俄罗斯大修《个人数据法》
2022年7月14日,俄罗斯总统普京签署第266号联邦法律,对《俄罗斯联邦个人数据法》进行了大面积修正,涉及跨境传输个人数据的通报及限制、非法传输个人数据造成侵权的通报、处理个人数据前的通报等方面的规定。大多数修正将从2022年9月1日起生效,小部分将于2023年3月1日起生效。本文对主要修正内容进行介绍。
一、个人数据的跨境传输的前置通报(2023年3月1日起生效)
新法律增加了跨境传输个人数据的前置通报程序,下面介绍修正生效后,跨境传输个人数据应当遵守的规定:
1. 个人数据跨境传输目的国分类:
(1)充分保护个人数据主体权利的国家。
俄罗斯联邦通信、信息技术和大众传媒监督局(以下简称俄罗斯通信监督局)制定此类国家名录,包括:
A. 欧洲理事会《关于自动化处理的个人信息保护公约》缔约国;
B. 非欧洲理事会《关于自动化处理的个人信息保护公约》缔约国,但该国关于处理个人数据时保证数据保密性和安全性的现行法律和措施符合公约规定。目前中国不在此列。
(2)不充分保护个人数据主体权利的国家。
2. 跨境传输个人数据的程序:
新法律增加了跨境传输个人数据的前置通报程序。新规定生效后,不论目的地国类别,在向其传输个人数据前,均应当收集法律规定的信息,并且向俄罗斯通信监督局通报跨境传输个人数据的计划,具体程序如下:
第1步:获取相关信息。
在跨境传输个人数据前,发出方应当从外国数据接收方处获取下列信息:
(1)外国数据接收方对所传输数据采取的保护措施,停止处理前述数据的条件;
(2)对方国家关于个人数据的法律规定(如果对方国家是不充分保护个人数据主体权利的国家);
(3)外国数据接收方的相关信息,包括姓名或名称、电话号、通信地址、电子邮箱。
第2步:通报俄罗斯通信监督局。
在跨境传输个人数据前,发出方应当向俄罗斯通信监督局通报跨境传输个人数据的计划,该通报独立于处理个人数据的前置通报单独进行。通报应当包含以下信息:
(1)发出方姓名或名称、地址、发出方此前向俄罗斯通信监督局通报其计划处理个人数据的日期和通报号码;
(2)组织处理个人数据的负责人或负责单位的姓名或名称、联系电话、通信地址和电子邮箱地址;
(3)跨境传输个人数据及之后处理被传输的个人数据的法律依据和目的;
(4)被传输的个人数据的类别和清单;
(5)个人数据被传输的数据主体类别;
(6)跨境传输个人数据的目的地国清单;
(7)发出方评估外国接收方在处理个人数据时对个人数据保密性和安全性的维护程度的日期。
为了证实通报内容的正确性,俄罗斯通信监督局可能要求发出方提供其此前从外国数据接收方处获取的相关信息,即前述第1步收集的信息。如果接到要求,发出方应当在收到要求后10个工作日内提供,说明理由可最多延长至15个工作日。
第3步:
(1)如果目的地国为充分保护个人数据主体权利的国家,那么发出方在通报后即可跨境传输个人数据。此后,如果出现下列两种情形,则发出方应当按照要求停止或限制跨境传输:
A. 俄罗斯通信监督局审理通报内容后,以保护公民道德、健康、权利及合法利益为目的做出禁止或限制跨境传输个人数据的决定;
B. 俄罗斯通信监督局依照《俄罗斯联邦个人数据法》第12条第12款(保护俄罗斯联邦宪法基础、国防安全、经济利益等目的)做出禁止或限制跨境传输个人数据的决定;
(2)如果目的地国为不充分保护个人数据主体权利的国家,那么发出方应当等待俄罗斯通信监督局审理其通报内容,除非跨境传输个人数据是为了保护数据主体或他人的生命、健康或其他涉及生命的重要利益所必须。等待时间为俄罗斯通信监督局收到通报后10个工作日,如果俄罗斯通信监督局在收到通报后要求发出方提供其此前从外国数据接收方处获取的相关信息,则等待时间相应延长。等待期限结束后,如果发出方未收到俄罗斯通信监督局以保护公民的道德、健康、权利及合法利益为目的禁止或限制跨境传输个人数据的决定,则可以跨境传输个人数据。
