摘 要：《個人資料法》在俄羅斯具有個人資料保護(hù)之基準(zhǔn)法的地位。相較于此前的《俄羅斯聯(lián)邦憲法》、俄羅斯聯(lián)邦參加的涉及隱私保護(hù)之國際條約以及俄羅斯國內(nèi)其他立法，該法對個人資料保護(hù)更顯體系化和具體化。該法確立了個人資料處理的原則與一般情形，并對相關(guān)基本概念作出了界定。其所確定的對建立個人資料之公開獲取途徑、賦予個人資料主體對自己個人資料處理之決定權(quán)、區(qū)分特種個人資料與生物個人資料并分別相應(yīng)予以不同保護(hù)等制度乃為其亮點(diǎn)，值得我國借鑒。

關(guān)鍵詞：個人資料；隱私；個人資料處理；個人資料保護(hù)

作者簡介：凃詠松，男，法學(xué)博士，西南政法大學(xué)俄羅斯法研究中心副主任，民商法學(xué)院副教授，從事民法學(xué)研究。

中圖分類號：D913 文獻(xiàn)標(biāo)識碼：A 文章編號：1000-7504（2014）01-0014-09

俄羅斯個人資料保護(hù)制度，主要依據(jù)俄羅斯聯(lián)邦憲法、俄羅斯聯(lián)邦參加的國際條約，并由2006年7月通過的《個人資料法》和其他規(guī)定個人資料處理的情形與特殊性的聯(lián)邦法律予以確立的。

《個人資料法》在俄羅斯具有個人資料保護(hù)之基準(zhǔn)法的地位，即國家機(jī)關(guān)可以在自己的權(quán)限范圍內(nèi)就具體的個人資料處理問題發(fā)布規(guī)范性法律文件，但不得包含限制個人資料主體權(quán)利的條款，且應(yīng)當(dāng)正式公布（但包含聯(lián)邦法律限制獲取的信息的情形除外，該法第4條第1～2款）。除了更加關(guān)注公民的權(quán)利和自由以外，該法還具有過渡時期制憲性立法的另一個特征，即俄羅斯聯(lián)邦參與的國際條約具有優(yōu)先性，在該類國際條約有不同于該法之規(guī)定時，適用國際條約的規(guī)則。[1]（P163）

一、俄羅斯個人資料保護(hù)的立法變遷

《個人資料法》出臺之前，俄羅斯在立法中一直嘗試著對個人資料的保護(hù)，無論是其憲法還是加入的國際條約，以及專門制定的《信息、信息技術(shù)和信息保護(hù)法》均對此領(lǐng)域有所涉及。通過上述立法活動，俄羅斯構(gòu)建了個人資料的保護(hù)法律制度，但是事實(shí)證明這還遠(yuǎn)遠(yuǎn)不夠，《個人資料法》的出臺實(shí)際上是俄羅斯前期立法成果的歸納和總結(jié)。

（一）《俄羅斯聯(lián)邦憲法》對個人資料的保護(hù)

1. 《俄羅斯聯(lián)邦憲法》的具體規(guī)定

依照1993年12月通過的《俄羅斯聯(lián)邦憲法》（以下簡稱“俄憲”）的規(guī)定，人人享有私生活不可侵犯、個人和家庭秘密、自己的名譽(yù)和好名聲保護(hù)權(quán)（第23條1第1款），書信、電話交談、通郵、電報(bào)和其他通訊秘密權(quán)（第23條第2款）。不允許未經(jīng)同意而匯集、保管、使用和傳播個人的私生活信息（第24條2第1款）。干預(yù)私生活、限制電話交談和通訊只有依據(jù)俄羅斯聯(lián)邦法律或者法院的判決才可進(jìn)行。住宅不可侵犯在俄憲第25條3中受到保障。在俄憲第29條中包含了對言論自由和信息交換自由（以任何合法方式尋找、取得、移轉(zhuǎn)、生產(chǎn)和傳播信息的權(quán)利）的保障，以及對書刊檢查的禁止。按照俄憲第15條第1部分，上述條件具有最高效力和直接作用。根據(jù)俄憲第55條第3款，“人和公民的權(quán)利與自由由聯(lián)邦法律在為保護(hù)憲政制度的基礎(chǔ)、道德、他人的健康、權(quán)利和合法利益、保障國家防務(wù)和國家安全的目的所必要的限度內(nèi)予以限制”。

2. 對俄羅斯聯(lián)邦主體-共和國的憲法的影響

在21個俄羅斯聯(lián)邦主體-共和國的憲法中有16個完全（或略加修改）復(fù)制了俄憲第23、24和25條。在印古什共和國和巴什科爾多斯坦共和國的憲法中對這些保障有些不同的表述。在巴什科爾多斯坦共和國的憲法中還增加了關(guān)于只有依據(jù)法院判決才允許進(jìn)行搜查的內(nèi)容。在撒哈（雅庫梯）共和國憲法中有關(guān)于住宅不受侵犯的保障，但沒有提到私生活不可侵犯。在卡列利亞和卡爾梅克憲法中則連這些權(quán)利保障都沒有。

3. 立法評價

《俄羅斯聯(lián)邦憲法》對個人資料的保障主要體現(xiàn)為以下特點(diǎn)：（1）為專門部門法的制度奠定了憲法基礎(chǔ)。雖然該憲法只是較為籠統(tǒng)而抽象地規(guī)定了對個人的私生活信息等與個人資料密切相關(guān)客體的權(quán)利保障問題，但為進(jìn)一步制定專門的個人資料保護(hù)法奠定了基礎(chǔ)。（2）對俄羅斯聯(lián)邦主體-共和國的立法也產(chǎn)生了示范效應(yīng)。俄羅斯的政體決定了俄羅斯聯(lián)邦主體-共和國一定程度上具備獨(dú)立的立法權(quán)。《俄羅斯聯(lián)邦憲法》對個人的私生活信息保護(hù)的宣示性規(guī)定影響了大多數(shù)俄羅斯聯(lián)邦主體-共和國的憲法，這為在俄羅斯全境實(shí)現(xiàn)對公民個人資料的保護(hù)創(chuàng)造了條件。但是，僅憑《俄羅斯聯(lián)邦憲法》之規(guī)定尚不能真正實(shí)現(xiàn)對個人資料的有效保護(hù)，原因在于：其一，規(guī)定過于抽象，缺乏可操作性。當(dāng)然，這本身也是憲法作為母法的特點(diǎn)，其法律規(guī)范的抽象性決定了尚需具體的部門法方能有效調(diào)整現(xiàn)實(shí)生活，實(shí)現(xiàn)立法的目的。因此，需要制定專門的個人資料保護(hù)法這一部門法來與之配套。其二，公民個人資料保護(hù)的界定尚顯模糊。該憲法并未明確提出公民個人資料保護(hù)的概念，而是將其納入個人的私生活信息這一概念之中，故需要制定專門的個人資料保護(hù)法對其作出清晰的界定。

