俄罗斯个人资料法研究
2018-03-19张建文
张建文
(西南政法大学,重庆 400031)
一、俄罗斯个人资料法的立法背景
《俄罗斯联邦个人资料法》(以下简称“个资法”)于2006年7月8日由国家杜马通过,随后14日获联邦委员会赞同。
信息社会的典型特征就是信息、信息获取权*Щербович А.А.Свобода слова в Интернете:конституционно-правовой аспект.Монография.М.:ТЕИС.2013. С.136.和对信息保护权的重要性增长*Амиржан К.Ж.Становление теории информационного общества.Вестник Омского университета.Серия право.2014.№3(40).С.54.。个人资料保护在俄罗斯法体系中属于信息法组成部分*В.И.Шаров.Структра информационного права.Юридическиая техника.2013.№7(ч.2).С.878.。俄罗斯对个人资料的保护以1993年俄罗斯联邦宪法对个人私生活秘密权的保护(第23条)为宪法基础*Бархатова.Е.Ю.Комментарий к Конституции Российской Федерации.2-е изд.,перераб.и доп.М.:Проспект.2017.С.40.,与以往的苏联宪法不同,该宪法明确规定了人、其权利与自由为最高价值[1],引起了俄罗斯政治生活、国家制度和国家权力组织的深刻变革[2],维护俄罗斯人民的权利和自由至高无上,成为国家活动的根本,“自由好过不自由”[3]。1993年俄罗斯联邦宪法、俄罗斯联邦新民法典(1994—2006年)[4],以及1992年俄罗斯新司法体系改革被视为转型时期俄罗斯法律领域中最重大的成就*Кодификация российского частного права 2015/под ред.П.В.Крашенинникова.М.:Статут.2015.С.10.。
1996年2月28日,俄罗斯签署《欧洲保护人权和基本自由公约》,接受欧洲人权法院的司法管辖*Петухова Н.Ю.Последствия возможного выхода России из -под юридикции Европейского Суда по права человека.Евразийская адвокатура.2015.№ 5.с.61.,这成为俄罗斯国内立法创制和变革的重要推动力。在这段时期,俄罗斯在立法上选择了在人权问题上调整国内立法*К.А.Кирсанова.Россия и Совет Европы:20 лет вместе.Проблемы российского права.2016.№2.С.22-23.,以符合《欧洲人权公约》规定的标准,全面贯彻人权高于主权原则[5]。在俄罗斯当代法治国家概念中,国际法规范优先于国内法的规范已经成为其重要内容[6]。在美国和俄罗斯,国际条约的效力都高于国内法[7]。实际上在苏联解体前,俄罗斯苏维埃社会主义联邦(РСФСР)最高苏维埃在1991年11月22日通过了《人和公民的权利与自由宣言》,其第1条第2款就明确宣布,“公认的有关国际人权的国际规范高于俄罗斯苏维埃社会主义联邦共和国的法律,并直接产生俄罗斯苏维埃社会主义联邦共和国公民的权利和义务”*Все о правах человека:сборник номативных актов.Москва:Проспект.2017.С.9.。
俄罗斯个人资料立法的最直接推动力来自于俄罗斯2001年加入,2005年12月19日批准的《在自动化处理个人数据时保护自然人欧盟公约》。2003年底俄罗斯国家杜马审议了《个人资料法》草案,2006年7月27日通过并正式公布《个人资料法》*Кучеренко А.В.Этапы и тенденции нормативно-правого регурирования оборота персональных данных в Российской Федерации.Информационное право.2009.№19(4),С.32-36.。作为跨国信息交换的基本前提和促进电子商务与网络经济发展的基本保障,该法对保障俄罗斯与欧盟成员国进行跨国信息交换和促进其电子商务及网络经济的发展意义至巨[8]。
技术进步最剧烈地形塑了世界政治地图,改变了国家的角色*Алферов А.Н.Развитие теоретических основ и формирование структуры информационного права. Сибирский юридический вестник.2008.№1(40).С.22.。截至2017年9月底,该法迭经19次修改,不少最初的条文被废止或更替,同时也引入了最为前沿的制度。目前该法共计六章:《一般规定》《个人资料处理的原则和条件》《个人资料主体的权利》《处理人的义务》《对个人数据处理的监督和监察以及违反本联邦法律的责任》《最终条款》,整部法律共计25条。
在中国,对俄罗斯个人资料立法的研究,要么是不够完整全面地介绍和分析俄罗斯的个人资料立法,仅抽取其中的部分内容做介绍和分析,要么就是因为俄罗斯个资法立法的修改频仍,导致所使用的法律文本较为陈旧。
因此,笔者认为有必要以目前最新版本的《个人资料法》为蓝本,为国内介绍俄罗斯个人资料立法的基本制度和保护机制,特别是阐明俄罗斯个人资料法的全貌和与欧盟公约相比较而言的重要差异,以期为中国的民法典编纂和个人资料立法创制提供更有效、更全面、更细致的比较法助益。
二、俄罗斯个人资料立法的目的与适用范围
俄罗斯个人资料立法(Законодательство Российской Федерации в области персональных данных )的概念要广于个人资料法的概念。
在立法层级上,个人资料立法以俄罗斯联邦宪法和俄罗斯联邦的国际条约为基础,由个人资料法和规定个人资料处理之情形与特点的其他联邦法律构成,如《俄罗斯联邦劳动法典》第85—89条规定由于雇主和具体的劳动者之间的劳动关系而处理个人资料的特点和对劳动者的保护,《国家民事公务法》第22、42、48条规定了由于履行国家民事公务而处理个人资料的特点和对公务员的保护,《自治市公务法》也有类似规定,还有《公民健康保护基础法》*СЗ РФ.2011.№ 48.ст.6724.在医疗活动中对参与提供医疗服务的人和向其提供医疗服务的人的个人资料的处理等,在俄罗斯联邦劳动法典(第81、90、192条)、行政违法法典(第13.11、13.12、13.13、13.14条)以及刑法典(第137、140和272条)中规定了违反个人资料处理程序的责任。
国家机关、俄罗斯银行、地方自治机关在自己的职权范围内可以依据并为了执行联邦法律而就涉及个人资料处理的具体问题发布规范性法律文件,但是不得包含限制个人资料主体权利、设立联邦法律没有规定的限制处理人活动或者由处理人承担联邦法律没有规定的义务的条款,而且这些规范性法律文件应当公布(第4条的2款)*См.часть 2 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。如2012年11月1日俄罗斯联邦政府《关于批准在个人资料信息系统中处理个人资料时保护个人资料的要求》的决议,规定了对在个人资料信息系统中处理个人资料时的保护要求和保护等级。这里的个人资料信息系统就是指通过几乎可以提供无限信息交换与信息发布机会的全球性电子信息通信网络(Internet)*Н.Н.Парыгина.Новеллы главы 8 гражданского кодекса российской федерации:между ретроспективой и перспективами.Вестник Омского университета.Серия Право.2014.№ 2(39).С.147.实现个人资料处理的信息系统。
在规范效力上,国际条约的规定优先于联邦法律适用。“如果俄罗斯联邦的国际条约规定了不同于本联邦法律的规则,则适用国际条约的规则”(第4条第4款)。在该领域中最为重要的法源是2005年12月19日俄罗斯批准的欧盟《在自动化处理个人资料时保护自然人欧盟公约》,但是俄罗斯在加入该公约时做了三项保留:第一,俄罗斯不将公约适用于(1)自然人仅为个人和家庭需要而处理的个人资料。(2)对依照俄罗斯联邦国家秘密立法规定的程序属于国家秘密的个人资料的处理。第二,如果公约的适用符合没有使用自动化设备而实施的个人资料行为的特征,则俄罗斯将公约适用于未经自动化处理的个人资料。第三,俄罗斯为自己保留为保护国家安全和公共秩序目的而对个人资料主体获取自己个人资料的权利设立限制之权力*Федеральный закон от 19 декабря 2005 г.№ 160-ФЗ//СЗ РФ.2005.№ 52(ч.1).ст.5573.。这三项保留奠定了俄罗斯个资法与欧盟个人资料保护规范之不同的基础。2006年2月10日俄罗斯联邦总统签署了第54号《关于签署在自动化处理个人数据时保护自然人欧盟公约涉及监督机关和资料跨境移转的补充备忘录》总统令*СЗ РФ.2006.№ 7.ст.769.。
