俄羅斯個(gè)人資料法研究

張建文

(西南政法大學(xué)，重慶 400031)

一、俄羅斯個(gè)人資料法的立法背景

《俄羅斯聯(lián)邦個(gè)人資料法》(以下簡(jiǎn)稱“個(gè)資法”)于2006年7月8日由國(guó)家杜馬通過，隨后14日獲聯(lián)邦委員會(huì)贊同。

信息社會(huì)的典型特征就是信息、信息獲取權(quán)*Щербович А.А.Свобода слова в Интернете:конституционно-правовой аспект.Монография.М.:ТЕИС.2013. С.136.和對(duì)信息保護(hù)權(quán)的重要性增長(zhǎng)*Амиржан К.Ж.Становление теории информационного общества.Вестник Омского университета.Серия право.2014.№3(40).С.54.。個(gè)人資料保護(hù)在俄羅斯法體系中屬于信息法組成部分*В.И.Шаров.Структра информационного права.Юридическиая техника.2013.№7(ч.2).С.878.。俄羅斯對(duì)個(gè)人資料的保護(hù)以1993年俄羅斯聯(lián)邦憲法對(duì)個(gè)人私生活秘密權(quán)的保護(hù)(第23條)為憲法基礎(chǔ)*Бархатова.Е.Ю.Комментарий к Конституции Российской Федерации.2-е изд.,перераб.и доп.М.:Проспект.2017.С.40.，與以往的蘇聯(lián)憲法不同，該憲法明確規(guī)定了人、其權(quán)利與自由為最高價(jià)值[1]，引起了俄羅斯政治生活、國(guó)家制度和國(guó)家權(quán)力組織的深刻變革[2]，維護(hù)俄羅斯人民的權(quán)利和自由至高無上，成為國(guó)家活動(dòng)的根本，“自由好過不自由”[3]。1993年俄羅斯聯(lián)邦憲法、俄羅斯聯(lián)邦新民法典(1994—2006年)[4],以及1992年俄羅斯新司法體系改革被視為轉(zhuǎn)型時(shí)期俄羅斯法律領(lǐng)域中最重大的成就*Кодификация российского частного права 2015/под ред.П.В.Крашенинникова.М.:Статут.2015.С.10.。

1996年2月28日，俄羅斯簽署《歐洲保護(hù)人權(quán)和基本自由公約》，接受歐洲人權(quán)法院的司法管轄*Петухова Н.Ю.Последствия возможного выхода России из -под юридикции Европейского Суда по права человека.Евразийская адвокатура.2015.№ 5.с.61.，這成為俄羅斯國(guó)內(nèi)立法創(chuàng)制和變革的重要推動(dòng)力。在這段時(shí)期，俄羅斯在立法上選擇了在人權(quán)問題上調(diào)整國(guó)內(nèi)立法*К.А.Кирсанова.Россия и Совет Европы:20 лет вместе.Проблемы российского права.2016.№2.С.22-23.，以符合《歐洲人權(quán)公約》規(guī)定的標(biāo)準(zhǔn)，全面貫徹人權(quán)高于主權(quán)原則[5]。在俄羅斯當(dāng)代法治國(guó)家概念中，國(guó)際法規(guī)范優(yōu)先于國(guó)內(nèi)法的規(guī)范已經(jīng)成為其重要內(nèi)容[6]。在美國(guó)和俄羅斯，國(guó)際條約的效力都高于國(guó)內(nèi)法[7]。實(shí)際上在蘇聯(lián)解體前，俄羅斯蘇維埃社會(huì)主義聯(lián)邦(РСФСР)最高蘇維埃在1991年11月22日通過了《人和公民的權(quán)利與自由宣言》，其第1條第2款就明確宣布,“公認(rèn)的有關(guān)國(guó)際人權(quán)的國(guó)際規(guī)范高于俄羅斯蘇維埃社會(huì)主義聯(lián)邦共和國(guó)的法律，并直接產(chǎn)生俄羅斯蘇維埃社會(huì)主義聯(lián)邦共和國(guó)公民的權(quán)利和義務(wù)”*Все о правах человека:сборник номативных актов.Москва:Проспект.2017.С.9.。

俄羅斯個(gè)人資料立法的最直接推動(dòng)力來自于俄羅斯2001年加入，2005年12月19日批準(zhǔn)的《在自動(dòng)化處理個(gè)人數(shù)據(jù)時(shí)保護(hù)自然人歐盟公約》。2003年底俄羅斯國(guó)家杜馬審議了《個(gè)人資料法》草案，2006年7月27日通過并正式公布《個(gè)人資料法》*Кучеренко А.В.Этапы и тенденции нормативно-правого регурирования оборота персональных данных в Российской Федерации.Информационное право.2009.№19(4),С.32-36.。作為跨國(guó)信息交換的基本前提和促進(jìn)電子商務(wù)與網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展的基本保障，該法對(duì)保障俄羅斯與歐盟成員國(guó)進(jìn)行跨國(guó)信息交換和促進(jìn)其電子商務(wù)及網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展意義至巨[8]。

技術(shù)進(jìn)步最劇烈地形塑了世界政治地圖，改變了國(guó)家的角色*Алферов А.Н.Развитие теоретических основ и формирование структуры информационного права. Сибирский юридический вестник.2008.№1(40).С.22.。截至2017年9月底，該法迭經(jīng)19次修改，不少最初的條文被廢止或更替，同時(shí)也引入了最為前沿的制度。目前該法共計(jì)六章：《一般規(guī)定》《個(gè)人資料處理的原則和條件》《個(gè)人資料主體的權(quán)利》《處理人的義務(wù)》《對(duì)個(gè)人數(shù)據(jù)處理的監(jiān)督和監(jiān)察以及違反本聯(lián)邦法律的責(zé)任》《最終條款》，整部法律共計(jì)25條。

在中國(guó)，對(duì)俄羅斯個(gè)人資料立法的研究，要么是不夠完整全面地介紹和分析俄羅斯的個(gè)人資料立法，僅抽取其中的部分內(nèi)容做介紹和分析，要么就是因?yàn)槎砹_斯個(gè)資法立法的修改頻仍，導(dǎo)致所使用的法律文本較為陳舊。

因此，筆者認(rèn)為有必要以目前最新版本的《個(gè)人資料法》為藍(lán)本，為國(guó)內(nèi)介紹俄羅斯個(gè)人資料立法的基本制度和保護(hù)機(jī)制，特別是闡明俄羅斯個(gè)人資料法的全貌和與歐盟公約相比較而言的重要差異，以期為中國(guó)的民法典編纂和個(gè)人資料立法創(chuàng)制提供更有效、更全面、更細(xì)致的比較法助益。

二、俄羅斯個(gè)人資料立法的目的與適用范圍

俄羅斯個(gè)人資料立法(Законодательство Российской Федерации в области персональных данных )的概念要廣于個(gè)人資料法的概念。

在立法層級(jí)上，個(gè)人資料立法以俄羅斯聯(lián)邦憲法和俄羅斯聯(lián)邦的國(guó)際條約為基礎(chǔ)，由個(gè)人資料法和規(guī)定個(gè)人資料處理之情形與特點(diǎn)的其他聯(lián)邦法律構(gòu)成，如《俄羅斯聯(lián)邦勞動(dòng)法典》第85—89條規(guī)定由于雇主和具體的勞動(dòng)者之間的勞動(dòng)關(guān)系而處理個(gè)人資料的特點(diǎn)和對(duì)勞動(dòng)者的保護(hù)，《國(guó)家民事公務(wù)法》第22、42、48條規(guī)定了由于履行國(guó)家民事公務(wù)而處理個(gè)人資料的特點(diǎn)和對(duì)公務(wù)員的保護(hù)，《自治市公務(wù)法》也有類似規(guī)定，還有《公民健康保護(hù)基礎(chǔ)法》*СЗ РФ.2011.№ 48.ст.6724.在醫(yī)療活動(dòng)中對(duì)參與提供醫(yī)療服務(wù)的人和向其提供醫(yī)療服務(wù)的人的個(gè)人資料的處理等，在俄羅斯聯(lián)邦勞動(dòng)法典(第81、90、192條)、行政違法法典(第13.11、13.12、13.13、13.14條)以及刑法典(第137、140和272條)中規(guī)定了違反個(gè)人資料處理程序的責(zé)任。

國(guó)家機(jī)關(guān)、俄羅斯銀行、地方自治機(jī)關(guān)在自己的職權(quán)范圍內(nèi)可以依據(jù)并為了執(zhí)行聯(lián)邦法律而就涉及個(gè)人資料處理的具體問題發(fā)布規(guī)范性法律文件，但是不得包含限制個(gè)人資料主體權(quán)利、設(shè)立聯(lián)邦法律沒有規(guī)定的限制處理人活動(dòng)或者由處理人承擔(dān)聯(lián)邦法律沒有規(guī)定的義務(wù)的條款，而且這些規(guī)范性法律文件應(yīng)當(dāng)公布(第4條的2款)*См.часть 2 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。如2012年11月1日俄羅斯聯(lián)邦政府《關(guān)于批準(zhǔn)在個(gè)人資料信息系統(tǒng)中處理個(gè)人資料時(shí)保護(hù)個(gè)人資料的要求》的決議，規(guī)定了對(duì)在個(gè)人資料信息系統(tǒng)中處理個(gè)人資料時(shí)的保護(hù)要求和保護(hù)等級(jí)。這里的個(gè)人資料信息系統(tǒng)就是指通過幾乎可以提供無限信息交換與信息發(fā)布機(jī)會(huì)的全球性電子信息通信網(wǎng)絡(luò)(Internet)*Н.Н.Парыгина.Новеллы главы 8 гражданского кодекса российской федерации:между ретроспективой и перспективами.Вестник Омского университета.Серия Право.2014.№ 2(39).С.147.實(shí)現(xiàn)個(gè)人資料處理的信息系統(tǒng)。