（二）俄羅斯聯(lián)邦參與的涉及隱私保護(hù)之國際條約

1. 在國際層面上，俄羅斯參加了以下涉及保護(hù)隱私的國際條約：

（1）1948年《世界人權(quán)宣言》。其中第12條對隱私的保護(hù)作出明確規(guī)定：“任何人不得被任意干預(yù)個人和家庭生活，不得被肆意侵?jǐn)_其住宅之不可侵犯性、通訊秘密?！?/p>

（2）1966年《公民權(quán)利與政治權(quán)利國際公約》（第17條）。

（3）1950年《歐洲人權(quán)與基本自由保護(hù)條約》。該條約第8條規(guī)定：“人人享有個人和家庭生活受尊重、住宅和通訊秘密不可侵犯的權(quán)利?！备鶕?jù)該條第2款之規(guī)定，國家對隱私的干預(yù)只有在法律規(guī)定的情況下“為了國家安全、社會秩序或國家經(jīng)濟(jì)的利益，為了保持秩序和預(yù)防犯罪，為了預(yù)防無秩序或者犯罪，保護(hù)健康或保護(hù)道德或保護(hù)他人的權(quán)利與自由”才有可能。

（4）1995年5月26日獨(dú)聯(lián)體成員國在明斯克簽署的《人的權(quán)利與基本自由條約》（自1998年8月11日起在俄羅斯聯(lián)邦生效）。

（5）2000年6月22日八國首腦通過的《全球信息社會Окинавская憲章》。在憲章中，在基本觀點(diǎn)和原則中提到發(fā)展有效的保護(hù)包括在處理個人資料時的隱私機(jī)制的必要性，發(fā)展加密技術(shù)和其他手段保障操作安全和可信度。

（6）2001年俄羅斯簽署了1981年《在自動化處理個人資料時保護(hù)自然人歐盟公約》，2005年該公約得到俄羅斯聯(lián)邦議會批準(zhǔn)。

2. 立法評價

雖然國際條約優(yōu)先適用于內(nèi)國法，也構(gòu)成俄羅斯的法律淵源。但是，如果國際條約要轉(zhuǎn)化為對在其國內(nèi)范圍內(nèi)的個人資料保護(hù)尚須通過內(nèi)國法的制定來“接地氣”。況且，俄羅斯最為重視的歐盟委員會所制定的一些條約因種種原因?qū)Χ砹_斯并無約束力。例如：歐盟95/46/EC（1995年）和97/66/EC（1997年）保護(hù)信息隱私的指令對俄羅斯沒有約束力。2001年秋，歐盟委員會通過了遙控犯罪條約，條約包括了批評者視之為有侵犯隱私之虞的條款。俄羅斯的代表雖參加了起草，但是條約沒有生效，俄羅斯沒有簽署也沒有批準(zhǔn)準(zhǔn)用該國際協(xié)議。因此，俄羅斯有必要通過制定一部專門個人資料保護(hù)法以便融入歐盟體系。

（三）俄羅斯國內(nèi)其他立法對個人資料的保護(hù)

在俄羅斯立法中，個人資料概念的形成以及對于個人資料保護(hù)的重視，是從20世紀(jì)90年代中期開始的。[2]

1. 《信息、信息化和信息保護(hù)法》對個人資料保護(hù)的專門規(guī)制

在《個人資料法》頒布之前，在個人資料保護(hù)方面，最為重要的法律就是1995年框架性聯(lián)邦法律《信息、信息化和信息保護(hù)法》1。該法確立了信息調(diào)整的基本理念。依照該法，國家信息資源是公開的和一般可獲得的信息。法律歸于限制獲得類型的文件化信息（屬于國家秘密和機(jī)密的信息）為例外。個人資料屬于保密信息的范疇（第11條第1款）。在該法中個人資料被定義為“關(guān)于可以識別其身份的公民生活的事實(shí)、事件和情形的信息”（第2條）。在該法律中特別提到：“非經(jīng)同意不得收集、保管、利用和傳播自然人的私生活信息，以及侵犯個人秘密、家庭秘密、書信、電話交談、通郵、電報(bào)和其他通訊秘密的信息，依據(jù)法院判決的除外”（第11條）。該法為實(shí)現(xiàn)《俄羅斯聯(lián)邦憲法》的相關(guān)規(guī)定以及國際法的規(guī)范奠定了基礎(chǔ)，但并沒有建立一個保護(hù)機(jī)制。根據(jù)該法，個人資料清單及其保護(hù)制度應(yīng)當(dāng)由聯(lián)邦法律（個人資料法）規(guī)定。

2006年7月27日該法律被修改為《信息、信息技術(shù)和信息保護(hù)法》2，個人資料的概念被刪除，但隱私不可侵犯和未經(jīng)他人同意不得收集、保管、使用和傳播隱私信息被歸入對信息、信息技術(shù)和信息保護(hù)領(lǐng)域中關(guān)系的法律調(diào)整的原則（第3條第7款）。

