張建文

摘要：俄羅斯個(gè)人資料法以在《自動化處理個(gè)人資料時(shí)保護(hù)自然人歐盟公約》為基礎(chǔ)，以保護(hù)包括隱私權(quán)在內(nèi)的處理個(gè)人資料時(shí)人和公民的權(quán)利與自由為宗旨，適用于包括非自動化個(gè)人資料處理在內(nèi)的所有個(gè)人資料處理。其立法的最鮮明特色在于，以最大篇幅規(guī)定了個(gè)人資料處理人的義務(wù)，以此保障個(gè)人資料主體權(quán)利的實(shí)現(xiàn)，同時(shí)，明確規(guī)定了俄羅斯公民個(gè)人資料必須在俄羅斯境內(nèi)保存的本地化保存要求，在作為法人的處理人內(nèi)部設(shè)立個(gè)人資料專員制度。在國家監(jiān)督與監(jiān)察方面，創(chuàng)設(shè)了非獨(dú)立的行政機(jī)關(guān)模式的個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)，而非追隨歐盟所倡導(dǎo)的獨(dú)立的個(gè)人資料保護(hù)機(jī)關(guān)模式。

關(guān)鍵詞：個(gè)人資料；個(gè)人資料主體；處理人；個(gè)人資料專員；個(gè)人資料主體權(quán)利保護(hù)

中圖分類號：D912.8 文獻(xiàn)標(biāo)志碼：A 文章編號：1008-5831（2018）02-0132-22

一、俄羅斯個(gè)人資料法的立法背景

《俄羅斯聯(lián)邦個(gè)人資料法》（以下簡稱“個(gè)資法”）于2006年7月8日由國家杜馬通過，隨后14日獲聯(lián)邦委員會贊同。信息社會的典型特征就是信息、信息獲取權(quán)①和對信息保護(hù)權(quán)的重要性增長②。個(gè)人資料保護(hù)在俄羅斯法體系中屬于信息法組成部分③。俄羅斯對個(gè)人資料的保護(hù)以1993年俄羅斯聯(lián)邦憲法對個(gè)人私生活秘密權(quán)的保護(hù)（第23條）為憲法基礎(chǔ)④，與以往的蘇聯(lián)憲法不同，該憲法明確規(guī)定了人、其權(quán)利與自由為最高價(jià)值[1]，引起了俄羅斯政治生活、國家制度和國家權(quán)力組織的深刻變革[2]，維護(hù)俄羅斯人民的權(quán)利和自由至高無上，成為國家活動的根本，“自由好過不自由”[3]。1993年俄羅斯聯(lián)邦憲法、俄羅斯聯(lián)邦新民法典（1994—2006年）[4]，以及1992年俄羅斯新司法體系改革被視為轉(zhuǎn)型時(shí)期俄羅斯法律領(lǐng)域中最重大的成就。

1996年2月28日，俄羅斯簽署《歐洲保護(hù)人權(quán)和基本自由公約》，接受歐洲人權(quán)法院的司法管轄，這成為俄羅斯國內(nèi)立法創(chuàng)制和變革的重要推動力。在這段時(shí)期，俄羅斯在立法上選擇了在人權(quán)問題上調(diào)整國內(nèi)立法，以符合《歐洲人權(quán)公約》規(guī)定的標(biāo)準(zhǔn)，全面貫徹人權(quán)高于主權(quán)原則[5]。在俄羅斯當(dāng)代法治國家概念中，國際法規(guī)范優(yōu)先于國內(nèi)法的規(guī)范已經(jīng)成為其重要內(nèi)容[6]。在美國和俄羅斯，國際條約的效力都高于國內(nèi)法[7]。實(shí)際上在蘇聯(lián)解體前，俄羅斯蘇維埃社會主義聯(lián)邦（РСФСР）最高蘇維埃在1991年11月22日通過了《人和公民的權(quán)利與自由宣言》，其第1條第2款就明確宣布，“公認(rèn)的有關(guān)國際人權(quán)的國際規(guī)范高于俄羅斯蘇維埃社會主義聯(lián)邦共和國的法律，并直接產(chǎn)生俄羅斯蘇維埃社會主義聯(lián)邦共和國公民的權(quán)利和義務(wù)”。

俄羅斯個(gè)人資料立法的最直接推動力來自于俄羅斯2001年加入，2005年12月19日批準(zhǔn)的《在自動化處理個(gè)人數(shù)據(jù)時(shí)保護(hù)自然人歐盟公約》。2003年底俄羅斯國家杜馬審議了《個(gè)人資料法》草案，2006年7月27日通過并正式公布《個(gè)人資料法》。作為跨國信息交換的基本前提和促進(jìn)電子商務(wù)與網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展的基本保障，該法對保障俄羅斯與歐盟成員國進(jìn)行跨國信息交換和促進(jìn)其電子商務(wù)及網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展意義至巨[8]。

技術(shù)進(jìn)步最劇烈地形塑了世界政治地圖，改變了國家的角色。截至2017年9月底，該法迭經(jīng)19次修改，不少最初的條文被廢止或更替，同時(shí)也引入了最為前沿的制度。目前該法共計(jì)六章：《一般規(guī)定》《個(gè)人資料處理的原則和條件》《個(gè)人資料主體的權(quán)利》《處理人的義務(wù)》《對個(gè)人數(shù)據(jù)處理的監(jiān)督和監(jiān)察以及違反本聯(lián)邦法律的責(zé)任》《最終條款》，整部法律共計(jì)25條。

在中國，對俄羅斯個(gè)人資料立法的研究，要么是不夠完整全面地介紹和分析俄羅斯的個(gè)人資料立法，僅抽取其中的部分內(nèi)容做介紹和分析，要么就是因?yàn)槎砹_斯個(gè)資法立法的修改頻仍，導(dǎo)致所使用的法律文本較為陳舊。