此后,如果俄罗斯通信监督局《俄罗斯联邦个人数据法》依照第12条第12款做出禁止或限制跨境传输个人数据的决定,则发出方应当按照要求停止或限制跨境传输。
3. 被禁止或限制跨境传输个人数据后的义务
如果俄罗斯通信监督局对发出方做出禁止或限制跨境传输个人数据的决定,发出方应确保外国接收方销毁其此前接收到的个人数据。
4. 例外情况
俄罗斯联邦政府负责确定为履行国家机关、自治地方机关的职权或义务而不受上述限制跨境传输个人数据的情形。
二、无需提前通报即可处理个人数据的情形减少,且通报内容有所调整(2022年9月1日起生效)
根据《俄罗斯个人数据保护法》第22条的规定,在开始处理个人数据前,处理者应当先通报俄罗斯通信监督局,法律同时规定了一些无须通报的特殊情形。新法律大幅度删减了无须通报的情形。
自2022年9月1日起,下列情形也应当通报:
1. 依照劳动立法进行的个人数据处理;
2. 处理者根据数据主体为合同一方的合同而取得的个人数据,上述数据未经数据主体同意不会被传播或提供给第三方,且处理者仅用于履行上述合同及与数据主体签订合同;
3. 属于社会组织或宗教组织的成员(参加者)的个人数据;依照俄罗斯联邦立法进行活动的社会组织或宗教组织,为达到组织的创立文件中所规定的合法目的而进行处理的个人数据,且上述数据未经数据主体书面同意不被传播或向第三方展示;
4. 个人数据主体允许传播个人数据,但处理者必须遵守《俄罗斯联邦个人数据法》第10.1条规定的禁止和条件;
5. 仅包含数据主体的姓、名和父称的个人数据;
6. 为数据主体前往处理者所在地的单次通行证所必需,或者为其他类似目的所必需的个人数据;
7. 依照联邦法律具有国家自动化信息系统地位的个人数据信息系统中的个人数据。
2022年9月1日起,无需通报即可处理个人数据的情形仅有:
1. 为保障国家安全和公共秩序而建立的国家个人数据信息系统中的个人数据;
2. 处理者不使用自动化方式处理个人数据;
3. 依照在俄罗斯联邦交通安全立法,为确保交通运输综合体的安全稳定运行,保护个人、社会和国家在交通运输综合体中的利益和免受非法干扰所处理的个人数据。
2022年9月1日起,通报中应当包含下列内容:
1. 处理者的名称(姓、名、父称)和地址;
2. 处理个人数据的目的;
3. 《俄罗斯联邦个人数据法》第18.1、19条所规定的措施(保证处理者履行《俄罗斯联邦个人数据法》规定义务的措施、处理个人数据时对个人数据的保护措施)的具体描述,包括加密(密码)工具和工具名称;
4. 负责组织个人数据处理的个人的姓、名、父称或法人名称,其联系电话、邮箱地址和电子邮箱地址;
5. 处理个人数据的开始日期;
6. 处理个人数据的期限和终止条件;
7. 处理个人数据过程中是否存在跨境传输;
8. 俄罗斯联邦公民个人数据的信息数据库地址;
9. 访问和(或)按照合同处理国家和市政信息系统中的个人数据的自然人或法人的姓名或名称;
10.关于按照俄罗斯联邦政府制定的保护个人数据的要求,确保个人数据安全的信息。
新法对于通报形式也做了新规定。在通报上述信息时,处理者应就每项个人数据处理目的说明个人数据的类别、个人数据被处理的主体类别、处理个人数据的法律依据、涉及个人数据的行为清单、处理个人数据的方法。如果上述信息发生变化,处理者应在不迟于发生变化的下一个月的15号前将上述期间内发生的所有变化通报俄罗斯通信监督局。
三、通报导致个人数据非法转移的计算机事故(2022年9月1日起生效)
新法律规定,处理者应当按照俄罗斯联邦安全局确定的程序,与 “检测、警告和消除对俄罗斯联邦信息资源的计算机攻击的后果的国家系统(ГосСОПКА)”互动,包括向其通报导致非法转移(提供、传播、访问)个人数据的计算机事故。
四、非法或意外转移个人数据而侵害数据主体权利的通报(2022年9月1日起生效)