1997年3月6日，在關(guān)于批準(zhǔn)保密性信息清單的第188號俄羅斯聯(lián)邦總統(tǒng)令3中，個人資料也被納入這個清單。有學(xué)者對此提出異議，其理由為：第一，遠(yuǎn)非所有的個人資料都是保密的。許多人物百科全書、個人職業(yè)指南、地址簿等，就是依照主體的同意而公開的個人資料。第二，個人資料可以而且在目前也的確是用各種限制接近的制度來予以保護(hù)的。如在國家秘密制度中保護(hù)了可以接近國家秘密的人的個人資料，在商業(yè)秘密制度中保護(hù)了在生產(chǎn)中使用的技術(shù)秘密作者們的個人資料，在職業(yè)秘密制度中保護(hù)了被提供服務(wù)的使用者的典型個人信息（醫(yī)生秘密、公證秘密、律師秘密、銀行秘密、收養(yǎng)秘密等），在個人秘密制度中保護(hù)了有關(guān)個人特性、愛好、習(xí)慣、興趣的信息，在家庭秘密制度中保護(hù)了家庭成員包括親屬之間的相互關(guān)系的信息。因此，個人資料只是直接與個人相關(guān)的信息，而非這些信息的保密制度。[3]

2. 其他立法對個人資料的附帶性保護(hù)

“個人資料”的概念也出現(xiàn)在《俄羅斯聯(lián)邦稅法典》中，包括姓、名、父稱、出生日期、性別、住所地地址、護(hù)照和其他證明納稅人人格的文件的數(shù)據(jù)、國籍（第1部分第84條）。

個人資料保護(hù)規(guī)范在《俄羅斯聯(lián)邦民事狀況文件法》4（第12條第1款）中也存在，個人資料被定義為“民事狀況文件登記機(jī)關(guān)工作人員由于進(jìn)行民事狀況文件國家登記而獲悉的信息”（第12條第1款）。從2002年2月1日起勞動立法中納入了保護(hù)雇員個人資料的規(guī)范。

《俄羅斯聯(lián)邦勞動法典》1第14章也規(guī)定對個人資料的保護(hù)，包括限制收集資料的內(nèi)容和范圍，規(guī)定了對在使用和移轉(zhuǎn)其個人資料時雇員的權(quán)利的保障，規(guī)定了獲取、復(fù)制和修改自己數(shù)據(jù)的權(quán)利等。

3. 立法評價

筆者認(rèn)為，上述部門法對于個人資料的保護(hù)主要體現(xiàn)在以下方面：（1）均嘗試對個人資料進(jìn)行概念界定。要實(shí)現(xiàn)對公民個人資料的保護(hù)的前提是對個人資料的范圍作出明確的界定。因此，上述法律均在自己的專門調(diào)整領(lǐng)域范圍內(nèi)對個人資料的概念作出了界定。（2）將個人資料的保護(hù)上升到法律層面，為個人資料保護(hù)法的制定和實(shí)施創(chuàng)造了前期基礎(chǔ)。但是，上述立法本身也存在明顯的局限性：（1）對個人資料概念的界定缺乏統(tǒng)一性。例如《俄羅斯聯(lián)邦稅法典》主要是出于稅收管理的角度對個人資料作出了界定，而《俄羅斯聯(lián)邦勞動法典》則主要強(qiáng)調(diào)對雇員個人資料的保護(hù)。（2）對個人資料保護(hù)與對個人隱私保護(hù)等相關(guān)領(lǐng)域界限模糊。例如雖然《信息、信息化和信息保護(hù)法》對個人資料保護(hù)涉及較為深入，但是從其條文表述看，將個人資料歸于保密信息之范疇，與個人隱私等均未作出明確區(qū)分，正因如此該法律被修改為《信息、信息技術(shù)和信息保護(hù)法》，直接將個人資料的概念刪除。刪除的原因在于立法者決定在《個人資料法》中對其作出專門的界定和調(diào)整。

綜上所述，個人資料的保護(hù)盡管在俄羅斯法律制度中有所涉及，但是顯得過于分散混亂，缺乏體系化甚至有的規(guī)定還自相矛盾，因此《個人資料法》的制定和頒布也是順勢而為。

二、《個人資料法》的立法基礎(chǔ)

（一）加入歐共體的需要

俄羅斯一直致力于使自己真正融入歐洲共同體。盡管俄羅斯加入歐盟并沒有義務(wù)使自己的國內(nèi)立法與歐盟委員會的指令一致，但是，俄羅斯只有在接受了游戲規(guī)則，也就是歐盟所形成的價值體系后才能成為歐盟的真正成員。歐盟成員國基本上都建立了調(diào)整與個人資料的收集、保管、自動化處理和使用相關(guān)的國內(nèi)立法，而且該立法往往是獨(dú)立的，與隱私權(quán)保護(hù)的一般法律平行的立法。此外，還建立了如個人資料保護(hù)專員制度等的監(jiān)督機(jī)構(gòu)。該制度在歐盟國家二十多年的實(shí)踐證明了其有效性。因此，俄羅斯國內(nèi)立法必須為此作出改變和適應(yīng)。

（二）國內(nèi)普遍建立的個人資料庫的現(xiàn)實(shí)需要

目前俄羅斯權(quán)力機(jī)關(guān)和組織中已經(jīng)建立了自動化的個人資料庫。個人作為一直處在與其他的個人、組織、權(quán)力機(jī)關(guān)的關(guān)系中的社會因素，在很多情況下不得不自主決定，可以提供哪些個人資料，在有些關(guān)系中還不得不被迫提供國家所需要的個人資料，以換取國家提供的權(quán)利保護(hù)或者所提供的服務(wù)。新技術(shù)的發(fā)展一方面實(shí)質(zhì)性地簡化了個人資料的收集、處理、保管和移轉(zhuǎn)，而另一方面也產(chǎn)生巨大的非法流轉(zhuǎn)個人資料，侵犯個人權(quán)利的危險(xiǎn)。為適應(yīng)該社會現(xiàn)實(shí)，故有必要專門立法予以規(guī)制。