在規(guī)范效力上，國(guó)際條約的規(guī)定優(yōu)先于聯(lián)邦法律適用?！叭绻砹_斯聯(lián)邦的國(guó)際條約規(guī)定了不同于本聯(lián)邦法律的規(guī)則，則適用國(guó)際條約的規(guī)則”(第4條第4款)。在該領(lǐng)域中最為重要的法源是2005年12月19日俄羅斯批準(zhǔn)的歐盟《在自動(dòng)化處理個(gè)人資料時(shí)保護(hù)自然人歐盟公約》，但是俄羅斯在加入該公約時(shí)做了三項(xiàng)保留：第一，俄羅斯不將公約適用于(1)自然人僅為個(gè)人和家庭需要而處理的個(gè)人資料。(2)對(duì)依照俄羅斯聯(lián)邦國(guó)家秘密立法規(guī)定的程序?qū)儆趪?guó)家秘密的個(gè)人資料的處理。第二，如果公約的適用符合沒有使用自動(dòng)化設(shè)備而實(shí)施的個(gè)人資料行為的特征，則俄羅斯將公約適用于未經(jīng)自動(dòng)化處理的個(gè)人資料。第三，俄羅斯為自己保留為保護(hù)國(guó)家安全和公共秩序目的而對(duì)個(gè)人資料主體獲取自己個(gè)人資料的權(quán)利設(shè)立限制之權(quán)力*Федеральный закон от 19 декабря 2005 г.№ 160-ФЗ//СЗ РФ.2005.№ 52(ч.1).ст.5573.。這三項(xiàng)保留奠定了俄羅斯個(gè)資法與歐盟個(gè)人資料保護(hù)規(guī)范之不同的基礎(chǔ)。2006年2月10日俄羅斯聯(lián)邦總統(tǒng)簽署了第54號(hào)《關(guān)于簽署在自動(dòng)化處理個(gè)人數(shù)據(jù)時(shí)保護(hù)自然人歐盟公約涉及監(jiān)督機(jī)關(guān)和資料跨境移轉(zhuǎn)的補(bǔ)充備忘錄》總統(tǒng)令*СЗ РФ.2006.№ 7.ст.769.。

該法為俄羅斯在隱私權(quán)保護(hù)領(lǐng)域的首次專門立法。其第2條明確規(guī)定，該法的目的為“保障維護(hù)在處理個(gè)人資料時(shí)人和公民的權(quán)利與自由”，包括維護(hù)私生活(неприкосновенность частной жизни)*Анисимов А.П.,Рыженков А.Я.,Чикильдина А.Ю.Обьекты гражданских прав:новые векторы правового регулирования.Вестн.Волгогр.гос.ун-та.Сер.5,Юриспруд.2013.№ 4(21).С.11.、個(gè)人和家庭秘密不可侵犯的權(quán)利。該條意味著“賦予人以受到國(guó)家保障的監(jiān)督有關(guān)自己的信息，阻止披露個(gè)人的親密性的信息的權(quán)利”*Права человека: учебник/отв.ред.Е.А.Лукашева.3-е изд.,перераб.М.:Норма:ИНФРА-М.2015.С.144.。在俄羅斯聯(lián)邦民法典現(xiàn)代化過程中專門增加了“保護(hù)公民私生活”的第1522條*Андреев В.К.Существо нематериальных благ и их защита.Журнал российского права № 3.2014.С.32.，俄羅斯高度重視保護(hù)公民的互聯(lián)網(wǎng)隱私[9]，2016年7月俄羅斯還通過了關(guān)于被遺忘權(quán)的立法[10]。

根據(jù)個(gè)資法第3條的規(guī)定，個(gè)人資料(персональные данные)意味著“屬于直接或間接確定或可以確定之自然人的任何信息”[11]，該自然人即為個(gè)人資料主體(субъект персональных данных)*在中國(guó)，有學(xué)者提出所謂的“公司等組織的個(gè)人信息受法律保護(hù)”問題，實(shí)在是對(duì)個(gè)人資料法的立法宗旨和保護(hù)對(duì)象的本質(zhì)性誤解。參見：崔建遠(yuǎn)《我國(guó)<民法總則>的制度創(chuàng)新及歷史意義》(《比較法研究》，2017年第3期第180-192頁(yè))。，個(gè)人資料意味著不僅可據(jù)以將某人與他人相區(qū)分，還可以準(zhǔn)確地查明(識(shí)別)他*Кузнецов П.У.Основы информационного права:учебник для бакалавров.М.:Проспект.2016.С.261-262.?！皞€(gè)人資料——這是將個(gè)人與社會(huì)和所有他的情勢(shì)，首先是與每個(gè)單獨(dú)的個(gè)人為自己所選擇的情勢(shì)相連結(jié)的線”*Информационное право:актуальные проблемы теории и практики/под обц.ред. И.Л.Бачило. М.: Юрайт. 2009. с.473.。根據(jù)權(quán)威法律辭典的列舉，個(gè)人資料包括：姓、名、父稱，出生年月日，出生地，住址，家庭、社會(huì)和財(cái)產(chǎn)狀況，教育，職業(yè)，收入和其他信息*Юридичесткий энциклопедический словарь под ред.А.В.Малько.2-е изд.М.:Простпект.2016.С.436.。

個(gè)人資料的處理，是指“使用自動(dòng)化設(shè)備或者不使用此類設(shè)備而進(jìn)行的任何個(gè)人資料行為(作業(yè))或者行為(作業(yè))之總和”，此類行為包括“收集、記錄、體系化、積累、保存、更正(更新、更改)、抽取、使用、移轉(zhuǎn)(傳播、提供、獲取)、匿名化、封存、刪除、銷毀個(gè)人資料”。較之于俄羅斯聯(lián)邦民法典所規(guī)定的“未經(jīng)公民同意不得收集、保存、傳播和使用任何關(guān)于其私生活的信息”的范圍*Гражданское право:учебник:в 2 т./Под ред.С.А.Степанова.2-е изд.,перераб.и доп.М.:Проспект. 2017. С.190.，大大地?cái)U(kuò)展了個(gè)人資料所保護(hù)的范圍。所謂的“自動(dòng)化處理個(gè)人資料”是指“借助于計(jì)算機(jī)技術(shù)進(jìn)行的個(gè)人資料處理”；傳播個(gè)人資料是指“旨在向不特定的人群披露個(gè)人資料的行為”，提供個(gè)人資料是指“旨在向特定的個(gè)人或者特定的人群披露個(gè)人資料的行為”，而移轉(zhuǎn)個(gè)人資料的行為還包括跨境移轉(zhuǎn)個(gè)人資料，即“向外國(guó)境內(nèi)的外國(guó)國(guó)家權(quán)力機(jī)關(guān)、外國(guó)自然人或者外國(guó)法人移轉(zhuǎn)個(gè)人資料”；封存是指“暫時(shí)停止處理個(gè)人資料”；銷毀是指“其結(jié)果為導(dǎo)致不可能恢復(fù)個(gè)人資料信息系統(tǒng)中個(gè)人資料之內(nèi)容的行為，以及(或)其結(jié)果為銷毀個(gè)人資料之材料載體的行為”；匿名化是指“其結(jié)果為非使用補(bǔ)充信息而不可能確定個(gè)人資料之于具體個(gè)人資料主體之歸屬的行為”。處理人包括兩類：一是“獨(dú)立或與他人共同組織和(或)實(shí)施個(gè)人資料處理的國(guó)家機(jī)關(guān)、自治市機(jī)關(guān)、法人和自然人”；另一類是雖然不直接組織也不直接處理個(gè)人資料，但“可以決定個(gè)人資料處理之目的、應(yīng)當(dāng)處理之個(gè)人資料的構(gòu)成，以及對(duì)個(gè)人資料之行為(作業(yè))”的國(guó)家機(jī)關(guān)、自治市機(jī)關(guān)、法人和自然人*в ред. Федерального закона от 25.07.2011 N 261-ФЗ .。

根據(jù)俄羅斯個(gè)資法第1條第1款的規(guī)定，俄羅斯個(gè)資法適用范圍較廣，既適用于國(guó)家機(jī)關(guān)(聯(lián)邦國(guó)家權(quán)力機(jī)關(guān)、俄羅斯聯(lián)邦主體的國(guó)家權(quán)力機(jī)關(guān)，以及其他國(guó)家機(jī)關(guān))和自治市機(jī)關(guān)(地方自治機(jī)關(guān)和其他自治市機(jī)關(guān))所進(jìn)行的個(gè)人資料處理，也適用于法人和自然人進(jìn)行的個(gè)人資料處理；既適用于使用自動(dòng)化設(shè)備的個(gè)人資料處理，也適用于不使用自動(dòng)化設(shè)備的個(gè)人資料處理，只要該不使用自動(dòng)化設(shè)備的個(gè)人資料處理符合使用自動(dòng)化設(shè)備的個(gè)人資料行為(作業(yè))的特點(diǎn)，也就是“允許依照給定的算法查詢固定在物質(zhì)載體上和包含在卡片文件中或其他體系化的個(gè)人資料匯編中的個(gè)人資料，并(或)獲取此類個(gè)人資料”，這一點(diǎn)構(gòu)成了個(gè)人資料處理行為的本質(zhì)性特點(diǎn)；既適用于在電子通訊信息網(wǎng)絡(luò)中的個(gè)人數(shù)據(jù)處理，也適用于非在電子通訊信息網(wǎng)絡(luò)中的個(gè)人數(shù)據(jù)處理*См.часть 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。

同時(shí)，該法明確規(guī)定不適用以下三種情形：(1)自然人專為個(gè)人和家庭需要進(jìn)行的個(gè)人資料處理，在此情況下不得侵犯?jìng)€(gè)人資料主體的權(quán)利；(2)依照俄羅斯聯(lián)邦檔案事務(wù)立法組織保存、募集(комплектования)、點(diǎn)核和使用包含個(gè)人資料的俄羅斯聯(lián)邦檔案基金文件及其他檔案文件；(3)依照規(guī)定程序處理屬于構(gòu)成國(guó)家秘密之個(gè)人資料。較之之前的五種情形已經(jīng)大為減少了不適用個(gè)人資料法保護(hù)的例外情形[12]，有利于保護(hù)個(gè)人資料主體的權(quán)利和合法利益。三種例外情形有兩種，即第一種和第三種就是直接來源于俄羅斯加入歐盟公約時(shí)所作的保留。構(gòu)成國(guó)家秘密的信息清單由聯(lián)邦法律規(guī)定，任何人無權(quán)任意決定某項(xiàng)信息的保密性質(zhì)并以此限制憲法自由*Конституционное право Российской Федерации: учебник/М.В.Баглай.10-е изд.,изм.и.доп. М.:Норма:ИНФРА-М. 2013.С.251.。值得注意的是，對(duì)于提供、傳播、移轉(zhuǎn)和取得包含個(gè)人資料的俄羅斯聯(lián)邦法院之活動(dòng)信息，管理和使用為創(chuàng)建獲取上述信息之條件的信息系統(tǒng)和電子通訊信息網(wǎng)絡(luò)等不屬于個(gè)人資料法之效力范圍，由專門的聯(lián)邦法律《保障獲取俄羅斯聯(lián)邦法院活動(dòng)信息法》規(guī)定*См.часть 3 введена Федеральным законом от 29.07.2017 N 223-ФЗ .。

