孙祁 尤利娅·哈里托诺娃

【内容提要】数据主权是国家主权的最新演化，关系到网络空间下数据流动与监管、个人信息安全与保护、数据存储地等国家安全的核心领域。数据作为基础性的战略资源，使得各国大力推动数据流动以获取战略收益。但在数据主权要求下，数据跨境流动的背后是数据安全监管与个人隐私保护等诸多限制因素。近些年来，俄罗斯基于其独特的网络安全考虑，持续强化国家数据主权与网络安全，收紧对数据的整体控制，在数据主权方面开展网络空间法律体系构建与规则建设，实行严格的本地化存储原则。这些举措维护了俄罗斯的数据安全和个人数据权利，但此类孤岛式的数据保护模式，也在一定程度上制约了数据跨境流动对经济和科技发展的推动作用。

随着全球数字经济的发展，数字经济越来越依赖于跨境数据流动。数据流动赋予全球经济新的增长动能，对现代社会有正向的推动作用；但不可避免地触发了各国对个人隐私、数据安全和经济利益的风险担忧，致使一些主要国家和地区针对全球跨境数据流动的法律政策和监管实践不断出新，而对数据流动采取的法律政策则有所差异。世界各国围绕网络空间的战略博弈与数据资源的争夺日益加强，其中，美欧数据主权战略属于“进攻型”，通过“长臂管辖”扩张其跨境数据执法，而俄罗斯等新兴经济体的数据主权战略属于“保守型”，通过数据本地化解决数据治理与本地执法问题。①Ни Ф, Ли C.Ориентация и инновация: теория верховенства закона при социализме с китайской спецификой с точки зрения международного права// Власть.2016.No.10.C.171-177.“长臂管辖”在允许跨越一国传统地域主权限制获取境外数据的同时，也加剧了与他国关于数据管辖权以及执法权之间的冲突。②黄道丽、胡文华：“全球数据本地化与跨境流动立法规制的基本格局”，《信息安全与通信保密》，2019年第9期。2013年“棱镜事件”曝光后，基于保护国家安全与互联网数据潜在危险的考虑，普京总统批准相关法案，对俄罗斯现行的关于公民数据存储和处理的立法进行了修改，实行数据存留本地化，且严格限制跨境数据流动。③孙祁：“俄罗斯强化数据主权保护”，《检察风云》，2021年第8期。2022年俄乌危机的战火已波及俄罗斯网络体系，俄罗斯政府与主流媒体官网受到黑客攻击而无法正常运行，俄罗斯网络安全风险等级也随着俄乌热战持续飙升。由此，2021年新版《俄罗斯国家安全战略》中针对外来信息技术对俄政权稳定进行攻击的相关规定，就显得尤为重要。

俄罗斯是推动数据存留本地化、限制跨境数据流动的代表，其出发点是基于国家安全立场来应对数据威胁，所采取的数据流动原则与中国的数据监管方向基本相同。④孙祁：“俄罗斯将推数字卢布促数字经济发展”，《检察风云》，2021年第5期。目前，中国对于俄罗斯数据流动法制领域的研究较少，尚未对《俄罗斯联邦个人数据法》中关于数据存留本地化的内容进行梳理与解读。本文从俄罗斯数据管理的法律体系出发，以《俄罗斯联邦宪法》及已缔结的国际条约为基础，梳理俄罗斯涉及数据流动的联邦法律、关乎个人数据的法律及其他规范性文件；在俄罗斯坚决维护数据主权的背景下，对敏感和大规模数据跨境流动的监管体系、模式和趋势，进行重点解读。

一、俄罗斯数据跨境流动立法概述

俄罗斯的数据主权保护与数据信息监管始于20世纪90年代。伴随全球信息化的快速推进与普及，俄罗斯逐步延伸网络发展规划与构建信息保护法律体系，并及时建立起网络安全规范化、数据信息流动制度化的监管体制。俄罗斯不断收紧对数据的整体控制，并呈现出极端趋势，已经从地域管控演变为特定条件下的强制中断，即数据本地化向“断网”行动转变。①Маслов А.Недетская песочница.Как государство экспериментирует с правовым регулированием// Финансовая газета.2020.No.17.С.8-9.俄罗斯基于复杂的国际环境，在维护国家利益的基础上严格管控数据流动，符合国际法中的基本权。俄罗斯基于其宪法中关于信息安全法律框架的一般性基础规则，逐步构建起了数据主权保护的安全体系。

俄罗斯自2014年提出“切断与互联网的联系”以来，不断增强对本国互联网与数据信息的法律控制能力，在网络空间与网络主权范围内全方面颁布专项法律，在传统部门法领域增补与网络、数据相关的内容。俄罗斯以数据本地化为手段，不断强化自身的网络主权与国家安全；而颁布专项法律、对传统部门法进行增补，则是实现该手段的主要保障。