（三）國家管理的需要

1998年4月，國家杜馬議員團(tuán)曾經(jīng)向國家杜馬提出了一部聯(lián)邦法律即《個人信息法》的草案，但是在兩年半期間該法草案沒有被提交國家杜馬討論。其原因在于當(dāng)時俄羅斯聯(lián)邦政府和國會選舉人團(tuán)體的構(gòu)成經(jīng)常變動，該法因此難以被大多數(shù)人接受。而且該草案涉及建立獨(dú)立的個人資料主體權(quán)利保護(hù)監(jiān)督機(jī)關(guān)的規(guī)定是一個難以解決的法律現(xiàn)實(shí)問題。鑒于《俄羅斯聯(lián)邦憲法》沒有規(guī)定這樣的機(jī)關(guān)，而要將其納入俄羅斯聯(lián)邦人權(quán)專員的權(quán)限，則需要修改相應(yīng)的俄羅斯聯(lián)邦憲法性法律方能做到。在此背景下，另一個國家杜馬議員團(tuán)在2000年10月向國家杜馬提出了新的《個人信息法》草案。該草案與前者的根本性區(qū)別在于：它沒有規(guī)定建立獨(dú)立的個人資料權(quán)利保護(hù)專員制度，而是由俄羅斯聯(lián)邦政府賦予聯(lián)邦行政機(jī)關(guān)相應(yīng)的管理職能。但是，該草案既沒有規(guī)定對主管行政機(jī)關(guān)運(yùn)作的國家預(yù)算撥款的來源，也沒有明確到底應(yīng)當(dāng)授權(quán)哪個行政機(jī)關(guān)負(fù)責(zé)，也沒有規(guī)定被授權(quán)的個人資料主體權(quán)利保護(hù)機(jī)關(guān)應(yīng)具備之獨(dú)立性，由于幾乎所有的機(jī)關(guān)都可以收集和處理個人資料，因此，按照該草案的規(guī)定則可能產(chǎn)生被授權(quán)的機(jī)關(guān)本身既是監(jiān)督主體又是監(jiān)督對象的尷尬情形。正因如此，上述兩個草案沒有進(jìn)入到一讀程序就被立法動議權(quán)主體主動撤回。但尚未解決的問題并未因此喪失其現(xiàn)實(shí)意義。隨著社會上大量出現(xiàn)的出售由行政機(jī)關(guān)收集且包含個人信息的資料庫的現(xiàn)象，社會秩序日益混亂，國家需要運(yùn)用公權(quán)力對此予以干預(yù)，但又限于缺乏法律上的支持，因此基于國家管理的需要也成為《個人資料法》的立法基礎(chǔ)之一。

（四）公民權(quán)利保護(hù)的需要

空前大規(guī)模侵犯公民權(quán)利的社會現(xiàn)實(shí)不僅挑戰(zhàn)了俄羅斯內(nèi)部人權(quán)保護(hù)問題，也使俄羅斯在國際上受到巨大的壓力。這促使俄羅斯領(lǐng)導(dǎo)層作出了批準(zhǔn)《在自動化處理個人資料時保護(hù)自然人公約》的政治決定。根據(jù)該公約的規(guī)定，國家在批準(zhǔn)時應(yīng)當(dāng)建立同等的實(shí)現(xiàn)該國際文件的原則的國內(nèi)立法。2005年11月25日，國家杜馬決定批準(zhǔn)公約。為履行該公約的承諾，實(shí)現(xiàn)對公民權(quán)利的有效保護(hù)，在該次國會例會上一讀通過了俄羅斯聯(lián)邦政府起草的聯(lián)邦法律《個人資料法》草案，隨后經(jīng)過立法程序，俄羅斯于2006年7月底公布了《個人資料法》，為個人資料的保護(hù)，維護(hù)公民權(quán)利提供了法律保障。

三、《個人資料法》內(nèi)容上的創(chuàng)新

（一）確定俄羅斯聯(lián)邦居民個人登記系統(tǒng)應(yīng)由其他聯(lián)邦單行法專門規(guī)制

《個人資料法》法律草案第24條中規(guī)定建立俄羅斯聯(lián)邦居民國家登記。按照國家杜馬安全委員會的意見，這種全球性的個人資料庫的建立原則和程序應(yīng)當(dāng)由聯(lián)邦單行法規(guī)定。俄羅斯聯(lián)邦政府計(jì)劃起草類似法律，以“提高居民社會保護(hù)水平并加強(qiáng)其居民姓名住址”并進(jìn)行“統(tǒng)一的公民個人社會保險(xiǎn)登記”1。草案所規(guī)定的建立國家居民登記的目的是極為寬泛的——“為保障包含在信息系統(tǒng)中的個人資料不矛盾”。草案之所以要將此內(nèi)容納入其中，原因在于俄羅斯政府早有建立俄羅斯聯(lián)邦個人登記系統(tǒng)的基本構(gòu)想。2005年6月9日，俄羅斯聯(lián)邦政府第748號令批準(zhǔn)了這一構(gòu)想。根據(jù)該構(gòu)想，俄羅斯聯(lián)邦居民個人登記系統(tǒng)是一個基于現(xiàn)代信息技術(shù)、依照俄羅斯聯(lián)邦立法在保障公民憲法權(quán)利并向居民提供服務(wù)的國家權(quán)力機(jī)關(guān)、地方自治機(jī)關(guān)、國家和自治市組織之間相互交換關(guān)于俄羅斯聯(lián)邦公民、暫時停留和暫時居住或永久居住在俄羅斯聯(lián)邦的外國公民或無國籍人（以下簡稱公民）的個人資料的系統(tǒng)。但該規(guī)定審議時卻受到廣泛質(zhì)疑。反對者認(rèn)為，根據(jù)所批準(zhǔn)的公約規(guī)定的個人資料自動化處理原則，其中就有一項(xiàng)原則是為特定的和合法的目的而收集資料，并禁止以其他方式為與該目的不相容的目的而使用這些資料（公約第5條b款）。在歐洲國家的國內(nèi)立法中，該原則被體現(xiàn)為直接禁止為不同目的而收集的資料庫合并。因此，對于涉及公民基本權(quán)利的個人信息應(yīng)當(dāng)單獨(dú)規(guī)定，以體現(xiàn)與其他資料庫的區(qū)別。而 “在統(tǒng)一的信息空間范圍內(nèi)的一體化自動登記系統(tǒng)”將會產(chǎn)生侵犯自然人的包括隱私權(quán)在內(nèi)的基本權(quán)利和自由之虞，這就違背了公約的文義與精神?；谏鲜鲈颍砹_斯聯(lián)邦總統(tǒng)簽署的對該法律草案的意見中認(rèn)為，建立俄羅斯聯(lián)邦居民個人登記系統(tǒng)“明顯需要通過聯(lián)邦單行法《俄羅斯聯(lián)邦居民個人登記法》”2。最終2006年7月底公布的《個人資料法》第13條第4款規(guī)定“為了保障由于處理在國家或自治市個人資料信息系統(tǒng)中的個人資料時個人資料主體權(quán)利的實(shí)現(xiàn)，可以建立居民國家登記簿，其法律地位和工作程序由聯(lián)邦法律規(guī)定”。這無疑成為《個人資料法》的一項(xiàng)重要創(chuàng)新。