可以說，在個(gè)人資料的規(guī)制范圍上，俄羅斯個(gè)資法的適用范圍較歐盟廣泛，且更符合當(dāng)今個(gè)人資料法發(fā)展的趨勢(shì)，即將公共機(jī)關(guān)進(jìn)行的個(gè)人資料處理與私營(yíng)部門以及個(gè)人進(jìn)行的個(gè)人資料處理均納入立法的效力范圍之內(nèi)*相比之下，中國(guó)人大常委會(huì)2012年12月28日通過的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》作為保護(hù)公民個(gè)人(電子)信息的基本法律，僅僅規(guī)制網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位所進(jìn)行的個(gè)人信息的處理，并沒有涵括國(guó)家機(jī)關(guān)或者基層群眾性自治組織進(jìn)行的個(gè)人信息處理行為，不能不說是一大遺憾，有待未來專門的個(gè)人信息法之補(bǔ)正。。

三、俄羅斯法上個(gè)人資料處理的原則、條件與分類

(一)個(gè)人資料處理的原則

根據(jù)俄羅斯個(gè)資法第5條*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.規(guī)定，個(gè)人資料處理有七項(xiàng)原則。

第一，合法與公平原則，即“個(gè)人資料處理應(yīng)當(dāng)在合法和公平的基礎(chǔ)上進(jìn)行”。

第二，目的限制原則，即“個(gè)人資料處理應(yīng)當(dāng)僅限于為達(dá)致具體的事先確定的合法目的。不允許與個(gè)人資料收集目的不相容的個(gè)人資料處理”。也就是說，個(gè)人資料的處理目的必須具備具體性、事先確定性和合法性三項(xiàng)特征，同時(shí)，禁止違背個(gè)人資料收集目的的個(gè)人資料處理行為。

第三，禁止數(shù)據(jù)庫(kù)混合原則，也就是“不允許將包含個(gè)人資料的為相互不相容目的而進(jìn)行個(gè)人資料處理的數(shù)據(jù)庫(kù)混合”。

第四，只能處理符合處理目的之?dāng)?shù)據(jù)原則，即“只有符合處理目的的個(gè)人資料才應(yīng)當(dāng)被處理”。

第五，內(nèi)容和范圍限制原則，也就是“所處理的個(gè)人資料的內(nèi)容和范圍應(yīng)當(dāng)符合所提出的處理目的。所處理的個(gè)人資料相對(duì)于所提出的處理目的不應(yīng)當(dāng)為多余的”。

第六，資料質(zhì)素原則，即“在處理個(gè)人資料時(shí)應(yīng)當(dāng)保障個(gè)人資料的準(zhǔn)確性、完整性，而在必要的情況下還應(yīng)當(dāng)保障對(duì)個(gè)人資料處理目的而言的時(shí)效性。處理人應(yīng)當(dāng)采取必要措施保障對(duì)不完整或不準(zhǔn)確的資料進(jìn)行刪除或者更正”，意味著要求個(gè)人資料要具備準(zhǔn)確性和完整性兩個(gè)一般要求，在特定情況下，還要具備個(gè)人資料的時(shí)效性的特殊要求。這一點(diǎn)對(duì)刪除權(quán)的存在和行使具有極為重要的意義，而且在這里不是規(guī)定個(gè)人資料主體的權(quán)利，而是規(guī)定處理人的基本義務(wù)。

第七，禁止永久保存原則，即“個(gè)人資料的保存應(yīng)當(dāng)以可以確定個(gè)人資料主體的形式進(jìn)行，不得超過個(gè)人資料處理目的所要求的時(shí)限，但聯(lián)邦法律、個(gè)人資料主體作為合同受益人或者保證人的合同有不同規(guī)定的除外。所處理的個(gè)人資料在處理目的達(dá)成或者在達(dá)成此類目的之必要性喪失時(shí)，應(yīng)當(dāng)刪除或匿名化，但聯(lián)邦法律有不同規(guī)定的除外”。一方面是關(guān)于保存時(shí)限的一般性規(guī)定，即不得超過個(gè)人資料處理目的所要求的期限，在這方面允許當(dāng)事人可以合同規(guī)定不同期限；另一方面是在目的達(dá)成或者目的達(dá)成必要性喪失時(shí)的強(qiáng)制性刪除或者匿名化要求，只有聯(lián)邦法律(排除俄羅斯聯(lián)邦主體的立法)才可規(guī)定例外。

(二)個(gè)人資料處理的條件

個(gè)人資料處理的條件，是指在遵守前述規(guī)定的原則和規(guī)則的前提下在哪些情況下允許對(duì)個(gè)人資料進(jìn)行處理。俄羅斯個(gè)資法第6條第1款規(guī)定了12種情形：(1)經(jīng)個(gè)人資料主體同意而進(jìn)行的個(gè)人資料的處理；(2)為達(dá)致俄羅斯聯(lián)邦國(guó)際條約或法律規(guī)定的目的，為履行和完成俄羅斯聯(lián)邦立法賦予處理人的職能、權(quán)限和義務(wù)所必要的個(gè)人資料的處理；(3)由于個(gè)人參加憲法訴訟、民事訴訟、行政訴訟、刑事訴訟、仲裁訴訟而進(jìn)行的個(gè)人資料的處理；(4)為履行司法文書所必要的個(gè)人資料的處理，即為履行司法文書、其他機(jī)關(guān)或負(fù)責(zé)人的依照俄羅斯聯(lián)邦強(qiáng)制執(zhí)行立法應(yīng)當(dāng)履行的文書而進(jìn)行的個(gè)人資料的處理；(5)為履行聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)、國(guó)家非預(yù)算基金機(jī)關(guān)、俄羅斯聯(lián)邦主體執(zhí)行權(quán)力機(jī)關(guān)、地方自治機(jī)關(guān)的權(quán)限，以及參與提供相應(yīng)國(guó)家服務(wù)和自治市服務(wù)的組織的職能所必要的個(gè)人資料的處理*в ред. Федерального закона от 05.04.2013 N 43-ФЗ.；(6)為履行個(gè)人資料主體作為受益人或保證人的合同，為締結(jié)按照個(gè)人資料主體提議的合同或個(gè)人資料主體將作為受益人或保證人的合同所必要的個(gè)人資料的處理*в ред. Федеральных законов от 21.12.2013 N 363-ФЗ，от 03.07.2016 N 231-ФЗ.；(7)如果不可能取得個(gè)人資料主體的同意，為保護(hù)其生命、健康或其他重大生存利益(иные жизненно важные интересы)所必要的個(gè)人資料的處理；(8)為處理人或第三人行使權(quán)利和合法利益，以及為達(dá)致重大社會(huì)目的所必要的個(gè)人資料的處理，其條件是在此情況下不得侵犯?jìng)€(gè)人資料主體的權(quán)利和自由*в ред. Федерального закона от 03.07.2016 N 231-ФЗ.；(9)為記者從事職業(yè)活動(dòng)和(或)大眾信息傳媒從事合法活動(dòng)，以及為科學(xué)、文學(xué)或創(chuàng)作活動(dòng)所必要的個(gè)人資料的處理，其條件是在此情況下不得侵犯?jìng)€(gè)人資料主體的權(quán)利和合法利益；(10)為統(tǒng)計(jì)或其他研究性目的進(jìn)行的個(gè)人資料的處理，其條件是必須將個(gè)人資料做匿名化處理；(11)對(duì)個(gè)人資料主體提供或按照其要求提供給不限定范圍的人獲取的個(gè)人資料(也就是個(gè)人資料主體使之成為可以公開獲取的個(gè)人資料)的處理；(12)對(duì)依照聯(lián)邦法律應(yīng)當(dāng)公布或強(qiáng)制披露的個(gè)人資料的處理。

在個(gè)人資料處理問題上，還有一些特別的要求，如對(duì)國(guó)家保護(hù)對(duì)象及其家庭成員的個(gè)人資料的處理要考慮相應(yīng)特別立法的規(guī)定*в ред. Федерального закона от 03.07.2016 N 231-ФЗ.，對(duì)特種個(gè)人資料和生物個(gè)人資料規(guī)定了專門條款。

處理人除了親自處理個(gè)人資料外，在聯(lián)邦法律沒有不同規(guī)定的情況下，還允許經(jīng)個(gè)人資料主體同意依據(jù)與他人締結(jié)的合同委托他人處理，包括國(guó)家訂貨契約或自治市訂貨契約，以及通過國(guó)家機(jī)關(guān)或自治市機(jī)關(guān)作出相應(yīng)的文件而委托他人處理。依照處理人的委托從事個(gè)人資料處理的人，有義務(wù)遵循個(gè)資法規(guī)定的個(gè)人資料處理原則和規(guī)則。在處理人的委托中應(yīng)當(dāng)規(guī)定由實(shí)施個(gè)人資料處理的人實(shí)施的個(gè)人資料行為(業(yè)務(wù))清單和處理目的，應(yīng)當(dāng)規(guī)定該人對(duì)個(gè)人資料保密的義務(wù)并保障個(gè)人資料在處理中的安全，還應(yīng)當(dāng)指明保護(hù)所處理的個(gè)人資料的要求(第6條第3款)。依據(jù)處理人的委托從事個(gè)人資料處理的人沒有義務(wù)取得個(gè)人資料主體對(duì)處理其個(gè)人資料的同意(第6條第4款)。在處理人和受處理人委托處理個(gè)人資料的人之間，“處理人對(duì)該人的行為向個(gè)人資料主體承擔(dān)責(zé)任。受處理人委托實(shí)施個(gè)人資料處理的人向處理人承擔(dān)責(zé)任”(第6條第5款)，也就是說，受委托人僅向委托人承擔(dān)責(zé)任，而處理人(委托人)向個(gè)人資料主體承擔(dān)責(zé)任，而受委托人不對(duì)個(gè)人資料主體直接承擔(dān)責(zé)任。

(三)個(gè)人資料處理的分類

在俄羅斯法上，限制獲取的信息作為一項(xiàng)法律制度，涵蓋了包括但不限于個(gè)人資料在內(nèi)的多項(xiàng)信息制度，如國(guó)家秘密、職務(wù)秘密、職業(yè)秘密、商業(yè)秘密、發(fā)明的實(shí)質(zhì)性信息等*М.В.Бундин.Система информации ограниченного доступа и конфиденциальность.Вестник Нижегородского университета им.Н.И.Лобачевского.2015.№1.С.124.。