根据俄罗斯国家杜马2019年发布的《关于网络与数据信息保护立法与政策发展报告》（以下简称《网络与数据报告》），①С текстом законопроекта № 340741-4 “Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры” и материалами к нему можно ознакомиться на официальном сайте Госдумы.其中涉及网络主权与数据保护的规范性文件，主要呈现“两大类、双层次”②“两大类”是指传统部门法和新颁布的政策性文件；“双层次”是指对国内、国外两个层次的监管。的分布特征，除了专项法律，在传统部门法和政策性文件中也均有体现（见上表1）。

表1 俄罗斯网络与数据保护的立法实践

《网络与数据报告》指出，俄罗斯已发布了近50部国家层面的规范性法律法规与政策性文件，就网络主权问题给予国家立法支持与保护，呈现出立法数量多、颁发部门层级高、涉及范围广的特征；形成了以《俄罗斯联邦宪法》及已经缔结的国际条约为基础，以《俄罗斯联邦关于信息、信息技术和信息保护法》《俄罗斯联邦个人数据法》和《俄罗斯联邦主权互联网法案》为准则，以其他联邦法律与规范性文件为补充的数据与信息安全法律体系。

（一）宪法对数据跨境流动的基本规范

《俄罗斯联邦宪法》载有信息安全法律框架的基础规则，即信息关系主体法律地位的关键要素、信息安全原则（合法性、尊重人权、人格、社会和国家利益的平衡）及确保信息安全的国家机构的宪法地位等。《俄罗斯联邦宪法》第23.1条“人人享有私生活不可侵犯、个人及家庭秘密、保护自己的名誉和名声的权利”及第24.1条“非经同意不允许收集、保管、使用和传播个人的私生活信息”，确立了个人隐私权属于公民的宪法权利。第29.4条“保障舆论自由，禁止新闻检查”，确立了每个主体以符合法律的方式自由寻求、接收、传送、制作和传播信息的权利规范。第55.3条“人和公民的权利和自由，只能在捍卫宪法制度基础、他人的道德、健康、权利和合法利益、保证国防和国家安全所必需的限度内，由联邦法律予以限制”，确定了个人自由的“边界”，内含着国家安全优先的原则。

根据《俄罗斯联邦宪法》第15.4条的规定，如果俄罗斯参加的国际条约与联邦法律相抵触，则适用国际条约的规则。在国际条约方面，俄罗斯除缔结了八国集团《全球信息社会冲绳宪章》（2000年6月22日发表）外，还于2006年批准加入了《个人数据自动化处理中的个人保护公约》（1981年发布）。俄罗斯根据《个人数据自动化处理中的个人保护公约》，就数据跨境转移列出了被官方认可为“确保充分保护”的国家名单。①Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г.Страсбурге 28.01.1981) (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999) .除了公约成员国外，截至目前还有26个国家被列入“白名单”。②26个白名单国家包括奥地利、比利时、保加利亚、丹麦、英国、匈牙利、德国、希腊、爱尔兰、西班牙、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、芬兰、法国、捷克、瑞典和爱沙尼亚。这一举措不仅加强了对俄罗斯境内个人数据主体合法权益的保障，巩固了对数据主体的控制权，还对将个人数据传输给第三方的行为作了严格规制，对处理个人数据进行了限制，但给企业自由处理匿名数据留有法律空间。

（二）“内外双严”保护数据主权

在美俄关系持续走低的背景下，俄罗斯将信息安全与国家地缘政治空间安全相关联，形成了独特的网络/信息安全观，即持续强化国家的信息主权，发展独立的网络通信技术，收紧对网络的整体控制，以坚决对抗美国等“不友好国家”的外来信息技术对俄罗斯政权稳定的攻击。③“俄罗斯如何强化网络主权保护？” https://baijiahao.baidu.com/s?id=172772186025155 2624&wfr=spider&for=pc，访问日期：2022年3月23日。俄罗斯着重强调数据主权“本地化”，通过《俄罗斯联邦关于信息、信息技术和信息保护法》《俄罗斯联邦个人数据法》以及《俄罗斯联邦主权互联网法案》对跨境数据作出了严格的本地化存储规制，对个人信息保护实施严格监管，形成了“内外双严”保护数据主权的法律特征。