因此，筆者認(rèn)為有必要以目前最新版本的《個(gè)人資料法》為藍(lán)本，為國內(nèi)介紹俄羅斯個(gè)人資料立法的基本制度和保護(hù)機(jī)制，特別是闡明俄羅斯個(gè)人資料法的全貌和與歐盟公約相比較而言的重要差異，以期為中國的民法典編纂和個(gè)人資料立法創(chuàng)制提供更有效、更全面、更細(xì)致的比較法助益。

二、俄羅斯個(gè)人資料立法的目的與適用范圍

俄羅斯個(gè)人資料立法（Законодательство Российской Федерации в области персональных данных ）的概念要廣于個(gè)人資料法的概念。

在立法層級上，個(gè)人資料立法以俄羅斯聯(lián)邦憲法和俄羅斯聯(lián)邦的國際條約為基礎(chǔ)，由個(gè)人資料法和規(guī)定個(gè)人資料處理之情形與特點(diǎn)的其他聯(lián)邦法律構(gòu)成，如《俄羅斯聯(lián)邦勞動法典》第85—89條規(guī)定由于雇主和具體的勞動者之間的勞動關(guān)系而處理個(gè)人資料的特點(diǎn)和對勞動者的保護(hù)，《國家民事公務(wù)法》第22、42、48條規(guī)定了由于履行國家民事公務(wù)而處理個(gè)人資料的特點(diǎn)和對公務(wù)員的保護(hù)，《自治市公務(wù)法》也有類似規(guī)定，還有《公民健康保護(hù)基礎(chǔ)法》

СЗ РФ.2011.№ 48.ст.6724.在醫(yī)療活動中對參與提供醫(yī)療服務(wù)的人和向其提供醫(yī)療服務(wù)的人的個(gè)人資料的處理等，在俄羅斯聯(lián)邦勞動法典（第81、90、192條）、行政違法法典（第13.11、13.12、13.13、13.14條）以及刑法典（第137、140和272條）中規(guī)定了違反個(gè)人資料處理程序的責(zé)任。

國家機(jī)關(guān)、俄羅斯銀行、地方自治機(jī)關(guān)在自己的職權(quán)范圍內(nèi)可以依據(jù)并為了執(zhí)行聯(lián)邦法律而就涉及個(gè)人資料處理的具體問題發(fā)布規(guī)范性法律文件，但是不得包含限制個(gè)人資料主體權(quán)利、設(shè)立聯(lián)邦法律沒有規(guī)定的限制處理人活動或者由處理人承擔(dān)聯(lián)邦法律沒有規(guī)定的義務(wù)的條款，而且這些規(guī)范性法律文件應(yīng)當(dāng)公布（第4條的2款）。如2012年11月1日俄羅斯聯(lián)邦政府《關(guān)于批準(zhǔn)在個(gè)人資料信息系統(tǒng)中處理個(gè)人資料時(shí)保護(hù)個(gè)人資料的要求》的決議，規(guī)定了對在個(gè)人資料信息系統(tǒng)中處理個(gè)人資料時(shí)的保護(hù)要求和保護(hù)等級。這里的個(gè)人資料信息系統(tǒng)就是指通過幾乎可以提供無限信息交換與信息發(fā)布機(jī)會的全球性電子信息通信網(wǎng)絡(luò)（Internet）實(shí)現(xiàn)個(gè)人資料處理的信息系統(tǒng)。

在規(guī)范效力上，國際條約的規(guī)定優(yōu)先于聯(lián)邦法律適用?！叭绻砹_斯聯(lián)邦的國際條約規(guī)定了不同于本聯(lián)邦法律的規(guī)則，則適用國際條約的規(guī)則”（第4條第4款）。在該領(lǐng)域中最為重要的法源是2005年12月19日俄羅斯批準(zhǔn)的歐盟《在自動化處理個(gè)人資料時(shí)保護(hù)自然人歐盟公約》，但是俄羅斯在加入該公約時(shí)做了三項(xiàng)保留：第一，俄羅斯不將公約適用于（1）自然人僅為個(gè)人和家庭需要而處理的個(gè)人資料。（2）對依照俄羅斯聯(lián)邦國家秘密立法規(guī)定的程序?qū)儆趪颐孛艿膫€(gè)人資料的處理。第二，如果公約的適用符合沒有使用自動化設(shè)備而實(shí)施的個(gè)人資料行為的特征，則俄羅斯將公約適用于未經(jīng)自動化處理的個(gè)人資料。第三，俄羅斯為自己保留為保護(hù)國家安全和公共秩序目的而對個(gè)人資料主體獲取自己個(gè)人資料的權(quán)利設(shè)立限制之權(quán)力。這三項(xiàng)保留奠定了俄羅斯個(gè)資法與歐盟個(gè)人資料保護(hù)規(guī)范之不同的基礎(chǔ)。2006年2月10日俄羅斯聯(lián)邦總統(tǒng)簽署了第54號《關(guān)于簽署在自動化處理個(gè)人數(shù)據(jù)時(shí)保護(hù)自然人歐盟公約涉及監(jiān)督機(jī)關(guān)和資料跨境移轉(zhuǎn)的補(bǔ)充備忘錄》總統(tǒng)令。

該法為俄羅斯在隱私權(quán)保護(hù)領(lǐng)域的首次專門立法。其第2條明確規(guī)定，該法的目的為“保障維護(hù)在處理個(gè)人資料時(shí)人和公民的權(quán)利與自由”，包括維護(hù)私生活（неприкосновенность частной жизни）、個(gè)人和家庭秘密不可侵犯的權(quán)利。該條意味著“賦予人以受到國家保障的監(jiān)督有關(guān)自己的信息，阻止披露個(gè)人的親密性的信息的權(quán)利”。在俄羅斯聯(lián)邦民法典現(xiàn)代化過程中專門增加了“保護(hù)公民私生活”的第1522條，俄羅斯高度重視保護(hù)公民的互聯(lián)網(wǎng)隱私[9]，2016年7月俄羅斯還通過了關(guān)于被遺忘權(quán)的立法[10]。

