俄罗斯的数据保护现状

我们想通过这个机会给大家介绍一下俄罗斯数据保护法律的最新发展。

特别需要注意的是,从2015年开始每一位俄罗斯公民的个人信息原则上要在俄罗斯被存储起来。经验显示,相应机构充分运用了数据保护法所提供的惩戒手段。以下是就俄罗斯律师同事所作描述根据记忆而作的总结,包括(i)适用法律的范围以及(ii)强化对于违反该法规的惩戒。有关惩戒情况,行政处罚条例的相应修改已经在2017年1月27日通过的议会的三读,可望近期为俄罗斯联邦总统签署同意。

概貌

2015年9月1日,一项修改了多项涉及数据保护的俄罗斯法律正式生效(以下简称为“该法律”)。

该法律尤其是修改了有关个人信息的法律,并引入了存储俄罗斯公民个人信息的义务。

基本方案与定义

该法律特别是适用于个人信息与电脑系统的操作者。

个人信息保护法并没有专门提到其适用的地域范围。但是,基于对电脑系统和个人信息操作者的定义,它包括了境外实体、公共机构或其他实体拥有俄罗斯公民的个人信息的情况,它受个人信息法规及与个人信息相关的国际条约的约束。

也就是说,个人信息法,包括其针对违反行为的惩戒措施,适用于在俄罗斯境外拥有俄罗斯公民个人信息者

因此,正确的看法是,该法律适用于所有涉及拥有个人信息的法律实体与实际个人,包括任何在俄罗斯没有任何形式的代表机构的外国法律实体。

  1. 它描述了与侵犯个人信息拥有者的权利的行为作斗争的各种安排;以及
  2. 引入了在俄罗斯联邦境内的数据基地存储俄罗斯公民个人信息的义务。

使用俄罗斯数据中心的义务

该法律的第二部分规定,所有处理、拥有个人信息的被认作是“操作者”的公司、组织和自然人有义务,确保“在收集个人信息期间使用位于俄罗斯联邦境内的数据中心,包括通过互联网,以便确保俄罗斯公民的个人信息的记录、系统化处理、积累、存储、改进与甄别。”

也就是说,操作者所收集的俄罗斯公民的个人信息必须存储在位于俄罗斯联邦境内的服务器/数据中心。

更具针对性的,操作者只有在如下情况下才被免除上述义务,比如他们被允许在国外的数据中心存储俄罗斯的数据时:

  • 为了达成符合俄罗斯联邦签订的国际条约或法律所规定的目标,为了完成和行使与俄罗斯联邦法定的操作者相符的作用、权力和职责;
  • 为了司法行政,执行法院判决,执行符合俄罗斯联邦有关执行程序法规的其他权威机构或官员的指令;
  • 行使联邦行政机构、联邦非预算基金、俄罗斯联邦宪法机关的行政机构、地方政府机构的权力以及根据相应法规服务于联邦和地方的的组织的作用;
  • 进行记者的职业活动和/或大众传媒的合法活动或科学、文学或其他创造性地活动,前提是不侵犯个人信息所有者的权利和合法利益。

请知会联邦通讯、电信技术和大众传媒监管服务局(“RKN”)

该法律引入一项对于个人信息法的修改,要求操作者有知会RKN有关存储俄罗斯公民个人信息的服务器/数据中心确切位置的义务。

也有几个例外情况,个人信息的操作者可以拥有个人信息而不必知会RKN,其中比如是拥有雇员的个人信息,是面向公众的个人信息或者该个人信息只是包括个人信息所有者的前名、父名和姓的话。

如果没有知会RKN,提供了数据库地点的错误信息,会被认定是违反了个人信息法,因此会面临行政处罚。

上述义务适用于任何形式的俄国和外国公司,无论他们涉及的业务领域,比如旅游、运输、电子商务、银行、电信、信息技术等,因为关键因素是收集/拥有俄罗斯公民的个人信息。

个人信息的跨境传输

现行的个人信息法允许个人信息的跨境传输,前提是这些信息传输到(i)一个是欧洲理事会有关自动拥有个人信息公约CETS No. 108的签字国,或者(ii)被RKN所认可的一个国家(2013年3月15日的RKN第274号令,认可了19个国家),或者(iii)个人同意这样跨境传输他或她的个人信息的其他国家。

如果理解正确的话,将会以下列方式落实上述的义务。俄罗斯公民的个人信息既可以储存在(i)俄罗斯,如同法定的规定,也可以在(ii)国外,如果确实获得了俄罗斯公民个人同意这样跨境传输他或她的个人信息并将其储存在俄罗斯之外的话。因此,个人信息会既在俄罗斯又在国外的信息中心得到保存。

在俄罗斯,有关个人信息的存储的物理和技术安排的讨论正在广泛展开。关键方法是:(1)设立国内的中心或是(2)在位于俄罗斯的服务器上租借空间。

要点

基于上述以及对于现行有关信息和个人信息事项的立法进展的保守分析,总结如下:

  1. 该法律及其惩戒适用于外国公司,无论其在俄罗斯有无达标机构;
  2. 所有涉及的公司必须通过自有的或租借的数据库在俄罗斯联邦疆域之内存储俄罗斯公民的个人信息;
  3. 拥有俄罗斯公民个人信息的公司以及不属于法律给与的例外范围的(见上述),应当知会RKN有关拥有俄罗斯公民的个人信息,明确在在俄罗斯联邦疆域之内存储这些信息的数据库的位置。
新的处罚

如果违反了个人信息法,数据的控制者会面临民事、行政或刑事责任。

行政处罚条例的修改已经在2017年1月27日通过的议会的三读,可望近期为俄罗斯联邦总统签署同意。

该项改动明确了7项新的违反数据保护法规的行为,并加重了对于违反数据保护法规的处罚。尤其是,草案中规定对于未经个人信息所有者同意而拥有他或她的个人信息,或者该同意不符合法律虽规定的要求的,最高罚款金额为75,000卢布(大约1,300欧元)。

免责声明
本页面中的信息可能为第三方(如“中国走出去”网站加盟机构)提供,仅供用户个人参考。所有内容提供方在将任何内容/信息(包括文字、图片、照片、图形)发布于敝网之任何数字平台之前,须获得该等内容/信息版权所有方之授权/许可。敝网不保证任何内容和信息的准确性,亦不对任何内容提供商提供或发布于敝网的任何内容/信息承担任何责任(比如文字、图片、照片、图形的版权侵权责任)。页面中的链接可能指向非由CGA可控的第三方网站,敝网对其他网站上的内容及链接有效性既不认可亦不承担任何责任。更多详情,请参阅敝网 免责声明
Top