俄罗斯个人资料法研究

2018-03-16 20:36张建文
重庆大学学报(社会科学版) 2018年2期
关键词:个人资料

张建文

摘要:俄罗斯个人资料法以在《自动化处理个人资料时保护自然人欧盟公约》为基础,以保护包括隐私权在内的处理个人资料时人和公民的权利与自由为宗旨,适用于包括非自动化个人资料处理在内的所有个人资料处理。其立法的最鲜明特色在于,以最大篇幅规定了个人资料处理人的义务,以此保障个人资料主体权利的实现,同时,明确规定了俄罗斯公民个人资料必须在俄罗斯境内保存的本地化保存要求,在作为法人的处理人内部设立个人资料专员制度。在国家监督与监察方面,创设了非独立的行政机关模式的个人资料主体权利保护主管机关,而非追随欧盟所倡导的独立的个人资料保护机关模式。

关键词:个人资料;个人资料主体;处理人;个人资料专员;个人资料主体权利保护

中图分类号:D912.8 文献标志码:A 文章编号:1008-5831(2018)02-0132-22

一、俄罗斯个人资料法的立法背景

《俄罗斯联邦个人资料法》(以下简称“个资法”)于2006年7月8日由国家杜马通过,随后14日获联邦委员会赞同。信息社会的典型特征就是信息、信息获取权①和对信息保护权的重要性增长②。个人资料保护在俄罗斯法体系中属于信息法组成部分③。俄罗斯对个人资料的保护以1993年俄罗斯联邦宪法对个人私生活秘密权的保护(第23条)为宪法基础④,与以往的苏联宪法不同,该宪法明确规定了人、其权利与自由为最高价值[1],引起了俄罗斯政治生活、国家制度和国家权力组织的深刻变革[2],维护俄罗斯人民的权利和自由至高无上,成为国家活动的根本,“自由好过不自由”[3]。1993年俄罗斯联邦宪法、俄罗斯联邦新民法典(1994—2006年)[4],以及1992年俄罗斯新司法体系改革被视为转型时期俄罗斯法律领域中最重大的成就。

1996年2月28日,俄罗斯签署《欧洲保护人权和基本自由公约》,接受欧洲人权法院的司法管辖,这成为俄罗斯国内立法创制和变革的重要推动力。在这段时期,俄罗斯在立法上选择了在人权问题上调整国内立法,以符合《欧洲人权公约》规定的标准,全面贯彻人权高于主权原则[5]。在俄罗斯当代法治国家概念中,国际法规范优先于国内法的规范已经成为其重要内容[6]。在美国和俄罗斯,国际条约的效力都高于国内法[7]。实际上在苏联解体前,俄罗斯苏维埃社会主义联邦(РСФСР)最高苏维埃在1991年11月22日通过了《人和公民的权利与自由宣言》,其第1条第2款就明确宣布,“公认的有关国际人权的国际规范高于俄罗斯苏维埃社会主义联邦共和国的法律,并直接产生俄罗斯苏维埃社会主义联邦共和国公民的权利和义务”。

俄罗斯个人资料立法的最直接推动力来自于俄罗斯2001年加入,2005年12月19日批准的《在自动化处理个人数据时保护自然人欧盟公约》。2003年底俄罗斯国家杜马审议了《个人资料法》草案,2006年7月27日通过并正式公布《个人资料法》。作为跨国信息交换的基本前提和促进电子商务与网络经济发展的基本保障,该法对保障俄罗斯与欧盟成员国进行跨国信息交换和促进其电子商务及网络经济的发展意义至巨[8]。

技术进步最剧烈地形塑了世界政治地图,改变了国家的角色。截至2017年9月底,该法迭经19次修改,不少最初的条文被废止或更替,同时也引入了最为前沿的制度。目前该法共计六章:《一般规定》《个人资料处理的原则和条件》《个人资料主体的权利》《处理人的义务》《对个人数据处理的监督和监察以及违反本联邦法律的责任》《最终条款》,整部法律共计25条。