该法为俄罗斯在隐私权保护领域的首次专门立法。其第2条明确规定,该法的目的为“保障维护在处理个人资料时人和公民的权利与自由”,包括维护私生活(неприкосновенность частной жизни)*Анисимов А.П.,Рыженков А.Я.,Чикильдина А.Ю.Обьекты гражданских прав:новые векторы правового регулирования.Вестн.Волгогр.гос.ун-та.Сер.5,Юриспруд.2013.№ 4(21).С.11.、个人和家庭秘密不可侵犯的权利。该条意味着“赋予人以受到国家保障的监督有关自己的信息,阻止披露个人的亲密性的信息的权利”*Права человека: учебник/отв.ред.Е.А.Лукашева.3-е изд.,перераб.М.:Норма:ИНФРА-М.2015.С.144.。在俄罗斯联邦民法典现代化过程中专门增加了“保护公民私生活”的第1522条*Андреев В.К.Существо нематериальных благ и их защита.Журнал российского права № 3.2014.С.32.,俄罗斯高度重视保护公民的互联网隐私[9],2016年7月俄罗斯还通过了关于被遗忘权的立法[10]。
根据个资法第3条的规定,个人资料(персональные данные)意味着“属于直接或间接确定或可以确定之自然人的任何信息”[11],该自然人即为个人资料主体(субъект персональных данных)*在中国,有学者提出所谓的“公司等组织的个人信息受法律保护”问题,实在是对个人资料法的立法宗旨和保护对象的本质性误解。参见:崔建远《我国<民法总则>的制度创新及历史意义》(《比较法研究》,2017年第3期第180-192页)。,个人资料意味着不仅可据以将某人与他人相区分,还可以准确地查明(识别)他*Кузнецов П.У.Основы информационного права:учебник для бакалавров.М.:Проспект.2016.С.261-262.。“个人资料——这是将个人与社会和所有他的情势,首先是与每个单独的个人为自己所选择的情势相连结的线”*Информационное право:актуальные проблемы теории и практики/под обц.ред. И.Л.Бачило. М.: Юрайт. 2009. с.473.。根据权威法律辞典的列举,个人资料包括:姓、名、父称,出生年月日,出生地,住址,家庭、社会和财产状况,教育,职业,收入和其他信息*Юридичесткий энциклопедический словарь под ред.А.В.Малько.2-е изд.М.:Простпект.2016.С.436.。
个人资料的处理,是指“使用自动化设备或者不使用此类设备而进行的任何个人资料行为(作业)或者行为(作业)之总和”,此类行为包括“收集、记录、体系化、积累、保存、更正(更新、更改)、抽取、使用、移转(传播、提供、获取)、匿名化、封存、删除、销毁个人资料”。较之于俄罗斯联邦民法典所规定的“未经公民同意不得收集、保存、传播和使用任何关于其私生活的信息”的范围*Гражданское право:учебник:в 2 т./Под ред.С.А.Степанова.2-е изд.,перераб.и доп.М.:Проспект. 2017. С.190.,大大地扩展了个人资料所保护的范围。所谓的“自动化处理个人资料”是指“借助于计算机技术进行的个人资料处理”;传播个人资料是指“旨在向不特定的人群披露个人资料的行为”,提供个人资料是指“旨在向特定的个人或者特定的人群披露个人资料的行为”,而移转个人资料的行为还包括跨境移转个人资料,即“向外国境内的外国国家权力机关、外国自然人或者外国法人移转个人资料”;封存是指“暂时停止处理个人资料”;销毁是指“其结果为导致不可能恢复个人资料信息系统中个人资料之内容的行为,以及(或)其结果为销毁个人资料之材料载体的行为”;匿名化是指“其结果为非使用补充信息而不可能确定个人资料之于具体个人资料主体之归属的行为”。处理人包括两类:一是“独立或与他人共同组织和(或)实施个人资料处理的国家机关、自治市机关、法人和自然人”;另一类是虽然不直接组织也不直接处理个人资料,但“可以决定个人资料处理之目的、应当处理之个人资料的构成,以及对个人资料之行为(作业)”的国家机关、自治市机关、法人和自然人*в ред. Федерального закона от 25.07.2011 N 261-ФЗ .。
根据俄罗斯个资法第1条第1款的规定,俄罗斯个资法适用范围较广,既适用于国家机关(联邦国家权力机关、俄罗斯联邦主体的国家权力机关,以及其他国家机关)和自治市机关(地方自治机关和其他自治市机关)所进行的个人资料处理,也适用于法人和自然人进行的个人资料处理;既适用于使用自动化设备的个人资料处理,也适用于不使用自动化设备的个人资料处理,只要该不使用自动化设备的个人资料处理符合使用自动化设备的个人资料行为(作业)的特点,也就是“允许依照给定的算法查询固定在物质载体上和包含在卡片文件中或其他体系化的个人资料汇编中的个人资料,并(或)获取此类个人资料”,这一点构成了个人资料处理行为的本质性特点;既适用于在电子通讯信息网络中的个人数据处理,也适用于非在电子通讯信息网络中的个人数据处理*См.часть 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。
同时,该法明确规定不适用以下三种情形:(1)自然人专为个人和家庭需要进行的个人资料处理,在此情况下不得侵犯个人资料主体的权利;(2)依照俄罗斯联邦档案事务立法组织保存、募集(комплектования)、点核和使用包含个人资料的俄罗斯联邦档案基金文件及其他档案文件;(3)依照规定程序处理属于构成国家秘密之个人资料。较之之前的五种情形已经大为减少了不适用个人资料法保护的例外情形[12],有利于保护个人资料主体的权利和合法利益。三种例外情形有两种,即第一种和第三种就是直接来源于俄罗斯加入欧盟公约时所作的保留。构成国家秘密的信息清单由联邦法律规定,任何人无权任意决定某项信息的保密性质并以此限制宪法自由*Конституционное право Российской Федерации: учебник/М.В.Баглай.10-е изд.,изм.и.доп. М.:Норма:ИНФРА-М. 2013.С.251.。值得注意的是,对于提供、传播、移转和取得包含个人资料的俄罗斯联邦法院之活动信息,管理和使用为创建获取上述信息之条件的信息系统和电子通讯信息网络等不属于个人资料法之效力范围,由专门的联邦法律《保障获取俄罗斯联邦法院活动信息法》规定*См.часть 3 введена Федеральным законом от 29.07.2017 N 223-ФЗ .。
可以说,在个人资料的规制范围上,俄罗斯个资法的适用范围较欧盟广泛,且更符合当今个人资料法发展的趋势,即将公共机关进行的个人资料处理与私营部门以及个人进行的个人资料处理均纳入立法的效力范围之内*相比之下,中国人大常委会2012年12月28日通过的《关于加强网络信息保护的决定》作为保护公民个人(电子)信息的基本法律,仅仅规制网络服务提供者和其他企业事业单位所进行的个人信息的处理,并没有涵括国家机关或者基层群众性自治组织进行的个人信息处理行为,不能不说是一大遗憾,有待未来专门的个人信息法之补正。。
三、俄罗斯法上个人资料处理的原则、条件与分类
(一)个人资料处理的原则
根据俄罗斯个资法第5条*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.规定,个人资料处理有七项原则。
第一,合法与公平原则,即“个人资料处理应当在合法和公平的基础上进行”。
第二,目的限制原则,即“个人资料处理应当仅限于为达致具体的事先确定的合法目的。不允许与个人资料收集目的不相容的个人资料处理”。也就是说,个人资料的处理目的必须具备具体性、事先确定性和合法性三项特征,同时,禁止违背个人资料收集目的的个人资料处理行为。
第三,禁止数据库混合原则,也就是“不允许将包含个人资料的为相互不相容目的而进行个人资料处理的数据库混合”。
第四,只能处理符合处理目的之数据原则,即“只有符合处理目的的个人资料才应当被处理”。
第五,内容和范围限制原则,也就是“所处理的个人资料的内容和范围应当符合所提出的处理目的。所处理的个人资料相对于所提出的处理目的不应当为多余的”。
第六,资料质素原则,即“在处理个人资料时应当保障个人资料的准确性、完整性,而在必要的情况下还应当保障对个人资料处理目的而言的时效性。处理人应当采取必要措施保障对不完整或不准确的资料进行删除或者更正”,意味着要求个人资料要具备准确性和完整性两个一般要求,在特定情况下,还要具备个人资料的时效性的特殊要求。这一点对删除权的存在和行使具有极为重要的意义,而且在这里不是规定个人资料主体的权利,而是规定处理人的基本义务。
第七,禁止永久保存原则,即“个人资料的保存应当以可以确定个人资料主体的形式进行,不得超过个人资料处理目的所要求的时限,但联邦法律、个人资料主体作为合同受益人或者保证人的合同有不同规定的除外。所处理的个人资料在处理目的达成或者在达成此类目的之必要性丧失时,应当删除或匿名化,但联邦法律有不同规定的除外”。一方面是关于保存时限的一般性规定,即不得超过个人资料处理目的所要求的期限,在这方面允许当事人可以合同规定不同期限;另一方面是在目的达成或者目的达成必要性丧失时的强制性删除或者匿名化要求,只有联邦法律(排除俄罗斯联邦主体的立法)才可规定例外。