（二）對基礎(chǔ)性概念作出了明確界定

在該法出臺前，對于什么是個人資料、個人資料的處理、傳播個人資料以及個人資料信息系統(tǒng)等基礎(chǔ)性概念的界定其他法律鮮有涉及，或者即使涉及也顯片面。而《個人資料法》對其作出了較為全面而深刻的歸納。

1. 明確界定了個人資料和對其保護(hù)具有重要意義之相關(guān)概念

該法將個人資料定義為：“任何屬于特定的或者可以依據(jù)此類信息而確定的自然人（個人資料主體）的信息，包括姓、名、父稱、出生年、月、日、住址、家庭狀況、社會狀況、財(cái)產(chǎn)狀況、教育程度、職業(yè)、收入及其他信息。任何組織并（或）實(shí)施個人資料處理，以及確定個人資料處理之目的與內(nèi)容的國家機(jī)關(guān)、自治市機(jī)關(guān)、法人或者自然人，均為處理人?！痹摱x較之先前的法律規(guī)定，更為全面而具體，為實(shí)現(xiàn)個人資料的有效保護(hù)確立了前提。該法將“個人資料的處理”界定為：“包括收集、體系化、積累、保存、更正（更新、修改）、使用、傳播（包括轉(zhuǎn)遞）、匿名化、封存、銷毀個人資料在內(nèi)的與個人資料有關(guān)的行為（作業(yè)）?！?

不僅如此，該法對與個人資料的有效保護(hù)密切關(guān)聯(lián)的概念作出了明確界定。例如特別規(guī)定了傳播個人資料、使用個人資料、封存?zhèn)€人資料、銷毀個人資料、匿名化個人資料的含義。根據(jù)該法規(guī)定，所謂的傳播個人資料，是指“旨在將個人資料轉(zhuǎn)遞給特定范圍的人（個人資料轉(zhuǎn)遞）或旨在令不特定范圍的人了解個人資料的行為，包括在大眾信息傳媒上公開個人資料，在電子信息通信網(wǎng)絡(luò)中放置或者以任何其他方式提供對個人資料之獲取的行為”；所謂的使用個人資料，是指“由處理人實(shí)施的，旨在作出決定或者實(shí)施其他的對個人資料主體產(chǎn)生法律效果或任何其他觸及個人資料主體或者其他人的權(quán)利與自由的行為有關(guān)的個人資料行為（作業(yè)）”；所謂的封存?zhèn)€人資料，是指“暫時停止收集、體系化、積累、使用、傳播個人資料，包括轉(zhuǎn)遞個人資料”；所謂的銷毀個人資料，是指“以無法恢復(fù)個人資料信息系統(tǒng)中的個人資料之內(nèi)容為結(jié)果的，或者以銷毀個人資料之物質(zhì)載體為結(jié)果的行為”；所謂的匿名化個人資料，是指“以無法確定個人資料之于具體的個人資料主體的歸屬為結(jié)果之行為”。上述規(guī)定，有利于規(guī)范明確個人資料的保護(hù)范圍。

2. 明確界定個人資料信息系統(tǒng)以及與個人資料信息系統(tǒng)利用相關(guān)的法律概念

根據(jù)該法規(guī)定，個人資料信息系統(tǒng)，是指“體現(xiàn)為包含在數(shù)據(jù)庫中的個人資料之總和，以及可以用于實(shí)施使用或不使用自動化設(shè)備處理個人資料的信息技術(shù)和信息設(shè)備”。除此以外，個人資料的保密義務(wù)、個人資料的跨境轉(zhuǎn)遞、公開個人資料等問題與個人資料信息系統(tǒng)的合理使用密切相關(guān)，因此該法對上述概念均作出了明確規(guī)定。具體表現(xiàn)為：將“個人資料的保密義務(wù)”界定為“處理人或其他取得個人資料的人所必須遵守的未經(jīng)個人資料主體同意或非有其他合法依據(jù)存在不允許予以傳播的要求”；將“個人資料的跨境轉(zhuǎn)遞”界定為“處理人跨越俄羅斯聯(lián)邦國邊境向外國國家權(quán)力機(jī)關(guān)、外國自然人或者法人轉(zhuǎn)遞個人資料”；將“公開個人資料”界定為“經(jīng)個人資料主體同意向不特定范圍的人提供獲取機(jī)會的個人資料，或依照聯(lián)邦法律不適用保密義務(wù)之要求的個人資料”。

（三）適用范圍較為廣泛但邊界明確

《個人資料法》的適用范圍，較為廣泛，大體可以分為兩類：一是由聯(lián)邦國家權(quán)力機(jī)關(guān)、俄羅斯聯(lián)邦主體的國家權(quán)力機(jī)關(guān)（以下簡稱“國家機(jī)關(guān)”）、地方自治機(jī)關(guān)、不列入地方自治機(jī)關(guān)的自治市機(jī)關(guān)（以下簡稱“自治市機(jī)關(guān)”）、法人、自然人使用自動化設(shè)備所實(shí)施的與個人資料處理有關(guān)的關(guān)系；二是由上述主體實(shí)施的雖然沒有使用自動化設(shè)備，但符合與使用自動化設(shè)備所完成的行為（作業(yè)）之特征的個人資料處理有關(guān)的關(guān)系（第1條第1款）。該法以調(diào)整第一類關(guān)系為主，對第二類關(guān)系的情形和內(nèi)容，則不甚明確，委諸聯(lián)邦法律和其他規(guī)范性法律文件斟酌《個人資料法》的條款予以規(guī)定（第4條第3款）。