根據(jù)個(gè)資法第3條的規(guī)定，個(gè)人資料（персональные данные）意味著“屬于直接或間接確定或可以確定之自然人的任何信息”[11]，該自然人即為個(gè)人資料主體（субъект персональных данных）在中國，有學(xué)者提出所謂的“公司等組織的個(gè)人信息受法律保護(hù)”問題，實(shí)在是對個(gè)人資料法的立法宗旨和保護(hù)對象的本質(zhì)性誤解。參見：崔建遠(yuǎn)《我國<民法總則>的制度創(chuàng)新及歷史意義》（《比較法研究》，2017年第3期第180-192頁）。，個(gè)人資料意味著不僅可據(jù)以將某人與他人相區(qū)分，還可以準(zhǔn)確地查明（識別）他。“個(gè)人資料——這是將個(gè)人與社會和所有他的情勢，首先是與每個(gè)單獨(dú)的個(gè)人為自己所選擇的情勢相連結(jié)的線”。根據(jù)權(quán)威法律辭典的列舉，個(gè)人資料包括：姓、名、父稱，出生年月日，出生地，住址，家庭、社會和財(cái)產(chǎn)狀況，教育，職業(yè)，收入和其他信息。

個(gè)人資料的處理，是指“使用自動化設(shè)備或者不使用此類設(shè)備而進(jìn)行的任何個(gè)人資料行為（作業(yè)）或者行為（作業(yè)）之總和”，此類行為包括“收集、記錄、體系化、積累、保存、更正（更新、更改）、抽取、使用、移轉(zhuǎn)（傳播、提供、獲取）、匿名化、封存、刪除、銷毀個(gè)人資料”。較之于俄羅斯聯(lián)邦民法典所規(guī)定的“未經(jīng)公民同意不得收集、保存、傳播和使用任何關(guān)于其私生活的信息”的范圍，大大地?cái)U(kuò)展了個(gè)人資料所保護(hù)的范圍。所謂的“自動化處理個(gè)人資料”是指“借助于計(jì)算機(jī)技術(shù)進(jìn)行的個(gè)人資料處理”；傳播個(gè)人資料是指“旨在向不特定的人群披露個(gè)人資料的行為”，提供個(gè)人資料是指“旨在向特定的個(gè)人或者特定的人群披露個(gè)人資料的行為”，而移轉(zhuǎn)個(gè)人資料的行為還包括跨境移轉(zhuǎn)個(gè)人資料，即“向外國境內(nèi)的外國國家權(quán)力機(jī)關(guān)、外國自然人或者外國法人移轉(zhuǎn)個(gè)人資料”；封存是指“暫時(shí)停止處理個(gè)人資料”；銷毀是指“其結(jié)果為導(dǎo)致不可能恢復(fù)個(gè)人資料信息系統(tǒng)中個(gè)人資料之內(nèi)容的行為，以及（或）其結(jié)果為銷毀個(gè)人資料之材料載體的行為”；匿名化是指“其結(jié)果為非使用補(bǔ)充信息而不可能確定個(gè)人資料之于具體個(gè)人資料主體之歸屬的行為”。處理人包括兩類：一是“獨(dú)立或與他人共同組織和（或）實(shí)施個(gè)人資料處理的國家機(jī)關(guān)、自治市機(jī)關(guān)、法人和自然人”；另一類是雖然不直接組織也不直接處理個(gè)人資料，但“可以決定個(gè)人資料處理之目的、應(yīng)當(dāng)處理之個(gè)人資料的構(gòu)成，以及對個(gè)人資料之行為（作業(yè)）”的國家機(jī)關(guān)、自治市機(jī)關(guān)、法人和自然人。

根據(jù)俄羅斯個(gè)資法第1條第1款的規(guī)定，俄羅斯個(gè)資法適用范圍較廣，既適用于國家機(jī)關(guān)（聯(lián)邦國家權(quán)力機(jī)關(guān)、俄羅斯聯(lián)邦主體的國家權(quán)力機(jī)關(guān)，以及其他國家機(jī)關(guān)）和自治市機(jī)關(guān)（地方自治機(jī)關(guān)和其他自治市機(jī)關(guān)）所進(jìn)行的個(gè)人資料處理，也適用于法人和自然人進(jìn)行的個(gè)人資料處理；既適用于使用自動化設(shè)備的個(gè)人資料處理，也適用于不使用自動化設(shè)備的個(gè)人資料處理，只要該不使用自動化設(shè)備的個(gè)人資料處理符合使用自動化設(shè)備的個(gè)人資料行為（作業(yè)）的特點(diǎn)，也就是“允許依照給定的算法查詢固定在物質(zhì)載體上和包含在卡片文件中或其他體系化的個(gè)人資料匯編中的個(gè)人資料，并（或）獲取此類個(gè)人資料”，這一點(diǎn)構(gòu)成了個(gè)人資料處理行為的本質(zhì)性特點(diǎn)；既適用于在電子通訊信息網(wǎng)絡(luò)中的個(gè)人數(shù)據(jù)處理，也適用于非在電子通訊信息網(wǎng)絡(luò)中的個(gè)人數(shù)據(jù)處理。

同時(shí)，該法明確規(guī)定不適用以下三種情形：（1）自然人專為個(gè)人和家庭需要進(jìn)行的個(gè)人資料處理，在此情況下不得侵犯個(gè)人資料主體的權(quán)利；（2）依照俄羅斯聯(lián)邦檔案事務(wù)立法組織保存、募集（комплектования）、點(diǎn)核和使用包含個(gè)人資料的俄羅斯聯(lián)邦檔案基金文件及其他檔案文件；（3）依照規(guī)定程序處理屬于構(gòu)成國家秘密之個(gè)人資料。較之之前的五種情形已經(jīng)大為減少了不適用個(gè)人資料法保護(hù)的例外情形[12]，有利于保護(hù)個(gè)人資料主體的權(quán)利和合法利益。三種例外情形有兩種，即第一種和第三種就是直接來源于俄羅斯加入歐盟公約時(shí)所作的保留。構(gòu)成國家秘密的信息清單由聯(lián)邦法律規(guī)定，任何人無權(quán)任意決定某項(xiàng)信息的保密性質(zhì)并以此限制憲法自由。值得注意的是，對于提供、傳播、移轉(zhuǎn)和取得包含個(gè)人資料的俄羅斯聯(lián)邦法院之活動信息，管理和使用為創(chuàng)建獲取上述信息之條件的信息系統(tǒng)和電子通訊信息網(wǎng)絡(luò)等不屬于個(gè)人資料法之效力范圍，由專門的聯(lián)邦法律《保障獲取俄羅斯聯(lián)邦法院活動信息法》規(guī)定。