《俄罗斯联邦关于信息、信息技术和信息保护法》于2006年由俄罗斯联邦议会通过。该法规定了整个信息立法系统的准则、对信息安全的立法保护，调整相关主体在开展寻找、获得、传递、生产和传播信息以及使用信息技术和进行信息保护时产生的法律关系。其中第6条对信息权属问题进行了规定，“信息资源是财产的组成部分和所有权的客体”，明确了“信息可为资产，其主体可以是公民、国家机关、地方自治机关或者机构及社会团体”。除此之外，俄罗斯还区别不同的情况对信息权属作了进一步明确：提供资金创建、依法获得、通过赠与或继承接受的文件的自然人或法人，是文件的所有者（如果用联邦预算而依法获得的，所有者也可以是国家及各联邦主体）。同时，该条还规定有关信息资源所有权的关系根据俄联邦民法调整，①Федеральный закон от 27 июля 2006 г.N 149-ФЗ «Об информации, информационных технологиях и о защите информации».但遗憾的是，目前的民法中暂未有对个人信息所有权的单独规定。②Мажорина М.В.О коллизии права и “неправа”, реновации lex mercatoria, смарт- контрактах и блокчейн-арбитраже// Lex russica.2019.No.7.С.93-107.俄罗斯大部分学者认为，所有权的界定是保障财产权属的基础，数据所有权归属的确定是数据交易必须予以解决的首要问题，而数据所有权归属的重点是要确定个人数据所有权的主体。《俄罗斯联邦关于信息、信息技术和信息保护法》对于信息主体已作了明确规定，但尚未对个人数据的法律属性予以说明。目前俄罗斯主流学者基于信息资源是资产的一部分，认为未来关于个人数据法律属性的划定可借鉴信息权属属性；他们主张个人数据具有财产属性，个人数据同其他信息与数据之间并没有本质区别，不能将数据权属单独地界定为独立的人身权，也不能认定其具有类似知识产权的人身权和财产权混合的双重法律属性。③Вершинина.И.А.Данные в цифровом мире:новые возможности или дополнительные риски?// Вестник РУДН.Серия: Социология.2020.Vol.20.No.4.C.977- 984.

《俄罗斯联邦关于信息、信息技术和信息保护法》第11.4条对数据处理许可及告知制度进行了规定：“非国家机构和私人从事有关个人资料处理和向使用者提供个人资料的活动，应经过必需的特许（申请许可证及申领执照）。”该法规定了信息拥有者、信息系统运营者需要承担的信息保护义务，包括预防非法获取信息和（或）将其传递给无权获取该信息的人员；及时发现非法获取信息的事实；对违法获取信息可能产生的后果进行警告；不得采取破坏信息处理设备和手段功能的行为；迅速恢复因非法获取而被异化和销毁的信息；经常检查信息保护水平。

2006年颁布的《俄罗斯联邦个人数据法》旨在保障公民个人数据处理中的权利和自由，并对个人数据的跨境转交提出了同等保护的要求。该法与1993年颁布的《俄罗斯联邦国家秘密法》、2004年颁布的《俄罗斯联邦商业秘密法》共同构成了限制获取数据信息的法律规制体系，范围涵盖国家和商业秘密信息及数据。根据《俄罗斯联邦个人数据法》第9条，为了保护俄罗斯联邦宪法制度体系，维护道德、保护公民权利以及保障国防和国家安全，可以中止或者限制个人数据跨境转交行为。

个人信息安全是近年来全世界关注的热点，俄罗斯对个人信息的保护也非常严格。从数据本身的内容来看，个人信息属于合法的数据信息，因此对此类数据的管理主要是从行为角度进行规范。①米铁男：“俄罗斯网络数据流通监管研究”，《中国应用法学》，2021年第1期。2021年3月，俄罗斯数字产业部开始修订《俄罗斯联邦个人数据法》，其中拟规定个人数据匿名化需用户同意。根据俄罗斯数字产业部提出的修正案，个人数据的匿名化只能在获得个人同意的情况下进行，或者在俄罗斯联邦法律所规定的个人数据领域中的某些情况下才能进行。《俄罗斯联邦个人数据法》修正案规定，企业能够自由处理匿名数据。同时，为了确保对俄罗斯个人数据的保护，对处理数据的运营商施加了一些限制，例如，数据运营商将无法对特定个人数据进行操作及处理，以保护个人数据所有权。除匿名数据外，还禁止将信息传输给特定的第三方；除非需要保护人类生命或健康，否则将禁止对数据进行匿名处理。在新冠肺炎疫情背景下，在个人数据所有权与其处理规则的二元关系中，出入公共场合是否需要强制性出示“防疫二维码”，在俄罗斯学术界与法律实务界有着广泛争议。有律师和普通公民因被强制要求出示二维码，向当地法院提起了诉讼，并向检察院提出上诉，认为这与《俄罗斯联邦个人数据法》《俄罗斯联邦宪法》相违背。但俄联邦宪法法院在判决中明确指出：在共同威胁出现之前，行动自由的权利与个人信息的保护，侧重于社会自我治理；但在面对威胁的情况下，个人信息自决权需要给国家与公共利益让路，在疫情环境下强制性要求出示“防疫二维码”，不涉及侵犯公民权利。

