要回答的问题。在信息保护领域,俄罗斯与中国虽然都起步相对较晚,但都建立了相关的法律体系,2006年,俄罗斯颁布《个人信息法》;2020年10月21日,中国公布《个人信息保护法(草案)》,两国投入了大量的人力物力,费尽了大量的心血。中国企业想要更好的在俄罗斯发展,除了要提高自己的生产水平和技术能力,提高核心竞争力,还要了解俄罗斯的法律规定,使自己的生产经营活动合法合规,致力成为有实力、有信誉、受信赖的企业,让自己的发展之路走得更顺更长。
参考文献:
[1]http://baike.baidu.com/item/%E5%85%AC%E6%B0%91%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF/22033910#reference-[1]-22682323-wrap
[2]详见第七章 “相关案例”。
[3]《俄罗斯联邦行政违法法典》第13.11条
[4]《俄罗斯联邦民法典》第15条。
[5]《俄罗斯联邦民法典》第1101条。
[6]《俄罗斯联邦刑法典》第137条第1款。
[7]《俄罗斯联邦刑法典》第137条第3款。
[8]《俄罗斯联邦刑法典》第272条第1款。
[9]《俄罗斯联邦劳动法典》第81条第1款。
[10]DE FILIPPI P, MCCARTHY S. Cloud Computing. Centralization and Data Sovereignty [J]. European Journal of Law and Technology,2012(2):15.
[11]曾磊:“席卷全球的“数据本地化”浪潮”, http://www.huxiu.com/article/388800.html?f=rss
本文作者:
声明:
本文由k8凯发天生赢家·一触即发律师事务所律师原创,仅代表作者本人观点,不得视为k8凯发天生赢家·一触即发律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。