俄羅斯修改個人數據跨境傳輸程序

數據信任與治理 2432 閱讀 0 評論 0 點贊

本文來源於微信公眾號【數據信任與治理】

引言

2022年7月14日，俄羅斯總統普京簽署了對2006年版《聯邦個人數據法》進行大規模修改的第266號聯邦法律（以下簡稱“修正案”），增加了通報作為個人數據跨境傳輸的前置程序。修正案將於2023年3月1日生效，在生效之前之前，運營商（оператора）需要向主管機構聯邦通信、信息技術和大眾媒體監管局（Roskomnadzor，以下簡稱“RKN”）提交對新規則實施的說明。

1►

通報成為個人數據跨境傳輸的前置程序

《聯邦個人數據法》第22條規定了“個人數據處理通報”義務，即：在處理個人數據之前，運營商有義務將其處理個人數據的意圖通報RKN。因為數據跨境流動必然包含著對數據的處理，所以在未增加通報作為個人數據跨境傳輸的前置程序之前，運營商需要就“個人數據處理”履行通知義務。

修正案在數據跨境流動方面增加前置程序意味著運營商要履行兩份通報義務，即：“個人數據處理通報”義務和“個人數據跨境流動通報”義務。而且根據修正案規定，兩份通報要分開發送。

2►

修改後的個人數據跨境傳輸流程

充分性認定國家和非充分性認定國家

對於接受方所在國或地區，修正案沿用了獲得充分性認定的國家和未獲得充分性認定的國家的分類。接收方所在國是否提供充分性保護由RKN確定。為個人數據主體權利提供充分性保護的外國名單包括：

(1) 歐洲理事會《關於自動化處理的個人信息保護公約》締約國，以及

(2) 非歐洲理事會《關於自動化處理的個人信息保護公約》締約國，但該國關於處理個人數據時保證數據保密性和安全性的現行法律和措施符合公約規定。

目前中國尚未獲得充分性認定。據俄媒體Vedomosti 7月20日報道，RKN已計劃將中國、印度、泰國等國家列入充分性保護國家名單。

通知模式與許可模式

在通報制度下，根據接收方所在國是否屬於獲得充分性認定的國家，運營商向境外傳輸個人數據的模式又分為通知模式和許可模式。

接收方所在國屬於獲得充分性認定的國家，運營商遵循通知模式，即：運營商在通報RKN之後即可跨境傳輸數據，直至RKN決定禁止或者限制跨境傳輸。可能被作為禁止或者限制跨境傳輸的理由包括：

(1) 審議通報後，以保護公民的道德、健康、權利和合法利益為目的禁止或者限制數據跨境傳輸；

(2) 在其他聯邦機構的提議下，以保護俄羅斯聯邦憲法秩序的基礎和國家安全，確保國防，保護俄羅斯聯邦的經濟和金融利益，確保通過外交和國際法律手段保護俄羅斯聯邦公民的權利、自由和利益、俄羅斯聯邦的主權、安全、領土完整及其在國際舞臺上的其他利益為目的，禁止或者限制數據跨境傳輸。

接收方所在國不屬於獲得充分性認定的國家，運營商踐行許可模式，即：運營商在提交通報後需要等待RKN完成審議，在RKN完成審議之前，運營商無權跨境傳輸數據。除非傳輸數據是為了保護個人數據主體或其他人的生命、健康、其他切身利益所必須。

RKN將在10個工作日內完成審議，根據審議結果，RKN將作出許可或者不許可跨境傳輸的決定，RKN保持沉默視同為不禁止跨境傳輸。RKN禁止或者限制跨境傳輸的理由同上。RKN也可能要求運營商提交補充信息（見3.4提交補充信息），以證實通報內容的正確性。運營商應當在收到要求後10個工作日內提供信息，說明理由後可最多延長至15個工作日。這也意味著，運營商能夠跨境傳輸數據的日期將延後。