《俄罗斯联邦主权互联网法案》于2019年11月1日生效，该法突破了传统网络安全立法的框架，重塑了俄联邦网络治理的法律规范。该法基于美国网络霸权背景而提出，就域名自主、定期演习、平台管控、主动断网以及技术统筹五个方面，构建起俄罗斯以保护数据主权为目标的网络安全体系。《俄罗斯联邦刑法典》第28章规定了信息与数据领域犯罪的刑事责任（第272-275条）。《俄罗斯联邦行政法典》第13章规定了通信和信息领域犯罪的行政责任（第13.1-13.24条），其中包括违反拒绝向公民提供信息的行政责任（第5.39条）、违反隐瞒或歪曲数据信息的行政责任（第8.5条）、违反采取非法行动获取和（或）传播构成信用记录的信息的行政责任（第5.53条）等。《俄罗斯联邦劳动法典》规定了处理和保护雇员个人数据的一般要求，以及这些数据的存储条件和使用程序。除此之外，俄总统令《关于在使用国际信息交换的信息和电信网络时确保俄罗斯联邦信息安全的措施》《就“进一步明确互联网个人数据处理规范”对俄罗斯联邦系列法律的修正案》《〈俄罗斯联邦关于信息、信息技术和信息保护法〉修正案及个别互联网信息交流规范的修正案》《俄罗斯联邦澄清部分关于信息和电信网络联邦法律中适用处理个人资料程序的修正案》等其他规范性文件，也涉及对数据流动的监管与保护。

总体来看，具有强制性的数据监管模式，成为俄罗斯规范数据流动的主导方向。俄罗斯的数据本地化与数据跨境传输的控制措施，目的是维护数据主权和国家安全。俄罗斯数据安全具有基础性与牵连性的特征，俄罗斯采取的数据流动本地化原则是服务于国家政治与经济利益的。俄罗斯政府通过强化立法来保障数据安全，其立法不管如何调整数据流动的存储模式，都绕不开数据主权这一核心问题。俄罗斯政府通过施加严格的法定义务，实现了对企业的数据存储、处理、跨境传输等环节的全面控制，从而掌握了本国数据流动与监管的主动权。

二、俄罗斯数据跨境流动的立法特点

目前，全球对于数据流动监管尚未形成统一的规则和方案，新兴经济体与发达国家采取了截然相反的数据监管制度。各国在选择数据流动监管制度上受地缘政治、国家安全、隐私保护、产业发展水平等因素的影响，形成了数据自由流动与数据本地化两大基本监管制度。①金善明：“跨境数据流动法律风险防范与规制”，《中国对外贸易》，2016年第6期。

俄罗斯作为新兴经济体，基于数据主权的安全需求与立场，制定了数据本地化的监管措施，表现为跨境与境内限制性措施相结合，既要求跨国企业在俄开展业务或提供服务时须在俄境内建立数据中心，也对数据存储和服务器地址提出本地化要求。

（一）绝对的数据本地存储模式

按照数据本地化的严苛程度，可以将数据本地化分为三种类型，即数据本地备份模式、可访问的数据本地存储模式和绝对的数据本地存储模式。这三种模式通过在不同程度上监管数据的存储、处理和访问，来限制数据的境外利用。①程昊：“从‘云幕’法案看我国数据主权的保护”，《情报理论与实践》，2019年第4期。

根据俄罗斯数据本地化存储制度的规定，将数据转移出俄罗斯之前，数据处理人必须确保接收国对个人数据提供足够的保护，数据接收人所在国需为《个人数据自动化处理中的个人保护公约》成员国。2018年，俄罗斯更新了被官方认可为“确保充分保护”的国家名单。除了《个人数据自动化处理中的个人保护公约》成员国外，截至目前还有26个国家被列入“白名单”。如果处理人向无法提供同等保护的境外主体转移个人资料，则必须满足以下条件之一：（1）取得数据主体的书面同意；（2）俄罗斯联邦参加的国际条约关于签证事宜另有规定的，以及国际条约中涉及提供民事、家庭和刑事案件司法协助事宜另有规定的；（3）基于保护俄罗斯联邦宪法制度、保障国家安全目的所需；（4）履行数据主体作为一方当事人的合同要求；（5）在不能取得个人数据主体的书面形式同意时，为保护其或者他人的生命、健康、其他重大生存利益。

可见，俄罗斯以维护数据安全为着眼点，确立了以数据本地化作为数据跨境流动的监管措施，其目的是保障本国的数据主权与信息安全。

俄罗斯推行严格的数据存储本地化措施，要求在俄罗斯产生的数据只能在俄罗斯境内存储与使用，禁止向境外传输和从境外访问，拒绝数据国际共享，一定程度上限制了数据跨境流动。俄罗斯通过极端的保护措施虽然维护了数据主权和国家利益，却制约了数据跨境流动带来的经济和社会利益。