但是該法也明確規(guī)定了其效力所不適用之關(guān)系，共有五項(xiàng)（第1條第2款）：第一，在不侵犯個人資料主體之權(quán)利時，自然人專為個人或者家庭需要而實(shí)施的個人資料處理；第二，依照俄羅斯聯(lián)邦檔案事務(wù)立法，組織保存、補(bǔ)充、清點(diǎn)和使用包含有個人資料的俄羅斯聯(lián)邦檔案基金的文件和其他檔案文件；第三，依照俄羅斯聯(lián)邦立法，處理由于自然人作為個體經(jīng)營者活動而應(yīng)當(dāng)納入國家統(tǒng)一的個人經(jīng)營者登記簿的自然人信息；第四，依照規(guī)定程序，處理構(gòu)成國家秘密的個人資料；第五，主管機(jī)關(guān)依照2008年12月22日第262號聯(lián)邦法律《保障獲取俄羅斯聯(lián)邦法院活動信息法》提供俄羅斯聯(lián)邦各級法院活動信息的行為。

（四）規(guī)定了個人資料處理機(jī)制

該法對個人資料處理作出了規(guī)定，主要體現(xiàn)為以下方面：

1. 確定了個人資料處理的原則

該法確定個人資料的處理應(yīng)當(dāng)依據(jù)下列原則進(jìn)行：（1）個人資料處理之目的與方法應(yīng)合法且善意；（2）個人資料處理之目的符合之前所確定的和在收集個人資料時所聲明的目的，以及處理人的權(quán)限；（3）所處理個人資料之范圍與特性、個人資料處理之方法，符合個人資料處理的目的；（4）個人資料準(zhǔn)確，對處理目的而言為適當(dāng)，不允許逾越在收集個人資料時所聲明之目的處理個人資料；（5）不得將為不相容之目的而建立個人資料信息系統(tǒng)數(shù)據(jù)庫合并。個人資料之保存，應(yīng)當(dāng)以可得確定個人資料主體之形式進(jìn)行，且不得逾越其處理目的所要求之期限。在處理目的達(dá)成時或者在達(dá)成處理目的之必要性喪失時，個人資料應(yīng)予銷毀（第5條）。

2. 區(qū)分了個人資料的處理的不同情形

該法將個人資料的處理分為兩種情形，而有針對性地作出調(diào)整規(guī)制。

（1）征得個人資料主體同意而進(jìn)行的個人資料處理。在此情形下，該法尊重當(dāng)事人的意愿，認(rèn)為只要不損害國家利益以及公共利益便是有效處置。

（2）無須征得個人資料主體同意而進(jìn)行的個人資料處理，即依照法律的規(guī)定而進(jìn)行的個人資料處理。其中又包括：第一，依據(jù)規(guī)定了個人資料處理的目的、取得個人資料的條件和其個人資料應(yīng)當(dāng)被處理的主體的范圍，以及處理人的權(quán)限之聯(lián)邦法律而進(jìn)行的個人資料處理，包括為執(zhí)行俄羅斯聯(lián)邦關(guān)于реадмиссии的國際條約而必須進(jìn)行的個人資料處理。第二，為執(zhí)行個人資料主體作為一方當(dāng)事人的契約而進(jìn)行的個人資料處理。第三，為統(tǒng)計(jì)或其他學(xué)術(shù)目的在必須遵守將個人資料匿名化的條件下而進(jìn)行的個人資料處理。第四，在無法取得個人資料主體的同意時，為保護(hù)個人資料主體的生命、健康或者其他重大生存利益而必須進(jìn)行的個人資料處理。第五，郵政組織為遞送郵件、電信業(yè)者為與電信服務(wù)使用人結(jié)算所提供的電信服務(wù)費(fèi)用，以及為處理電信服務(wù)使用人的投訴而必須進(jìn)行的個人資料處理。與此類似的還有依照俄羅斯聯(lián)邦住宅法典管理區(qū)分所有建筑物的管理團(tuán)體、住宅所有人協(xié)會、住宅合作社、住宅建設(shè)合作社或者其他專門合作社，或其他與之簽訂契約直接管理區(qū)分所有建筑物的人為與區(qū)分所有建筑物的業(yè)主、住宅大廈的所有權(quán)人、國有或自治市有住宅基金的承租人結(jié)算區(qū)分所有建筑物、住宅大廈之共用財(cái)產(chǎn)的維護(hù)和維修，以及公共服務(wù)費(fèi)用而必須進(jìn)行的個人資料處理。第六，為記者的職業(yè)活動或者為學(xué)術(shù)的、文學(xué)的或其他的創(chuàng)作活動在不侵犯個人資料主體的權(quán)利和自由的條件下而進(jìn)行的個人資料處理。第七，對依照聯(lián)邦法律應(yīng)當(dāng)公布的個人資料的處理，包括擔(dān)任國家領(lǐng)導(dǎo)人、國家民事職務(wù)的人的個人資料，以及參選國家或自治市領(lǐng)導(dǎo)人的候選人的個人資料（第6條第1～2款）。

個人資料的處理人和可以接近個人資料的第三人應(yīng)當(dāng)對此類個人資料承擔(dān)保密義務(wù)，但在個人資料匿名化和針對可公開獲取的個人資料的情形除外（第7條）

四、俄羅斯個人資料保護(hù)制度的立法價值及其借鑒意義

雖然俄羅斯個人資料保護(hù)制度隨著《個人資料法》的頒布實(shí)施已趨于完善，但是《個人資料法》上述創(chuàng)新是否適合我國立法的借鑒，筆者認(rèn)為不能一概而論，因?yàn)槲覈鴩榕c較之有巨大差異。因此，為充分挖掘其對我國未來立法的借鑒意義，故應(yīng)結(jié)合我國社會法治環(huán)境來認(rèn)識。

（一）個人資料保護(hù)制度的立法價值

1. 建立個人資料之公開獲取途徑

為了信息保障可以建立個人資料的公開獲取途徑（包括手冊、地址簿）。經(jīng)個人資料主體的書面同意方可將其姓、名、父稱、出生年份及出生地、住址、用戶號碼、職業(yè)信息和其他由個人資料主體提供的個人資料納入可公開獲取的個人資料途徑。但是，個人資料主體的信息可以在任何時候按照個人資料主體的要求或者按照法院或其他主管國家機(jī)關(guān)的要求從可公開獲取的個人資料途徑中刪除（第8條）。