(二)个人资料处理的条件
个人资料处理的条件,是指在遵守前述规定的原则和规则的前提下在哪些情况下允许对个人资料进行处理。俄罗斯个资法第6条第1款规定了12种情形:(1)经个人资料主体同意而进行的个人资料的处理;(2)为达致俄罗斯联邦国际条约或法律规定的目的,为履行和完成俄罗斯联邦立法赋予处理人的职能、权限和义务所必要的个人资料的处理;(3)由于个人参加宪法诉讼、民事诉讼、行政诉讼、刑事诉讼、仲裁诉讼而进行的个人资料的处理;(4)为履行司法文书所必要的个人资料的处理,即为履行司法文书、其他机关或负责人的依照俄罗斯联邦强制执行立法应当履行的文书而进行的个人资料的处理;(5)为履行联邦执行权力机关、国家非预算基金机关、俄罗斯联邦主体执行权力机关、地方自治机关的权限,以及参与提供相应国家服务和自治市服务的组织的职能所必要的个人资料的处理*в ред. Федерального закона от 05.04.2013 N 43-ФЗ.;(6)为履行个人资料主体作为受益人或保证人的合同,为缔结按照个人资料主体提议的合同或个人资料主体将作为受益人或保证人的合同所必要的个人资料的处理*в ред. Федеральных законов от 21.12.2013 N 363-ФЗ,от 03.07.2016 N 231-ФЗ.;(7)如果不可能取得个人资料主体的同意,为保护其生命、健康或其他重大生存利益(иные жизненно важные интересы)所必要的个人资料的处理;(8)为处理人或第三人行使权利和合法利益,以及为达致重大社会目的所必要的个人资料的处理,其条件是在此情况下不得侵犯个人资料主体的权利和自由*в ред. Федерального закона от 03.07.2016 N 231-ФЗ.;(9)为记者从事职业活动和(或)大众信息传媒从事合法活动,以及为科学、文学或创作活动所必要的个人资料的处理,其条件是在此情况下不得侵犯个人资料主体的权利和合法利益;(10)为统计或其他研究性目的进行的个人资料的处理,其条件是必须将个人资料做匿名化处理;(11)对个人资料主体提供或按照其要求提供给不限定范围的人获取的个人资料(也就是个人资料主体使之成为可以公开获取的个人资料)的处理;(12)对依照联邦法律应当公布或强制披露的个人资料的处理。
在个人资料处理问题上,还有一些特别的要求,如对国家保护对象及其家庭成员的个人资料的处理要考虑相应特别立法的规定*в ред. Федерального закона от 03.07.2016 N 231-ФЗ.,对特种个人资料和生物个人资料规定了专门条款。
处理人除了亲自处理个人资料外,在联邦法律没有不同规定的情况下,还允许经个人资料主体同意依据与他人缔结的合同委托他人处理,包括国家订货契约或自治市订货契约,以及通过国家机关或自治市机关作出相应的文件而委托他人处理。依照处理人的委托从事个人资料处理的人,有义务遵循个资法规定的个人资料处理原则和规则。在处理人的委托中应当规定由实施个人资料处理的人实施的个人资料行为(业务)清单和处理目的,应当规定该人对个人资料保密的义务并保障个人资料在处理中的安全,还应当指明保护所处理的个人资料的要求(第6条第3款)。依据处理人的委托从事个人资料处理的人没有义务取得个人资料主体对处理其个人资料的同意(第6条第4款)。在处理人和受处理人委托处理个人资料的人之间,“处理人对该人的行为向个人资料主体承担责任。受处理人委托实施个人资料处理的人向处理人承担责任”(第6条第5款),也就是说,受委托人仅向委托人承担责任,而处理人(委托人)向个人资料主体承担责任,而受委托人不对个人资料主体直接承担责任。
(三)个人资料处理的分类
在俄罗斯法上,限制获取的信息作为一项法律制度,涵盖了包括但不限于个人资料在内的多项信息制度,如国家秘密、职务秘密、职业秘密、商业秘密、发明的实质性信息等*М.В.Бундин.Система информации ограниченного доступа и конфиденциальность.Вестник Нижегородского университета им.Н.И.Лобачевского.2015.№1.С.124.。
俄罗斯个资法对个人资料的分类包括四类:公众可获取的个人资料(公开个人资料)、普通个人资料、特种个人资料和生物个人资料。实际上根据是否限制对资料的获取,只能分为两种:公开资料和限制获取的资料*Алфёров А.Н.Теоретические аспекты информационного права.Сибирский юридический вестник. №3(38). С.2.,但是为了对存在特定风险的个人资料的处理更为严格和审慎,尽可能地为个人敏感资料创造安全的环境*参见:卧龙传说《俄罗斯“个人数据保护法”任性实施 从“存储本地化”到数据安全之路还有多长》( 《信息安全与通信保密》,2015年第10期第76-77页)。,俄罗斯个资法将特种个人资料和生物个人资料单独作为独立的个人资料类型予以更加严格的法律调整。无论是哪种个人资料,在个人资料法上,处理人和其他取得对个人资料之获取的人原则上都负有保密义务,有义务不得向第三人披露,也不得未经个人资料主体同意而传播个人资料,除非联邦法律有不同规定(第7条)。
1.公众可获取的个人资料(公开个人资料)
公开个人资料(открытая информация),也被称为公众可获取的个人资料(Общедоступные источники персональных данных),指为了保障信息目的而建立的公众可获取的个人资料来源,包括指南、地址簿、传记、书目、电话簿、私人广告等*参见:独联体成员国议会间大会第十四次全体会议于1999年10月16日第14—19号决议通过的独联体成员国《个人资料示范法》第4条第4款。。这是信息法上的新制度,是为了保障信息、保障的目的而建立的制度*Городов О.А.Информационное право:учебник для бакалаврров.2-е изд.М.:Проспект.2016.С.84.。可以纳入公众可获取的个人资料来源的个人资料须经个人资料主体书面同意,通常包括其姓、名、父称,出生年份和地点,地址,用户号码,职业信息以及其他由个人资料主体提供的个人资料。该制度的特点在于,个人资料主体的信息应当在任何时候都按照个人资料主体的要求以及法院判决或其他主管国家机关的决定而从公众可获取的个人资料来源中删除*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。
2.普通个人资料
普通个人资料,实际上并没有明确列举,也没有明确的概念。但是从俄罗斯个资法第8—11条可以看出,在公开个人资料、特种个人资料,以及生物个人资料之外的个人资料,就是所谓的普通个人资料,因为在针对这三种有特别制度规定的个人资料之外,还规定了一般性的对个人资料处理的同意原则,而对特种个人资料和生物个人资料在此基础上提出了更加严厉的要求。
对普通个人资料的处理来说,较为重要的问题是关于个人资料主体对处理其个人资料的同意。
个人资料主体在同意提供和撤回问题上享有完全的自由。“个人资料主体自由地以自己的意愿为自己的利益做出提供个人资料的决定和给予处理其个人资料的同意。处理个人资料的同意应当是具体、知情和自觉的”(第9条第1款)。处理个人资料的同意可以由个人资料主体或其代理人以任何可以证明取得同意之事实的形式提供,在从个人资料主体代理人处取得处理个人资料之同意时,该代理人以个人资料主体的名义给予同意的权限由处理人审查。个人资料处理的同意可以由个人资料主体撤回。在撤回的情况下,处理人不得继续处理,但在存在该法第6条第1款第2—11项以及第10条第2款和第11条第2款时,允许无须个人资料主体的同意继续处理个人资料,且可以从非为个人资料主体的人取得个人资料(第9条第3、8款)(参看前文部分和下文部分)。处理人承担对取得个人资料主体的同意和存在无须个人资料主体同意而处理其个人资料的理由的证明义务(第9条第2—3款)。
对于个人资料主体的同意有形式和内容上的要求。在联邦法律规定的情况下,个人资料处理须经个人资料主体书面同意。在这里,依照联邦电子签名法签署的电子文件形式的同意,等同于包含个人资料主体亲笔签名的在纸质载体上的书面同意。书面同意应当包括以下内容:(1)个人资料主体的姓、名、父称,地址,基本身份证明文件的编号、签发日期和签发机关信息;(2)(在从个人资料主体代理人取得同意的情况下)个人资料主体代理人的姓、名、父称,地址,基本身份证明文件的编号、签发日期和签发机关信息,授权委托书或其他证明其代理人权限的必备条件;(3)取得个人资料主体同意的处理人的名称或姓、名、父称及地址;(4)个人资料处理的目的;(5)个人资料主体同意处理的个人资料清单;(6)如果处理是委托给他人的,依照处理人委托实施个人资料处理的人的名称或者姓、名、父称及地址;(7)同意实施的个人资料行为的清单,对处理人所使用的个人资料处理方式的一般描述;(8)个人资料主体同意的有效期限及撤回的方式;(9)个人资料主体签名(第9条第4款)。
在个人资料主体无行为能力时,处理其个人资料的同意由其法定代理人提供;在个人资料主体死亡时,处理其个人资料的同意由其继承人提供,但该同意已经由个人资料主体生前提供的除外(第9条第6—7款)。
3.特种个人资料
特种个人资料制度的目的主要是加强对特种个人资料(Специальные категории персональных данных)的保护和明确允许处理特种个人资料的情形。