（二）有序的流动规则

允许数据跨境流动不代表允许数据无序流动，在数据跨境流动的背后应形成有序的流动规则。世界正进入一个被称为全球化的、以数字驱动的新时代。互联网的全球扩张及对数据流动日益增长的需求，正在改变传统世界经济和国际贸易的形态，使数字产品和服务成为主要输出品。①朱德沛：“‘逆全球化’背景下的数据本地化”，《河南工学院学报》，2020年第5期。

数据在不断流动的过程中创造了巨大的经济效益与价值，但由于数据的自身特性，也会引发安全风险。数据的无序流动将对国家安全利益、监管框架及执法权造成挑战。国家利益的复杂性、价值观认同的差异性和国家间信任的缺乏，阻碍了各国在短期内形成数据流动规制的共识。究竟是推动“数据自由流动”还是实行严格的“数据本地化”，如何在安全和成长二者之间实现平衡，非常考验各国政府的数据战略思维和治理能力。俄罗斯将保障数据安全与个人数据权利作为数据有序流动的首要前提，认为只有将数据风险降到最低，才能有效保护数据安全。

《俄罗斯联邦个人数据法》通过内外两手保障数据的有序性，对内实行互联网跨境购物不受限与不损害个人隐私、不妨碍言论自由的基本原则，对外实行外企数据安全审查与限制搜索引擎。例如，俄罗斯以外国数字企业为监管对象，除要求外资企业实行本地存储数据外，还对搜索引擎进行了限制，规定搜索引擎要排除在俄境内发布该国所禁止信息的网络链接。

（三）“数据保护”的共识

在俄罗斯，“数据保护”已逐渐成为广泛共识。自“棱镜事件”后，俄罗斯不断加强数据领域的治理与监管，对各类数据收集人违规收集用户数据、滥用甚至贩卖用户数据等非法行为采取了严格措施。从数据跨境流动与个人数据权利两个层面实施保护措施。

在跨境数据流动层面，俄罗斯实行严格的管控制度，对不同国家的数据主体实行差异化的法律监管。例如，对于美国等主动型数据流动国家，俄罗斯以《俄罗斯联邦主权互联网法案》为基础，在全球首次立法，实施“主动断网”，以识别网络主权威胁；在保护数据主权的同时，孤岛维权式地反对网络霸权成为保护性特征的重要表现形式。面对新兴经济体保守型数据流动国家，俄罗斯采取较为柔和的监管态度，在实施数据本地化存储的同时，兼顾数据流动的对等性。

在个人数据层面，俄罗斯注重保护个人数据权利。在保障个人数据权利的同时，注重保障个人数据不被窃取、破坏和滥用，以及确保整体数据系统的安全可靠运行。由于个人数据隐私的属性很难界定，俄罗斯所采取的措施与美国等国家有所不同，俄罗斯在加强对科技公司使用本国用户数据的监管与限制使用搜索引擎的同时，正研究制定向数字企业征收数字税的规范。

总体来看，俄罗斯的立法规定十分严格，通过对企业施加法定义务，实现了政府对数据处理、存储和跨境传输等环节的全面控制，牢牢掌握了本国数据跨境流动的主动权。

三、俄罗斯数据存留本地化

数据存留本地化是专门限制数据跨境传输的措施，包括禁止信息出境、跨境传输信息必须征得数据主体的同意、要求在境内留存信息副本、对数据输出征税等形式。①孔庆江、于华溢：“数据立法域外适用现象及中国因应策略”，《法学杂志》，2020年第8期。在大数据时代背景下，基于不同的利益诉求与国情选择，各国关于数据的政策模式呈现出相互对立、相互交织的复杂状态。从全球来看，美国追求贸易利益，是数据跨境自由流动的坚定支持者，反对数据本地化措施，这也是其发展数字贸易的政策要求；欧盟支持对个人隐私有影响的数据采取本地化措施；俄罗斯基于本国网络安全、数据保护的监管目标，倡导与推行数据主权，采用数据存留本地化措施来限制数据跨境流动，通过相应立法对企业施加法定的义务，实现政府对数据存储、处理、跨境传输等环节的全面控制，将数据主权与网络安全视为国家战略，初步形成了较为严格的监管跨境数据流动的俄罗斯模式。

“棱镜事件”后，俄罗斯加快了数据流动法律的修改，旨在全面限制数据流动，加强数据流动监管，从法律层面确立了数据处理本地化的基本规则。

（一）数据本地化留存与处理规则

2014年5月7日，俄罗斯发布联邦第97号法令——《<俄罗斯联邦关于信息、信息技术和信息保护法>修正案及个别互联网信息交流规范的修正案》；同年7月，俄罗斯总统签署联邦第242号法令——《就“进一步明确互联网个人数据处理规范”对俄罗斯联邦系列法律的修正案》，此法令也被称为“数据本地化法”。两部修正案对俄罗斯现行法律关于数据本地化留存与处理问题进行了修改。

