| 当前位置: | 首页 |
|
2023年3月1日起俄罗斯联邦个人数据保护领域的立法已发生重大变化。这些变化将影响到所有处理俄罗斯个人数据的主体,包括进入俄罗斯市场的中国企业,修正案要求数据处理者跟上所有变化,因为无知并不能免除企业责任,而不履行法律法规的强制性要求则会受到相应的惩罚。
准备进入或者已经进入俄罗斯市场的中国企业,应及时制定和发布公司数据合规制度,包括个人数据保护的组织和技术措施、销毁个人数据的规则、评估对个人数据主体造成损害的规则、个人数据泄露事件的上报规则以及应急流程等;定期分析个人数据处理的流程,以确保变更内容的及时更新与数据处理者登记册保持一致。
笔者将基于《俄罗斯联邦个人数据法》修正案(以下简称“修正案”)内容以及多年数据合规实践经验,以中国汽车企业为例,对处理个人数据的处理者给出相应的建议。
修正案的数据合规新要求:
1.涉及个人数据处理变更和个人信息出境需按照新的要求和程序发送通知
根据《俄罗斯联邦个人数据法》新修订内容,个人数据处理者必须在下一个月的15日之前,将当月有关个人数据处理的任何变更通知俄罗斯联邦通信、信息技术和大众传媒监督局Роскомнадзор(以下简称“俄罗斯通信监督局”),所有变更均需提交通知。根据变更前的规定,需不迟于变更之日起10个工作日以告知函的形式发出上述通知。请注意,如果个人数据处理的负责人并未就相关变更发出通知,则根据《俄罗斯联邦行政违法法典》第19.7条,企业可能会被追究行政责任,并被处以5000卢布以下的罚款。
从2023年3月1日起,数据处理者必须向俄罗斯通信监督局报告跨境个人数据传输。俄联邦通信监督局在报告中已批准了涵盖89个国家的名单(国家名单详见注释),如果国家不在名单上,就必须获得个人数据跨境传输的许可,当这个国家在该名单上,企业仅需要通知俄联邦通信监督局(通知链接详见注释)。
2.将个人数据销毁相关的证据保存3年的义务
《个人数据销毁规则》由联邦通信、信息技术和大众传媒监督局2022年10月28日第179号命令批准,现已生效有效期将持续至2029年3月1日。在修正案生效之前,数据处理者可自行决定个人数据销毁事实的记录程序。中国企业需注意,自2023年3月1日起,如处理俄罗斯联邦的个人数据,在销毁个人数据时,必须准备一份个人数据销毁规则的特殊文件,修正案生效之前俄罗斯联邦监管机构是建议这样做,现在是必须制定此类文件,而且应当符合监管机构的合规要求,无论包含个人数据的载体是纸质的有形载体还是存储于信息系统中的个人数据。个人数据销毁文件中应当包括销毁数据类别清单、数据载体的名称和数量、销毁的方法和原因。如销毁处理是通过自动化手段进行的,则需提供个人数据销毁的信息系统日志。
《俄罗斯联邦个人数据法》下的销毁个人数据是指在销毁后无法恢复个人数据内容的行为。例如,粉碎个人数据的材料(比如纸张)载体。数据处理者需要销毁个人数据的场景如下:
●数据主体撤回对数据处理的同意;
●个人数据的处理目的已达到或不再需要达到处理的目的;
●个人数据处理不合法(例如,俄罗斯联邦禁止将个人数据跨境传输给外国人);
●在收到数据主体要求销毁其非法获取、不完整、不准确、过时或非处理目的所必需的数据时。
中国汽车企业应正确执行个人数据销毁行为并保存相关的记录,一方面保护数据主体权利,另一方面是企业证明自己履行了合规义务的重要内容,如遇到监管机构问询或数据主体起诉时可以有效保护企业的合法权益。如未按照上述要求执行的企业,根据《俄罗斯联邦行政违法法典》第13.11条第5部分,公司可能要承担行政责任,并且对此类违法行为的罚款最高可达9万卢布。
3.正确报告个人数据泄露事件
关于个人数据泄露事件登记程序经2022年11月14日俄联邦通信监督局第187号命令批准正式生效。个人数据泄露事件包括导致非法提供、分发、访问等转移个人数据的任何事实,个人数据处理者有义务将侵犯数据主体权利的事实通知俄联邦通信监督局。