在中国,对俄罗斯个人资料立法的研究,要么是不够完整全面地介绍和分析俄罗斯的个人资料立法,仅抽取其中的部分内容做介绍和分析,要么就是因为俄罗斯个资法立法的修改频仍,导致所使用的法律文本较为陈旧。

因此,笔者认为有必要以目前最新版本的《个人资料法》为蓝本,为国内介绍俄罗斯个人资料立法的基本制度和保护机制,特别是阐明俄罗斯个人资料法的全貌和与欧盟公约相比较而言的重要差异,以期为中国的民法典编纂和个人资料立法创制提供更有效、更全面、更细致的比较法助益。

二、俄罗斯个人资料立法的目的与适用范围

俄罗斯个人资料立法(Законодательство Российской Федерации в области персональных данных )的概念要广于个人资料法的概念。

在立法层级上,个人资料立法以俄罗斯联邦宪法和俄罗斯联邦的国际条约为基础,由个人资料法和规定个人资料处理之情形與特点的其他联邦法律构成,如《俄罗斯联邦劳动法典》第85—89条规定由于雇主和具体的劳动者之间的劳动关系而处理个人资料的特点和对劳动者的保护,《国家民事公务法》第22、42、48条规定了由于履行国家民事公务而处理个人资料的特点和对公务员的保护,《自治市公务法》也有类似规定,还有《公民健康保护基础法》

СЗ РФ.2011.№ 48.ст.6724.在医疗活动中对参与提供医疗服务的人和向其提供医疗服务的人的个人资料的处理等,在俄罗斯联邦劳动法典(第81、90、192条)、行政违法法典(第13.11、13.12、13.13、13.14条)以及刑法典(第137、140和272条)中规定了违反个人资料处理程序的责任。

国家机关、俄罗斯银行、地方自治机关在自己的职权范围内可以依据并为了执行联邦法律而就涉及个人资料处理的具体问题发布规范性法律文件,但是不得包含限制个人资料主体权利、设立联邦法律没有规定的限制处理人活动或者由处理人承担联邦法律没有规定的义务的条款,而且这些规范性法律文件应当公布(第4条的2款)。如2012年11月1日俄罗斯联邦政府《关于批准在个人资料信息系统中处理个人资料时保护个人资料的要求》的决议,规定了对在个人资料信息系统中处理个人资料时的保护要求和保护等级。这里的个人资料信息系统就是指通过几乎可以提供无限信息交换与信息发布机会的全球性电子信息通信网络(Internet)实现个人资料处理的信息系统。

在规范效力上,国际条约的规定优先于联邦法律适用。“如果俄罗斯联邦的国际条约规定了不同于本联邦法律的规则,则适用国际条约的规则”(第4条第4款)。在该领域中最为重要的法源是2005年12月19日俄罗斯批准的欧盟《在自动化处理个人资料时保护自然人欧盟公约》,但是俄罗斯在加入该公约时做了三项保留:第一,俄罗斯不将公约适用于(1)自然人仅为个人和家庭需要而处理的个人资料。(2)对依照俄罗斯联邦国家秘密立法规定的程序属于国家秘密的个人资料的处理。第二,如果公约的适用符合没有使用自动化设备而实施的个人资料行为的特征,则俄罗斯将公约适用于未经自动化处理的个人资料。第三,俄罗斯為自己保留为保护国家安全和公共秩序目的而对个人资料主体获取自己个人资料的权利设立限制之权力。这三项保留奠定了俄罗斯个资法与欧盟个人资料保护规范之不同的基础。2006年2月10日俄罗斯联邦总统签署了第54号《关于签署在自动化处理个人数据时保护自然人欧盟公约涉及监督机关和资料跨境移转的补充备忘录》总统令。

该法为俄罗斯在隐私权保护领域的首次专门立法。其第2条明确规定,该法的目的为“保障维护在处理个人资料时人和公民的权利与自由”,包括维护私生活(неприкосновенность частной жизни)、个人和家庭秘密不可侵犯的权利。该条意味着“赋予人以受到国家保障的监督有关自己的信息,阻止披露个人的亲密性的信息的权利”。在俄罗斯联邦民法典现代化过程中专门增加了“保护公民私生活”的第1522条,俄罗斯高度重视保护公民的互联网隐私[9],2016年7月俄罗斯还通过了关于被遗忘权的立法[10]。