俄罗斯个资法将特种个人资料列入原则上禁止处理的范畴,仅在例外的情况下才允许处理。此类特种个人资料包括涉及种族归属、民族归属、政治观点、宗教或哲学信念、健康状况、性生活的个人资料(第10条第1款),以及犯罪前科(同条第3款)。而且,在法律允许处理的例外情况下进行的特种个人资料处理,在导致其进行处理的原因消除后应当立即终止,但联邦法律有不同规定的除外(第10条第4款)*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。
允许处理的例外情况包括:(1)个人资料主体书面同意处理自己的个人资料;(2)个人资料主体使个人资料成为公众可获取资料*п. 2 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.,其分为由于履行有关遣返的俄罗斯联邦国际条约所必要的个人资料处理*п. 2.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ.与依照俄罗斯联邦全俄居民登记法进行的个人资料处理*п. 2.2 введен Федеральным законом от 27.07.2010 N 204-ФЗ.,以及依照俄罗斯联邦国家社会救助立法、劳动立法和退休立法进行的个人资料处理*п. 2.3 введен Федеральным законом от 25.07.2011 N 261-ФЗ;в ред. Федерального закона от 21.07.2014 N 216-ФЗ.三个方面;(3)为了保护个人资料主体的生命、健康或其他重大生存利益,以及他人的生命、健康或其他重大生存利益,且不可能取得个人资料主体的同意*п. 3 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.;(4)出于医学预防目的,为进行医疗诊断、提供医疗和医疗社会服务进行的个人资料处理,其条件是个人资料处理是由职业性从事医疗活动的人并依照俄罗斯联邦立法负有保守医生秘密的人进行;(5)由相应依据俄罗斯联邦立法进行活动的社会团体或者宗教组织为了达致其设立文件规定的合法目的而对社会团体或者宗教组织成员个人资料的处理,其条件是个人资料未经个人资料主体书面同意不得传播;(6)为设立或者行使个人资料主体或第三人的权利所必要的个人资料处理,由于进行司法审判而进行的个人资料处理亦同*п. 6 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.;(7)依照俄罗斯联邦国防、安全、反恐、交通安全、反腐败、业务搜索活动、强制执行、刑事强制执行立法而进行的个人资料处理*п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.,包含由检察机关为进行监察监督而对在俄罗斯联邦立法规定的情形下取得个人资料的处理*п. 7.1 введен Федеральным законом от 23.07.2013 N 205-ФЗ.;(8)依照强制保险立法和保险立法而进行的个人资料处理*п. 7.1 введен Федеральным законом от 23.07.2013 N 205-ФЗ.;(9)在俄罗斯联邦立法规定的情况下由国家机关、自治市机关或组织为安置无父母监护儿童在寄养家庭的教养而进行的个人资料处理*п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ.;(10)依照俄罗斯联邦国籍法而进行的个人资料处理*п. 10 введен Федеральным законом от 04.06.2014 N 142-ФЗ.(第10条第2款)。值得注意的是,对于犯罪前科的个人资料的处理可以由国家机关或自治市机关在依照俄罗斯联邦立法赋予的权限范围内处理,以及由他人在联邦法律规定的情形下并依照其规定的程序处理(第10条第3款)。
4.生物个人资料
所谓生物个人资料(Биометрические персональные данные),是指“可以据以查明人的身份的表征人的身体特征和生物特征”。在生物个人资料被处理人用以查明个人资料主体的身份时,仅可在存在个人资料主体书面同意时方可处理(第11条第1款)。例外的允许无须个人资料主体同意而进行生物个人资料处理的情形为:由于履行关于遣返的俄罗斯联邦国际条约,由于进行司法审判和执行司法文书,以及在俄罗斯联邦国防、安全、反恐、交通安全、反腐败、业务搜索活动、国家公务、刑事执行、出入境程序、国籍立法规定的情形*в ред. Федерального закона от 04.06.2014 N 142-ФЗ.(第11条第2款)。
(四)个人资料的跨境移转
个人资料的跨境移转是个人资料处理行为之一种,由于其涉及个人资料主体权利国际保护问题,因此成为个人资料法关注的基本问题。
俄罗斯个人资料跨境移转制度,与欧盟关于在自动化处理个人资料时保护自然人的公约相衔接,区分转入国是否为欧盟公约成员国,是否能够保障有效保护个人资料主体权利的标准,建立了一个由作为欧盟公约当事国的外国国家、能够有效保障个人资料主体权利的外国国家和不能有效保障个人资料主体权利的外国国家构成的不同层级的跨境保护机制。
原则上在作为欧盟公约成员国的外国国家境内以及在能够保障有效保护个人资料主体权利的外国国家境内,可以依照俄罗斯个资法进行个人资料跨境移转,但是该移转可以为了保护俄罗斯联邦宪政制度基础、道德、公民的健康、权利和合法利益,保障国家防务和国家安全而予以禁止或者限制(第12条第1款)。
个人资料主体权利主管保护机关负责批准不是欧盟公约成员国,但能够有效保障个人资料主体权利的外国国家名单。其标准为虽然该国不是欧盟公约成员国,但是在该国有有效的法规范和所适用的个人资料安全措施符合前述公约的规定(第12条第2款)。可见在这里所采取的标准是以欧盟公约的保护水平和规则作为实质性标准。而且,处理人在开始实施个人资料跨境移转之前有义务确保个人资料移入国能有效保障个人资料主体权利的保护(同条第3款)。
对于不能有效保障对个人资料主体权利保护的外国国家,仅在以下五种情形下才允许进行个人资料的跨境转入:(1)存在个人资料主体对其个人资料跨境转移的书面同意;(2)俄罗斯联邦国际条约规定的情形;(3)联邦法律规定的为保护俄罗斯联邦宪政制度基础,保障国家防务和国家安全,以及保障交通综合体的稳定和完全运行,保护个人、社会和国家在交通综合体免受非法干涉领域内的利益的情形;(4)履行个人资料主体作为当事人的合同;(5)在无法取得个人资料主体书面同意时保护个人资料主体或他人的生命、健康、其他重大生存利益(第12条第4款)。
四、个人资料主体的权利
俄罗斯学者认为,非物质利益主观民事权利的内容通常有三种:请求权、积极行动权和诉权。积极行动权可能由多个权限构成*Мужанова В.А.О положительном содержании субьективного гражданского права на нематериальные блага.Сибирский юридический вестник.№ 4(55).2011.С.77.。个人资料主体的权利*在中国,有学者认为,《民法总则》第111条“个人信息受法律保护”的规定并未确认个人信息权,只是从信息安全的角度规定了主体外的其他人的义务。参见:郭明瑞《关于人格权立法的思考》(《甘肃政法学院学报》,2017年第4期第1-7页)。是一个由多项权利构成的权利束。主要包括四种:一是获取其个人资料的权利;二是在为推销市场上的商品、工作和服务,以及为进行政治鼓动时的权利;三是在仅依据自动化个人数据处理做出决定时的权利;四是对处理人作为或者不作为的申诉权利。
(一)个人资料主体获取其个人资料的权利
1.个人资料主体取得涉及其个人资料处理的信息的权利
个人资料主体有权获取以下信息:(1)确认处理人处理其个人资料的事实;(2)处理个人资料的法律依据和目的;(3)个人资料处理的目的和处理人所使用的方式;(4)处理人的名称和所在地,可能依据与处理人之间的合同或依据联邦法律获取个人资料或向其披露个人资料的人(处理人的工作人员除外)的信息;(5)被处理的属于个人资料主体的个人资料,取得的来源,但联邦法律规定了提供这些资料的其他程序的除外;(6)个人资料处理的期限,包括保存期限;(7)个人资料主体行使联邦法律规定权利的程序;(8)已经实施或预定的跨境资料移转的信息;(9)如果处理是委托或将委托某人的话,受处理人委托实施个人资料处理的人的名称或姓、名、父称和地址;(10)本联邦法律或者其他联邦法律规定的其他资料(第14条第1、7款)。
对前述资料的形式、内容和提供方式,俄罗斯个资法也有具体的规定。该类资料“应当以可获取的方式由处理人提供给个人资料主体,而且其中不得包含属于他人的个人资料,但对披露该类个人资料有合法利益存在的情形除外(第14条第2款)”。该类资料“在个人资料主体或其代理人来访或收到其来函时提供给个人资料主体或其代理人”,来函应当包括证明个人资料主体或其代理人身份的基本证明文件,文件签发日期和签发机关的信息,证明个人资料主体参加与处理人之间关系的信息(合同编号、合同缔结日期、有条件的口头名称和(或)其他信息),以及以其他方式证明处理人处理个人资料的事实的信息,个人资料主体或其代理人的签名。函件可以电子文件形式提交并经依照俄罗斯联邦立法的电子签名签署(第14条第3款)。