通報的內容

根據修正案規定，通報必須包含以下信息：

(1) 運營商的姓名、地址，以及運營商先前發送的“個人數據處理通報”的日期和編號；

(2) 負責組織處理個人數據的人員的姓名、聯系電話、郵政地址和電子郵件；

(3) 個人數據跨境傳輸以及對傳輸的個人數據進行進一步處理的法律依據和目的；

(4) 傳輸的個人數據的類別和列表；

(5) 個人數據被傳輸的個人數據主體類別；

(6) 跨境傳輸個人數據的目的地國清單；

(7) 運營商評估外國接收方在處理個人數據時對個人數據保密性和安全性的保護程度的日期。

提交補充信息

在向RKN提交通報之前，運營商有義務從接收方處獲得一定信息，無論接收方所在國是否獲得充分性保護認定。該等信息並不隨著通報一同提交，而是在RKN審議通報之時應其要求提供。也即，該等信息可能並不需要提交。該等信息包括：

(1) 數據接收方為保護所傳輸的個人數據采取的措施，及終止處理所傳輸的數據的條件；

(2) 數據接收方所在國個人數據領域的法律法規信息（如果該國未被列入提供充分性保護國家名單）；

(3) 數據接收方的相關信息（姓名，以及聯系電話、郵政地址和電子郵件）。

根據上述信息，如果接收方所在國未被認定為提供充分性保護的國家，運營商和接收方承擔的責任會更重。

禁止或者限制傳輸後的義務

如果RKN對運營商做出禁止或限制跨境傳輸個人數據的決定，運營商應確保外國接收方銷毀其此前接收到的個人數據。

3►

新法適用引發的問題

目前，由於修正案在某些方面規定得並不詳細，有關機構尚未作出解釋，存在一些問題懸而未決，如：

(1) 在通報的頻次方面，假如運營商計劃向多個國家的多個運營商傳輸數據，那麼運營商需要提交一份通報還是多份通報？假如運營商為多個目的向同一個接收方傳輸數據，那麼運營商需要提交一份通報還是多份通報？

(2) 在被禁止或者限制跨境傳輸數據後，運營商可否重新提交相似或者修改後的通報？

(3) 是否會出現禁止向接收方A傳輸數據，但是卻允許向同一國家或地區的B傳輸的情況？

(4) 在許可模式下，無須等待RKN完成審議而直接跨境傳輸的例外條款將如何發揮作用？如何證明滿足例外條件？

(5) 在提交補充信息方面，運營商應以何種形式提交有關數據接收方為保護所傳輸的個人數據采取的措施及終止處理所傳輸的數據的條件的信息？

小結

俄羅斯出臺新的數據跨境流動規則後，各方對其評價褒貶不一。持積極評價的人認為，新規則為個人數據提供了額外的保護，使運營商對個人數據跨境傳輸和處理形成負責任的態度。持消極評價的人認為，新規則增加了行政程序的負擔，也不利於企業發展，因為在接收方所在國沒有獲得充分性認定的情況下，運營商必須等待RKN審議，而不管所要進行的數據跨境傳輸行為多麼常規，或者運營商和接收方多麼迫切交換數據。而且許可模式本身就給數據跨境行為增加了不確定性。

參考文獻

[1] 俄羅斯法律信息官方門戶網站：http://publication.pravo.gov.ru/Document/View/0001202207140080，2022年8月17日訪問。

[2] Екатерина Кинякина, Китай и Индию внесли в число надежных стран для персональных данных россиян, Vedomosti (Jul. 20, 2022), https://www.vedomosti.ru/technology/articles/2022/07/19/932115-kitai-indiyu-nadezhnih.

[3] Павел Ариевиччитать блог, Трансграничная передача персональных данных: новая процедура, новые квесты, Zakon (Aug. 11, 2022), https://zakon.ru/blog/2022/08/11/transgranichnaya_peredacha_personalnyh_dannyh_novaya_procedura_novye_kvesty.

[4] Вуколова ТатьянаИсточник, Любое использование материалов допускается только при наличии гиперссылки, Law (Aug. 11, 2022), https://www.law.ru/blog/22942-novye-pravila-transgranichnoy-peredachi-dannyh.

[5] Мария ШестаковаИсточник, Новые обязанности для операторов персональных данных и выписки из ЕГРН без фамилий собственников: принят новый законИсточник, Eg-Online (Jul. 20, 2022), https://www.eg-online.ru/article/457672/.

點贊(0)