根据个资法第3条的规定,个人资料(персональные данные)意味着“属于直接或间接确定或可以确定之自然人的任何信息”[11],该自然人即为个人资料主体(субъект персональных данных)在中国,有学者提出所谓的“公司等组织的个人信息受法律保护”问题,实在是对个人资料法的立法宗旨和保护对象的本质性误解。参见:崔建远《我国<民法总则>的制度创新及历史意义》(《比较法研究》,2017年第3期第180-192页)。,个人资料意味着不仅可据以将某人与他人相区分,还可以准确地查明(识别)他。“个人资料——这是将个人与社会和所有他的情势,首先是与每个单独的个人为自己所选择的情势相连结的线”。根据权威法律辞典的列举,个人资料包括:姓、名、父称,出生年月日,出生地,住址,家庭、社会和财产状况,教育,职业,收入和其他信息。

个人资料的处理,是指“使用自动化设备或者不使用此类设备而进行的任何个人资料行为(作业)或者行为(作业)之总和”,此类行为包括“收集、记录、体系化、积累、保存、更正(更新、更改)、抽取、使用、移转(传播、提供、获取)、匿名化、封存、删除、销毁个人资料”。较之于俄罗斯联邦民法典所规定的“未经公民同意不得收集、保存、传播和使用任何关于其私生活的信息”的范围,大大地扩展了个人资料所保护的范围。所谓的“自动化处理个人资料”是指“借助于计算机技术进行的个人资料处理”;传播个人资料是指“旨在向不特定的人群披露个人资料的行为”,提供个人资料是指“旨在向特定的个人或者特定的人群披露个人资料的行为”,而移转个人资料的行为还包括跨境移转个人资料,即“向外国境内的外国国家权力机关、外国自然人或者外国法人移转个人资料”;封存是指“暂时停止处理个人资料”;销毁是指“其结果为导致不可能恢复个人资料信息系统中个人资料之内容的行为,以及(或)其结果为销毁个人资料之材料载体的行为”;匿名化是指“其结果为非使用补充信息而不可能确定个人资料之于具体个人资料主体之归属的行为”。处理人包括两类:一是“独立或与他人共同组织和(或)实施个人资料处理的国家机关、自治市机关、法人和自然人”;另一类是虽然不直接组织也不直接处理个人资料,但“可以决定个人资料处理之目的、应当处理之个人资料的构成,以及对个人资料之行为(作业)”的国家机关、自治市机关、法人和自然人。

根据俄罗斯个资法第1条第1款的规定,俄罗斯个资法适用范围较广,既适用于国家机关(联邦国家权力机关、俄罗斯联邦主体的国家权力机关,以及其他国家机关)和自治市机关(地方自治机关和其他自治市机关)所进行的个人资料处理,也适用于法人和自然人进行的个人资料处理;既适用于使用自动化设备的个人资料处理,也适用于不使用自动化设备的个人资料处理,只要该不使用自动化设备的个人资料处理符合使用自动化设备的个人资料行为(作业)的特点,也就是“允许依照给定的算法查询固定在物质载体上和包含在卡片文件中或其他体系化的个人资料汇编中的个人资料,并(或)获取此类个人资料”,这一点构成了个人资料处理行为的本质性特点;既适用于在电子通讯信息网络中的个人数据处理,也适用于非在电子通讯信息网络中的个人数据处理。

同时,该法明确规定不适用以下三种情形:(1)自然人专为个人和家庭需要进行的个人资料处理,在此情况下不得侵犯个人资料主体的权利;(2)依照俄罗斯联邦档案事务立法组织保存、募集(комплектования)、点核和使用包含个人资料的俄罗斯联邦档案基金文件及其他档案文件;(3)依照规定程序处理属于构成国家秘密之个人资料。较之之前的五种情形已经大为减少了不适用个人资料法保护的例外情形[12],有利于保护个人资料主体的权利和合法利益。三种例外情形有两种,即第一种和第三种就是直接来源于俄罗斯加入欧盟公约时所作的保留。构成国家秘密的信息清单由联邦法律规定,任何人无权任意决定某项信息的保密性质并以此限制宪法自由。值得注意的是,对于提供、传播、移转和取得包含个人资料的俄罗斯联邦法院之活动信息,管理和使用为创建获取上述信息之条件的信息系统和电子通讯信息网络等不属于个人资料法之效力范围,由专门的联邦法律《保障获取俄罗斯联邦法院活动信息法》规定。