获取前述资料的权利可以再次行使。在前述信息以及所处理的个人资料已经按其来函提供个人资料主体了解的情况下,个人资料主体有权在不早于第一次到访或发出第一次函件之后30日内再次造访处理人或向其发出第二次函件以取得前述信息和了解此类个人资料,但依照联邦法律、规范性法律文件或个人资料主体作为其受益人或保证人的合同规定了更短期限的除外。由于处理初次来访而没有提供完整的此类信息和(或)所处理的个人资料,个人资料主体有权在前述期限届满之前再次造访处理人或向其发送第二次函件以便获取前述信息以及了解所处理的个人资料。第二次去函除了包含前述规定的信息之外还应当说明再次来函的理由(第14条第4—5款)。处理人有权拒绝履行不符合规定条件的第二次来函。该拒绝应当叙明理由。处理人承担证明其拒绝履行第二次来函之合理性的义务(第14条第6款)。
值得注意的是,获取个人资料的权利是可以被限制的。在以下情况下可以依照联邦法律予以限制:(1)个人资料处理,包括对因业务搜索、反侦察和侦查活动而取得的个人资料的处理,是为了国家防务、国家安全和维护法律秩序而进行的;(2)个人资料处理是因怀疑个人资料主体实施犯罪行为而由对其执行拘留的机关,或对个人资料主体提起刑事指控的机关,以及对个人资料主体采取诉前强制措施的机关进行的,但俄罗斯联邦刑事诉讼立法规定允许嫌疑人或被指控者了解此类个人资料的情形除外;(3)依照反犯罪途径收入合法化(反洗钱)立法和资助恐怖主义立法的个人资料处理;(4)个人资料主体获取其个人资料将侵犯第三人权利和合法利益;(5)个人资料处理是在俄罗斯联邦交通安全立法规定的情况下为保障交通综合体稳定安全运作,保护个人、社会和国家在交通综合体免受非法干涉领域的利益而实施的(第14条第8款)。
2.更正、封存和销毁个人资料的权利和要求处理人采取措施保护自己权利的权利
个人资料主体有权在其个人资料不完整、陈旧、不准确、非法取得时或非为所申明的处理目的所必要时要求处理人更正、封存或销毁其个人资料,以及采取法律规定的措施保护自己的权利(第14条第1款)。如果处理人拒绝更正,则可能会承担传播不实贬损性信息的责任。在俄罗斯联邦最高法院的司法实践中曾确认“欧洲人权法院在其判决中所使用的诽谤(диффамация)的概念等同于俄罗斯联邦民法典第152条所包含的传播不实的贬损性信息的概念”*Постановление Пленума Верховного суда РФ от 24 Февраля 2005 г.№ 3 《О судебной практике по делам о защите чести и достоинства граждан,а также деловой репутации граждан и юридических лиц》,Бюллетень Верховного Суда РФ.2005.№4.。
相比较以促进独联体成员国立法统一化为目的的《独联体成员国示范个人资料法》而言[13],俄罗斯个资法没有更进一步区分更正、封存和销毁所针对的具体情形。根据《示范个人资料法》第12条第4—6款的规定,在存在相应文件证实的理由时,个人资料主体有权要求资料持有人修改自己的个人资料;在个人资料主体发现其不准确或对个人资料处理的合法性提出争议时,则有权要求持有人封存这些资料;在查明个人资料处理存在非法行为时,个人资料主体有权要求赔偿损失*参见:独联体成员国议会间大会第十四次全体会议于1999年10月16日第14—19号决议通过的独联体成员国《个人资料示范法》第12条第4—5款。。但是,均没有在规定何种情况下可以销毁这些资料。而且也没有规定删除权的问题。这是留待被遗忘权立法予以处理的问题[10]。
(二)个人资料主体在为推销市场上的商品、工作和服务,以及为进行政治鼓动时的权利
根据俄罗斯个资法第15条,只有在经个人资料主体事先同意的条件下,才允许通过借助于通讯设备直接联系潜在的消费者以推销市场上的商品、工作和服务,以及为了进行政治鼓动目的的个人资料处理。如果处理者不能证明已经取得该同意,则前述个人资料处理被视为未经个人资料主体事先同意。处理人有义务按照个人资料主体的要求立即终止处理其个人资料。
(三)个人资料主体在仅依据自动化个人数据处理作出决定时的权利
原则上,俄罗斯个资法禁止仅依据自动化个人资料处理作出对个人资料主体产生法律后果或以其他方式影响其权利和合法利益的决定(第16条第1款)。但是,存在两种例外情形:一是存在个人资料主体的书面同意时;二是在联邦法律规定的情况下,且该法律规定了保障个人资料主体权利和合法利益的措施(同条第2款)。在此情况下,处理人负有四项义务:(1)向个人资料主体解释仅依据自动化个人资料处理作出决定的程序和该决定可能的法律后果;(2)提供针对该决定提出异议的可能性;(3)解释个人资料主体保护自己权利和合法利益的程序;(4)处理人有义务在自收到个人资料主体异议之日起30日内审处异议并就该异议的审处结果通知个人资料主体(第16条第3、4款)*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。
(四)个人资料主体对处理人作为或者不作为的权利
如果个人资料主体认为处理人对其个人资料的处理违反个资法的要求或以其他方式侵犯其权利和自由,则个人资料主体有权就处理人的作为和不作为向个人资料主体权利保护主管机关提出投诉或依照司法程序提起诉讼。个人资料主体有权保护自己的权利和合法利益,包括依照司法程序要求赔偿损失和(或)精神损害赔偿(第17条)。
根据俄罗斯个资法的规定,包括处理人在内的“因过错违反本联邦法律要求的人,均承担俄罗斯联邦立法规定的责任”,而且“由于侵犯其权利、违反本联邦法律规定个人资料处理规则,以及违反本联邦法律规定保护个人资料的要求而给个人资料主体造成的精神损害,应当依照俄罗斯联邦立法予以赔偿”,“精神损害赔偿独立于财产损害赔偿和给个人资料主体造成的损失的赔偿”(第24条)*часть 2 введена Федеральным законом от 25.07.2011 N 261-ФЗ.。有关精神损害赔偿的一般规定和特别规范,应当以俄罗斯联邦民法典第151条和第1099—1101条的规定为基本渊源*Табунщиков А.Т.Компенсация морального вреда:учебно-практическое пособие.Москва:Проспект.2017. С.19.。
五、处理人的义务
个人资料处理人的义务,是俄罗斯个资法立法的重点问题。有关处理人义务规范的比重占到了整个个资法近一半的篇幅,是所有个资法诸章中篇幅最大的一章,处理人的义务及其履行机制构成了俄罗斯个人资料法律制度实施中最庞大最复杂也是最重要的部分。
主要包括:(1)处理人收集个人资料时的义务;(2)处理人保障履行本联邦法律规定义务的措施;(3)在个人资料处理时保障个人资料安全的措施;(4)处理人在个人资料主体来访或在收到个人资料主体或其代理人以及个人资料主体权利保护主管机关来函时的义务;(5)处理人消除处理个人资料时违反立法的行为,更正、封存和销毁个人资料的义务;(6)个人资料处理的通知;(7)专责组织个人资料处理的人(个人资料专员)。
(一)处理人在收集个人资料时的义务
根据俄罗斯个资法第18条,处理人在收集个人资料时的义务主要有四项。
第一,依照请求提供法定信息的义务。“处理人在收集个人资料时有义务按照个人资料主体的请求向其提供本联邦法律第14条第7款规定的信息”(第1款)。
第二,解释拒绝提供个人资料法律后果的义务。“如果提供个人资料根据联邦法律是强制性的,则处理人有义务向个人资料主体解释拒绝提供其个人资料的法律后果”(第2款)。
第三,自第三方取得个人资料时提供法定信息的义务。“如果个人资料不是从个人资料主体取得的,处理人在开始处理此类个人资料时有义务向个人资料主体提供以下信息:(1)处理人或其代理人的名称或姓、名、父称和地址;(2)个人资料处理的目的和法律依据;(3)个人资料的预定使用人;(4)本联邦法律规定个人资料主体的权利;(5)个人资料的来源”(第3款)。该项义务在以下情况下可以豁免:(1)个人资料主体已经被相应处理人通知所实施个人资料处理;(2)个人资料是由处理人依据联邦法律或由于履行个人资料主体作为受益人或保证人的合同而取得;(3)个人资料是由个人资料主体使之成为公众可获取的或从公众可获取来源而取得;(4)处理人为统计或其他研究性目的,为从事记者职业活动或科学、文学或其他创作性活动而进行个人资料处理,且在此时不侵犯个人资料主体权利和合法利益;(5)向个人资料主体提供本条第3款规定的信息侵犯第三人的权利和合法利益(第4款)。
第四,俄罗斯联邦公民个人资料的本地化保存义务。也就是,在包括通过电子信息通讯网络“Internet”收集个人资料时,处理人有义务保障通过使用俄罗斯联邦境内的数据库记录、体系化、积累、保存、更正(更新、更改)、提取俄罗斯联邦公民个人资料(第5款)*часть 5 введена Федеральным законом от 21.07.2014 N 242-ФЗ.,其例外是在为履行国际条约或者法定职能、权限和义务,为参与诉讼、履行司法文件,以及为从事记者与大众信息传媒的职业活动与各种创作活动而处理个人资料的情形。有评论认为,这是对Facebook、推特等美国社交网站的排挤[14]。
值得注意的是,这一规定与中国《网络安全法》第37条相比有较大的不同:第一,在个人资料的保护范围方面,俄罗斯法的适用范围大于中国法的规定。俄罗斯强调的是所有处理人收集和产生的所有涉及俄罗斯联邦公民的个人资料均应实现本地化存储,而中国《网络安全法》则只强调关键信息基础设施的运营者在中国境内收集和产生的个人信息要履行本地化存储义务。第二,在本地化存储的范围方面,中国法的范围要远远大于俄罗斯法的规定。俄罗斯个资法仅强调俄罗斯联邦公民个人资料,而中国立法强调的是“在中华人民共和国境内运营中收集和产生的个人信息和重要数据”。可见,中国法要求本地化存储的范围更大,不限于是本国公民的个人信息,即使是在中国境内收集和产生的外国公民或无国籍公民的个人信息也在该规定的效力射程之内,而且除了本国境内收集和产生的个人信息之外,重要数据也在本地化存储的义务之列,所谓重要数据的定义和范围并没有立法规定,尚有待进一步明确。存储本地化的要求具有强烈的反“信息殖民主义”[15]的色彩,也具有强烈的彰显国家网络主权[16]、信息主权[17],强化以国家行政管理为主的网络管理体制[18]意味。对该问题国际上缺乏统一的共识,如何避免因过分强调立法的国家权力性[19]和所谓的国情而阻碍国际信息流通与国际电子商务的发展,值得深入思考。
