国家信息安全视阈下的白俄罗斯个人信息保护制度

文/孙庆祥 张兴豪

互联网技术的纵深发展加快了信息化与经济社会持续深度融合，互联网用户数量不断增加，个人信息的收集和使用场景愈发广泛。白俄罗斯位于欧亚大陆中心，是“丝绸之路”经济带上的重要支点。在复杂的地缘政治环境下，白俄罗斯个人信息保护法律制度的发展有其特殊性。

白俄罗斯信息安全发展概况

白俄罗斯拥有较为雄厚的信息技术基础。早在苏联时代，就建立起培养数学家、工程师和程序员的专业教育体系，苏联解体后仍延续这一传统。目前在白俄罗斯有几乎四分之一的大学生在攻读 STEM（即科学、技术、工程和数学专业）相关专业。根据国际电信联盟2017 年Measuring Information Society Report（即《信息社会测评报告》）评估，白俄罗斯ICT（即信息与通信技术）发展水平在世界列第32 位。截至 2019 年底，信息与通信行业产值占白俄罗斯GDP（国内生产总值）的 6.2%，IT（信息技术）行业相关公司90%的产品主要用于出口。

政治危机期间警察个人信息被反对派发布在互联网上

长期以来，由于自身国家市场容量有限，白俄罗斯并未对信息安全制度建设予以重视。但近几年随着克里米亚危机等事件导致白俄罗斯周边地区安全状况急转直下，欧盟也于2018 年推出《通用数据保护条例》（General Data Protection Regulation，简称GDPR）着力加强信息安全保护，白俄罗斯遂开始着手加强信息安全的顶层设计。经过长期酝酿讨论，2019 年3 月白俄罗斯国家安全理事会通过了《白俄罗斯共和国信息安全构想》，共26 章105 条，详细规划了个人信息安全、互联网安全的法律监管、打击信息高科技犯罪相关的各个方面的构想，并明确了国家信息系统、信息基础设施、信息空间等关键概念的定义，其中最核心的是明确了白俄罗斯共和国的信息主权。信息主权被规定为国家不可剥夺的排他性法律权力，由国家独立决定信息资源的所有权、使用权和处置规则，国家实行独立的对外和对内信息政策，构建国家信息基础设施，确保信息安全。白俄罗斯总统管理学院副院长亚历山大·伊万诺夫斯基认为，白俄罗斯居于众多发动信息战的潜在国家之间，有必要规划制定出符合自身特点的信息安全战略。白俄罗斯总统府下属行动分析中心专家叶甫盖尼·利普里亚宁则强调，随着国家信息安全构想的出台，白俄罗斯将按照信息安全系统SOC（Security Operations Center）概念建立国家信息中心，类似的机构已经在周边国家的实践中证明了可行性。

2020年白俄罗斯政治危机中暴露的个人信息安全问题

《白俄罗斯共和国信息安全构想》发布后，有关部门并未及时出台相关法律。在2020 年由白俄罗斯总统大选引发的政治危机中，相关专家设想的“信息战”成为现实：反对派组织境外黑客，通过网络对政府网站进行了一系列攻击。其中包括运用各种手段入侵政府部门数据库，窃取个人信息，尤其是亲政府的警察和军人的隐私信息，包括白俄罗斯警察部门、安全部门部长和高级领导人的身份、住址信息均被公布在互联网上，严重干扰、破坏了警察和军队的工作。综合白俄罗斯的媒体报道，笔者整理了相关案例。

案例一：2020 年12 月，明斯克市法庭审判了一起案件。戈梅尔州国家邮政公司一名邮递员，由于“对国内局势感到不安”，政治危机期间在网络聊天室中，向管理员发送了带有警务人员家庭住址的文档，导致警务人员信息泄露。随后相关警务人员家庭邮箱中收到有关个人隐私以及造谣污蔑的传单，致使多名警务人员的家庭和邻里关系受到影响进而辞职。在法庭上，该人辩解，其并非主动泄露。根据白俄罗斯法律，鉴于该人并无主观明显故意，并且没有散布传播的行为，法院只得将其保释。

案例二：2020 年6 月，白俄罗斯内务部有组织犯罪调查机构对一名曾在警务部门工作过的银行信息安全系统主管实施了抓捕。此人在警务部门工作期间，掌握了大量公务人员的职位、家庭住址、电话号码等信息。在政治危机期间，由于对警务部门不满，其将掌握的公务人员信息恶意发布在“电报”（Telegram）社交软件平台上，警务部门以煽动社会敌意或仇恨罪为由对他提起刑事诉讼。

案例三：2020 年10 月，白俄罗斯侦查机关向法院起诉该国最大的网络和电话服务商白俄罗斯电信（Beltelecom）两名员工。二人在政治危机期间，向“电报”（Telegram）聊天室管理员泄露了150 多名公务人员、法官、记者的个人信息。这些信息均为两人利用自己职务便利获取。其中一人得到了管理员以数字加密货币形式给予的300 美元报酬。公诉机关以煽动社会敌意或仇恨罪、干涉记者合法活动罪和非法获取计算机信息罪对其进行起诉。

在以上案例中，相关人员利用自己职权和掌握的数据，将政府公务人员个人信息出售，泄露给反政府势力，造成了严重后果。虽然在政治危机特殊期间相关行为被认定为煽动社会敌意或仇恨罪有法律依据，但这些案例也暴露出由于法律缺少对个人信息的定义和专门刑事责任的规定，致使行为人在没有主观故意情形下泄露个人信息导致的严重后果和所承担的法律责任并不相符等问题。