可以说,在个人资料的规制范围上,俄罗斯个资法的适用范围较欧盟广泛,且更符合当今个人资料法发展的趋势,即将公共机关进行的个人资料处理与私营部门以及个人进行的个人资料处理均纳入立法的效力范围之内。

三、俄罗斯法上个人资料处理的原则、条件与分类

(一)个人资料处理的原则

根据俄罗斯个资法第5条规定,个人资料处理有七项原则。

第一,合法与公平原则,即“个人资料处理应当在合法和公平的基础上进行”。

第二,目的限制原则,即“个人资料处理应当仅限于为达致具体的事先确定的合法目的。不允许与个人资料收集目的不相容的个人资料处理”。也就是说,个人资料的处理目的必须具备具体性、事先确定性和合法性三项特征,同时,禁止违背个人资料收集目的的个人资料处理行为。

第三,禁止数据库混合原则,也就是“不允许将包含个人资料的为相互不相容目的而进行个人资料处理的数据库混合”。

第四,只能处理符合处理目的之数据原则,即“只有符合处理目的的个人资料才应当被处理”。

第五,内容和范围限制原则,也就是“所处理的个人资料的内容和范围应当符合所提出的处理目的。所处理的个人资料相对于所提出的处理目的不应当为多余的”。

第六,资料质素原则,即“在处理个人资料时应当保障个人资料的准确性、完整性,而在必要的情况下还应当保障对个人资料处理目的而言的时效性。处理人应当采取必要措施保障对不完整或不准确的资料进行删除或者更正”,意味着要求个人资料要具备准确性和完整性两个一般要求,在特定情况下,还要具备个人资料的时效性的特殊要求。这一点对删除权的存在和行使具有极为重要的意义,而且在这里不是规定个人资料主体的权利,而是规定处理人的基本义务。

第七,禁止永久保存原则,即“个人资料的保存应当以可以确定个人资料主体的形式进行,不得超过个人资料处理目的所要求的时限,但联邦法律、个人资料主体作为合同受益人或者保证人的合同有不同规定的除外。所处理的个人资料在处理目的达成或者在达成此类目的之必要性丧失时,应当删除或匿名化,但联邦法律有不同规定的除外”。一方面是关于保存时限的一般性规定,即不得超过个人资料处理目的所要求的期限,在这方面允许当事人可以合同规定不同期限;另一方面是在目的达成或者目的达成必要性丧失时的强制性删除或者匿名化要求,只有联邦法律(排除俄罗斯联邦主体的立法)才可规定例外。

(二)个人资料处理的条件

个人资料处理的条件,是指在遵守前述规定的原则和规则的前提下在哪些情况下允许对个人资料进行处理。俄罗斯个资法第6条第1款规定了12种情形:(1)经个人资料主体同意而进行的个人资料的处理;(2)为达致俄罗斯联邦国际条约或法律规定的目的,为履行和完成俄罗斯联邦立法赋予处理人的职能、权限和义务所必要的个人资料的处理;(3)由于个人参加宪法诉讼、民事诉讼、行政诉讼、刑事诉讼、仲裁诉讼而进行的个人资料的处理;(4)为履行司法文书所必要的个人资料的处理,即为履行司法文书、其他机关或负责人的依照俄罗斯联邦强制执行立法应当履行的文书而进行的个人资料的处理;(5)为履行联邦执行权力机关、国家非预算基金机关、俄罗斯联邦主体执行权力机关、地方自治机关的权限,以及参与提供相应国家服务和自治市服务的组织的职能所必要的个人资料的处理;(6)为履行个人资料主体作为受益人或保证人的合同,为缔结按照个人资料主体提议的合同或个人资料主体将作为受益人或保证人的合同所必要的个人资料的处理;(7)如果不可能取得个人资料主体的同意,为保护其生命、健康或其他重大生存利益(иные жизненно важные интересы)所必要的个人资料的处理;(8)为处理人或第三人行使权利和合法利益,以及为达致重大社会目的所必要的个人资料的处理,其条件是在此情况下不得侵犯个人资料主体的权利和自由;(9)为记者从事职业活动和(或)大众信息传媒从事合法活动,以及为科学、文学或创作活动所必要的个人资料的处理,其条件是在此情况下不得侵犯个人资料主体的权利和合法利益;(10)为统计或其他研究性目的进行的个人资料的处理,其条件是必须将个人资料做匿名化处理;(11)对个人资料主体提供或按照其要求提供给不限定范围的人获取的个人资料(也就是个人资料主体使之成为可以公开获取的个人资料)的处理;(12)对依照联邦法律应当公布或强制披露的个人资料的处理。