(二)处理人保障履行个资法规定义务的措施
第一,采取必要和充分保障履行法定义务的措施的义务。在法律没有不同规定的情况下,处理人可以自主确定必要和充分保障履行法定义务的措施的构成和清单。俄罗斯个资法规定了属于此类措施的六项内容:(1)作为法人的处理人任命负责组织个人资料处理的人(个人资料专员);(2)作为法人的处理人发布确定处理人在个人资料处理方面政策的文件,就个人资料处理问题的本地文件,以及规定旨在预防和产生违反联邦立法的行为、消除这些违法行为后果的程序的本地文件;(3)采取保障个人资料安全的法律、组织与技术措施;(4)对个人资料处理是否符合本联邦法律和依照该法颁布的规范性法律文件、对个人资料保护的要求、处理人在个人资料处理方面的政策、处理人的本地文件的内部监督和(或)审计;(5)对在违反本联邦法律时造成的损害、前述损害与处理人所采取的保障履行本联邦法律规定义务之措施的相互关系进行评估;(6)让处理人直接从事个人资料处理的工作人员了解俄罗斯联邦个人资料立法的规定,包括对个人资料保护的要求,决定处理人在个人资料处理方面政策的文件,就个人资料处理问题的本地文件,和(或)培训前述工作人员(第18.1条第1款)。
第二,公开相关政策文件等的义务。处理人有义务公开或以其他方式保障无限制地获取规定其个人资料处理政策的文件、对已实施的保护个人资料要求的信息。使用电子通讯信息网络收集个人资料的处理人有义务在相应的电子通讯信息网络中公开决定其个人资料处理政策的文件和所实施的保护个人资料要求的信息,并保障通过使用相应电子通讯信息网络设备获取前述文件(第18.1条第2款)。对于国家机关和自治市机关作为处理人时的保障履行法定义务的措施的清单由俄罗斯联邦政府规定。
第三,提交相关政策文件的义务。处理人有义务按照个人资料主体权利保护主管机关的来函提交决定处理人个人资料处理政策的文件和相关本地文件(同条第4款)。
(三)在个人资料处理时保障个人资料安全的义务与措施
处理人在处理个人资料时负有义务采取必要的法律、组织和技术措施或保障采取这些措施以保护个人资料免受非法或意外的获取、销毁、修改、封存、复制、提供、传播,以及个人资料方面的其他非法行为(第19条第1款)。
保障个人资料安全的途径包括:(1)确定在个人资料信息系统中处理个人资料时个人资料的安全威胁;(2)在个人资料信息系统中处理个人资料时,采取保障个人资料安全的组织性和技术性措施,这是为完成俄罗斯联邦政府规定的个人资料保护等级对个人资料保护的要求所必要的;(3)对依照规定程序采取的信息保护手段的符合性进行评估;(4)在个人资料信息系统投入使用前评估所采取的个人资料安全保障措施的有效性;(5)清点个人资料的计算机载体;(6)发现未经许可的获取个人资料的事实并采取措施;(7)恢复由于未经许可的获取而被修改或被销毁的个人资料;(8)设立获取在个人资料信息系统中所处理个人资料的规则,以及保障登记和清点对个人资料信息系统中个人资料所实施的所有行为;(9)监督所采取的个人资料安全保障措施和个人资料信息系统保护等级(第19条第2款)。在这里所谓的个人资料安全威胁是指“能够产生包括意外获取个人资料在内的未经许可的个人资料获取,导致销毁、修改、封存、复制、提供、传播个人资料,以及在个人信息系统中处理个人资料时的其他非法行为之虞的条件和事实的总和”,个人资料安全保护等级指“表征用以中和在个人资料信息系统中处理个人资料时保障个人资料安全威胁的要求的综合指标”(同条第11款)。
在个人资料安全保障方面,俄罗斯联邦政府、有关联邦执行权力机关,以及数据处理人协会、联盟和社团各有不同的义务和权限,同时俄罗斯个资法还规定了前述相关主体的强制协商程序。
对俄罗斯联邦政府来说,主要是规定前述保护个人资料安全的要求,而安全保障领域中联邦执行权力机关和反技术侦查以及对信息的技术性保护措施领域中联邦执行权力机关在各自的权限范围内,规定完成俄罗斯联邦政府规定的保护个人资料的要求而对每一保护等级所必要的在个人资料信息系统中处理个人资料时保障个人资料安全的组织性和技术性措施*По вопросу разработки нормативных правовых актов,определяющих угрозы безопасности персональных данных,см. Методические рекомендации,утв. ФСБ России 31.03.2015 N 149/7/2/6-432.(第19条第4款)。
国家机关(包括在规定活动领域中履行制定国家政策和规范性法律调整职能的联邦执行权力机关,俄罗斯联邦主体的国家机关、俄罗斯银行、国家非预算基金的机关及其他国家机关)在自己权限范围内可以发布规范性法律文件,根据个人资料的内容、处理的特点和方式规定从事相应活动时使用个人资料信息系统处理个人资料时现实的个人资料安全威胁(同条第5款)。与此同时,处理人协会、联盟和其他处理人社会团体也有权以自己的决定,根据个人资料的内容、处理的特点和方式规定此类协会、联盟和其他处理人社会团体的成员在从事相应活动时使用个人资料信息系统处理个人资料时的补充性现实个人资料安全威胁(同条第6款)。
俄罗斯个资法还规定了强制协商程序,以提高前述主体相互之间在确定安全威胁方面的协调性和一致性。国家机关的规范性法律文件草案起草及施行应当与安全保障领域中联邦执行权力机关和反技术侦查与对信息的技术保护领域中联邦执行权力机关进行协商。处理人协会、联盟和其他处理人社会团体决定的草案也应当与前述联邦执行权力机关按照俄罗斯联邦政府规定的程序进行协商。前述联邦执行权力机关拒绝对前述决定草案进行协商应当叙明理由(第19条第7款)。
在国家监督和监察方面,对于在国家个人资料信息系统中进行个人资料处理时履行保障个人资料安全的组织性和技术性措施的监督和监察由安全保障领域中联邦执行权力机关和反技术侦查与对信息的技术保护领域中联邦执行权力机关在各自的权限范围内进行,但是无权了解在个人资料信息系统中所处理的个人资料(同条第8款)。对于使用非国家个人资料信息系统处理个人资料时,对其所采取的个人资料安全保障组织性和技术性措施的监督,根据所处理的个人资料的重要性和内容,可以俄罗斯联邦政府决定的方式授予前述联邦执行权力机关监督的权限,但前述联邦执行权力机关无权了解在个人资料信息系统中所处理的个人资料(同条第9款)。
对于个人资料信息系统之外生物个人资料的使用和保存只能在此类信息的物质载体上,并使用足以保障这些数据免受非法获取或意外获取、销毁、修改、封存、复制、提供和传播的保存技术进行(第19条第10款)。
(四)处理人在个人资料主体来访时以及在收到个人资料主体或其代理人以个人资料主体权利保护主管机关来函时的义务
在处理前述有关来访或来函时,处理人负有以下具体义务*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.:第一,在来访或来函时提供个人资料是否存在之信息,以及了解该类个人资料之机会的义务。在个人资料主体或其代理人来访时,或者在自收到个人资料主体或其代理人来函之日起30日内,处理人有义务按照法定程序向个人资料主体或其代理人提供属于相应个人资料主体的个人资料是否存在的信息,并提供了解这些个人资料的机会(第20条第1款)。第二,拒绝提供时须出具附理由书面答复的义务。在个人资料主体或其代理人来访或收到其来函时拒绝提供是否存在关于相应个人资料主体的个人资料存在的信息或个人资料时,处理人在自个人资料主体或其代理人来访之日起或在自收到其来函之日起30日内有义务提供包含援引作为拒绝依据的联邦法律的附理由书面答复(第20条第2款)。第三,无偿提供、更改、销毁个人资料的义务。处理人有义务无偿向个人资料主体或其代理人提供了解属于该个人资料主体之个人资料的机会。在自个人资料主体或其代理人提交证明该个人资料不完整、不准确或不具时效性的信息之日起不超过7个工作日的期限内,处理人有义务对之进行必要修改。在自个人资料主体或其代理人提交证明该个人资料为非法取得或非为所申明的处理目的所必要的信息之日起不超过7个工作日的期限内,处理人有义务销毁这些个人资料。处理者有义务就所做的修改和所采取的措施通知个人资料主体或其代理人,并采取合理措施通知该主体的个人资料曾经被移转给的第三人(第20条第3款)。第四,向个人资料主体权利保护主管机关提供信息的义务。处理人有义务按照个人资料主体权利保护主管机关的函询在自收到该函询之日起30日内告知该机关必要的信息(第20条第4款)。
(五)处理人消除在处理个人资料时违反立法的行为,更正、封存和销毁个人资料的义务
第一,处理人的封存义务。“在非法处理个人资料时,个人资料主体或其代理人来访以及个人资料主体或其代理人或个人资料主体权利保护主管机关来函时,处理人有义务在自到访或者收到来函之时起至整个审查期间对非法处理的属于个人资料主体的个人资料实施封存,或者(如果个人资料处理是由他人按照处理人委托进行的,则)保障对该个人资料实施封存”;“在发现不准确的个人资料时,个人资料主体或其代理人来访或来函,以及个人资料主体权利保护主管机关来函时,处理人有义务对属于个人资料主体的个人资料实施封存,或者(如果个人资料处理是由他人按照处理人的委托进行的,则)保障对该个人资料实施封存,但是封存个人资料侵犯个人资料主体或第三人的权利和合法利益除外”(第21条第1款)。