可以說，在個(gè)人資料的規(guī)制范圍上，俄羅斯個(gè)資法的適用范圍較歐盟廣泛，且更符合當(dāng)今個(gè)人資料法發(fā)展的趨勢，即將公共機(jī)關(guān)進(jìn)行的個(gè)人資料處理與私營部門以及個(gè)人進(jìn)行的個(gè)人資料處理均納入立法的效力范圍之內(nèi)。

三、俄羅斯法上個(gè)人資料處理的原則、條件與分類

（一）個(gè)人資料處理的原則

根據(jù)俄羅斯個(gè)資法第5條規(guī)定，個(gè)人資料處理有七項(xiàng)原則。

第一，合法與公平原則，即“個(gè)人資料處理應(yīng)當(dāng)在合法和公平的基礎(chǔ)上進(jìn)行”。

第二，目的限制原則，即“個(gè)人資料處理應(yīng)當(dāng)僅限于為達(dá)致具體的事先確定的合法目的。不允許與個(gè)人資料收集目的不相容的個(gè)人資料處理”。也就是說，個(gè)人資料的處理目的必須具備具體性、事先確定性和合法性三項(xiàng)特征，同時(shí)，禁止違背個(gè)人資料收集目的的個(gè)人資料處理行為。

第三，禁止數(shù)據(jù)庫混合原則，也就是“不允許將包含個(gè)人資料的為相互不相容目的而進(jìn)行個(gè)人資料處理的數(shù)據(jù)庫混合”。

第四，只能處理符合處理目的之?dāng)?shù)據(jù)原則，即“只有符合處理目的的個(gè)人資料才應(yīng)當(dāng)被處理”。

第五，內(nèi)容和范圍限制原則，也就是“所處理的個(gè)人資料的內(nèi)容和范圍應(yīng)當(dāng)符合所提出的處理目的。所處理的個(gè)人資料相對于所提出的處理目的不應(yīng)當(dāng)為多余的”。

第六，資料質(zhì)素原則，即“在處理個(gè)人資料時(shí)應(yīng)當(dāng)保障個(gè)人資料的準(zhǔn)確性、完整性，而在必要的情況下還應(yīng)當(dāng)保障對個(gè)人資料處理目的而言的時(shí)效性。處理人應(yīng)當(dāng)采取必要措施保障對不完整或不準(zhǔn)確的資料進(jìn)行刪除或者更正”，意味著要求個(gè)人資料要具備準(zhǔn)確性和完整性兩個(gè)一般要求，在特定情況下，還要具備個(gè)人資料的時(shí)效性的特殊要求。這一點(diǎn)對刪除權(quán)的存在和行使具有極為重要的意義，而且在這里不是規(guī)定個(gè)人資料主體的權(quán)利，而是規(guī)定處理人的基本義務(wù)。

第七，禁止永久保存原則，即“個(gè)人資料的保存應(yīng)當(dāng)以可以確定個(gè)人資料主體的形式進(jìn)行，不得超過個(gè)人資料處理目的所要求的時(shí)限，但聯(lián)邦法律、個(gè)人資料主體作為合同受益人或者保證人的合同有不同規(guī)定的除外。所處理的個(gè)人資料在處理目的達(dá)成或者在達(dá)成此類目的之必要性喪失時(shí)，應(yīng)當(dāng)刪除或匿名化，但聯(lián)邦法律有不同規(guī)定的除外”。一方面是關(guān)于保存時(shí)限的一般性規(guī)定，即不得超過個(gè)人資料處理目的所要求的期限，在這方面允許當(dāng)事人可以合同規(guī)定不同期限；另一方面是在目的達(dá)成或者目的達(dá)成必要性喪失時(shí)的強(qiáng)制性刪除或者匿名化要求，只有聯(lián)邦法律（排除俄羅斯聯(lián)邦主體的立法）才可規(guī)定例外。