在个人资料处理问题上,还有一些特别的要求,如对国家保护对象及其家庭成员的个人资料的处理要考虑相应特别立法的规定,对特种个人资料和生物个人资料规定了专门条款。

处理人除了亲自处理个人资料外,在联邦法律没有不同规定的情况下,还允许经个人资料主体同意依据与他人缔结的合同委托他人处理,包括国家订货契约或自治市订货契约,以及通过国家机关或自治市机关作出相应的文件而委托他人处理。依照处理人的委托从事个人资料处理的人,有义务遵循个资法规定的个人资料处理原则和规则。在处理人的委托中应当规定由实施个人资料处理的人实施的个人资料行为(业务)清单和处理目的,应当规定该人对个人资料保密的义务并保障个人资料在处理中的安全,还应当指明保护所处理的个人资料的要求(第6条第3款)。依据处理人的委托从事个人资料处理的人没有义务取得个人资料主体对处理其个人资料的同意(第6条第4款)。在处理人和受处理人委托处理个人资料的人之间,“处理人对该人的行为向个人资料主体承担责任。受处理人委托实施个人资料处理的人向处理人承担责任”(第6条第5款),也就是说,受委托人仅向委托人承担责任,而处理人(委托人)向个人资料主体承担责任,而受委托人不对个人资料主体直接承担责任。

(三)个人资料处理的分类

在俄罗斯法上,限制获取的信息作为一项法律制度,涵盖了包括但不限于个人资料在内的多项信息制度,如国家秘密、职务秘密、职业秘密、商业秘密、发明的实质性信息等。

俄罗斯个资法对个人资料的分类包括四类:公众可获取的个人资料(公开个人资料)、普通个人资料、特种个人资料和生物个人资料。实际上根据是否限制对资料的获取,只能分为两种:公开资料和限制获取的资料,但是为了对存在特定风险的个人资料的处理更为严格和审慎,尽可能地为个人敏感资料创造安全的环境,俄罗斯個资法将特种个人资料和生物个人资料单独作为独立的个人资料类型予以更加严格的法律调整。无论是哪种个人资料,在个人资料法上,处理人和其他取得对个人资料之获取的人原则上都负有保密义务,有义务不得向第三人披露,也不得未经个人资料主体同意而传播个人资料,除非联邦法律有不同规定(第7条)。

1.公众可获取的个人资料(公开个人资料)

公开个人资料(открытая информация),也被称为公众可获取的个人资料(Общедоступные источники персональных данных),指为了保障信息目的而建立的公众可获取的个人资料来源,包括指南、地址簿、传记、书目、电话簿、私人广告等。这是信息法上的新制度,是为了保障信息、保障的目的而建立的制度。可以纳入公众可获取的个人资料来源的个人资料须经个人资料主体书面同意,通常包括其姓、名、父称,出生年份和地点,地址,用户号码,职业信息以及其他由个人资料主体提供的个人资料。该制度的特点在于,个人资料主体的信息应当在任何时候都按照个人资料主体的要求以及法院判决或其他主管国家机关的决定而从公众可获取的个人资料来源中删除。