通知有两种类型:主要通知需在24小时内提供、补充通知需在72小时内提供。主要通知应包含有关个人数据泄露事件可能的原因、可能对数据主体造成的损害以及补救措施。补充通知应包含有关个人数据泄露事件的内部调查结果,如果在调查期间确定了个人数据泄露事件的责任人,则应说明责任人。如俄联邦通信监督局认为数据处理者提供的信息不充分或不可靠,则有权要求其提供补充信息,数据处理者应当在3天内提供俄联邦通信监督局要求的信息。
4.损害评估新规则
《因违反《俄罗斯联邦个人数据法》对数据主体可能造成的损害进行评估的规定》,俄联邦通信监督局已于2022年10月27日第178号命令批准生效,有效期至2029年3月1日。该规定明确要求,必须由个人数据处理负责人或者个人数据处理委员会对可能造成的损害进行评估。
对数据主体造成的危害程度分为三级:高、中、低,确定危害程度需综合评估以下因素:
●处理未成年人的个人数据;
●在网站上传播个人数据;
●物识别数据或特殊类别的个人数据(如国籍、种族、宗教信仰等);
●个人数据的匿名化,包括提供专门的匿名化服务;
●委托外国人处理个人数据或使用位于俄罗斯境外的数据库收集数据;
●利用自身的个人数据库,通过与消费者的联系促销商品和服务;
●通过官方网站上的功能获得对个人数据处理的同意,而不涉及对数据主体的进一步识别和(或)认证;
●其他因素。
损害评估结果应记录在报告中,如果损害评估显示可能对数据主体造成不同程度的危害,则应适用损害程度较高的评估结果。俄罗斯联邦法律并未规定不执行损害评估的罚则,但如果在俄罗斯联邦监管机构的检查中发现违规行为,则必须予以纠正。
俄罗斯与汽车数据合规相关的法律法规
俄罗斯联邦是《有关个人数据自动化处理之个人保护斯特拉斯堡公约》成员国,有关个人数据保护的国内法律法规主要体现在:
✔1993年7⽉21⽇出台的《俄罗斯联邦国家秘密法》是保护国家秘密数据安全的基本法。1995年公布第一个国家秘密信息清单。 随后俄罗斯联邦陆续制定了涉及国家秘密信息的操作流程和实施细则,进一步明确定密责任人的职责权限、资格条件、指定程序及管理培训制度以及向提供涉密服务机构颁布许可证等相关条例。
✔2006年7月27日第152号联邦法律《俄罗斯联邦个人数据法》(以下简称《个人数据法》)是俄罗斯联邦在个人信息保护领域最重要的法律。该法自颁布之后经过了多次修改,保护个人数据的力度不断增强。2022年7月14日俄罗斯总统普金签发俄罗斯第152号联邦法律修正案,更新为第266号联邦法律,修正的内容大部分从2022年9月1日开始生效,其他部分自2023年3月1日开始生效。
✔2006年3月13日第38号联邦法律《俄罗斯联邦广告法》发布,其修正案于2022年9月1日正式生效,任何通过电子通讯网络,包括电话、传真和移动电话通讯进行的广告发布,只有在用户明确同意接收广告的情况下才可发送。明令禁止使用自动拨号或自动邮寄设施进行营销。
✔1995年2月20日颁布《俄罗斯联邦信息、信息化与信息保护法》。2014年5月7日,俄罗斯发布联邦第97号法令《俄罗斯联邦<信息、信息化与信息保护法>修正案及个别互联网信息交流规范的修正案》对《信息、信息化与信息保护法》进行了修改。
✔2019年5月1日“主权互联网法案”第90号联邦法案对俄罗斯联邦《通信法》和《信息、信息化与信息保护法》进行修订,强调紧急情况下网络系统能够安全、稳定、可持续运行。
✔《俄罗斯联邦民法典》 因违反个人数据处理规则而给个人造成损失,应当承担赔偿责任。
✔《俄罗斯联邦刑法典》未经本人同意,非法收集或传播构成其个人或家庭秘密的私人生活等信息,可能面临高额罚款甚至监禁。
✔《俄罗斯联邦行政违法法典》在法律未规定的情况下处理个人数据,或处理个人数据时与收集的目的不符等情况,可能面临行政处罚。
✔《俄罗斯联邦劳动法典》雇员的个人资料应当得到足够的保护。
✔2017年7月28日第1632号俄罗斯联邦政府行政命令通过《俄罗斯联邦数字经济纲要》明确将人工智能作为端到端数字技术的一项被纳入到纲要框架下。
罗 兰,北京德和衡律师事务所执业律师
(来源:德和衡研究院)