如果处理者、俄罗斯通信监督局或任何利害关系人发现非法或意外转移(提供、传播、访问)个人数据的事实,且个人数据主体权利因此受到侵犯,那么处理者应从发现时起:
24小时内,通报俄罗斯通信监督局下列信息:发生的事故、侵犯数据主体权利的可能的原因、可能对数据主体权利造成的损害、所采取的消除事故后果的措施、处理者授权就事故问题与俄罗斯通信监督局联系的人的信息;
72小时内,报告对事故的内部调查结果,并提供导致事故人员的详细资料(如果有的话)。
五、委托第三方处理个人数据的委托书中应当明确数据范围、被委托人的义务(2022年9月1日起生效)
根据《俄罗斯联邦个人数据法》第6条第3款的规定,个人数据处理者可以依据合同委托第三方进行个人数据的处理。修正案对委托书中应当包含的内容作了补充,包括:
1. 委托处理的个人数据清单;
2. 俄罗斯联邦公民个人数据本地化要求;
3. 要求受托人采取保证其履行《俄罗斯联邦个人数据法》规定义务的措施;
4. 向委托人报告导致侵害个人数据主体权利的非法或意外转移(提供、传播、访问)个人数据的事实的义务(见本文第四部分);
5. 在委托期限内,包括在处理个人数据前,受托人按照委托人的要求提供文件和其他信息,以确认受托人采取了前述措施、遵守了前述要求。
六、公司关于个人数据处理的内部文件内容改变
根据《俄罗斯个人数据保护法》的规定,处理者应当采取必要且充分的措施保证履行法定义务,《俄罗斯个人数据保护法》对前述措施进行了列举,一般情况下,处理者可以自行确定自己的措施清单。
作为处理者的公司可以选择颁布关于个人数据处理的内部文件。如果处理者选择了此项措施,那么需要关注此次修正给这项措施带来的改变,即,在文件中,对于每项处理个人数据的目的,都应列出一整套信息,包括为该目的而处理的个人数据类型和清单、为该目的而被处理个人数据的主体类型、处理和储存个人数据的方式及期限、在达到处理目的或出现法定事由时销毁个人数据的程序。
七、处理者向个人数据主体及俄罗斯通信监督局提供相关信息的期限缩短(2022年9月1日起生效)
根据《俄罗斯联邦个人数据法》的规定,俄罗斯通信监督局有权要求处理者提供相关信息;除《俄罗斯联邦个人数据法》第14条第8款规定的特殊情况外(为了国防、国家安全、反洗钱等),个人数据主体有权请求处理者提供关于其处理的个人数据的信息。
此前,处理者应当自收到要求之日起30日内提供相关信息,而新法律将该期限缩短,变为10个工作日,如果处理者请求延期并说明理由,可以延长不超过5个工作日。即使处理者依据第14条第8款拒绝提供相关信息,也应当在10个工作日内,最长不超过15个工作日,以书面形式说明理由。
同时,个人数据主体有权要求提供的上述信息增加了一项:关于处理者为保证履行《俄罗斯联邦个人数据法》规定义务的措施的信息。
八、 关于生物识别个人数据(2022年9月1日起生效)
除国防、反恐、出入境等相关法律规定的特殊情形外,不可以强制个人数据主体提供生物识别个人数据,比如指纹、视网膜等。除非法律强制提供生物识别个人数据,否则个人数据处理者无权因为个人数据主体拒绝提供或不同意处理其生物识别个人数据而不向其提供服务。比如,在app中要求客户使用指纹或人脸识别登录账户的公司应特别关注这一新规,即使客户不愿意使用指纹或人脸登陆,也不能拒绝为其提供服务。
九、个人数据主体有权要求处理者停止处理自己的个人信息(2022年9月1日起生效)
新法律规定,个人数据主体有权要求处理者停止处理其个人数据(除无需个人数据主体同意即可处理其个人数据等特殊情况)。处理者应当在收到相应要求之日起10个工作日内停止处理,如果处理者是委托第三方处理的,则应当保证停止处理。如果处理者向个人数据主体要求并说明理由,可以延长不超过5个工作日。
十、如果处理的个人数据不是从数据主体处获得的,则处理者在处理前应当提供给数据主体的信息增加一条:个人数据清单(2022年9月1日起生效)。