俄羅斯個(gè)資法對(duì)個(gè)人資料的分類包括四類：公眾可獲取的個(gè)人資料(公開個(gè)人資料)、普通個(gè)人資料、特種個(gè)人資料和生物個(gè)人資料。實(shí)際上根據(jù)是否限制對(duì)資料的獲取，只能分為兩種：公開資料和限制獲取的資料*Алфёров А.Н.Теоретические аспекты информационного права.Сибирский юридический вестник. №3(38). С.2.，但是為了對(duì)存在特定風(fēng)險(xiǎn)的個(gè)人資料的處理更為嚴(yán)格和審慎，盡可能地為個(gè)人敏感資料創(chuàng)造安全的環(huán)境*參見：臥龍傳說《俄羅斯“個(gè)人數(shù)據(jù)保護(hù)法”任性實(shí)施 從“存儲(chǔ)本地化”到數(shù)據(jù)安全之路還有多長(zhǎng)》( 《信息安全與通信保密》，2015年第10期第76-77頁(yè))。，俄羅斯個(gè)資法將特種個(gè)人資料和生物個(gè)人資料單獨(dú)作為獨(dú)立的個(gè)人資料類型予以更加嚴(yán)格的法律調(diào)整。無論是哪種個(gè)人資料，在個(gè)人資料法上，處理人和其他取得對(duì)個(gè)人資料之獲取的人原則上都負(fù)有保密義務(wù)，有義務(wù)不得向第三人披露，也不得未經(jīng)個(gè)人資料主體同意而傳播個(gè)人資料，除非聯(lián)邦法律有不同規(guī)定(第7條)。

1.公眾可獲取的個(gè)人資料(公開個(gè)人資料)

公開個(gè)人資料(открытая информация)，也被稱為公眾可獲取的個(gè)人資料(Общедоступные источники персональных данных)，指為了保障信息目的而建立的公眾可獲取的個(gè)人資料來源，包括指南、地址簿、傳記、書目、電話簿、私人廣告等*參見：獨(dú)聯(lián)體成員國(guó)議會(huì)間大會(huì)第十四次全體會(huì)議于1999年10月16日第14—19號(hào)決議通過的獨(dú)聯(lián)體成員國(guó)《個(gè)人資料示范法》第4條第4款。。這是信息法上的新制度，是為了保障信息、保障的目的而建立的制度*Городов О.А.Информационное право:учебник для бакалаврров.2-е изд.М.:Проспект.2016.С.84.?？梢约{入公眾可獲取的個(gè)人資料來源的個(gè)人資料須經(jīng)個(gè)人資料主體書面同意，通常包括其姓、名、父稱，出生年份和地點(diǎn)，地址，用戶號(hào)碼，職業(yè)信息以及其他由個(gè)人資料主體提供的個(gè)人資料。該制度的特點(diǎn)在于，個(gè)人資料主體的信息應(yīng)當(dāng)在任何時(shí)候都按照個(gè)人資料主體的要求以及法院判決或其他主管國(guó)家機(jī)關(guān)的決定而從公眾可獲取的個(gè)人資料來源中刪除*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。

2.普通個(gè)人資料

普通個(gè)人資料，實(shí)際上并沒有明確列舉，也沒有明確的概念。但是從俄羅斯個(gè)資法第8—11條可以看出，在公開個(gè)人資料、特種個(gè)人資料，以及生物個(gè)人資料之外的個(gè)人資料，就是所謂的普通個(gè)人資料，因?yàn)樵卺槍?duì)這三種有特別制度規(guī)定的個(gè)人資料之外，還規(guī)定了一般性的對(duì)個(gè)人資料處理的同意原則，而對(duì)特種個(gè)人資料和生物個(gè)人資料在此基礎(chǔ)上提出了更加嚴(yán)厲的要求。

對(duì)普通個(gè)人資料的處理來說，較為重要的問題是關(guān)于個(gè)人資料主體對(duì)處理其個(gè)人資料的同意。

個(gè)人資料主體在同意提供和撤回問題上享有完全的自由?！皞€(gè)人資料主體自由地以自己的意愿為自己的利益做出提供個(gè)人資料的決定和給予處理其個(gè)人資料的同意。處理個(gè)人資料的同意應(yīng)當(dāng)是具體、知情和自覺的”(第9條第1款)。處理個(gè)人資料的同意可以由個(gè)人資料主體或其代理人以任何可以證明取得同意之事實(shí)的形式提供，在從個(gè)人資料主體代理人處取得處理個(gè)人資料之同意時(shí)，該代理人以個(gè)人資料主體的名義給予同意的權(quán)限由處理人審查。個(gè)人資料處理的同意可以由個(gè)人資料主體撤回。在撤回的情況下，處理人不得繼續(xù)處理，但在存在該法第6條第1款第2—11項(xiàng)以及第10條第2款和第11條第2款時(shí)，允許無須個(gè)人資料主體的同意繼續(xù)處理個(gè)人資料，且可以從非為個(gè)人資料主體的人取得個(gè)人資料(第9條第3、8款)(參看前文部分和下文部分)。處理人承擔(dān)對(duì)取得個(gè)人資料主體的同意和存在無須個(gè)人資料主體同意而處理其個(gè)人資料的理由的證明義務(wù)(第9條第2—3款)。

對(duì)于個(gè)人資料主體的同意有形式和內(nèi)容上的要求。在聯(lián)邦法律規(guī)定的情況下，個(gè)人資料處理須經(jīng)個(gè)人資料主體書面同意。在這里，依照聯(lián)邦電子簽名法簽署的電子文件形式的同意，等同于包含個(gè)人資料主體親筆簽名的在紙質(zhì)載體上的書面同意。書面同意應(yīng)當(dāng)包括以下內(nèi)容：(1)個(gè)人資料主體的姓、名、父稱，地址，基本身份證明文件的編號(hào)、簽發(fā)日期和簽發(fā)機(jī)關(guān)信息；(2)(在從個(gè)人資料主體代理人取得同意的情況下)個(gè)人資料主體代理人的姓、名、父稱，地址，基本身份證明文件的編號(hào)、簽發(fā)日期和簽發(fā)機(jī)關(guān)信息，授權(quán)委托書或其他證明其代理人權(quán)限的必備條件；(3)取得個(gè)人資料主體同意的處理人的名稱或姓、名、父稱及地址；(4)個(gè)人資料處理的目的；(5)個(gè)人資料主體同意處理的個(gè)人資料清單；(6)如果處理是委托給他人的，依照處理人委托實(shí)施個(gè)人資料處理的人的名稱或者姓、名、父稱及地址；(7)同意實(shí)施的個(gè)人資料行為的清單，對(duì)處理人所使用的個(gè)人資料處理方式的一般描述；(8)個(gè)人資料主體同意的有效期限及撤回的方式；(9)個(gè)人資料主體簽名(第9條第4款)。

在個(gè)人資料主體無行為能力時(shí)，處理其個(gè)人資料的同意由其法定代理人提供；在個(gè)人資料主體死亡時(shí)，處理其個(gè)人資料的同意由其繼承人提供，但該同意已經(jīng)由個(gè)人資料主體生前提供的除外(第9條第6—7款)。

3.特種個(gè)人資料

特種個(gè)人資料制度的目的主要是加強(qiáng)對(duì)特種個(gè)人資料(Специальные категории персональных данных)的保護(hù)和明確允許處理特種個(gè)人資料的情形。

俄羅斯個(gè)資法將特種個(gè)人資料列入原則上禁止處理的范疇，僅在例外的情況下才允許處理。此類特種個(gè)人資料包括涉及種族歸屬、民族歸屬、政治觀點(diǎn)、宗教或哲學(xué)信念、健康狀況、性生活的個(gè)人資料(第10條第1款)，以及犯罪前科(同條第3款)。而且，在法律允許處理的例外情況下進(jìn)行的特種個(gè)人資料處理，在導(dǎo)致其進(jìn)行處理的原因消除后應(yīng)當(dāng)立即終止，但聯(lián)邦法律有不同規(guī)定的除外(第10條第4款)*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。

允許處理的例外情況包括：(1)個(gè)人資料主體書面同意處理自己的個(gè)人資料；(2)個(gè)人資料主體使個(gè)人資料成為公眾可獲取資料*п. 2 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.，其分為由于履行有關(guān)遣返的俄羅斯聯(lián)邦國(guó)際條約所必要的個(gè)人資料處理*п. 2.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ.與依照俄羅斯聯(lián)邦全俄居民登記法進(jìn)行的個(gè)人資料處理*п. 2.2 введен Федеральным законом от 27.07.2010 N 204-ФЗ.，以及依照俄羅斯聯(lián)邦國(guó)家社會(huì)救助立法、勞動(dòng)立法和退休立法進(jìn)行的個(gè)人資料處理*п. 2.3 введен Федеральным законом от 25.07.2011 N 261-ФЗ;в ред. Федерального закона от 21.07.2014 N 216-ФЗ.三個(gè)方面；(3)為了保護(hù)個(gè)人資料主體的生命、健康或其他重大生存利益，以及他人的生命、健康或其他重大生存利益，且不可能取得個(gè)人資料主體的同意*п. 3 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(4)出于醫(yī)學(xué)預(yù)防目的，為進(jìn)行醫(yī)療診斷、提供醫(yī)療和醫(yī)療社會(huì)服務(wù)進(jìn)行的個(gè)人資料處理，其條件是個(gè)人資料處理是由職業(yè)性從事醫(yī)療活動(dòng)的人并依照俄羅斯聯(lián)邦立法負(fù)有保守醫(yī)生秘密的人進(jìn)行；(5)由相應(yīng)依據(jù)俄羅斯聯(lián)邦立法進(jìn)行活動(dòng)的社會(huì)團(tuán)體或者宗教組織為了達(dá)致其設(shè)立文件規(guī)定的合法目的而對(duì)社會(huì)團(tuán)體或者宗教組織成員個(gè)人資料的處理，其條件是個(gè)人資料未經(jīng)個(gè)人資料主體書面同意不得傳播；(6)為設(shè)立或者行使個(gè)人資料主體或第三人的權(quán)利所必要的個(gè)人資料處理，由于進(jìn)行司法審判而進(jìn)行的個(gè)人資料處理亦同*п. 6 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(7)依照俄羅斯聯(lián)邦國(guó)防、安全、反恐、交通安全、反腐敗、業(yè)務(wù)搜索活動(dòng)、強(qiáng)制執(zhí)行、刑事強(qiáng)制執(zhí)行立法而進(jìn)行的個(gè)人資料處理*п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.，包含由檢察機(jī)關(guān)為進(jìn)行監(jiān)察監(jiān)督而對(duì)在俄羅斯聯(lián)邦立法規(guī)定的情形下取得個(gè)人資料的處理*п. 7.1 введен Федеральным законом от 23.07.2013 N 205-ФЗ.；(8)依照強(qiáng)制保險(xiǎn)立法和保險(xiǎn)立法而進(jìn)行的個(gè)人資料處理*п. 7.1 введен Федеральным законом от 23.07.2013 N 205-ФЗ.；(9)在俄羅斯聯(lián)邦立法規(guī)定的情況下由國(guó)家機(jī)關(guān)、自治市機(jī)關(guān)或組織為安置無父母監(jiān)護(hù)兒童在寄養(yǎng)家庭的教養(yǎng)而進(jìn)行的個(gè)人資料處理*п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ.；(10)依照俄羅斯聯(lián)邦國(guó)籍法而進(jìn)行的個(gè)人資料處理*п. 10 введен Федеральным законом от 04.06.2014 N 142-ФЗ.(第10條第2款)。值得注意的是，對(duì)于犯罪前科的個(gè)人資料的處理可以由國(guó)家機(jī)關(guān)或自治市機(jī)關(guān)在依照俄羅斯聯(lián)邦立法賦予的權(quán)限范圍內(nèi)處理，以及由他人在聯(lián)邦法律規(guī)定的情形下并依照其規(guī)定的程序處理(第10條第3款)。

