文|刘耀华 中国信通院互联网法律研究中心研究员

2021年3月8日,俄罗斯数字产业部修订了之前由该部制定并由杜马州研究和通过的联邦法律“关于个人数据”的立法草案,拟规定个人数据匿名化需用户同意。该法案是在2021年2月16日通过了一读。

根据俄罗斯数字产业部提出的修正案,个人数据的匿名化只能在获得个人同意的情况下进行,或者在俄罗斯联邦法律在个人数据领域中规定的其他情况下才能进行。修正案规定,企业将能够自由处理匿名数据。同时,为了确保对俄罗斯人的个人数据的保护,建议对处理数据的运营商引入一些限制。例如,操作员将无法使用其他信息、操作和方法来帮助确定特定主题对个人数据的所有权。除匿名数据外,还将禁止将信息传输给将识别特定人的第三方。除非需要保护人类生命或健康,否则将禁止对数据进行匿名处理。

“该法案将提高保护个人数据主体(我们的公民)权利的系统的效率,还将使企业能够使用因取消个性化而获得的数据。与此同时,这能够保障俄罗斯人保护其个人数据的处理和存储的权利” ,俄罗斯数字科学部信息安全部代理主任德米特里·罗伊茨基(Dmitry Reutsky)评论说。

不久后,该法案的修正案将提交给俄罗斯联邦政府。

俄罗斯数字产业部作为个人信息保护立法的专门机构,近期对于个人数据保护立法的修订频频,不仅反映了信息技术产业发展过程中的问题不断出现,立法的适应性需要不断强化,同时也体现出俄罗斯在数字经济时代试图在立法方面与时俱进,以进一步达到个人数据权利保护和促进产业发展的双重目标。俄罗斯个人数据保护立法的此次修订同时体现了个人信息保护和产业发展的双重目标,没有对任何一端采取过度具有倾向性的态度。总体来看,此次修改具有以下特征:

一是更加强化了对个人数据主体合法权益的保障,巩固了数据主体的控制权。企业对个人数据进行匿名化时必须经过个人的同意,从全球范围的角度来看,这在立法中也非常少见;

二是对将个人数据传输给第三方的行为也是做了严格的规制,原则上是禁止的,豁免情形也非常少,只有需要保护人类生命或健康一种情形;

三是同时也注重了企业和产业的发展利益,在立法中明确规定,对于匿名数据,企业是具有自由处理的权利的,虽然具有限制,但并没有对匿名化提出过于严苛的要求,在实践中,企业操作起来具有一定的可行性,有利于自身的数字化发展。

附件:俄罗斯联邦法


联邦法律“关于个人数据”的修正

第一条

引入2006年7月27日第152-FZ号联邦法“关于个人数据”(俄罗斯联邦集体立法,2006年,第31号,第3451条;2009年,第48号,第5716条;第52号,第6439条; 2010年第31号,第4196条; 2011年第23号,第3263条;第31号,第4701条; 2013年第14号,第1651条;第51号,第6683条; 2014年,第30号,第.4243;2016年第27号,第4164条;2017年第9号,第1276条;第27号,第3945条;第31号,第4772条)进行了以下修正:

1)在第9条中:

a)在第4部分中:

在第1款中,应加上“或其他唯一标识符”等字样。

根据联邦法律或当事方协议获取的个人数据,允许可靠地识别个人数据并确立其意思”;

第4条 应在以下版本中声明:

“ 4)处理个人数据的目的。如果出于多种目的对个人数据进行处理,则每种目的应按照本部分第5至8段指出信息”;

第6条 应在以下版本中声明:

“ 6)代表操作员执行个人数据处理工作的人员的姓名或名称、住所和地址(如果数据处理委托给该人);

b)第9部分的补充如下:

“ 9. 在本联邦法律第6条第1部分中,经营者在合法基础上处理的个人数据,如果得到包含有关指定的其他目的的信息的个人数据主体的同意,或者在其他指定的情况下,则可以出于其他目的而进行。”;

2)第19条第2款应补充以下内容:

“ Z1)使用信息保护手段销毁个人数据,其中包括信息销毁功能,这些功能已经按照既定程序通过了合格评定程序,该程序由联邦授权的安全性联邦执行机构执行或由联邦政府在反击技术情报和信息技术保护领域授权的机构执行;”