2.普通个人资料

普通个人资料,实际上并没有明确列举,也没有明确的概念。但是从俄罗斯个资法第8—11条可以看出,在公开个人资料、特种个人资料,以及生物个人资料之外的个人资料,就是所谓的普通个人资料,因为在针对这三种有特别制度规定的个人资料之外,还规定了一般性的对个人资料处理的同意原则,而对特种个人资料和生物个人资料在此基础上提出了更加严厉的要求。

对普通个人资料的处理来说,较为重要的问题是关于个人资料主体对处理其个人资料的同意。

个人资料主体在同意提供和撤回问题上享有完全的自由。“个人资料主体自由地以自己的意愿为自己的利益做出提供个人资料的决定和给予处理其个人资料的同意。处理个人资料的同意应当是具体、知情和自觉的”(第9条第1款)。处理个人资料的同意可以由个人资料主体或其代理人以任何可以证明取得同意之事实的形式提供,在从个人资料主体代理人处取得处理个人资料之同意时,该代理人以个人资料主体的名义给予同意的权限由处理人審查。个人资料处理的同意可以由个人资料主体撤回。在撤回的情况下,处理人不得继续处理,但在存在该法第6条第1款第2—11项以及第10条第2款和第11条第2款时,允许无须个人资料主体的同意继续处理个人资料,且可以从非为个人资料主体的人取得个人资料(第9条第3、8款)(参看前文部分和下文部分)。处理人承担对取得个人资料主体的同意和存在无须个人资料主体同意而处理其个人资料的理由的证明义务(第9条第2—3款)。

对于个人资料主体的同意有形式和内容上的要求。在联邦法律规定的情况下,个人资料处理须经个人资料主体书面同意。在这里,依照联邦电子签名法签署的电子文件形式的同意,等同于包含个人资料主体亲笔签名的在纸质载体上的书面同意。书面同意应当包括以下内容:(1)个人资料主体的姓、名、父称,地址,基本身份证明文件的编号、签发日期和签发机关信息;(2)(在从个人资料主体代理人取得同意的情况下)个人资料主体代理人的姓、名、父称,地址,基本身份证明文件的编号、签发日期和签发机关信息,授权委托书或其他证明其代理人权限的必备条件;(3)取得个人资料主体同意的处理人的名称或姓、名、父称及地址;(4)个人资料处理的目的;(5)个人资料主体同意处理的个人资料清单;(6)如果处理是委托给他人的,依照处理人委托实施个人资料处理的人的名称或者姓、名、父称及地址;(7)同意实施的个人资料行为的清单,对处理人所使用的个人资料处理方式的一般描述;(8)个人资料主体同意的有效期限及撤回的方式;(9)个人资料主体签名(第9条第4款)。

在个人资料主体无行为能力时,处理其个人资料的同意由其法定代理人提供;在个人资料主体死亡时,处理其个人资料的同意由其继承人提供,但该同意已经由个人资料主体生前提供的除外(第9条第6—7款)。

3.特种个人资料

特种个人资料制度的目的主要是加强对特种个人资料(Специальные категории персональных данных)的保护和明确允许处理特种个人资料的情形。

俄罗斯个资法将特种个人资料列入原则上禁止处理的范畴,仅在例外的情况下才允许处理。此类特种个人资料包括涉及种族归属、民族归属、政治观点、宗教或哲学信念、健康状况、性生活的个人资料(第10条第1款),以及犯罪前科(同条第3款)。而且,在法律允许处理的例外情况下进行的特种个人资料处理,在导致其进行处理的原因消除后应当立即终止,但联邦法律有不同规定的除外(第10条第4款)。