4.生物個(gè)人資料

所謂生物個(gè)人資料(Биометрические персональные данные)，是指“可以據(jù)以查明人的身份的表征人的身體特征和生物特征”。在生物個(gè)人資料被處理人用以查明個(gè)人資料主體的身份時(shí)，僅可在存在個(gè)人資料主體書面同意時(shí)方可處理(第11條第1款)。例外的允許無須個(gè)人資料主體同意而進(jìn)行生物個(gè)人資料處理的情形為：由于履行關(guān)于遣返的俄羅斯聯(lián)邦國(guó)際條約，由于進(jìn)行司法審判和執(zhí)行司法文書，以及在俄羅斯聯(lián)邦國(guó)防、安全、反恐、交通安全、反腐敗、業(yè)務(wù)搜索活動(dòng)、國(guó)家公務(wù)、刑事執(zhí)行、出入境程序、國(guó)籍立法規(guī)定的情形*в ред. Федерального закона от 04.06.2014 N 142-ФЗ.(第11條第2款)。

(四)個(gè)人資料的跨境移轉(zhuǎn)

個(gè)人資料的跨境移轉(zhuǎn)是個(gè)人資料處理行為之一種，由于其涉及個(gè)人資料主體權(quán)利國(guó)際保護(hù)問題，因此成為個(gè)人資料法關(guān)注的基本問題。

俄羅斯個(gè)人資料跨境移轉(zhuǎn)制度，與歐盟關(guān)于在自動(dòng)化處理個(gè)人資料時(shí)保護(hù)自然人的公約相銜接，區(qū)分轉(zhuǎn)入國(guó)是否為歐盟公約成員國(guó)，是否能夠保障有效保護(hù)個(gè)人資料主體權(quán)利的標(biāo)準(zhǔn)，建立了一個(gè)由作為歐盟公約當(dāng)事國(guó)的外國(guó)國(guó)家、能夠有效保障個(gè)人資料主體權(quán)利的外國(guó)國(guó)家和不能有效保障個(gè)人資料主體權(quán)利的外國(guó)國(guó)家構(gòu)成的不同層級(jí)的跨境保護(hù)機(jī)制。

原則上在作為歐盟公約成員國(guó)的外國(guó)國(guó)家境內(nèi)以及在能夠保障有效保護(hù)個(gè)人資料主體權(quán)利的外國(guó)國(guó)家境內(nèi)，可以依照俄羅斯個(gè)資法進(jìn)行個(gè)人資料跨境移轉(zhuǎn)，但是該移轉(zhuǎn)可以為了保護(hù)俄羅斯聯(lián)邦憲政制度基礎(chǔ)、道德、公民的健康、權(quán)利和合法利益，保障國(guó)家防務(wù)和國(guó)家安全而予以禁止或者限制(第12條第1款)。

個(gè)人資料主體權(quán)利主管保護(hù)機(jī)關(guān)負(fù)責(zé)批準(zhǔn)不是歐盟公約成員國(guó)，但能夠有效保障個(gè)人資料主體權(quán)利的外國(guó)國(guó)家名單。其標(biāo)準(zhǔn)為雖然該國(guó)不是歐盟公約成員國(guó)，但是在該國(guó)有有效的法規(guī)范和所適用的個(gè)人資料安全措施符合前述公約的規(guī)定(第12條第2款)?？梢娫谶@里所采取的標(biāo)準(zhǔn)是以歐盟公約的保護(hù)水平和規(guī)則作為實(shí)質(zhì)性標(biāo)準(zhǔn)。而且，處理人在開始實(shí)施個(gè)人資料跨境移轉(zhuǎn)之前有義務(wù)確保個(gè)人資料移入國(guó)能有效保障個(gè)人資料主體權(quán)利的保護(hù)(同條第3款)。

對(duì)于不能有效保障對(duì)個(gè)人資料主體權(quán)利保護(hù)的外國(guó)國(guó)家，僅在以下五種情形下才允許進(jìn)行個(gè)人資料的跨境轉(zhuǎn)入：(1)存在個(gè)人資料主體對(duì)其個(gè)人資料跨境轉(zhuǎn)移的書面同意；(2)俄羅斯聯(lián)邦國(guó)際條約規(guī)定的情形；(3)聯(lián)邦法律規(guī)定的為保護(hù)俄羅斯聯(lián)邦憲政制度基礎(chǔ)，保障國(guó)家防務(wù)和國(guó)家安全，以及保障交通綜合體的穩(wěn)定和完全運(yùn)行，保護(hù)個(gè)人、社會(huì)和國(guó)家在交通綜合體免受非法干涉領(lǐng)域內(nèi)的利益的情形；(4)履行個(gè)人資料主體作為當(dāng)事人的合同；(5)在無法取得個(gè)人資料主體書面同意時(shí)保護(hù)個(gè)人資料主體或他人的生命、健康、其他重大生存利益(第12條第4款)。

四、個(gè)人資料主體的權(quán)利

俄羅斯學(xué)者認(rèn)為，非物質(zhì)利益主觀民事權(quán)利的內(nèi)容通常有三種：請(qǐng)求權(quán)、積極行動(dòng)權(quán)和訴權(quán)。積極行動(dòng)權(quán)可能由多個(gè)權(quán)限構(gòu)成*Мужанова В.А.О положительном содержании субьективного гражданского права на нематериальные блага.Сибирский юридический вестник.№ 4(55).2011.С.77.。個(gè)人資料主體的權(quán)利*在中國(guó)，有學(xué)者認(rèn)為，《民法總則》第111條“個(gè)人信息受法律保護(hù)”的規(guī)定并未確認(rèn)個(gè)人信息權(quán)，只是從信息安全的角度規(guī)定了主體外的其他人的義務(wù)。參見：郭明瑞《關(guān)于人格權(quán)立法的思考》(《甘肅政法學(xué)院學(xué)報(bào)》，2017年第4期第1-7頁(yè))。是一個(gè)由多項(xiàng)權(quán)利構(gòu)成的權(quán)利束。主要包括四種：一是獲取其個(gè)人資料的權(quán)利；二是在為推銷市場(chǎng)上的商品、工作和服務(wù)，以及為進(jìn)行政治鼓動(dòng)時(shí)的權(quán)利；三是在僅依據(jù)自動(dòng)化個(gè)人數(shù)據(jù)處理做出決定時(shí)的權(quán)利；四是對(duì)處理人作為或者不作為的申訴權(quán)利。

(一)個(gè)人資料主體獲取其個(gè)人資料的權(quán)利

1.個(gè)人資料主體取得涉及其個(gè)人資料處理的信息的權(quán)利

個(gè)人資料主體有權(quán)獲取以下信息：(1)確認(rèn)處理人處理其個(gè)人資料的事實(shí)；(2)處理個(gè)人資料的法律依據(jù)和目的；(3)個(gè)人資料處理的目的和處理人所使用的方式；(4)處理人的名稱和所在地，可能依據(jù)與處理人之間的合同或依據(jù)聯(lián)邦法律獲取個(gè)人資料或向其披露個(gè)人資料的人(處理人的工作人員除外)的信息；(5)被處理的屬于個(gè)人資料主體的個(gè)人資料，取得的來源，但聯(lián)邦法律規(guī)定了提供這些資料的其他程序的除外；(6)個(gè)人資料處理的期限，包括保存期限；(7)個(gè)人資料主體行使聯(lián)邦法律規(guī)定權(quán)利的程序；(8)已經(jīng)實(shí)施或預(yù)定的跨境資料移轉(zhuǎn)的信息；(9)如果處理是委托或?qū)⑽心橙说脑?，受處理人委托?shí)施個(gè)人資料處理的人的名稱或姓、名、父稱和地址；(10)本聯(lián)邦法律或者其他聯(lián)邦法律規(guī)定的其他資料(第14條第1、7款)。

對(duì)前述資料的形式、內(nèi)容和提供方式，俄羅斯個(gè)資法也有具體的規(guī)定。該類資料“應(yīng)當(dāng)以可獲取的方式由處理人提供給個(gè)人資料主體，而且其中不得包含屬于他人的個(gè)人資料，但對(duì)披露該類個(gè)人資料有合法利益存在的情形除外(第14條第2款)”。該類資料“在個(gè)人資料主體或其代理人來訪或收到其來函時(shí)提供給個(gè)人資料主體或其代理人”，來函應(yīng)當(dāng)包括證明個(gè)人資料主體或其代理人身份的基本證明文件，文件簽發(fā)日期和簽發(fā)機(jī)關(guān)的信息，證明個(gè)人資料主體參加與處理人之間關(guān)系的信息(合同編號(hào)、合同締結(jié)日期、有條件的口頭名稱和(或)其他信息)，以及以其他方式證明處理人處理個(gè)人資料的事實(shí)的信息，個(gè)人資料主體或其代理人的簽名。函件可以電子文件形式提交并經(jīng)依照俄羅斯聯(lián)邦立法的電子簽名簽署(第14條第3款)。

獲取前述資料的權(quán)利可以再次行使。在前述信息以及所處理的個(gè)人資料已經(jīng)按其來函提供個(gè)人資料主體了解的情況下，個(gè)人資料主體有權(quán)在不早于第一次到訪或發(fā)出第一次函件之后30日內(nèi)再次造訪處理人或向其發(fā)出第二次函件以取得前述信息和了解此類個(gè)人資料，但依照聯(lián)邦法律、規(guī)范性法律文件或個(gè)人資料主體作為其受益人或保證人的合同規(guī)定了更短期限的除外。由于處理初次來訪而沒有提供完整的此類信息和(或)所處理的個(gè)人資料，個(gè)人資料主體有權(quán)在前述期限屆滿之前再次造訪處理人或向其發(fā)送第二次函件以便獲取前述信息以及了解所處理的個(gè)人資料。第二次去函除了包含前述規(guī)定的信息之外還應(yīng)當(dāng)說明再次來函的理由(第14條第4—5款)。處理人有權(quán)拒絕履行不符合規(guī)定條件的第二次來函。該拒絕應(yīng)當(dāng)敘明理由。處理人承擔(dān)證明其拒絕履行第二次來函之合理性的義務(wù)(第14條第6款)。