2. 賦予個人資料主體對自己個人資料處理之決定權(quán)

個人資料主體依照自己的意愿和為自己的利益作出提供自己個人資料的決定，并同意對自己個人資料的處理。對處理個人資料的同意可以由個人資料主體予以撤銷。只有聯(lián)邦法律為保護(hù)憲政制度的基礎(chǔ)、道德、他人的健康、權(quán)利和合法利益、保障國家防務(wù)和國家安全之目的，才可以規(guī)定個人資料主體負(fù)有提供自己的個人資料的義務(wù)（第9條第1～2款）。

證明已經(jīng)取得個人資料主體對處理其個人資料的同意的義務(wù)，以及在處理可公開獲取的個人資料時證明所處理的個人資料為可公開獲取的資料的義務(wù)，均由處理人承擔(dān)。對為了處理包含在個人資料主體的書面同意中的個人資料而言，不需要額外同意（第9條第3、5款）。對該同意，一般而言并不要求書面形式。只有在聯(lián)邦法律規(guī)定的情況下，個人資料的處理才必須經(jīng)個人資料主體書面同意，如處理特種個人資料、生物個人資料，以及向不能保障個人資料主體之權(quán)利的國家進(jìn)行個人資料的跨境轉(zhuǎn)遞等。該法還規(guī)定了兩種必須提供書面同意的情形：一是在個人資料主體沒有行為能力的情況下，處理其個人資料的同意由個人資料主體的法定代理人以書面形式提供；二是在個人資料主體死亡的情況下，處理其個人資料的同意由個人資料主體的繼承人以書面形式提供，但個人資料主體在生前已經(jīng)提供的除外（第9條第4、6、7款）。

個人資料主體對處理其個人資料的書面同意應(yīng)當(dāng)包括：（1）個人資料主體的姓、名、父稱、住址、身份證明文件的編號、頒發(fā)日期和頒發(fā)機(jī)關(guān)等信息；（2）獲得個人資料主體之同意的處理人的名稱（姓、名、父稱）和住址；（3）個人資料處理的目的；（4）個人資料主體同意處理的個人資料的清單；（5）同意實(shí)施的個人資料行為的清單，對處理人所使用的個人資料處理方式的一般描述；（6）同意的有效期間及其撤銷方式；（7）個人資料主體的親筆簽名。以電子數(shù)字簽名形式簽署的電子文件或在聯(lián)邦法律或其他依照聯(lián)邦法律頒布的規(guī)范性法律文件規(guī)定的情況下，以其他類似于親筆簽署的同意文件被視為等同于個人資料主體在紙質(zhì)載體上簽署的書面同意（第9條第4款）。

3. 區(qū)分特種個人資料與生物個人資料

在俄羅斯個人資料保護(hù)制度上，特種個人資料與生物個人資料是并列的概念。

特種個人資料包括種族、民族、政治觀點(diǎn)、宗教觀念或哲學(xué)觀念、健康狀況、性生活、犯罪前科等，原則上不允許予以處理。只有在法律明確規(guī)定的情況下，才能予以處理（第10條第1款）。此類情形包括八種：（1）個人資料主體書面同意處理自己的個人資料。（2）個人資料為可公開獲取的個人資料。此種類型包括為執(zhí)行俄羅斯聯(lián)邦關(guān)于реадмиссии的國際條約而必須進(jìn)行的個人資料處理和依照全俄居民重新登記法而進(jìn)行的個人資料處理。（3）在無法取得個人資料主體的同意時，為保護(hù)其生命、健康或者其他重大生存利益或者為保護(hù)他人的生命、健康或者其他重大生存利益而必須對屬于個人資料主體的健康狀況的個人資料的處理。（4）為醫(yī)學(xué)預(yù)防目的、為進(jìn)行醫(yī)療診斷、提供醫(yī)療服務(wù)和醫(yī)療社會服務(wù)目的，由職業(yè)從事醫(yī)療活動并依法承擔(dān)保守醫(yī)生秘密義務(wù)的人而進(jìn)行的個人資料處理。（5）社會團(tuán)體或宗教組織為實(shí)現(xiàn)其設(shè)立文件規(guī)定的合法目的而對其成員（參加者）的個人資料的處理，但未經(jīng)個人資料主體的書面同意不得傳播該類個人資料。（6）為進(jìn)行司法審判所必要的個人資料處理。（7）依照安全立法、偵查-搜查活動立法以及依照刑事執(zhí)行立法進(jìn)行的個人資料處理。（8）為強(qiáng)制社會保險(xiǎn)目的依照具體類型的強(qiáng)制社會保險(xiǎn)聯(lián)邦法律進(jìn)行的個人資料處理（第10條第2款）。對于有關(guān)犯罪前科的個人資料的處理，規(guī)定了尤其嚴(yán)格的保護(hù)，只能由國家機(jī)關(guān)或者自治市機(jī)關(guān)在法律賦予的權(quán)限范圍內(nèi)進(jìn)行，其他人只能在聯(lián)邦法律規(guī)定的情況下且按照聯(lián)邦法律規(guī)定的方式才能進(jìn)行對有關(guān)犯罪前科的個人資料處理（第10條第3款）。對此類特種個人資料的處理，在引起處理之原因消失時，應(yīng)立即終止（第10條第4款）。

生物個人資料，是指“體現(xiàn)一個人的生物學(xué)特征并可據(jù)以確定其身份的信息”。生物個人資料只有在個人資料主體書面同意的情況下才可予以處理（第11條第1款）。法律規(guī)定的可以不需要個人資料主體的同意而進(jìn)行的對生物個人資料的處理的情形，較之于特種個人資料大大減少了，而且僅僅局限于法律明確規(guī)定的情形，如為執(zhí)行俄羅斯聯(lián)邦關(guān)于реадмиссии的國際條約、為進(jìn)行司法審判，以及安全立法、偵查-搜查活動立法、國家公務(wù)員立法、刑事執(zhí)行立法、出入境立法規(guī)定的情形（第11條第2款）?？梢?，在俄羅斯法上，一個重要的特征就是將生物個人資料排除在特種個人資料之列，而且給予了更加嚴(yán)格的保護(hù)。