（二）個(gè)人資料處理的條件

個(gè)人資料處理的條件，是指在遵守前述規(guī)定的原則和規(guī)則的前提下在哪些情況下允許對個(gè)人資料進(jìn)行處理。俄羅斯個(gè)資法第6條第1款規(guī)定了12種情形：（1）經(jīng)個(gè)人資料主體同意而進(jìn)行的個(gè)人資料的處理；（2）為達(dá)致俄羅斯聯(lián)邦國際條約或法律規(guī)定的目的，為履行和完成俄羅斯聯(lián)邦立法賦予處理人的職能、權(quán)限和義務(wù)所必要的個(gè)人資料的處理；（3）由于個(gè)人參加憲法訴訟、民事訴訟、行政訴訟、刑事訴訟、仲裁訴訟而進(jìn)行的個(gè)人資料的處理；（4）為履行司法文書所必要的個(gè)人資料的處理，即為履行司法文書、其他機(jī)關(guān)或負(fù)責(zé)人的依照俄羅斯聯(lián)邦強(qiáng)制執(zhí)行立法應(yīng)當(dāng)履行的文書而進(jìn)行的個(gè)人資料的處理；（5）為履行聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)、國家非預(yù)算基金機(jī)關(guān)、俄羅斯聯(lián)邦主體執(zhí)行權(quán)力機(jī)關(guān)、地方自治機(jī)關(guān)的權(quán)限，以及參與提供相應(yīng)國家服務(wù)和自治市服務(wù)的組織的職能所必要的個(gè)人資料的處理；（6）為履行個(gè)人資料主體作為受益人或保證人的合同，為締結(jié)按照個(gè)人資料主體提議的合同或個(gè)人資料主體將作為受益人或保證人的合同所必要的個(gè)人資料的處理；（7）如果不可能取得個(gè)人資料主體的同意，為保護(hù)其生命、健康或其他重大生存利益（иные жизненно важные интересы）所必要的個(gè)人資料的處理；（8）為處理人或第三人行使權(quán)利和合法利益，以及為達(dá)致重大社會目的所必要的個(gè)人資料的處理，其條件是在此情況下不得侵犯個(gè)人資料主體的權(quán)利和自由；（9）為記者從事職業(yè)活動和（或）大眾信息傳媒從事合法活動，以及為科學(xué)、文學(xué)或創(chuàng)作活動所必要的個(gè)人資料的處理，其條件是在此情況下不得侵犯個(gè)人資料主體的權(quán)利和合法利益；（10）為統(tǒng)計(jì)或其他研究性目的進(jìn)行的個(gè)人資料的處理，其條件是必須將個(gè)人資料做匿名化處理；（11）對個(gè)人資料主體提供或按照其要求提供給不限定范圍的人獲取的個(gè)人資料（也就是個(gè)人資料主體使之成為可以公開獲取的個(gè)人資料）的處理；（12）對依照聯(lián)邦法律應(yīng)當(dāng)公布或強(qiáng)制披露的個(gè)人資料的處理。

在個(gè)人資料處理問題上，還有一些特別的要求，如對國家保護(hù)對象及其家庭成員的個(gè)人資料的處理要考慮相應(yīng)特別立法的規(guī)定，對特種個(gè)人資料和生物個(gè)人資料規(guī)定了專門條款。

處理人除了親自處理個(gè)人資料外，在聯(lián)邦法律沒有不同規(guī)定的情況下，還允許經(jīng)個(gè)人資料主體同意依據(jù)與他人締結(jié)的合同委托他人處理，包括國家訂貨契約或自治市訂貨契約，以及通過國家機(jī)關(guān)或自治市機(jī)關(guān)作出相應(yīng)的文件而委托他人處理。依照處理人的委托從事個(gè)人資料處理的人，有義務(wù)遵循個(gè)資法規(guī)定的個(gè)人資料處理原則和規(guī)則。在處理人的委托中應(yīng)當(dāng)規(guī)定由實(shí)施個(gè)人資料處理的人實(shí)施的個(gè)人資料行為（業(yè)務(wù)）清單和處理目的，應(yīng)當(dāng)規(guī)定該人對個(gè)人資料保密的義務(wù)并保障個(gè)人資料在處理中的安全，還應(yīng)當(dāng)指明保護(hù)所處理的個(gè)人資料的要求（第6條第3款）。依據(jù)處理人的委托從事個(gè)人資料處理的人沒有義務(wù)取得個(gè)人資料主體對處理其個(gè)人資料的同意（第6條第4款）。在處理人和受處理人委托處理個(gè)人資料的人之間，“處理人對該人的行為向個(gè)人資料主體承擔(dān)責(zé)任。受處理人委托實(shí)施個(gè)人資料處理的人向處理人承擔(dān)責(zé)任”（第6條第5款），也就是說，受委托人僅向委托人承擔(dān)責(zé)任，而處理人（委托人）向個(gè)人資料主體承擔(dān)責(zé)任，而受委托人不對個(gè)人資料主體直接承擔(dān)責(zé)任。

（三）個(gè)人資料處理的分類

在俄羅斯法上，限制獲取的信息作為一項(xiàng)法律制度，涵蓋了包括但不限于個(gè)人資料在內(nèi)的多項(xiàng)信息制度，如國家秘密、職務(wù)秘密、職業(yè)秘密、商業(yè)秘密、發(fā)明的實(shí)質(zhì)性信息等。

俄羅斯個(gè)資法對個(gè)人資料的分類包括四類：公眾可獲取的個(gè)人資料（公開個(gè)人資料）、普通個(gè)人資料、特種個(gè)人資料和生物個(gè)人資料。實(shí)際上根據(jù)是否限制對資料的獲取，只能分為兩種：公開資料和限制獲取的資料，但是為了對存在特定風(fēng)險(xiǎn)的個(gè)人資料的處理更為嚴(yán)格和審慎，盡可能地為個(gè)人敏感資料創(chuàng)造安全的環(huán)境，俄羅斯個(gè)資法將特種個(gè)人資料和生物個(gè)人資料單獨(dú)作為獨(dú)立的個(gè)人資料類型予以更加嚴(yán)格的法律調(diào)整。無論是哪種個(gè)人資料，在個(gè)人資料法上，處理人和其他取得對個(gè)人資料之獲取的人原則上都負(fù)有保密義務(wù)，有義務(wù)不得向第三人披露，也不得未經(jīng)個(gè)人資料主體同意而傳播個(gè)人資料，除非聯(lián)邦法律有不同規(guī)定（第7條）。

1.公眾可獲取的個(gè)人資料（公開個(gè)人資料）

公開個(gè)人資料（открытая информация），也被稱為公眾可獲取的個(gè)人資料（Общедоступные источники персональных данных），指為了保障信息目的而建立的公眾可獲取的個(gè)人資料來源，包括指南、地址簿、傳記、書目、電話簿、私人廣告等。這是信息法上的新制度，是為了保障信息、保障的目的而建立的制度?？梢约{入公眾可獲取的個(gè)人資料來源的個(gè)人資料須經(jīng)個(gè)人資料主體書面同意，通常包括其姓、名、父稱，出生年份和地點(diǎn)，地址，用戶號碼，職業(yè)信息以及其他由個(gè)人資料主體提供的個(gè)人資料。該制度的特點(diǎn)在于，個(gè)人資料主體的信息應(yīng)當(dāng)在任何時(shí)候都按照個(gè)人資料主體的要求以及法院判決或其他主管國家機(jī)關(guān)的決定而從公眾可獲取的個(gè)人資料來源中刪除。