第二,处理人的更正义务。保障信息的可靠性也是俄罗斯信息法学的基本原则*А.В.Минбалеев.Принципы информационного права.Вестник ЮУрГУ.Серия право.2015.№1.С.80.。“在证实个人资料不准确的情况下,处理人有义务依据个人资料主体或其代理人以及个人资料主体权利保护主管机关提交的信息或其他必要文件在自提交给此类信息之日起7个工作日内更正个人资料,或者(如果个人资料处理是由他人按照处理人委托进行的,则)保障更正的该个人资料,并解除对个人资料的封存”(第21条第2款)。
第三,处理人的终止义务。“在出现由处理人或依照处理人委托行为的人非法处理个人资料时,处理人有义务在不超过自其出现之日起3个工作日内终止非法个人资料处理,或由依据处理人委托行为的人保障终止非法的个人资料处理。在不可能保障个人资料处理的合法性的情况下,处理人有义务在不超过自非法个人资料处理出现之日起10个工作日内销毁这些个人资料或保障销毁这些个人资料。处理人有义务将消除所犯的违法行为或销毁个人资料,在个人资料主体或其代理人来访的,通知个人资料主体或其代理人,在个人资料主体权利保护主管机关来函的情况下,还应通知该机关”(第21条第3款)。
第四,处理人在处理目的达成时的终止与销毁义务。“在个人资料处理目的达成时,处理人有义务在自处理目的达成之日起不超过30日内终止个人资料处理,或者(如果个人资料处理是由他人按照处理人委托进行的,则)保障终止个人资料处理,并销毁个人资料或者保障销毁个人资料,如果个人资料主体作为受益人或保证人的合同、处理人和个人资料主体之间的其他协议没有不同规定,以及处理人未经个人资料主体同意无权依据本联邦法律或其他联邦法律进行个人资料处理的话”(第21条第4款)。
第五,在个人资料主体撤回同意时的终止与销毁义务。“在个人资料主体撤回处理其个人资料的同意时,处理人有义务在上述撤回提交之日起不超过30日内终止处理其个人资料,或者(如果个人资料处理是由他人按照处理人委托进行的,则)保障终止该处理,而在如果保存个人资料对个人资料处理之目的而言不再需要时,有义务销毁个人资料,或者(如果个人资料处理是由他人按照处理人委托进行的,则)保障销毁个人资料,如果个人资料主体作为受益人或保证人的合同、处理人和个人资料主体之间的其他协议没有不同规定,而处理人未经个人资料主体同意无权依据本联邦法律或者其他联邦法律进行个人资料处理的话”(第21条第5款)。
第六,处理人在不能如期销毁时的封存与销毁义务。在出现非法个人资料处理、处理目的达成,以及个人资料主体撤回同意的情况下,在不能按照前述期限销毁个人资料时,“处理人实施对此类个人资料的封存,或者(如果个人资料处理是由他人按照处理人的委托进行的,则)保障对此类个人资料的封存,并保障在不超过6个月期限内销毁个人资料,但联邦法律规定了不同期限的除外”(第21条第6条)。
(六)个人资料处理的通知(处理人登记簿)
处理人在开始处理个人资料之前有义务就自己实施个人资料处理之意图通知个人资料主体权利保护主管机关(第22条第1款)。个人资料主体权利保护主管机关在收到个人资料处理通知之日起30日内将第22条第3款指明的信息以及前述通知提交的日期载入处理人登记簿。处理人登记簿中包含的信息除处理个人资料时保障个人资料安全的手段的信息外,均为公众可获取的信息(第22条第4款)。在提交的第22条第3款规定的信息不完整或者不准确时,个人资料主体权利保护主管机关有权在载入处理人登记簿之前要求处理人更正所提交的信息(第22条第6款)。在第22条第3款规定的信息变更,以及个人资料处理终止时,处理人有义务在自此类变更产生之日或个人资料处理终止之日起10个工作日内就此通知个人资料主体权利保护主管机关(第22条第7款)*часть 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。值得注意的是,处理人并不承担与个人资料主体权利保护主管机关审查个人资料处理通知有关的以及与将信息载入处理人登记簿有关的费用(第22条第5款)。
处理人的通知可以纸质文件或电子文件呈送并由被授权者签署。通知应当包含如下信息*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.:(1)处理人的名称(姓、名、父称)、地址;(2)个人资料处理的目的;(3)个人资料的类别;(4)其个人资料被处理主体的类别;(5)个人资料处理的法律依据;(6)个人资料行为的清单,对处理人所使用的个人资料处理方法的一般描述;(7)对保障履行本联邦法律规定义务的措施和在处理个人资料时保障个人资料安全的措施的描述,包括是否存在加密(密码)设备的信息以及这些设备的名称*п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.;(8)负责组织个人资料处理的自然人的姓、名、父称或者法人的名称,以及其联络电话号码、通信地址和电子邮箱地址*п. 7.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ.;(9)个人资料处理的开始日期;(10)个人资料处理的终止期限或者条件;(11)在处理进程中是否存在跨境个人资料移转*п. 10 введен Федеральным законом от 25.07.2011 N 261-ФЗ.;(12)包含俄罗斯联邦公民之个人资料信息的数据库所在地的信息*п. 10.1 введен Федеральным законом от 21.07.2014 N 242-ФЗ.;(13)依照俄罗斯联邦政府规定的个人资料保护要求保障个人资料安全的信息*п. 11 введен Федеральным законом от 25.07.2011 N 261-ФЗ.(第22条第3款)。
通知的义务可以被豁免,在以下情况下,处理人有权无须通知个人资料主体权利保护主管机关而处理个人资料:(1)依照劳动立法进行的个人资料处理*п. 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.;(2)对由于缔结个人资料主体作为当事人的合同而取得的个人资料的处理,但未经个人资料主体同意不得传播,也不得向第三人提供,且由处理人仅用于履行前述合同和与个人资料主体缔结合同;(3)对属于社会团体或宗教组织成员(参加者)的个人资料,且由相应社会团体或宗教组织依据俄罗斯联邦立法为其设立文件规定的合法目的而进行的处理,其条件是未经个人资料主体书面同意个人资料不得被传播或向第三人披露*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.;(4)对个人资料主体使之成为公众可获取的个人资料之处理*п. 4 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.;(5)对仅包括个人资料主体之姓、名和父称之个人资料的处理;(6)为办理个人资料主体一次性进出处理人所在区域的出入证目的,或其他类似目的的个人资料处理;(7)对载入依照联邦法律具有国家自动化信息系统身份的个人资料信息系统,以及载入为保护国家安全和公共秩序为目的而建立的国家个人资料信息系统的个人资料的处理*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.;(8)对依照联邦法律或规定个人资料处理时保障个人资料安全和遵守个人资料主体权利的其他规范性法律文件,不使用自动化设备进行的个人资料处理;(9)在俄罗斯联邦交通安全立法规定的情况下,为保障交通综合体的稳定安全运行,保护交通综合体领域免受非法侵入行为的个人、社会和国家之利益目的而进行的个人资料处理*п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ.。
(七)专责组织个人资料处理的人:个人资料专员制度
在俄罗斯个资法的修改中,加入了专门负责组织个人资料处理的人(Лица,ответственные за организацию обработки персональных данных в организациях )的规定(第22.1条*введена Федеральным законом от 25.07.2011 N 261-ФЗ.),属于作为法人的处理人中的“个人资料专员”的制度。
作为法人的处理人任命负责组织个人资料处理的人。负责组织个人资料处理的人直接从作为组织的法人执行机关取得指示并向其报告工作。处理人有义务向负责组织个人资料处理的人提供该法第22条第3款规定的信息。负责个人资料处理的人负有以下义务:(1)实施对处理人及其工作人员遵守俄罗斯联邦个人资料立法,包括对遵守个人资料保护要求的内部监督;(2)引起处理人的工作人员对俄罗斯联邦个人资料立法、就个人资料处理问题的本地文件的规定,以及对保护个人资料的要求的重视;(3)组织接收和处理个人资料主体或其代理人的来访来函,并(或)对接收和处理此类来访来函实施监督。
在该制度中,负责个人资料事务处理的人具有独立的法律地位,他虽然是由作为处理人的法人所任命,且是从法人执行机关取得指示并向其报告工作的,但是其法律义务却是直接来自于法律的规定,更重要的是其作为个人资料处理事务的内部监督者的地位是立法直接赋予的,这构成了俄罗斯个人资料制度自动实施机制中极为重要的一环。