值得注意的是，獲取個(gè)人資料的權(quán)利是可以被限制的。在以下情況下可以依照聯(lián)邦法律予以限制：(1)個(gè)人資料處理，包括對(duì)因業(yè)務(wù)搜索、反偵察和偵查活動(dòng)而取得的個(gè)人資料的處理，是為了國(guó)家防務(wù)、國(guó)家安全和維護(hù)法律秩序而進(jìn)行的；(2)個(gè)人資料處理是因懷疑個(gè)人資料主體實(shí)施犯罪行為而由對(duì)其執(zhí)行拘留的機(jī)關(guān)，或?qū)€(gè)人資料主體提起刑事指控的機(jī)關(guān)，以及對(duì)個(gè)人資料主體采取訴前強(qiáng)制措施的機(jī)關(guān)進(jìn)行的，但俄羅斯聯(lián)邦刑事訴訟立法規(guī)定允許嫌疑人或被指控者了解此類個(gè)人資料的情形除外；(3)依照反犯罪途徑收入合法化(反洗錢)立法和資助恐怖主義立法的個(gè)人資料處理；(4)個(gè)人資料主體獲取其個(gè)人資料將侵犯第三人權(quán)利和合法利益；(5)個(gè)人資料處理是在俄羅斯聯(lián)邦交通安全立法規(guī)定的情況下為保障交通綜合體穩(wěn)定安全運(yùn)作，保護(hù)個(gè)人、社會(huì)和國(guó)家在交通綜合體免受非法干涉領(lǐng)域的利益而實(shí)施的(第14條第8款)。

2.更正、封存和銷毀個(gè)人資料的權(quán)利和要求處理人采取措施保護(hù)自己權(quán)利的權(quán)利

個(gè)人資料主體有權(quán)在其個(gè)人資料不完整、陳舊、不準(zhǔn)確、非法取得時(shí)或非為所申明的處理目的所必要時(shí)要求處理人更正、封存或銷毀其個(gè)人資料，以及采取法律規(guī)定的措施保護(hù)自己的權(quán)利(第14條第1款)。如果處理人拒絕更正，則可能會(huì)承擔(dān)傳播不實(shí)貶損性信息的責(zé)任。在俄羅斯聯(lián)邦最高法院的司法實(shí)踐中曾確認(rèn)“歐洲人權(quán)法院在其判決中所使用的誹謗(диффамация)的概念等同于俄羅斯聯(lián)邦民法典第152條所包含的傳播不實(shí)的貶損性信息的概念”*Постановление Пленума Верховного суда РФ от 24 Февраля 2005 г.№ 3 《О судебной практике по делам о защите чести и достоинства граждан,а также деловой репутации граждан и юридических лиц》，Бюллетень Верховного Суда РФ.2005.№4.。

相比較以促進(jìn)獨(dú)聯(lián)體成員國(guó)立法統(tǒng)一化為目的的《獨(dú)聯(lián)體成員國(guó)示范個(gè)人資料法》而言[13]，俄羅斯個(gè)資法沒有更進(jìn)一步區(qū)分更正、封存和銷毀所針對(duì)的具體情形。根據(jù)《示范個(gè)人資料法》第12條第4—6款的規(guī)定，在存在相應(yīng)文件證實(shí)的理由時(shí)，個(gè)人資料主體有權(quán)要求資料持有人修改自己的個(gè)人資料；在個(gè)人資料主體發(fā)現(xiàn)其不準(zhǔn)確或?qū)€(gè)人資料處理的合法性提出爭(zhēng)議時(shí)，則有權(quán)要求持有人封存這些資料；在查明個(gè)人資料處理存在非法行為時(shí)，個(gè)人資料主體有權(quán)要求賠償損失*參見：獨(dú)聯(lián)體成員國(guó)議會(huì)間大會(huì)第十四次全體會(huì)議于1999年10月16日第14—19號(hào)決議通過的獨(dú)聯(lián)體成員國(guó)《個(gè)人資料示范法》第12條第4—5款。。但是，均沒有在規(guī)定何種情況下可以銷毀這些資料。而且也沒有規(guī)定刪除權(quán)的問題。這是留待被遺忘權(quán)立法予以處理的問題[10]。

(二)個(gè)人資料主體在為推銷市場(chǎng)上的商品、工作和服務(wù)，以及為進(jìn)行政治鼓動(dòng)時(shí)的權(quán)利

根據(jù)俄羅斯個(gè)資法第15條，只有在經(jīng)個(gè)人資料主體事先同意的條件下，才允許通過借助于通訊設(shè)備直接聯(lián)系潛在的消費(fèi)者以推銷市場(chǎng)上的商品、工作和服務(wù)，以及為了進(jìn)行政治鼓動(dòng)目的的個(gè)人資料處理。如果處理者不能證明已經(jīng)取得該同意，則前述個(gè)人資料處理被視為未經(jīng)個(gè)人資料主體事先同意。處理人有義務(wù)按照個(gè)人資料主體的要求立即終止處理其個(gè)人資料。

(三)個(gè)人資料主體在僅依據(jù)自動(dòng)化個(gè)人數(shù)據(jù)處理作出決定時(shí)的權(quán)利

原則上，俄羅斯個(gè)資法禁止僅依據(jù)自動(dòng)化個(gè)人資料處理作出對(duì)個(gè)人資料主體產(chǎn)生法律后果或以其他方式影響其權(quán)利和合法利益的決定(第16條第1款)。但是，存在兩種例外情形：一是存在個(gè)人資料主體的書面同意時(shí)；二是在聯(lián)邦法律規(guī)定的情況下，且該法律規(guī)定了保障個(gè)人資料主體權(quán)利和合法利益的措施(同條第2款)。在此情況下，處理人負(fù)有四項(xiàng)義務(wù)：(1)向個(gè)人資料主體解釋僅依據(jù)自動(dòng)化個(gè)人資料處理作出決定的程序和該決定可能的法律后果；(2)提供針對(duì)該決定提出異議的可能性；(3)解釋個(gè)人資料主體保護(hù)自己權(quán)利和合法利益的程序；(4)處理人有義務(wù)在自收到個(gè)人資料主體異議之日起30日內(nèi)審處異議并就該異議的審處結(jié)果通知個(gè)人資料主體(第16條第3、4款)*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。

(四)個(gè)人資料主體對(duì)處理人作為或者不作為的權(quán)利

如果個(gè)人資料主體認(rèn)為處理人對(duì)其個(gè)人資料的處理違反個(gè)資法的要求或以其他方式侵犯其權(quán)利和自由，則個(gè)人資料主體有權(quán)就處理人的作為和不作為向個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)提出投訴或依照司法程序提起訴訟。個(gè)人資料主體有權(quán)保護(hù)自己的權(quán)利和合法利益，包括依照司法程序要求賠償損失和(或)精神損害賠償(第17條)。

根據(jù)俄羅斯個(gè)資法的規(guī)定，包括處理人在內(nèi)的“因過錯(cuò)違反本聯(lián)邦法律要求的人，均承擔(dān)俄羅斯聯(lián)邦立法規(guī)定的責(zé)任”，而且“由于侵犯其權(quán)利、違反本聯(lián)邦法律規(guī)定個(gè)人資料處理規(guī)則，以及違反本聯(lián)邦法律規(guī)定保護(hù)個(gè)人資料的要求而給個(gè)人資料主體造成的精神損害，應(yīng)當(dāng)依照俄羅斯聯(lián)邦立法予以賠償”，“精神損害賠償獨(dú)立于財(cái)產(chǎn)損害賠償和給個(gè)人資料主體造成的損失的賠償”(第24條)*часть 2 введена Федеральным законом от 25.07.2011 N 261-ФЗ.。有關(guān)精神損害賠償?shù)囊话阋?guī)定和特別規(guī)范，應(yīng)當(dāng)以俄羅斯聯(lián)邦民法典第151條和第1099—1101條的規(guī)定為基本淵源*Табунщиков А.Т.Компенсация морального вреда:учебно-практическое пособие.Москва:Проспект.2017. С.19.。

五、處理人的義務(wù)

個(gè)人資料處理人的義務(wù)，是俄羅斯個(gè)資法立法的重點(diǎn)問題。有關(guān)處理人義務(wù)規(guī)范的比重占到了整個(gè)個(gè)資法近一半的篇幅，是所有個(gè)資法諸章中篇幅最大的一章，處理人的義務(wù)及其履行機(jī)制構(gòu)成了俄羅斯個(gè)人資料法律制度實(shí)施中最龐大最復(fù)雜也是最重要的部分。

主要包括：(1)處理人收集個(gè)人資料時(shí)的義務(wù)；(2)處理人保障履行本聯(lián)邦法律規(guī)定義務(wù)的措施；(3)在個(gè)人資料處理時(shí)保障個(gè)人資料安全的措施；(4)處理人在個(gè)人資料主體來訪或在收到個(gè)人資料主體或其代理人以及個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)來函時(shí)的義務(wù)；(5)處理人消除處理個(gè)人資料時(shí)違反立法的行為，更正、封存和銷毀個(gè)人資料的義務(wù)；(6)個(gè)人資料處理的通知；(7)專責(zé)組織個(gè)人資料處理的人(個(gè)人資料專員)。

(一)處理人在收集個(gè)人資料時(shí)的義務(wù)

根據(jù)俄羅斯個(gè)資法第18條，處理人在收集個(gè)人資料時(shí)的義務(wù)主要有四項(xiàng)。

第一，依照請(qǐng)求提供法定信息的義務(wù)?！疤幚砣嗽谑占瘋€(gè)人資料時(shí)有義務(wù)按照個(gè)人資料主體的請(qǐng)求向其提供本聯(lián)邦法律第14條第7款規(guī)定的信息”(第1款)。

第二，解釋拒絕提供個(gè)人資料法律后果的義務(wù)。“如果提供個(gè)人資料根據(jù)聯(lián)邦法律是強(qiáng)制性的，則處理人有義務(wù)向個(gè)人資料主體解釋拒絕提供其個(gè)人資料的法律后果”(第2款)。