修正案明确了信息/数据处理人的法律释义以及信息/数据主体的权利，指出处理人是指独立或与其他单位合作处理个人数据，并能确定个人数据处理的目的、范围的国家机关、主管机关、法人或个人。其中，数据主体具有知情权，更正、中止、删除权，可携带权，被遗忘权，防止自动化决策权以及诉权。

修正案在《俄罗斯联邦关于信息、信息技术和信息保护法》第16条第4款中增加了一项，要求信息拥有者、信息系统运营方有义务将对俄罗斯联邦公民个人信息进行收集、记录、整理、保存、核对（更新、变动）、提取的数据库存放在俄罗斯境内。同时，在“互联网信息传播组织者的义务”中增加了境内留存的要求。修正案在《俄罗斯联邦个人数据法》第18条增加第5款，要求收集个人数据（包括使用互联网手段）时，运营商需要保证使用位于俄罗斯境内的数据库，方能对俄罗斯公民的个人数据进行收集、记录、整理、保存、核对（更新、变动）和提取。

2015年9月1日，《俄罗斯联邦个人数据法》正式实施，对数据本地化处理进行了规定，要求除为履行国际条约或者法定职能、权限和义务、为诉讼或履行司法文书以及为从事新闻行业或个人创作等少数特例外，必须在俄罗斯境内的服务器系统中存储和处理涉及俄罗斯公民个人的数据。

这两部密集颁布的法令，从法律层面确立了数据本地化留存与处理制度，明确了数据处理人所收集的俄罗斯公民的个人信息或数据，必须存储于俄罗斯联邦境内的服务器或数据中心的基本原则。可以看出，俄罗斯的数据本地化留存与处理制度保障了本国数据主权，但在平衡数据安全与产业发展二者之间的关系上，有很大的提升和完善空间。

（二）数据处理告知义务

根据《俄罗斯联邦个人数据法》第15条的规定，处理人开始处理个人资料前，有义务通知保护个人数据权利的主管机构。第18条规定，数据处理者在处理数据前，要告知数据保护机关包含俄公民个人数据的数据库所在地的信息，并根据俄联邦法律，对违反联邦个人数据法的信息进行访问限制。

由此可见，上述数据处理人的告知责任，构成了相对严格的数据本地化与数据流动制度。俄罗斯推行数据本地化制度的根本要因，是担心本国数据向境外转移会有损监管目标的实现，其中包括隐私保护、维护网络安全、便利执法等具体监管目标。而美国推行数据自由政策，认为数据本地化是限制数据跨境自由流动的直接要素，会直接对数字贸易自由化形成政策性阻碍。美国贸易代表办公室（USTR）发布的《2020年国家贸易评估报告》，继续将数据本地化措施视为限制数据跨境流动的主要壁垒。①许可：“自由与安全：数据跨境流动的中国方案”，《环球法律评论》，2021年第1期。尽管美国的申辩存在夸大之嫌，但数据本地化制度作为数据监管手段所产生的副作用，无疑会直接或间接影响数据跨境流动，减损数字经济价值的实现。因此，处理好分离数据本地化存储与数据跨境流动监管之间的关系尤为重要。

四、俄罗斯数据跨境流动监管的发展趋势

数据存储本地化与数据跨境监管是两个不同的概念。数据存储本地化是针对数据安全而设置的规则，数据存储本地化并不意味着数据不能跨境流动，也不等于禁止数据跨境传输。《俄罗斯联邦个人数据法》第12条对个人数据的跨境流动作了安排，符合要求的可以进行跨境传输。但需要注意的是，数据跨境流动监管是基于数据有无涉及重要或敏感信息、是否关乎数据安全与国家安全，而不是由数据本地化存储来决定的。而数据跨境流动的限制措施从本质上来看，是基于本国安全利益或者国内数据监管目标作出的选择。②田旭：“数据本地化立法的兴起与反思”，《大连海事大学学报(社会科学版)》，2020年第1期。俄罗斯强力推行数据主权“本地化”，典型的表现是对跨境数据作出了严格的本地化存储规制。俄罗斯实施的严格数据本地化留存与处理规则，从监管角度来看，是将数据服务的市场准入与使用当地基础设施相挂钩，虽然其目的是维护国家数据主权、保护隐私与数据安全，但从另一方面来看，这一基于数据安全与主权设定的数据本地化要求本身缺乏约束，会严重阻碍俄罗斯数字经济发展，迫使部分数字产业离开俄罗斯。例如，2018年12月，俄罗斯联邦通信、信息技术和大众传媒监督局要求美国社交媒体网站“推特”和“脸书”在法院规定的9个月时间内，将俄罗斯用户的网络数据库“本土化”。在法律规定的期限内，“推特”和“脸书”未就数据库本地化与俄方进行沟通。2019年4月16日，莫斯科地方法院根据相关法律条款，对每家企业处以3000卢布（按当时汇率约合人民币310元）罚款，并要求将俄罗斯用户的个人数据本地化存储。这一罚款金额是对违反相关条款进行处罚的最低罚款额。2020年2月，因仍未将数据库本地化，莫斯科塔甘斯基法院再次对“推特”和“脸书”作出处罚，对每家公司处以400万卢布的罚款。2021年4月，“字节跳动”公司因未遵守俄罗斯数据监管规定，拒绝删除相关内容，遭法院起诉，被罚款260万卢布。①

