编者按:

数据保护官(DPO)沙龙一直密切关注俄罗斯数据安全和个人信息保护方面的立法:

俄罗斯数据本地化和跨境流动条款解析

俄罗斯个人信息保护机构对隐私政策和数据跨境流动的新举措

针对俄罗斯的最新发展,小米公司隐私委员会副主席朱玲凤及其团队第一时间撰写文章进行详述。DPO社群已经完成对俄罗斯个人信息保护两部主要立法及其系列修正案的全文翻译,将于近期推出,敬请关注。

正文:

2019年12月2日俄罗斯总统普京签署第405号联邦法律,进一步明确并加重了对个人数据和信息传播领域内违法行为的处罚力度,对违反数据本地化要求的运营者,最高将处以1800万卢布的罚款。

一、立法进程

在第405号联邦法律颁布之前,俄罗斯政府通过不断修订《俄罗斯联邦个人数据法》和《俄罗斯联邦信息、信息技术和信息保护法》加强对数据本地化的监管。2014年12月31日俄罗斯批准第242号联邦法律《关于修改俄罗斯联邦某些立法以明确个人数据处理方式》,并于2015年9月1日开始生效。

2014年第242号联邦法律在《俄罗斯联邦个人数据法》中增补了第18条第5款和第22条第3款第10.1)项,分别规定了运营者对俄罗斯联邦公民的个人数据需进行本地化处理,以及向政府告知俄罗斯境内的数据库地址的义务。具体法律规定如下:

第18条第5款:运营者在收集个人数据期间(包括通过互联网等方式),有义务保证在俄罗斯联邦境内数据库中,记录、系统化、汇集、存储、更正(更新或修改)和摘录俄罗斯联邦公民的个人数据,本联邦法律第六条第1款第2、3、4、8项规定的情况除外。

第22条第1款:在开始处理个人数据前,运营者有义务通知保护数据主体权利的有权机关对个人数据处理。

第22条第3款第10.1)项:运营者发送给保护数据主体权利的有权机关的通知,应当以纸质形式或电子形式发送,并由运营者负责人签字。通知中应当包括记录、系统化、汇集、存储、更正(更新或修改)和摘录俄罗斯联邦公民个人数据的数据库地址。

2014年第242号联邦法律在《俄罗斯联邦信息、信息技术和信息保护法》中增补第10.1条第3款和第16条第4款,分别规定了互联网信息传播组织者、信息所有者和运营者的数据本地化义务。具体法律规定如下:

第10.1条第3款:互联网信息传播组织者有义务在俄罗斯联邦境内保存以下信息:

1)互联网用户的语音、文字、图象、声音、视频或其他信息被接收、移转、提供和(或)处理,以及上述行为结束后一年内上述互联网用户的信息。

2)自被接收、移转、提供和(或)处理之日起六个月内互联网用户的文字、语音、图像、声音、视频和其他电子信息。俄罗斯联邦政府规定保存上述信息的程序、期限和规模。

第16条第4款:信息所有者、信息系统运营商,在俄罗斯联邦立法规定下,有义务确保寻找位于俄罗斯联邦境内的数据库,用其对俄罗斯联邦公民个人数据进行收集、记录、汇集、存储、更正(更新或修改)和摘录。

此外,第242号联邦法律在《俄罗斯联邦信息、信息技术和信息保护法》中增补第15.5条,俄罗斯通信和大众传媒部(即“Minsviaz”)可将根据法院判决,将违反《俄罗斯个人数据法》的运营者列入特别清单或关停。具体法律规定如下:

第15.5条第1款:为了限制访问违反《俄罗斯联邦个人数据法》进行处理的信息,应建立自动化信息系统“数据主体权利侵权人登记表”。

第15.5条第3款:在大众传媒、信息技术和通信领域履行控制和监督职能的联邦权力执行机关,依照俄罗斯联邦政府规定的程序创建和运行侵权人登记表。

第15.5条第7款:在大众传媒、信息技术和通信领域履行控制和监督职能的联邦权力执行机关依照法院生效判决,向虚拟主机供应商或其他主体发送违反《俄罗斯联邦个人数据法》俄英双语电子通知,并指出生效判决的信息并采取限制措施。

2014年第242号联邦法律虽进一步细化了数据本地化的立法,但未单独明确违反数据本地化要求的罚款数额。在今年12月2日第405号联邦法律颁布之前,监管机构仅依照《俄罗斯联邦行政违法法典》第19.7条,以“未向联邦法律授权的监督机关提交或及时提交法定信息”为由,对违反数据本地化的行为的法人实体,处以3000卢布以上5000卢布以下的行政处罚。