第三，自第三方取得個(gè)人資料時(shí)提供法定信息的義務(wù)?！叭绻麄€(gè)人資料不是從個(gè)人資料主體取得的，處理人在開始處理此類個(gè)人資料時(shí)有義務(wù)向個(gè)人資料主體提供以下信息：(1)處理人或其代理人的名稱或姓、名、父稱和地址；(2)個(gè)人資料處理的目的和法律依據(jù)；(3)個(gè)人資料的預(yù)定使用人；(4)本聯(lián)邦法律規(guī)定個(gè)人資料主體的權(quán)利；(5)個(gè)人資料的來源”(第3款)。該項(xiàng)義務(wù)在以下情況下可以豁免：(1)個(gè)人資料主體已經(jīng)被相應(yīng)處理人通知所實(shí)施個(gè)人資料處理；(2)個(gè)人資料是由處理人依據(jù)聯(lián)邦法律或由于履行個(gè)人資料主體作為受益人或保證人的合同而取得；(3)個(gè)人資料是由個(gè)人資料主體使之成為公眾可獲取的或從公眾可獲取來源而取得；(4)處理人為統(tǒng)計(jì)或其他研究性目的，為從事記者職業(yè)活動(dòng)或科學(xué)、文學(xué)或其他創(chuàng)作性活動(dòng)而進(jìn)行個(gè)人資料處理，且在此時(shí)不侵犯?jìng)€(gè)人資料主體權(quán)利和合法利益；(5)向個(gè)人資料主體提供本條第3款規(guī)定的信息侵犯第三人的權(quán)利和合法利益(第4款)。

第四，俄羅斯聯(lián)邦公民個(gè)人資料的本地化保存義務(wù)。也就是，在包括通過電子信息通訊網(wǎng)絡(luò)“Internet”收集個(gè)人資料時(shí)，處理人有義務(wù)保障通過使用俄羅斯聯(lián)邦境內(nèi)的數(shù)據(jù)庫(kù)記錄、體系化、積累、保存、更正(更新、更改)、提取俄羅斯聯(lián)邦公民個(gè)人資料(第5款)*часть 5 введена Федеральным законом от 21.07.2014 N 242-ФЗ.，其例外是在為履行國(guó)際條約或者法定職能、權(quán)限和義務(wù)，為參與訴訟、履行司法文件，以及為從事記者與大眾信息傳媒的職業(yè)活動(dòng)與各種創(chuàng)作活動(dòng)而處理個(gè)人資料的情形。有評(píng)論認(rèn)為，這是對(duì)Facebook、推特等美國(guó)社交網(wǎng)站的排擠[14]。

值得注意的是，這一規(guī)定與中國(guó)《網(wǎng)絡(luò)安全法》第37條相比有較大的不同：第一，在個(gè)人資料的保護(hù)范圍方面，俄羅斯法的適用范圍大于中國(guó)法的規(guī)定。俄羅斯強(qiáng)調(diào)的是所有處理人收集和產(chǎn)生的所有涉及俄羅斯聯(lián)邦公民的個(gè)人資料均應(yīng)實(shí)現(xiàn)本地化存儲(chǔ)，而中國(guó)《網(wǎng)絡(luò)安全法》則只強(qiáng)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息要履行本地化存儲(chǔ)義務(wù)。第二，在本地化存儲(chǔ)的范圍方面，中國(guó)法的范圍要遠(yuǎn)遠(yuǎn)大于俄羅斯法的規(guī)定。俄羅斯個(gè)資法僅強(qiáng)調(diào)俄羅斯聯(lián)邦公民個(gè)人資料，而中國(guó)立法強(qiáng)調(diào)的是“在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)”?？梢?，中國(guó)法要求本地化存儲(chǔ)的范圍更大，不限于是本國(guó)公民的個(gè)人信息，即使是在中國(guó)境內(nèi)收集和產(chǎn)生的外國(guó)公民或無國(guó)籍公民的個(gè)人信息也在該規(guī)定的效力射程之內(nèi)，而且除了本國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息之外，重要數(shù)據(jù)也在本地化存儲(chǔ)的義務(wù)之列，所謂重要數(shù)據(jù)的定義和范圍并沒有立法規(guī)定，尚有待進(jìn)一步明確。存儲(chǔ)本地化的要求具有強(qiáng)烈的反“信息殖民主義”[15]的色彩，也具有強(qiáng)烈的彰顯國(guó)家網(wǎng)絡(luò)主權(quán)[16]、信息主權(quán)[17]，強(qiáng)化以國(guó)家行政管理為主的網(wǎng)絡(luò)管理體制[18]意味。對(duì)該問題國(guó)際上缺乏統(tǒng)一的共識(shí)，如何避免因過分強(qiáng)調(diào)立法的國(guó)家權(quán)力性[19]和所謂的國(guó)情而阻礙國(guó)際信息流通與國(guó)際電子商務(wù)的發(fā)展，值得深入思考。

(二)處理人保障履行個(gè)資法規(guī)定義務(wù)的措施

第一，采取必要和充分保障履行法定義務(wù)的措施的義務(wù)。在法律沒有不同規(guī)定的情況下，處理人可以自主確定必要和充分保障履行法定義務(wù)的措施的構(gòu)成和清單。俄羅斯個(gè)資法規(guī)定了屬于此類措施的六項(xiàng)內(nèi)容：(1)作為法人的處理人任命負(fù)責(zé)組織個(gè)人資料處理的人(個(gè)人資料專員)；(2)作為法人的處理人發(fā)布確定處理人在個(gè)人資料處理方面政策的文件，就個(gè)人資料處理問題的本地文件，以及規(guī)定旨在預(yù)防和產(chǎn)生違反聯(lián)邦立法的行為、消除這些違法行為后果的程序的本地文件；(3)采取保障個(gè)人資料安全的法律、組織與技術(shù)措施；(4)對(duì)個(gè)人資料處理是否符合本聯(lián)邦法律和依照該法頒布的規(guī)范性法律文件、對(duì)個(gè)人資料保護(hù)的要求、處理人在個(gè)人資料處理方面的政策、處理人的本地文件的內(nèi)部監(jiān)督和(或)審計(jì)；(5)對(duì)在違反本聯(lián)邦法律時(shí)造成的損害、前述損害與處理人所采取的保障履行本聯(lián)邦法律規(guī)定義務(wù)之措施的相互關(guān)系進(jìn)行評(píng)估；(6)讓處理人直接從事個(gè)人資料處理的工作人員了解俄羅斯聯(lián)邦個(gè)人資料立法的規(guī)定，包括對(duì)個(gè)人資料保護(hù)的要求，決定處理人在個(gè)人資料處理方面政策的文件，就個(gè)人資料處理問題的本地文件，和(或)培訓(xùn)前述工作人員(第18.1條第1款)。

第二，公開相關(guān)政策文件等的義務(wù)。處理人有義務(wù)公開或以其他方式保障無限制地獲取規(guī)定其個(gè)人資料處理政策的文件、對(duì)已實(shí)施的保護(hù)個(gè)人資料要求的信息。使用電子通訊信息網(wǎng)絡(luò)收集個(gè)人資料的處理人有義務(wù)在相應(yīng)的電子通訊信息網(wǎng)絡(luò)中公開決定其個(gè)人資料處理政策的文件和所實(shí)施的保護(hù)個(gè)人資料要求的信息，并保障通過使用相應(yīng)電子通訊信息網(wǎng)絡(luò)設(shè)備獲取前述文件(第18.1條第2款)。對(duì)于國(guó)家機(jī)關(guān)和自治市機(jī)關(guān)作為處理人時(shí)的保障履行法定義務(wù)的措施的清單由俄羅斯聯(lián)邦政府規(guī)定。

第三，提交相關(guān)政策文件的義務(wù)。處理人有義務(wù)按照個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)的來函提交決定處理人個(gè)人資料處理政策的文件和相關(guān)本地文件(同條第4款)。

(三)在個(gè)人資料處理時(shí)保障個(gè)人資料安全的義務(wù)與措施

處理人在處理個(gè)人資料時(shí)負(fù)有義務(wù)采取必要的法律、組織和技術(shù)措施或保障采取這些措施以保護(hù)個(gè)人資料免受非法或意外的獲取、銷毀、修改、封存、復(fù)制、提供、傳播，以及個(gè)人資料方面的其他非法行為(第19條第1款)。

保障個(gè)人資料安全的途徑包括：(1)確定在個(gè)人資料信息系統(tǒng)中處理個(gè)人資料時(shí)個(gè)人資料的安全威脅；(2)在個(gè)人資料信息系統(tǒng)中處理個(gè)人資料時(shí)，采取保障個(gè)人資料安全的組織性和技術(shù)性措施，這是為完成俄羅斯聯(lián)邦政府規(guī)定的個(gè)人資料保護(hù)等級(jí)對(duì)個(gè)人資料保護(hù)的要求所必要的；(3)對(duì)依照規(guī)定程序采取的信息保護(hù)手段的符合性進(jìn)行評(píng)估；(4)在個(gè)人資料信息系統(tǒng)投入使用前評(píng)估所采取的個(gè)人資料安全保障措施的有效性；(5)清點(diǎn)個(gè)人資料的計(jì)算機(jī)載體；(6)發(fā)現(xiàn)未經(jīng)許可的獲取個(gè)人資料的事實(shí)并采取措施；(7)恢復(fù)由于未經(jīng)許可的獲取而被修改或被銷毀的個(gè)人資料；(8)設(shè)立獲取在個(gè)人資料信息系統(tǒng)中所處理個(gè)人資料的規(guī)則，以及保障登記和清點(diǎn)對(duì)個(gè)人資料信息系統(tǒng)中個(gè)人資料所實(shí)施的所有行為；(9)監(jiān)督所采取的個(gè)人資料安全保障措施和個(gè)人資料信息系統(tǒng)保護(hù)等級(jí)(第19條第2款)。在這里所謂的個(gè)人資料安全威脅是指“能夠產(chǎn)生包括意外獲取個(gè)人資料在內(nèi)的未經(jīng)許可的個(gè)人資料獲取，導(dǎo)致銷毀、修改、封存、復(fù)制、提供、傳播個(gè)人資料，以及在個(gè)人信息系統(tǒng)中處理個(gè)人資料時(shí)的其他非法行為之虞的條件和事實(shí)的總和”，個(gè)人資料安全保護(hù)等級(jí)指“表征用以中和在個(gè)人資料信息系統(tǒng)中處理個(gè)人資料時(shí)保障個(gè)人資料安全威脅的要求的綜合指標(biāo)”(同條第11款)。

在個(gè)人資料安全保障方面，俄羅斯聯(lián)邦政府、有關(guān)聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)，以及數(shù)據(jù)處理人協(xié)會(huì)、聯(lián)盟和社團(tuán)各有不同的義務(wù)和權(quán)限，同時(shí)俄羅斯個(gè)資法還規(guī)定了前述相關(guān)主體的強(qiáng)制協(xié)商程序。