允许处理的例外情况包括:(1)个人资料主体书面同意处理自己的个人资料;(2)个人资料主体使个人资料成为公众可获取资料,其分为由于履行有关遣返的俄罗斯联邦国际条约所必要的个人资料处理,以及依照俄罗斯联邦国家社会救助立法、劳动立法和退休立法进行的个人资料处理三个方面;(3)为了保护个人资料主体的生命、健康或其他重大生存利益,以及他人的生命、健康或其他重大生存利益,且不可能取得个人资料主体的同意;(4)出于医学预防目的,为进行医疗诊断、提供医疗和医疗社会服务进行的个人资料处理,其条件是个人资料处理是由职业性从事医疗活动的人并依照俄罗斯联邦立法负有保守医生秘密的人进行;(5)由相应依据俄罗斯联邦立法进行活动的社会团体或者宗教组织为了达致其设立文件规定的合法目的而对社会团体或者宗教组织成员个人资料的处理,其条件是个人资料未经个人资料主体书面同意不得传播;(6)为设立或者行使个人资料主体或第三人的权利所必要的个人资料处理,由于进行司法审判而进行的个人资料处理亦同;(7)依照俄罗斯联邦国防、安全、反恐、交通安全、反腐败、业务搜索活动、强制执行、刑事强制执行立法而进行的个人资料处理,包含由检察机关为进行监察监督而对在俄罗斯联邦立法规定的情形下取得个人资料的处理;(8)依照强制保险立法和保险立法而进行的个人资料处理;(9)在俄罗斯联邦立法规定的情况下由国家机关、自治市机关或组织为安置无父母监护儿童在寄养家庭的教养而进行的个人资料处理;(10)依照俄罗斯联邦国籍法而进行的个人资料处理(第10条第2款)。值得注意的是,对于犯罪前科的个人资料的处理可以由国家机关或自治市机关在依照俄罗斯联邦立法赋予的权限范围内处理,以及由他人在联邦法律规定的情形下并依照其规定的程序处理(第10条第3款)。

4.生物个人资料

所谓生物个人资料(Биометрические персональные данные),是指“可以据以查明人的身份的表征人的身体特征和生物特征”。在生物个人资料被处理人用以查明个人资料主体的身份时,仅可在存在个人资料主体书面同意时方可处理(第11条第1款)。例外的允许无须个人资料主体同意而进行生物个人资料处理的情形为:由于履行关于遣返的俄罗斯联邦国际条约,由于进行司法审判和执行司法文书,以及在俄罗斯联邦国防、安全、反恐、交通安全、反腐败、业务搜索活动、国家公务、刑事执行、出入境程序、国籍立法规定的情形(第11条第2款)。

(四)个人资料的跨境移转

个人资料的跨境移转是个人资料处理行为之一种,由于其涉及个人资料主体权利国际保护问题,因此成为个人资料法关注的基本问题。

俄罗斯个人资料跨境移转制度,与欧盟关于在自动化处理个人资料时保护自然人的公约相衔接,区分转入国是否为欧盟公约成员国,是否能够保障有效保护个人资料主体权利的标准,建立了一个由作为欧盟公约当事国的外国国家、能够有效保障个人资料主体权利的外国国家和不能有效保障个人资料主体权利的外国国家构成的不同层级的跨境保护机制。

原则上在作为欧盟公约成员国的外国国家境内以及在能够保障有效保护个人资料主体权利的外国国家境内,可以依照俄罗斯个资法进行个人资料跨境移转,但是该移转可以为了保护俄罗斯联邦宪政制度基础、道德、公民的健康、权利和合法利益,保障国家防务和国家安全而予以禁止或者限制(第12条第1款)。

个人资料主体权利主管保护机关负责批准不是欧盟公约成员国,但能够有效保障个人资料主体权利的外国国家名单。其标准为虽然该国不是欧盟公约成员国,但是在该国有有效的法规范和所适用的个人资料安全措施符合前述公约的规定(第12条第2款)。可见在这里所采取的标准是以欧盟公约的保护水平和规则作为实质性标准。而且,处理人在开始实施个人资料跨境移转之前有义务确保个人资料移入国能有效保障个人资料主体权利的保护(同条第3款)。

对于不能有效保障对个人资料主体权利保护的外国国家,仅在以下五种情形下才允许进行个人资料的跨境转入:(1)存在个人资料主体对其个人资料跨境转移的书面同意;(2)俄罗斯联邦国际条约规定的情形;(3)联邦法律规定的为保护俄罗斯联邦宪政制度基础,保障国家防务和国家安全,以及保障交通综合体的稳定和完全运行,保护个人、社会和国家在交通综合体免受非法干涉领域内的利益的情形;(4)履行个人资料主体作为当事人的合同;(5)在无法取得个人资料主体书面同意时保护个人资料主体或他人的生命、健康、其他重大生存利益(第12条第4款)。