2019年俄罗斯杜马三读通过第405号联邦法律,并于2019年12月2日公布之日起开始实施。第405号联邦法律提案者认为:“未履行将俄罗斯联邦公民个人数据进行本地化的义务,将对公民安全、信息基础设施构成威胁,并阻碍有效打击恐怖主义和极端主义的行为,现行法律规定的3000卢布以上5000卢布以下的行政处罚,与违法行为性质不符。因此有必要采取措施,加强对违反俄罗斯数据本地化行为的制裁。[1]”第405号联邦法律在《俄罗斯联邦行政违法法典》第13.11条增补如下第8款和第9款,加重处罚违反数据本地化要求的运营者,最高将处以1800万卢布的罚款。具体法律规定如下:

第8款:运营者在收集个人数据期间(包括通过互联网等方式),如果未依照《俄罗斯联邦个人数据保护法》要求,确保使用俄罗斯联邦境内的数据库记录、系统化、汇集、存储、更正(更新或修改)和摘录俄罗斯联邦公民的个人数据,对公民处以3万卢布以上5万卢布以下,对法人实体负责人处以10万卢布以上20万卢布以下,对法人处以100万卢布以上600万卢布以下的行政罚款。

第9款:数次违反本条第8款的行政违法行为,对公民处以5万卢布以上10万卢布以下,对法人实体负责人处以50万卢布以上100万卢布以下,对法人处以600万卢布以上1800万卢布以下的行政罚款。

二、数据本地化案例与实践

自2015年9月1日第242号联邦法律生效以来,俄罗斯联邦电信、信息技术和大众传媒监管局(即“Roscomnadzor”)已检查超过1500 家公司,确保他们遵守数据本地化的相关规定。

2016年Roscomnadzor以未将俄罗斯用户个人数据存储在俄罗斯境内以及非法处理第三方个人数据为由,将Linkin诉至法院。莫斯科地方法院裁定Linkin存在上述两项违规行为。判决生效后,Roscomnadzor依法院裁决封杀Linkin,并要求苹果和谷歌从 App Store 和 Google Play 商店中下架Linkin App,至今Linkin仍无法在俄罗斯境内使用。

今年4月份由于Twitter和Facebook拒绝将俄罗斯用户的个人数据进行本地化存储,莫斯科地方法院对两家企业分别处以3000卢布(约为350人民币)的罚款。Roscomnadzor局长亚历山大·扎洛夫表态:“Twitter和Facebook需在法院规定的时间内进行整改,落实俄罗斯数据本地化相关规定。3000卢布虽为最低罚款限额,但Roscomnadzor将保留对两家处以大额罚款的权利,或采取更严厉处罚——屏蔽网站。[2]”

今年6月份Roscomnadzor局长亚历山大·扎洛夫曾表示,检察机构计划检查中国社交媒体TikTok是否合规。7月15日Roscomnadzor发表消息,负责亚历山大·扎洛夫与TikTok代表举行了会面。双方讨论了俄罗斯用户个人数据库本地化存储问题。中方表示,将执行俄罗斯法律的要求,对俄罗斯用户个人数据进行本地化处理[3]。

为加强行政监管和司法管辖,俄罗斯通过立法确立数据本地化原则,加强对跨境数据流动的管理。总体来看,在2019年12月2日第405号法律颁布之前,俄罗斯虽在立法层面对数据本地化进行了严格的规定,Roscomnadzor等监管机关也进行了高频度检查,但罚款数额尚不明晰且执法处罚尺度相对温和。第405号联邦法律的颁布和实施,不仅将单独明确了违反数据本地化要求的罚款数额,更将罚款最高数额从5000卢布提至1800万卢布,彰显了俄罗斯政府对个人数据和互联网信息传播的强力监管。(高亚鹏 朱玲凤,两位作者来自小米公司)

[1] Interfax News,网址:https://www.congress.gov/bill/115th-congress/senate-bill/2383/text,2019年12月20日访问

[2]新华社莫斯科,网址:https://www.xinhuanet.com/world/2019-04 /17/c,2019年12月20日访问

[3]俄罗斯卫星通讯社,网址:http://sputniknews.cn/society/201907161029013594/,2019年12月20日访问

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。