2.普通個(gè)人資料

普通個(gè)人資料，實(shí)際上并沒有明確列舉，也沒有明確的概念。但是從俄羅斯個(gè)資法第8—11條可以看出，在公開個(gè)人資料、特種個(gè)人資料，以及生物個(gè)人資料之外的個(gè)人資料，就是所謂的普通個(gè)人資料，因?yàn)樵卺槍@三種有特別制度規(guī)定的個(gè)人資料之外，還規(guī)定了一般性的對個(gè)人資料處理的同意原則，而對特種個(gè)人資料和生物個(gè)人資料在此基礎(chǔ)上提出了更加嚴(yán)厲的要求。

對普通個(gè)人資料的處理來說，較為重要的問題是關(guān)于個(gè)人資料主體對處理其個(gè)人資料的同意。

個(gè)人資料主體在同意提供和撤回問題上享有完全的自由?！皞€(gè)人資料主體自由地以自己的意愿為自己的利益做出提供個(gè)人資料的決定和給予處理其個(gè)人資料的同意。處理個(gè)人資料的同意應(yīng)當(dāng)是具體、知情和自覺的”（第9條第1款）。處理個(gè)人資料的同意可以由個(gè)人資料主體或其代理人以任何可以證明取得同意之事實(shí)的形式提供，在從個(gè)人資料主體代理人處取得處理個(gè)人資料之同意時(shí)，該代理人以個(gè)人資料主體的名義給予同意的權(quán)限由處理人審查。個(gè)人資料處理的同意可以由個(gè)人資料主體撤回。在撤回的情況下，處理人不得繼續(xù)處理，但在存在該法第6條第1款第2—11項(xiàng)以及第10條第2款和第11條第2款時(shí)，允許無須個(gè)人資料主體的同意繼續(xù)處理個(gè)人資料，且可以從非為個(gè)人資料主體的人取得個(gè)人資料（第9條第3、8款）（參看前文部分和下文部分）。處理人承擔(dān)對取得個(gè)人資料主體的同意和存在無須個(gè)人資料主體同意而處理其個(gè)人資料的理由的證明義務(wù)（第9條第2—3款）。

對于個(gè)人資料主體的同意有形式和內(nèi)容上的要求。在聯(lián)邦法律規(guī)定的情況下，個(gè)人資料處理須經(jīng)個(gè)人資料主體書面同意。在這里，依照聯(lián)邦電子簽名法簽署的電子文件形式的同意，等同于包含個(gè)人資料主體親筆簽名的在紙質(zhì)載體上的書面同意。書面同意應(yīng)當(dāng)包括以下內(nèi)容：（1）個(gè)人資料主體的姓、名、父稱，地址，基本身份證明文件的編號、簽發(fā)日期和簽發(fā)機(jī)關(guān)信息；（2）（在從個(gè)人資料主體代理人取得同意的情況下）個(gè)人資料主體代理人的姓、名、父稱，地址，基本身份證明文件的編號、簽發(fā)日期和簽發(fā)機(jī)關(guān)信息，授權(quán)委托書或其他證明其代理人權(quán)限的必備條件；（3）取得個(gè)人資料主體同意的處理人的名稱或姓、名、父稱及地址；（4）個(gè)人資料處理的目的；（5）個(gè)人資料主體同意處理的個(gè)人資料清單；（6）如果處理是委托給他人的，依照處理人委托實(shí)施個(gè)人資料處理的人的名稱或者姓、名、父稱及地址；（7）同意實(shí)施的個(gè)人資料行為的清單，對處理人所使用的個(gè)人資料處理方式的一般描述；（8）個(gè)人資料主體同意的有效期限及撤回的方式；（9）個(gè)人資料主體簽名（第9條第4款）。

在個(gè)人資料主體無行為能力時(shí)，處理其個(gè)人資料的同意由其法定代理人提供；在個(gè)人資料主體死亡時(shí)，處理其個(gè)人資料的同意由其繼承人提供，但該同意已經(jīng)由個(gè)人資料主體生前提供的除外（第9條第6—7款）。

3.特種個(gè)人資料

特種個(gè)人資料制度的目的主要是加強(qiáng)對特種個(gè)人資料（Специальные категории персональных данных）的保護(hù)和明確允許處理特種個(gè)人資料的情形。

俄羅斯個(gè)資法將特種個(gè)人資料列入原則上禁止處理的范疇，僅在例外的情況下才允許處理。此類特種個(gè)人資料包括涉及種族歸屬、民族歸屬、政治觀點(diǎn)、宗教或哲學(xué)信念、健康狀況、性生活的個(gè)人資料（第10條第1款），以及犯罪前科（同條第3款）。而且，在法律允許處理的例外情況下進(jìn)行的特種個(gè)人資料處理，在導(dǎo)致其進(jìn)行處理的原因消除后應(yīng)當(dāng)立即終止，但聯(lián)邦法律有不同規(guī)定的除外（第10條第4款）。