四、个人资料主体的权利

俄罗斯学者认为,非物质利益主观民事权利的内容通常有三种:请求权、积极行动权和诉权。积极行动权可能由多个权限构成。个人资料主体的权利在中国,有学者认为,《民法总则》第111条“个人信息受法律保护”的规定并未确认个人信息权,只是从信息安全的角度规定了主体外的其他人的义务。参见:郭明瑞《关于人格权立法的思考》(《甘肃政法学院学报》,2017年第4期第1-7页)。是一个由多项权利构成的权利束。主要包括四种:一是获取其个人资料的权利;二是在为推销市场上的商品、工作和服务,以及为进行政治鼓动时的权利;三是在仅依据自动化个人数据处理做出决定时的权利;四是对处理人作为或者不作为的申诉权利。

(一)个人资料主体获取其个人资料的权利

1.个人资料主体取得涉及其个人资料处理的信息的权利

个人资料主体有权获取以下信息:(1)确认处理人处理其个人资料的事实;(2)处理个人资料的法律依据和目的;(3)个人资料处理的目的和处理人所使用的方式;(4)处理人的名称和所在地,可能依据与处理人之间的合同或依据联邦法律获取个人资料或向其披露个人资料的人(处理人的工作人员除外)的信息;(5)被处理的属于个人资料主体的个人资料,取得的来源,但联邦法律规定了提供這些资料的其他程序的除外;(6)个人资料处理的期限,包括保存期限;(7)个人资料主体行使联邦法律规定权利的程序;(8)已经实施或预定的跨境资料移转的信息;(9)如果处理是委托或将委托某人的话,受处理人委托实施个人资料处理的人的名称或姓、名、父称和地址;(10)本联邦法律或者其他联邦法律规定的其他资料(第14条第1、7款)。

对前述资料的形式、内容和提供方式,俄罗斯个资法也有具体的规定。该类资料“应当以可获取的方式由处理人提供给个人资料主体,而且其中不得包含属于他人的个人资料,但对披露该类个人资料有合法利益存在的情形除外(第14条第2款)”。该类资料“在个人资料主体或其代理人来访或收到其来函时提供给个人资料主体或其代理人”,来函应当包括证明个人资料主体或其代理人身份的基本证明文件,文件签发日期和签发机关的信息,证明个人资料主体参加与处理人之间关系的信息(合同编号、合同缔结日期、有条件的口头名称和(或)其他信息),以及以其他方式证明处理人处理个人资料的事实的信息,个人资料主体或其代理人的签名。函件可以电子文件形式提交并经依照俄罗斯联邦立法的电子签名签署(第14条第3款)。

获取前述资料的权利可以再次行使。在前述信息以及所处理的个人资料已经按其来函提供个人资料主体了解的情况下,个人资料主体有权在不早于第一次到访或发出第一次函件之后30日内再次造访处理人或向其发出第二次函件以取得前述信息和了解此类个人资料,但依照联邦法律、规范性法律文件或个人资料主体作为其受益人或保证人的合同规定了更短期限的除外。由于处理初次来访而没有提供完整的此类信息和(或)所处理的个人资料,个人资料主体有权在前述期限届满之前再次造访处理人或向其发送第二次函件以便获取前述信息以及了解所处理的个人资料。第二次去函除了包含前述规定的信息之外还应当说明再次来函的理由(第14条第4—5款)。处理人有权拒绝履行不符合规定条件的第二次来函。该拒绝应当叙明理由。处理人承担证明其拒绝履行第二次来函之合理性的义务(第14条第6款)。

猜你喜欢
个人资料
《民法典》术语“个人信息”的名与实:“个人信息/数据/资料”辨析
俄罗斯个人资料法研究
全港选民资料恐外泄
信息爆炸时代下个人资料保护法律制度之理论研究
“互联网+”时代网络隐私权保护立法的完善
大数据时代个人资料隐私权的法律保护