3)第23条的第10款应补充以下内容:

“ 10. 保护个人数据主体权利的授权机构规定了对个人数据进行匿名化的要求和对个人数据进行匿名化的方法。”

第二条

本联邦法律自其正式发布之日起180天后生效。

——俄罗斯联邦总统

注释

联邦法律“关于个人数据”的修正法律草案是根据2020年1月15日俄罗斯联邦总统致俄罗斯联邦联邦议会的讲话的执行指示清单第2段“ b”分段制定的, 以及2020年1月24日,Pr-113号联邦护照第1.3段,“俄罗斯联邦数字经济”国家计划的“数字环境规范管理”项目(以下简称“ 法律草案)。

该法案旨在确保建立新的个人数据去识别化程序,获得同意处理个人数据的程序以及使用新技术来收集、存储和使用新技术的数据的有利法律条件。考虑到保护人权和自由以及公民在处理其个人数据时的必要性,从而规范大量数据的流通。

该法案规定了以书面形式同意处理个人数据的可能性,其要求根据2006年7月27日第152-FZ号“关于个人数据”的联邦法第9条第4款规定(以下简称“个人数据法”(根据《个人数据法》第10条,第11条,第12条,第16条以及联邦法律规定的其他情况,确立了从个人数据主体获取书面同意的义务),同时规定了几个目的,以及代表个人处理个人数据的个人数据操作员要求。此外,如果出于多种目的对个人数据进行处理,则必须根据该法第9条第4款第5至8款的规定,为每种目的明确相应的具体信息。

拟议的变更是出于建立数字信任环境的迫切公共需求,包括建立新的创新服务,与客户、员工的远程交互、获得公共服务等,并且还将减少处理个人数据必须征得同意的书面形式的数量。

《个人数据法》第6条第1款规定如果有必要出于其他目的(原始收集目的除外)处理个人数据,则法律草案规定了在征得个人数据主体同意的情况下或在其他情况下指定的情况下处理此类数据的可能性,但未对收集个人资料的程序进行规定。

这些规定的实施将有助于减少已处理个人数据的情况并提高其安全性。

为了确保销毁个人数据时公民的权利得到保护,该法律草案规定了使用信息保护工具的义务,其中包括销毁经过俄罗斯FSB或俄罗斯联邦FSB实施的合规程序的规定。俄罗斯FSTEC应按照既定程序进行操作。

关于建立对个人数据进行匿名处理的程序,法律草案建议阐明Roskomnadzor的权力,其有权批准对个人数据进行匿名处理的要求和方法。

考虑到信息技术的发展,在Roskomnadzor规范性法案的水平上对个人数据的去识别化的要求和方法的规定将对现有的去个性化方法进行必要的更改和添加,从而提高对个人数据的保护水平和要求。

该法案的通过将大大提高保护个人数据主体权利的体系的效率,并赋予他们使用方法学基础对个人数据进行去识别化的权利。

由于Roskomnadzor需要澄清和批准匿名化个人数据的要求和方法,以及个人数据运营商为遵守这些要求而采取的措施,因此该法律草案规定了延期(一百年后)以及正式发布之日后的八十天。

法律草案不包含强制性要求,在考虑行政违法案件时,在国家控制(监督),市政控制的框架内对遵从性进行评估,或在签发许可证时检查是否遵守强制性要求、许可、认可证书以及其他具有宽松性质的文件。

该法律草案符合2014年5月29日《欧亚经济联盟条约》的规定以及俄罗斯联邦其他国际条约的规定,不会影响俄罗斯联邦国家计划的指标及其结果。

法案的通过将不需要俄罗斯联邦预算系统预算中的额外支出。

财政公正

实施《关于个人数据的联邦法修正案》不会导致俄罗斯联邦预算系统预算支出的增加。

联邦法律“关于个人数据”的修正的通过将不需要无效、暂停、修改和通过联邦法律。

联邦法律“关于个人数据”的修正将要求对通讯、信息技术和大众媒体领域的联邦监督局的命令进行修订,该命令的日期为2013年5月9日,第996号”批准个人数据匿名化的要求和方法。

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。