允許處理的例外情況包括：（1）個(gè)人資料主體書面同意處理自己的個(gè)人資料；（2）個(gè)人資料主體使個(gè)人資料成為公眾可獲取資料，其分為由于履行有關(guān)遣返的俄羅斯聯(lián)邦國際條約所必要的個(gè)人資料處理，以及依照俄羅斯聯(lián)邦國家社會救助立法、勞動立法和退休立法進(jìn)行的個(gè)人資料處理三個(gè)方面；（3）為了保護(hù)個(gè)人資料主體的生命、健康或其他重大生存利益，以及他人的生命、健康或其他重大生存利益，且不可能取得個(gè)人資料主體的同意；（4）出于醫(yī)學(xué)預(yù)防目的，為進(jìn)行醫(yī)療診斷、提供醫(yī)療和醫(yī)療社會服務(wù)進(jìn)行的個(gè)人資料處理，其條件是個(gè)人資料處理是由職業(yè)性從事醫(yī)療活動的人并依照俄羅斯聯(lián)邦立法負(fù)有保守醫(yī)生秘密的人進(jìn)行；（5）由相應(yīng)依據(jù)俄羅斯聯(lián)邦立法進(jìn)行活動的社會團(tuán)體或者宗教組織為了達(dá)致其設(shè)立文件規(guī)定的合法目的而對社會團(tuán)體或者宗教組織成員個(gè)人資料的處理，其條件是個(gè)人資料未經(jīng)個(gè)人資料主體書面同意不得傳播；（6）為設(shè)立或者行使個(gè)人資料主體或第三人的權(quán)利所必要的個(gè)人資料處理，由于進(jìn)行司法審判而進(jìn)行的個(gè)人資料處理亦同；（7）依照俄羅斯聯(lián)邦國防、安全、反恐、交通安全、反腐敗、業(yè)務(wù)搜索活動、強(qiáng)制執(zhí)行、刑事強(qiáng)制執(zhí)行立法而進(jìn)行的個(gè)人資料處理，包含由檢察機(jī)關(guān)為進(jìn)行監(jiān)察監(jiān)督而對在俄羅斯聯(lián)邦立法規(guī)定的情形下取得個(gè)人資料的處理；（8）依照強(qiáng)制保險(xiǎn)立法和保險(xiǎn)立法而進(jìn)行的個(gè)人資料處理；（9）在俄羅斯聯(lián)邦立法規(guī)定的情況下由國家機(jī)關(guān)、自治市機(jī)關(guān)或組織為安置無父母監(jiān)護(hù)兒童在寄養(yǎng)家庭的教養(yǎng)而進(jìn)行的個(gè)人資料處理；（10）依照俄羅斯聯(lián)邦國籍法而進(jìn)行的個(gè)人資料處理（第10條第2款）。值得注意的是，對于犯罪前科的個(gè)人資料的處理可以由國家機(jī)關(guān)或自治市機(jī)關(guān)在依照俄羅斯聯(lián)邦立法賦予的權(quán)限范圍內(nèi)處理，以及由他人在聯(lián)邦法律規(guī)定的情形下并依照其規(guī)定的程序處理（第10條第3款）。

4.生物個(gè)人資料

所謂生物個(gè)人資料（Биометрические персональные данные），是指“可以據(jù)以查明人的身份的表征人的身體特征和生物特征”。在生物個(gè)人資料被處理人用以查明個(gè)人資料主體的身份時(shí)，僅可在存在個(gè)人資料主體書面同意時(shí)方可處理（第11條第1款）。例外的允許無須個(gè)人資料主體同意而進(jìn)行生物個(gè)人資料處理的情形為：由于履行關(guān)于遣返的俄羅斯聯(lián)邦國際條約，由于進(jìn)行司法審判和執(zhí)行司法文書，以及在俄羅斯聯(lián)邦國防、安全、反恐、交通安全、反腐敗、業(yè)務(wù)搜索活動、國家公務(wù)、刑事執(zhí)行、出入境程序、國籍立法規(guī)定的情形（第11條第2款）。

（四）個(gè)人資料的跨境移轉(zhuǎn)

個(gè)人資料的跨境移轉(zhuǎn)是個(gè)人資料處理行為之一種，由于其涉及個(gè)人資料主體權(quán)利國際保護(hù)問題，因此成為個(gè)人資料法關(guān)注的基本問題。

俄羅斯個(gè)人資料跨境移轉(zhuǎn)制度，與歐盟關(guān)于在自動化處理個(gè)人資料時(shí)保護(hù)自然人的公約相銜接，區(qū)分轉(zhuǎn)入國是否為歐盟公約成員國，是否能夠保障有效保護(hù)個(gè)人資料主體權(quán)利的標(biāo)準(zhǔn)，建立了一個(gè)由作為歐盟公約當(dāng)事國的外國國家、能夠有效保障個(gè)人資料主體權(quán)利的外國國家和不能有效保障個(gè)人資料主體權(quán)利的外國國家構(gòu)成的不同層級的跨境保護(hù)機(jī)制。

原則上在作為歐盟公約成員國的外國國家境內(nèi)以及在能夠保障有效保護(hù)個(gè)人資料主體權(quán)利的外國國家境內(nèi)，可以依照俄羅斯個(gè)資法進(jìn)行個(gè)人資料跨境移轉(zhuǎn)，但是該移轉(zhuǎn)可以為了保護(hù)俄羅斯聯(lián)邦憲政制度基礎(chǔ)、道德、公民的健康、權(quán)利和合法利益，保障國家防務(wù)和國家安全而予以禁止或者限制（第12條第1款）。

個(gè)人資料主體權(quán)利主管保護(hù)機(jī)關(guān)負(fù)責(zé)批準(zhǔn)不是歐盟公約成員國，但能夠有效保障個(gè)人資料主體權(quán)利的外國國家名單。其標(biāo)準(zhǔn)為雖然該國不是歐盟公約成員國，但是在該國有有效的法規(guī)范和所適用的個(gè)人資料安全措施符合前述公約的規(guī)定（第12條第2款）?？梢娫谶@里所采取的標(biāo)準(zhǔn)是以歐盟公約的保護(hù)水平和規(guī)則作為實(shí)質(zhì)性標(biāo)準(zhǔn)。而且，處理人在開始實(shí)施個(gè)人資料跨境移轉(zhuǎn)之前有義務(wù)確保個(gè)人資料移入國能有效保障個(gè)人資料主體權(quán)利的保護(hù)（同條第3款）。