白俄罗斯通过刑法修正案加强个人信息保护

经过2020 年政治危机，白俄罗斯政府有关方面逐渐意识到个人信息保护的重要性。在传统意义上，信息和存储信息的载体是一体的，控制信息载体的人也掌握信息本身。但信息技术的发展导致信息一旦进入信息系统，个人就无法掌控，信息的掌握者、传输者、使用者都不可控不可知。这些信息可能扩散到世界任何地方，对个人权利乃至国家信息主权造成巨大危害。完善个人信息立法迫在眉睫。

为此，从加强国家信息安全角度，白俄罗斯立法部门审议通过了一系列法律文件。2021 年4 月16 日，白俄罗斯议会针对刑法中的个人信息保护规定，通过刑法修正案。具体而言，将原刑法第179 条中侵犯个人秘密、隐私的规定加以细化，并在203 条、203-1 条和203-2 条中重新予以阐述，详见表1。

通过新旧法律相关规定对比可见，白俄罗斯立法机关针对本文上一节中有关个人信息保护出现问题的案例，予以了针对性解决。可简要归纳总结为以下三个方面：一是进一步明确了犯罪行为，原关于个人隐私信息保护之179条仅规定了未经允许收集、传播个人信息的责任，而修正案203-1 条将泄露个人信息行为细分为收集与提供，以及传播两个层次。介于收集和传播环节之间的“提供”行为正式被规定在刑法之中。二是针对过失犯罪予以特殊规定，修正案203-2 条对处理个人信息者不遵守保护个人信息措施进行了规范，并对导致严重后果的以过失犯罪形式规定了刑法责任。三是突出了对公务人员的保护。203-1条第3 款针对公务人员以及家属侵犯个人信息的行为，构成结果加重处罚。

本次白俄罗斯立法部门的刑法修正，进一步明确了犯罪行为和刑事责任，从刑法角度对个人信息进行系统性保护。但仍有问题亟待解决，如随着信息科技和互联网技术日益发展，人们通信、工作、休息等活动逐渐走向线上，这种零散数据不仅仅对个人，甚至对商业、对国家的价值也愈发重要，个人信息的概念也随着技术发展而不断发生变化。那么包括刑法在内的法律所保护的“个人信息”范围应如何定义，除刑法之外是否还需要采取其他措施对个人信息加以保护等问题，需要相关部门制定更全面、系统的规范加以解决。

表1

白俄罗斯通过首部《个人信息保护法》

2021 年5 月，白俄罗斯通过首部专门的《个人信息保护法》，并于11 月正式生效。该法共5 章21 条，立法目的旨在处理个人信息时充分保护个人信息，保障个人的权利和自由。该法作为国家信息安全法律体系的一部分，在白俄罗斯个人信息保护发展进程中具有里程碑式的意义。

该法律将个人信息明确定义为“与已识别出自然人或可能识别出自然人相关的任何信息”，将个人信息范围进行了扩充解释。个人信息不仅包括可以单独识别某人的信息（例如已实际识别出的人的全名、居住地等信息），还包括其他本身不能识别、但结合其他信息可以识别某个人的信息（如银行卡号、工作地点信息、财产信息、兴趣爱好信息等）。

此前，白俄罗斯国家立法并未对处理个人信息过程中的主体角色进行界定。但随着该法生效，与欧洲《通用数据保护条例》“控制者”“处理者”等相似主体概念的引入，处理信息主体被分为运营者和授权者。作为运营者的白俄罗斯国家机构、法人实体或其他组织，依法按照作为授权者的国家机构的决定或协议，代表授权者的利益处理个人信息。这样，白俄罗斯就通过立法形式规范了作为授权者的国家机构与作为运营者的其他相关机构之间的关系。

此外，该法律还规定了处理个人信息的原则，以及运营者保护数据安全的义务。一般情况下，个人信息处理应在个人同意情况下进行。个人信息主体的同意可以通过书面形式或其他电子形式。个人有权在不说明理由的情况下，随时撤回其同意意见，并有权向有关机构申诉。

《个人信息保护法》作为特别法，与刑法作为一般法的个人信息保护相关规定相辅相成，凸显了白俄罗斯对于个人信息保护的重视，促进了白俄罗斯个人信息保护的制度化和体系化。

2021 年 10 月 22 日，白俄罗斯总统卢卡申科召开专题会议研究推进个人信息保护工作

政府设立专门保护个人信息的行政机构

为配合《个人信息保护法》的实施，就在该法即将生效前的2021 年10 月28 日，白俄罗斯总统卢卡申科亲自推进，以总统令形式指令成立白俄罗斯国家个人信息保护中心，任命白俄罗斯律师协会副主席、信息技术法律专家安德烈·加耶夫为首任中心负责人。

根据总统令，由国家个人信息保护中心代表国家作为个人信息处理权力的授权者，依法制定国家个人信息政策，监督作为运营者的相关机构的行为，并组织运营者开展个人信息保护的培训。国家个人信息保护中心本身并不储存个人信息，数据库和信息系统仍由运营者进行管理，但数据保护中心可以检查运营者处理个人信息是否符合法律规定，如发现违规可以以书面形式提醒告知，并可以终止运营者对个人信息的处理，涉及违法犯罪的可以会同相关执法部门采取进一步措施。该法令的颁布进一步从管理层面加强了国家对个人信息的保护，并确保公民权利和国家信息安全得到更充分的保障。

2021 年12 月，加耶夫在接受媒体采访时表示，目前白俄罗斯相关运营者个人信息保护违法情况仍较为严重，国家个人信息保护中心将进行定期和不定期检查，并鼓励民众举报违法线索。