俄罗斯除要求外资企业实行本地存储数据外，还对搜索引擎进行了限制，规定要排除在俄罗斯境内发布该国所禁止信息的网络链接。例如，2019年，谷歌因未能从搜索引擎中删除违禁内容而被起诉，法院判决其承担行政责任，并处以70万卢布的罚款（已缴纳）。俄联邦通信、信息技术和大众传媒监督局根据后续监测记录，发现谷歌公司仍存在违反上述法律规定的行为，故该局以谷歌为被告再次提起行政诉讼。2020年5月，法院对谷歌处以150万卢布的罚款。进一步的监测显示，谷歌的搜索引擎中仍存有约30%的包含俄罗斯所禁止信息的网络链接。根据《俄罗斯联邦行政法典》第13.40条第2.1款的规定，谷歌重复实施行政违法行为，构成累犯。2020年12月17日，莫斯科塔甘斯基法院判决对谷歌处以300万卢布的罚款。除谷歌外，“推特”也曾因未按照法律规定，没有及时删除涉及吸毒、儿童色情和煽动未成年人自杀等非法内容的链接和帖子，被莫斯科塔甘斯基法院裁定违反① Суд оштрафовал TikTok на 1,5 млн рублей за отказ удалить запрещенный контент// ТАСС.27 Мая 2021 г.《俄罗斯联邦行政法典》，对其共处罚金890万卢布。俄联邦通信、信息技术和大众传媒监督局还宣布，因“推特”在俄罗斯未能遵守相关法规，即日起将“推特”在俄境内的服务速度降低。虽然俄罗斯法院对不遵守相关法律的企业进行了处罚，但处罚的数额对于企业来说可以忽略不计，这也表明了俄罗斯相关司法的逻辑：兼顾个人数据保护和产业发展的双重目标，不采取过度具有倾向性的态度。虽然立法严格，但司法执行有回旋的空间。

由于数字产业发展中的问题不断出现，俄罗斯在推行严格的数据本地化存储规则的过程中争论不断，其中，反对严格与绝对化数据本地存留的意见占主导地位。基于平衡数据本地化与数据产业发展之间关系的考虑，俄罗斯国家杜马议员莫兹卡（А.Мозка）认为，将跨国公司在俄罗斯境内建立数据中心作为进入市场的条件之一，阻碍了俄罗斯对接世界数字经济发展的机遇。他认为，在实行数据流动监管的同时，更要兼顾多元的数据合作管理模式和分级分类数据流动的监管制度。①Об утверждении Стратегии развития малого и среднего предпринимательства в Российской Федерации на период до 2030 года.Распоряжение Правительства РФ от 02.06.2016 No 1083-р.https://www.garant.ru/products/ipo/prime/doc/71318202/本文作者之一、莫斯科大学教授哈里托诺娃（Ю.С.Харитонова）同样反对严格数据本地化的做法，指出虽然数据中的关键信息关系到网络安全和国家安全，要求数据本地化从保障国家安全层面来看具有重大意义，但是综观全球数字经济发展的条件，严格的数据本地化存储会导致俄罗斯在吸引外资数字企业方面，遭遇难以突破的瓶颈。因此，她建议在保障国家数据安全的前提下，避免陷入数据保护主义政策的怪圈，采取分离数据本地化存储和出境数据管制的关系，仅对特殊行业的重要数据实行严格的境内存储本地化要求。②Харитонова Ю.С.Цифровые финансовые инструменты для социализации частного права// Вестник Томского государственного университета.Право.2021.No.39.据此，俄罗斯也采取了不断修法以适应数字产业发展的立法技术。《俄罗斯联邦个人数据法》自2006年颁布以来，已经过24次修订，其中2013年俄罗斯国家杜马批准了个人数据匿名化的要求和方法；2021年3月再次针对个人数据匿名化进行修订，该修订提出个人数据匿名化需经用户同意的基本原则，这体现出俄罗斯在数字经济时代试图在立法方面与时俱进，以达到个人数据权利保护和促进数字产业发展的双重目标。