對于不能有效保障對個(gè)人資料主體權(quán)利保護(hù)的外國國家，僅在以下五種情形下才允許進(jìn)行個(gè)人資料的跨境轉(zhuǎn)入：（1）存在個(gè)人資料主體對其個(gè)人資料跨境轉(zhuǎn)移的書面同意；（2）俄羅斯聯(lián)邦國際條約規(guī)定的情形；（3）聯(lián)邦法律規(guī)定的為保護(hù)俄羅斯聯(lián)邦憲政制度基礎(chǔ)，保障國家防務(wù)和國家安全，以及保障交通綜合體的穩(wěn)定和完全運(yùn)行，保護(hù)個(gè)人、社會和國家在交通綜合體免受非法干涉領(lǐng)域內(nèi)的利益的情形；（4）履行個(gè)人資料主體作為當(dāng)事人的合同；（5）在無法取得個(gè)人資料主體書面同意時(shí)保護(hù)個(gè)人資料主體或他人的生命、健康、其他重大生存利益（第12條第4款）。

四、個(gè)人資料主體的權(quán)利

俄羅斯學(xué)者認(rèn)為，非物質(zhì)利益主觀民事權(quán)利的內(nèi)容通常有三種：請求權(quán)、積極行動權(quán)和訴權(quán)。積極行動權(quán)可能由多個(gè)權(quán)限構(gòu)成。個(gè)人資料主體的權(quán)利在中國，有學(xué)者認(rèn)為，《民法總則》第111條“個(gè)人信息受法律保護(hù)”的規(guī)定并未確認(rèn)個(gè)人信息權(quán)，只是從信息安全的角度規(guī)定了主體外的其他人的義務(wù)。參見：郭明瑞《關(guān)于人格權(quán)立法的思考》（《甘肅政法學(xué)院學(xué)報(bào)》，2017年第4期第1-7頁）。是一個(gè)由多項(xiàng)權(quán)利構(gòu)成的權(quán)利束。主要包括四種：一是獲取其個(gè)人資料的權(quán)利；二是在為推銷市場上的商品、工作和服務(wù)，以及為進(jìn)行政治鼓動時(shí)的權(quán)利；三是在僅依據(jù)自動化個(gè)人數(shù)據(jù)處理做出決定時(shí)的權(quán)利；四是對處理人作為或者不作為的申訴權(quán)利。

（一）個(gè)人資料主體獲取其個(gè)人資料的權(quán)利

1.個(gè)人資料主體取得涉及其個(gè)人資料處理的信息的權(quán)利

個(gè)人資料主體有權(quán)獲取以下信息：（1）確認(rèn)處理人處理其個(gè)人資料的事實(shí)；（2）處理個(gè)人資料的法律依據(jù)和目的；（3）個(gè)人資料處理的目的和處理人所使用的方式；（4）處理人的名稱和所在地，可能依據(jù)與處理人之間的合同或依據(jù)聯(lián)邦法律獲取個(gè)人資料或向其披露個(gè)人資料的人（處理人的工作人員除外）的信息；（5）被處理的屬于個(gè)人資料主體的個(gè)人資料，取得的來源，但聯(lián)邦法律規(guī)定了提供這些資料的其他程序的除外；（6）個(gè)人資料處理的期限，包括保存期限；（7）個(gè)人資料主體行使聯(lián)邦法律規(guī)定權(quán)利的程序；（8）已經(jīng)實(shí)施或預(yù)定的跨境資料移轉(zhuǎn)的信息；（9）如果處理是委托或?qū)⑽心橙说脑?，受處理人委托?shí)施個(gè)人資料處理的人的名稱或姓、名、父稱和地址；（10）本聯(lián)邦法律或者其他聯(lián)邦法律規(guī)定的其他資料（第14條第1、7款）。

對前述資料的形式、內(nèi)容和提供方式，俄羅斯個(gè)資法也有具體的規(guī)定。該類資料“應(yīng)當(dāng)以可獲取的方式由處理人提供給個(gè)人資料主體，而且其中不得包含屬于他人的個(gè)人資料，但對披露該類個(gè)人資料有合法利益存在的情形除外（第14條第2款）”。該類資料“在個(gè)人資料主體或其代理人來訪或收到其來函時(shí)提供給個(gè)人資料主體或其代理人”，來函應(yīng)當(dāng)包括證明個(gè)人資料主體或其代理人身份的基本證明文件，文件簽發(fā)日期和簽發(fā)機(jī)關(guān)的信息，證明個(gè)人資料主體參加與處理人之間關(guān)系的信息（合同編號、合同締結(jié)日期、有條件的口頭名稱和（或）其他信息），以及以其他方式證明處理人處理個(gè)人資料的事實(shí)的信息，個(gè)人資料主體或其代理人的簽名。函件可以電子文件形式提交并經(jīng)依照俄羅斯聯(lián)邦立法的電子簽名簽署（第14條第3款）。

獲取前述資料的權(quán)利可以再次行使。在前述信息以及所處理的個(gè)人資料已經(jīng)按其來函提供個(gè)人資料主體了解的情況下，個(gè)人資料主體有權(quán)在不早于第一次到訪或發(fā)出第一次函件之后30日內(nèi)再次造訪處理人或向其發(fā)出第二次函件以取得前述信息和了解此類個(gè)人資料，但依照聯(lián)邦法律、規(guī)范性法律文件或個(gè)人資料主體作為其受益人或保證人的合同規(guī)定了更短期限的除外。由于處理初次來訪而沒有提供完整的此類信息和（或）所處理的個(gè)人資料，個(gè)人資料主體有權(quán)在前述期限屆滿之前再次造訪處理人或向其發(fā)送第二次函件以便獲取前述信息以及了解所處理的個(gè)人資料。第二次去函除了包含前述規(guī)定的信息之外還應(yīng)當(dāng)說明再次來函的理由（第14條第4—5款）。處理人有權(quán)拒絕履行不符合規(guī)定條件的第二次來函。該拒絕應(yīng)當(dāng)敘明理由。處理人承擔(dān)證明其拒絕履行第二次來函之合理性的義務(wù)（第14條第6款）。