摘要

2020年12月9日，俄罗斯联邦会议国家杜马（俄罗斯的常设立法机构，主要负责起草和制定国家法律）发布《联邦个人数据法》的修正案草案，进一步明确公共个人数据处理规则，旨在建立保护个人数据主体权利和自由的机制。

同是2006年，俄罗斯颁布了个人数据保护领域的首部专门立法—《联邦个人数据法》，全文共有6章24条，旨在保障公民个人数据处理中的权利和自由，明确了以下内容：  

一是界定个人数据、个人数据处理者以及个人数据处理活动等基本概念。个人数据是指任何直接或间接属于特定或可确定的自然人的信息；同时规定个人数据处理者涵盖政府机构，个人数据处理活动为使用或不使用自动化工具对个人数据进行任何操作或操作的总和。

二是规定个人数据处理原则和条件。处理原则主要包括：合法公平、目的限制、安全保障、准确充分、及时删除等。处理条件主要包括：个人同意、为实现法定职责所必需、因诉讼程序或者执行程序所必需、为履行合同所必需、为保护个人的生命、健康或其他重大利益所必需、为了处理者和第三人的权利和合法利益所必需、在不损害个人合法权益的前提下进行舆论报道或者文学创作、个人公开的个人数据、根据联邦法律应当披露的个人数据等。

三是明确个人对其个人数据享有的权利。权利类型主要包括三类：首先是基础性权利，即一般的访问查询权、更正删除权、知情权等；其次是商业营销中个人的权利，通过借助通讯设备直接与潜在消费者联系，从而推广产品、作品和服务，或者为了政治宣传处理个人数据，仅在个人数据主体预先同意的情况下允许。如果处理者不能证明已经获得同意，则上述个人数据处理被视为未经个人数据主体预先同意；最后是自动化决策中个人的权利，除经过个人数据主体书面同意，或者为维护个人数据主体权利和合法利益的情况外，原则上禁止基于个人数据完全自动化处理作出对个人数据主体产生法律后果、或以其他方式触及其权利和合法利益的决定。而且，处理者有义务向个人数据主体说明依据个人数据完全自动化处理决策的程序和决策可能产生的法律后果，允许对此类决策提出异议，并说明个人数据主体维护自身权利和合法利益的程序。

四是确立个人数据保护监管机制。俄罗斯目前没有个人数据保护专门机构，个人数据保护工作由俄罗斯联邦通信和大众传媒部负责。该部门是俄罗斯联邦政府的组成部门之一，受俄罗斯总理领导，成立于2008年5月12日。立法规定个人数据主体权利保护主管机构有权：1）向自然人或者法人征询并无偿获取其履行职权所必需信息；2）检查个人数据处理通知中的信息；3）要求处理者更正、冻结或者销毁不实或者非法获取的个人数据；4）向法院起诉要求保护个人数据主体权利，向检察机构、其他执法机构提交材料，处理与侵犯个人数据主体权利有关的刑事诉讼；5）向俄罗斯联邦政府提出完善个人数据主体权利保护法律法规的建议。

02 此次修订重点解决公开个人数据处理问题

此前，《联邦个人数据法》已规定了公开的个人数据处理规则。一方面，规定任何主体均可处理经个人书面同意公开的个人数据（包括其姓、名、父称、出生年份、出生地、地址、个人号码、职业和个人数据主体提供的其他个人数据）。另一方面，规定依照个人数据主体的要求，或按照法院及其他有权限的国家机构的决定，可以随时删除已公开的个人数据。但是，由于上述的规定不设限制地允许第三方处理公开的个人数据，可能侵犯个人合法权益。为此，修正案从以下方面，进一步明确了已公开个人数据的处理要求：

一是公开个人数据的同意必须是单独的、明确的。首先，对于公开的个人数据的同意应与个人数据主体处理其个人数据的其他同意分开；其次，不得采用默认勾选或者“替”个人做选择等非明示的方式获得个人同意；最后，网络运营者应当为个人提供公开个人数据的清单。

二是公开个人数据的同意并非永久性同意，而是具备有效期限的暂时性同意，网络运营者在获得个人同意时，需要告知个人同意的具体期限。

三是公开个人数据的同意可以是限制范围的同意，个人在同意公开其个人数据时，可以做出两方面的限制，一方面是可限制网络经营者将公开个人数据转移给第三方，另一方面可禁止第三方处理公开个人数据或者规定第三方处理公开个人数据的要求。如果个人未就处理公开个人数据作出限制性要求，则认为第三方可不受限制地处理公开个人数据。

四是规定处理公开个人数据的例外情形，为履行法定职责所必需或者为维护国家、社会和其他公共利益时，可以不受个人同意的限制而处理公开个人数据。

五是个人数据主体有权要求网络运营者删除其已公开的个人数据，而且无需证明其个人数据被非法处理，在收到个人的删除请求时，网络运营者应及时删除相关个人数据。

附：俄罗斯《联邦个人数据法案》译文

来源：信通院互联网法律研究中心 CAICT互联网法律研究中心，

作者：杨婕，信通院互联网法律研究中心研究员

译文：杨婕，互联网法律研究中心研究员；刘芳铭，互联网法律研究中心实习生