五、对俄罗斯数据流动与监管制度的反思

俄罗斯具有与欧美国家不同的历史文化背景和社会经济基础，这决定了它会站在不同的立场上来建立信息化发展道路。俄罗斯始终致力于保持政治和文化的独立性，故此在政策和立法上表现出保守的特点。加上俄罗斯饱受其他国家网络恐怖主义的危害，对网络安全事件更为敏感，因此在法益权衡方面国家利益重于个人利益，而且在数据信息立法中更强调对传统文化的持守。①米铁男：“俄罗斯网络数据流通监管研究”，《中国应用法学》，2021年第1期。根据上文的研究，本文在此进行初步的总结与反思。

第一，俄罗斯采用孤岛式数据保护是国家利益至上的表现，但未必适合其他国家。俄罗斯在数据主权方面开展网络空间法律体系构建与规则重塑，以数据监管本地化为核心出台的《俄罗斯联邦个人数据法》，构建了数据保护的规则框架，强化了对数据主权的维护。俄罗斯推行孤岛式的数据保护，虽在一定程度上能够保障国家数据主权和网络安全，但难以平衡数据本地化与数据产业发展之间的关系，分离了国内利益法治观和国际利益安全观的直接联系。中国与俄罗斯同为新兴经济体，在数据存储方面采取相近的监管规则，但细节有所差别。应该说，俄罗斯在保障网络安全与促进网络独立运行上，为他国提供了技术与法律的借鉴空间。尤其是在俄乌危机背景下愈演愈烈的网络战，使网络安全、数据安全等问题又一次回到全球视野。拥有独立的网络主权和集中管理的网络设施，是一国预防他国网络攻击和网络制裁、保障国家网络安全与数据主权的关键。因此，在数字经济的背景下，中国在平衡数据流动与数据保护的逻辑关系时，应以积极的数据流动规则监管重要数据的流动，以法律规制平衡数据安全与数据流动的二元关系。

第二，立法需采取多元的数据合作管理模式和分级分类数据流动的监管制度。由于个人数据与重要敏感数据涉及的风险和所需保护的法益各有不同，许多国家都在尝试分级分类监管的方法，通过灵活多样的监管模式，确立宽严不同的数据跨境流动管理政策。②方元欣：“数据本地化政策的全球博弈分析”，《中国信息化》，2019年第12期。俄罗斯数据立法不断修订的过程体现的是：顺应全球数字经济的发展趋势，有序推动跨境数据流动与加强数据安全、个人信息保护的有机统一。但还不理想，俄罗斯对于数据处理仍采用一刀切的模式，未实现多元数据合作管理处理手段，现行的数据存储制度也未处理好安全与发展的关系。绝对的本地化存储不利于产业发展，需要辩证平衡数据安全与经济发展的关系，对不同级别类型的数据存储与监管需区别对待。①Вайпан В.А.Основы правового регулирования цифровой экономики// Право и эконо- мика.2017.No.11.С.5-18.中国在数据管理模式上，在涉及国家安全的重要数据方面，可建立分级管理制度，实现多元数据合作管理模式，在保障数据安全的前提下，实现内容与数据管制，确保对重要与敏感数据采取透明化与分级化监管措施。

第三，个人信息保护与数据流动并行不悖。通观俄罗斯立法历程不难发现，其通过完善个人信息的保护标准，对网络服务提供者等运营商和各类网络企业收集、处理、传输用户个人信息的行为进行规制，确保数据流通过程中个人的合法信息权利得以实现。虽然俄罗斯数据立法遵循国家法治利益至上的原则，但不代表其忽略了对个人信息的保护。事实上，俄罗斯通过不间断的立法修改，较好地保护了其公民的个人信息权利。

第四，俄罗斯数据流动立法多元化、精细化体现法治优先。俄罗斯不断推进与实施数据流动与监管的相关立法，涉及网络主权与数据保护的规范性法律文件呈现“两大类、双层次”的多元分布特征，在传统部门法、专项法律和政策性文件中均有体现。俄罗斯数据流动立法精细化体现在理顺宪法与国际法之间的关系、传统部门法与专项法律之间的关系，以及一般性法律与特殊性政策文件之间的关系。总体来看，俄罗斯的数据立法规范较中国更为多元与精细，中国在《个人信息保护法》等相关法律的修订过程中，可汲取俄罗斯立法经验，理顺数据立法的内在逻辑与关系。

综上所述，俄罗斯对数据流动立法实现了多元化与精细化，在法治优先的基础上不断加以更新。俄罗斯基于政策和技术博弈的综合考量，为维护本国安全利益和数据主权，推行严格的数据本地化存储原则，在一定程度上保障了国家数据主权，确保了国家网络安全。但与此同时，孤岛式的数据保护是一种需要改进和完善的立法模式，因其容易陷入数据保护主义和逆全球化的陷阱，更容易牺牲数据的实用价值。