六、个人资料处理的国家监督与监察:个人资料主体权利保护主管机关
在国家对个人资料处理的监督和监察问题上,也即在个人资料主体权利保护主管机关(Уполномоченный орган по защите прав субъектов персональных данных)的问题上,俄罗斯个资法并没有追随欧盟设立独立保护机关的做法,而是以附设在联邦执行权力机关(行政机关)内的方式设立个人资料主体权利保护主管机关(以下简称保护机关)。
(一)保护机关的法律地位与活动方式
根据俄罗斯个资法的规定,“履行对个人资料处理是否符合俄罗斯联邦在个人资料领域中立法的要求的监督和监察的联邦执行权力机关为个人资料主体权利保护主管机关”(第23条第1款)*часть 1 в ред. Федерального закона от 22.02.2017 N 16-ФЗ.。这就意味着在俄罗斯个人资料主体权利保护主管机关是联邦执行权力机关,即联邦行政机关,而且是不具有独立法律地位的联邦行政机关,也意味着该项事务属于联邦管辖事务,而非俄罗斯联邦主体和地方自治的管辖事务。因此,在预算拨款的来源上,“对个人资料主体权利保护主管机关的拨款从联邦预算资金中拨付”(同条第8款)。
尽管保护机关并非独立的机关,但是其活动方式却体现了较高的法律地位:一是保护机关每年要向俄罗斯联邦总统、俄罗斯联邦政府和由国家杜马与联邦委员会构成的联邦大会*Конституция Российской Федерации с комментариям для изучения и понимания/сост.Л.Ш.Лозовский,Б.А.Райзберг.3-е изд.М.:ИНФРА-М.2017.С.38.(也就是俄罗斯联邦国会*Конституция Российской Федерации.Официальный текст с изменениями.М.:ИНФРА-М.2016.С.58.)提交工作报告;二是该报告应当在大众信息传媒上公布(同条第7款)。
(二)保护机关的职责与职权
保护机关的职责为“保障、组织和实施对个人资料处理的国家监督和监察”,也就是“保障、组织和实施对个人资料处理是否符合本联邦法律以及依照该法通过的规范性法律文件的要求之国家监督与监察”(第23条第1.1款)*часть 1 в ред. Федерального закона от 22.02.2017 N 16-ФЗ.。主要的工作方式为“处理个人资料主体关于个人资料的内容和处理方式是否符合其处理目的,并作出相应的决定”(同条第2款),但是该决定并非终局性的,而是行政性的,因此可以其“决定可以依照司法程序提起诉讼”(同条第6款)。
保护机关在履行职责的过程中,享有以下职权:(1)向自然人或法人索取为履行自己权限所必要的信息并无偿取得该信息;(2)实施对包含在个人资料处理通知中信息的审查,或延请其他国家机关在其权限范围内进行此种审查;(3)要求处理人更正、封存或销毁不真实或以非法途径取得的个人资料;(4)按照联邦立法规定的程序限制获取违反个人资料领域俄罗斯联邦立法处理的信息*п. 3.1 введен Федеральным законом от 21.07.2014 N 242-ФЗ.;(5)依照联邦立法规定的程序采取终止或终止违反本联邦法律处理个人资料的措施;(6)向法院提起诉讼以保护个人资料主体的权利,包括保护不特定范围人群的权利,并在法院代表个人资料主体利益*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.;(7)向负责安全保障领域中联邦执行权力机关和反技术侦查与信息技术保护领域中联邦执行权力机关针对其活动领域发送关于采取安全领域保障措施的信息;(8)向负责处理人活动许可的机关发出审查按照俄罗斯联邦立法规定的程序采取暂停其活动或注销其相应许可的措施问题的建议,如果许可从事此类活动的条件是禁止未经个人资料主体书面同意不得将个人资料移转给第三人的话;(9)向检察机关、其他护法机关移交材料,以决定是否依据管辖根据侵犯个人资料主体权利的犯罪行为的特征启动刑事案件;(10)向俄罗斯联邦政府提出完善个人资料主体权利保护的规范性法律调整的建议;(11)对因过错违反本联邦法律的人处以行政责任(第23条第3款)。
值得注意的是,根据2011年的法律修改,增加了保护机关的国际合作职能,“实施与外国国家的个人资料主体权利保护主管机关的合作,包括关于个人资料主体权利保护信息的国际交换,批准有效保障个人资料主体权利保护外国国家名单”(第23条第5.1款)*п. 5.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ.。
由此可见,保护机关的职权较为广泛,既包括在国内事务中的职责,也承担了国际合作与交流方面的职责;既包括了在行政领域中的职权,也包括了在法院中代表个人资料主体利益而提起诉讼的权力;既包括自己独立做出处以行政责任决定的权力,也包括了与其他行政机关相衔接处理行政事务(如中止或撤销许可)、与其他司法机关衔接转入刑事诉讼程序等;既包括行政事务的处理职权,也包括了提出改善法律调整的建议、提供信息等职权。总体而言,保护机关的职权较为全面细致,实现了行政机关之间以及与司法机关和联邦政府之间的工作衔接。
(三)保护机关的义务
个人资料主体权利保护主管机关负有义务:(1)对在履行自己工作中获悉的个人资料负有保密义务(第23条第4款);(2)依照本联邦法律和其他联邦法律的要求组织个人资料主体权利保护;(3)审理公民和法人就与个人资料处理有关问题的投诉和来访,并在自己的职权范围内根据对前述投诉和来访的审理结果做出决定;(3)负责办理处理人登记簿事务;(4)实施完善个人资料主体权利的保护措施;(5)依照俄罗斯联邦立法规定程序,根据负责安全保障领域联邦执行权力机关、负责国家保护领域中联邦执行权力机关或者负责反技术侦查和信息技术保护领域中联邦执行权力机关的意见采取终止或终止个人数据处理的措施*в ред. Федерального закона от 01.07.2017 N 148-ФЗ.;(6)就其来访或者来函向国家机关以及个人资料主体提供个人资料主体权利保护领域中事务状况信息;(7)履行俄罗斯联邦立法规定的其他义务(第23条第5款)。
七、结语
从上可知,俄罗斯个人资料法虽然以《在自动化处理个人类资料时保护自然人欧盟公约》为标准,但也有自己鲜明的特色,值得中国在制定个人资料法时予以关注和借鉴。
第一,在个人资料法的适用范围上涵盖了非自动化处理个人资料的情形,明确排除了对构成国家秘密的个人资料处理的适用,允许以国家安全和公共秩序为目的限制个人资料主体对其个人资料的获取。
第二,在个人资料法的内容建构上,明确了个人资料主体的权利内容,建立了庞大细密严实的处理人义务群,设置了处理人登记簿制度,以此保障个人资料主体和处理人以及国家(社会)之间的利益平衡。尤其是占据个人资料法最大篇幅的处理人义务规范是俄罗斯个资法的创新。
第三,在个人资料法的实施机制上,明确提出了俄罗斯联邦公民个人资料保存的本地化要求,在作为法人的处理人内部设立个人资料专员制度,在国家的监督监察机制上,创设了非独立的属于行政机关性质的个人资料主体权利保护主管机关的模式,而非欧盟式的作为独立机构的个人资料主体保护主管机关模式,由此创新构成了俄罗斯个人资料法的鲜明特色,特别是本国公民个人资料保存的本地化要求也成为西方世界批评和攻击俄罗斯的对象和理由。
[1]刘向文,宋雅芳.俄罗斯联邦宪政制度[M].北京:法律出版社,1999:34.
[2]傅荣.私法复兴——俄罗斯新民法典研究[M].长春:吉林人民出版社,2003:64.
[3]赵嘉麟.梅德韦杰夫传[M].武汉:湖北人民出版社,2008:91.
[4]鄢一美.俄罗斯当代民法研究[M].北京:中国政法大学,2006:1.
[5]王志华.俄罗斯与欧洲人权法院二十年:主权与人权的博弈[J].中外法学,2016(6):1554-1579.
[6]张俊杰.俄罗斯法治国家理论[M].北京:知识产权出版社,2008:153.
[7]魏磊杰,张建文.俄罗斯联邦民法典的过去、现在及其未来[M].北京:中国政法大学出版社,2012:175.
[8]肖秋会.俄罗斯信息法研究综述[J].中国图书馆学报,2013(6):75-85.
[9]曲颂.俄罗斯高度重视保护公民互联网隐私[N].人民日报,2016-01-08(021).
[10]张建文.俄罗斯被遗忘权立法的意图、架构和特点[J].求是学刊,2016(5):102-110.
[11]肖秋会.近五年来俄罗斯信息政策和信息立法进展[J].图书情报知识,2010(4):96-101.
[12]涂咏松.俄罗斯个人资料保护制度探析[J].求是学刊,2014(1):14-22.
[13]张建文.独联体成员国示范民法典[M].北京:法律出版社,2014:11.
[14]方亮.俄罗斯如何管制互联网[J].南风窗,2014(15):73-75.
[15]尹建国.我国网络信息的政府治理机制研究[J].中国法学,2015(1):134-151.
[16]程琳.加快信息网络法治建设 维护网络社会安全秩序[J].中国人民公安大学学报(社会科学版),2013(1):1-9.
[17]张文显.习近平法治思想研究(上)——习近平法治思想的鲜明特征 [J].法制与社会发展,2016(2):5-21.
[18]陈俊良,李友根,肖冰.论计算机网络管理的法律问题[J].南京大学法律评论,1996(1):161-167.
[19]刘德良,班志刚.论我国信息网络法治化的必要性与对策[J].郑州大学学报(哲学社会科学版),2003(4):144-148.