（二）對我國未來立法的借鑒意義

1. 開拓未來立法研究的比較法視野

我國目前尚未專門制定《個人資料法》，但是隨著國家信息化管理進(jìn)程的推進(jìn)，我國也同樣面臨這個現(xiàn)實(shí)問題，我國學(xué)界對此也開始關(guān)注。但是，比較法研究的視角尚未涉及俄羅斯。有觀點(diǎn)將世界個人資料保護(hù)的模式分為美國模式與德國模式。[4]但是，根據(jù)《俄羅斯個人資料法》的上述內(nèi)容，筆者認(rèn)為其相對于美國模式或者德國模式，具有自己的特點(diǎn)。雖然，我們不能認(rèn)為它的規(guī)定較之美國模式或者德國模式更加科學(xué)，但是它畢竟為我們提供了另外一個視角，為我們未來立法拓寬了視野，有助于我國立法對世界先進(jìn)立法經(jīng)驗(yàn)的借鑒。

2. 應(yīng)將專門的個人資料保護(hù)法與個人信息保護(hù)法相區(qū)分

我國目前沒有專門的個人資料保護(hù)法，但是我國個人資料信息系統(tǒng)正在形成。雖然，我國學(xué)界對此有所關(guān)注，但主要還是主張通過制定《個人信息保護(hù)法》來與之應(yīng)對。但是，個人資料與個人信息還是有所區(qū)別。正因如此，俄羅斯最初是在《信息、信息化和信息保護(hù)法》中實(shí)現(xiàn)對個人資料的保護(hù)，但是還是選擇了制定專門的《個人資料法》加強(qiáng)對其專門性保護(hù)。

3. 個人資料保護(hù)法應(yīng)與國際接軌

目前國際上除了俄羅斯以外，德國、英國、美國、瑞典均制定了自己的個人資料保護(hù)法。但不統(tǒng)一的國內(nèi)法并不能為個人資料當(dāng)事人提供充分保護(hù)，為加強(qiáng)網(wǎng)絡(luò)環(huán)境下個人資料的國際保護(hù)，聯(lián)合國于1990年通過了《關(guān)于自動資料檔案中個人資料的指南》。[5]俄羅斯立法的基礎(chǔ)也是為了與國際社會相融合，因此充分考慮了國際條約的相關(guān)規(guī)定。我國立法活動也應(yīng)按照這種模式展開，實(shí)現(xiàn)與國際接軌。

參 考 文 獻(xiàn)

[1] М.Н.馬爾琴科：《國家與法的理論》，徐曉晴譯，北京：中國政法大學(xué)出版社，2010.

[2] Ю.Г.Просвирнин. Защита персональных данных，?Вестник ВГУ.Серия Право?. №.2.2008.С.174.

[3] В.В.Дятленко， Е.К.Волчинская. Законодательство о защите персональных данных：проблемы и решения，?Информационное право?. №.1（4），2006.

[4] 齊愛民：《美德個人資料保護(hù)法之立法比較——兼論我國個人資料保護(hù)立法的價值取向和基本立場》，載《甘肅社會科學(xué)》2004年第3期.

[5] 侯?。骸堵?lián)合國對個人資料保護(hù)的國際保護(hù)——論1990年聯(lián)合國〈關(guān)于自動資料檔案中個人資料的指南〉》，載《廣西大學(xué)學(xué)報(bào)（哲學(xué)社會科學(xué)版）》2005年第4期.

[責(zé)任編輯 李宏弢]

Exploration into Russian Individual Information

Protection System

TU Yong-song

（School of Civil Law， Southwest University of Political Science and Law， Chongqing 401120， China）

Abstract： “Individual Information Law” has a basic status in protecting individual information in Russia. Compared with former “Russian Federation Constitution”， international treaty involving Russia dealing with protection of privacy， and other legislation of Russia， this law is more systematic and specific in protection of individual information. This law establishes the principle and general condition to deal with individual information and defines relevant basic concepts. It is characterized by its public way to obtain individual information， individual right to deal with ones own information， different way to distinguish and protect special individual information and biological individual information， which is inspiring.

Key words： individual information； privacy； dealing of individual information； individual information protection

1 《俄羅斯聯(lián)邦憲法》第23條：“1.人人享有私生活不可侵犯、個人和家庭秘密、保護(hù)自己的名譽(yù)和好名聲的權(quán)利。2.人人享有書信、電話交談、通郵、電報(bào)和其他通訊秘密權(quán)。對此類權(quán)利的限制只有依據(jù)法院之判決才得許可?！?/p>

2 《俄羅斯聯(lián)邦憲法》第24條：“1.非經(jīng)同意不允許匯集、保管、使用和傳播個人的私生活信息。2.國家機(jī)關(guān)和地方自治機(jī)關(guān)，其負(fù)責(zé)人有義務(wù)保障每個人了解直接涉及其權(quán)利和自由的文件和材料的權(quán)利，但法律另有規(guī)定的除外?！?/p>

3 《俄羅斯聯(lián)邦憲法》第25條：“住宅不可侵犯。任何人非在聯(lián)邦法律規(guī)定的情況下或依據(jù)法院判決無權(quán)違背居住在其中者的意愿而進(jìn)入住宅。”

1 1995年2月20日第24-ФЗ號聯(lián)邦法律。

2 СЗ РФ.2006.№31（ч.1）.Ст.3448.

3 該令規(guī)定了一個封閉的屬于機(jī)密資料的清單?？s小該需要保護(hù)的資料的范圍可能被評價為違背憲法，所以它成為保護(hù)侵犯隱私的依據(jù)。

4 1997年11月15日第143號聯(lián)邦法律。

1 2001年12月30日第197號聯(lián)邦法律。

1 См：распоряжение Правительства РФ от 14.04.1999 г.№ 583-р.

2 См：Заключение на проект федерального закона №217352-4“о персональных данных” от 11 февраля 2006 г.исх.№ Пр-210.