對(duì)俄羅斯聯(lián)邦政府來說，主要是規(guī)定前述保護(hù)個(gè)人資料安全的要求，而安全保障領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)和反技術(shù)偵查以及對(duì)信息的技術(shù)性保護(hù)措施領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)在各自的權(quán)限范圍內(nèi)，規(guī)定完成俄羅斯聯(lián)邦政府規(guī)定的保護(hù)個(gè)人資料的要求而對(duì)每一保護(hù)等級(jí)所必要的在個(gè)人資料信息系統(tǒng)中處理個(gè)人資料時(shí)保障個(gè)人資料安全的組織性和技術(shù)性措施*По вопросу разработки нормативных правовых актов，определяющих угрозы безопасности персональных данных，см. Методические рекомендации，утв. ФСБ России 31.03.2015 N 149/7/2/6-432.(第19條第4款)。

國(guó)家機(jī)關(guān)(包括在規(guī)定活動(dòng)領(lǐng)域中履行制定國(guó)家政策和規(guī)范性法律調(diào)整職能的聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)，俄羅斯聯(lián)邦主體的國(guó)家機(jī)關(guān)、俄羅斯銀行、國(guó)家非預(yù)算基金的機(jī)關(guān)及其他國(guó)家機(jī)關(guān))在自己權(quán)限范圍內(nèi)可以發(fā)布規(guī)范性法律文件，根據(jù)個(gè)人資料的內(nèi)容、處理的特點(diǎn)和方式規(guī)定從事相應(yīng)活動(dòng)時(shí)使用個(gè)人資料信息系統(tǒng)處理個(gè)人資料時(shí)現(xiàn)實(shí)的個(gè)人資料安全威脅(同條第5款)。與此同時(shí)，處理人協(xié)會(huì)、聯(lián)盟和其他處理人社會(huì)團(tuán)體也有權(quán)以自己的決定，根據(jù)個(gè)人資料的內(nèi)容、處理的特點(diǎn)和方式規(guī)定此類協(xié)會(huì)、聯(lián)盟和其他處理人社會(huì)團(tuán)體的成員在從事相應(yīng)活動(dòng)時(shí)使用個(gè)人資料信息系統(tǒng)處理個(gè)人資料時(shí)的補(bǔ)充性現(xiàn)實(shí)個(gè)人資料安全威脅(同條第6款)。

俄羅斯個(gè)資法還規(guī)定了強(qiáng)制協(xié)商程序，以提高前述主體相互之間在確定安全威脅方面的協(xié)調(diào)性和一致性。國(guó)家機(jī)關(guān)的規(guī)范性法律文件草案起草及施行應(yīng)當(dāng)與安全保障領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)和反技術(shù)偵查與對(duì)信息的技術(shù)保護(hù)領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)進(jìn)行協(xié)商。處理人協(xié)會(huì)、聯(lián)盟和其他處理人社會(huì)團(tuán)體決定的草案也應(yīng)當(dāng)與前述聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)按照俄羅斯聯(lián)邦政府規(guī)定的程序進(jìn)行協(xié)商。前述聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)拒絕對(duì)前述決定草案進(jìn)行協(xié)商應(yīng)當(dāng)敘明理由(第19條第7款)。

在國(guó)家監(jiān)督和監(jiān)察方面，對(duì)于在國(guó)家個(gè)人資料信息系統(tǒng)中進(jìn)行個(gè)人資料處理時(shí)履行保障個(gè)人資料安全的組織性和技術(shù)性措施的監(jiān)督和監(jiān)察由安全保障領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)和反技術(shù)偵查與對(duì)信息的技術(shù)保護(hù)領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)在各自的權(quán)限范圍內(nèi)進(jìn)行，但是無權(quán)了解在個(gè)人資料信息系統(tǒng)中所處理的個(gè)人資料(同條第8款)。對(duì)于使用非國(guó)家個(gè)人資料信息系統(tǒng)處理個(gè)人資料時(shí)，對(duì)其所采取的個(gè)人資料安全保障組織性和技術(shù)性措施的監(jiān)督，根據(jù)所處理的個(gè)人資料的重要性和內(nèi)容，可以俄羅斯聯(lián)邦政府決定的方式授予前述聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)監(jiān)督的權(quán)限，但前述聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)無權(quán)了解在個(gè)人資料信息系統(tǒng)中所處理的個(gè)人資料(同條第9款)。

對(duì)于個(gè)人資料信息系統(tǒng)之外生物個(gè)人資料的使用和保存只能在此類信息的物質(zhì)載體上，并使用足以保障這些數(shù)據(jù)免受非法獲取或意外獲取、銷毀、修改、封存、復(fù)制、提供和傳播的保存技術(shù)進(jìn)行(第19條第10款)。

(四)處理人在個(gè)人資料主體來訪時(shí)以及在收到個(gè)人資料主體或其代理人以個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)來函時(shí)的義務(wù)

在處理前述有關(guān)來訪或來函時(shí)，處理人負(fù)有以下具體義務(wù)*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.：第一，在來訪或來函時(shí)提供個(gè)人資料是否存在之信息，以及了解該類個(gè)人資料之機(jī)會(huì)的義務(wù)。在個(gè)人資料主體或其代理人來訪時(shí)，或者在自收到個(gè)人資料主體或其代理人來函之日起30日內(nèi)，處理人有義務(wù)按照法定程序向個(gè)人資料主體或其代理人提供屬于相應(yīng)個(gè)人資料主體的個(gè)人資料是否存在的信息，并提供了解這些個(gè)人資料的機(jī)會(huì)(第20條第1款)。第二，拒絕提供時(shí)須出具附理由書面答復(fù)的義務(wù)。在個(gè)人資料主體或其代理人來訪或收到其來函時(shí)拒絕提供是否存在關(guān)于相應(yīng)個(gè)人資料主體的個(gè)人資料存在的信息或個(gè)人資料時(shí)，處理人在自個(gè)人資料主體或其代理人來訪之日起或在自收到其來函之日起30日內(nèi)有義務(wù)提供包含援引作為拒絕依據(jù)的聯(lián)邦法律的附理由書面答復(fù)(第20條第2款)。第三，無償提供、更改、銷毀個(gè)人資料的義務(wù)。處理人有義務(wù)無償向個(gè)人資料主體或其代理人提供了解屬于該個(gè)人資料主體之個(gè)人資料的機(jī)會(huì)。在自個(gè)人資料主體或其代理人提交證明該個(gè)人資料不完整、不準(zhǔn)確或不具時(shí)效性的信息之日起不超過7個(gè)工作日的期限內(nèi)，處理人有義務(wù)對(duì)之進(jìn)行必要修改。在自個(gè)人資料主體或其代理人提交證明該個(gè)人資料為非法取得或非為所申明的處理目的所必要的信息之日起不超過7個(gè)工作日的期限內(nèi)，處理人有義務(wù)銷毀這些個(gè)人資料。處理者有義務(wù)就所做的修改和所采取的措施通知個(gè)人資料主體或其代理人，并采取合理措施通知該主體的個(gè)人資料曾經(jīng)被移轉(zhuǎn)給的第三人(第20條第3款)。第四，向個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)提供信息的義務(wù)。處理人有義務(wù)按照個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)的函詢?cè)谧允盏皆摵冎掌?0日內(nèi)告知該機(jī)關(guān)必要的信息(第20條第4款)。

(五)處理人消除在處理個(gè)人資料時(shí)違反立法的行為，更正、封存和銷毀個(gè)人資料的義務(wù)

第一，處理人的封存義務(wù)?！霸诜欠ㄌ幚韨€(gè)人資料時(shí)，個(gè)人資料主體或其代理人來訪以及個(gè)人資料主體或其代理人或個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)來函時(shí)，處理人有義務(wù)在自到訪或者收到來函之時(shí)起至整個(gè)審查期間對(duì)非法處理的屬于個(gè)人資料主體的個(gè)人資料實(shí)施封存，或者(如果個(gè)人資料處理是由他人按照處理人委托進(jìn)行的，則)保障對(duì)該個(gè)人資料實(shí)施封存”；“在發(fā)現(xiàn)不準(zhǔn)確的個(gè)人資料時(shí)，個(gè)人資料主體或其代理人來訪或來函，以及個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)來函時(shí)，處理人有義務(wù)對(duì)屬于個(gè)人資料主體的個(gè)人資料實(shí)施封存，或者(如果個(gè)人資料處理是由他人按照處理人的委托進(jìn)行的，則)保障對(duì)該個(gè)人資料實(shí)施封存，但是封存?zhèn)€人資料侵犯?jìng)€(gè)人資料主體或第三人的權(quán)利和合法利益除外”(第21條第1款)。

第二，處理人的更正義務(wù)。保障信息的可靠性也是俄羅斯信息法學(xué)的基本原則*А.В.Минбалеев.Принципы информационного права.Вестник ЮУрГУ.Серия право.2015.№1.С.80.?！霸谧C實(shí)個(gè)人資料不準(zhǔn)確的情況下，處理人有義務(wù)依據(jù)個(gè)人資料主體或其代理人以及個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)提交的信息或其他必要文件在自提交給此類信息之日起7個(gè)工作日內(nèi)更正個(gè)人資料，或者(如果個(gè)人資料處理是由他人按照處理人委托進(jìn)行的，則)保障更正的該個(gè)人資料，并解除對(duì)個(gè)人資料的封存”(第21條第2款)。

第三，處理人的終止義務(wù)?！霸诔霈F(xiàn)由處理人或依照處理人委托行為的人非法處理個(gè)人資料時(shí)，處理人有義務(wù)在不超過自其出現(xiàn)之日起3個(gè)工作日內(nèi)終止非法個(gè)人資料處理，或由依據(jù)處理人委托行為的人保障終止非法的個(gè)人資料處理。在不可能保障個(gè)人資料處理的合法性的情況下，處理人有義務(wù)在不超過自非法個(gè)人資料處理出現(xiàn)之日起10個(gè)工作日內(nèi)銷毀這些個(gè)人資料或保障銷毀這些個(gè)人資料。處理人有義務(wù)將消除所犯的違法行為或銷毀個(gè)人資料，在個(gè)人資料主體或其代理人來訪的，通知個(gè)人資料主體或其代理人，在個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)來函的情況下，還應(yīng)通知該機(jī)關(guān)”(第21條第3款)。

第四，處理人在處理目的達(dá)成時(shí)的終止與銷毀義務(wù)?！霸趥€(gè)人資料處理目的達(dá)成時(shí)，處理人有義務(wù)在自處理目的達(dá)成之日起不超過30日內(nèi)終止個(gè)人資料處理，或者(如果個(gè)人資料處理是由他人按照處理人委托進(jìn)行的，則)保障終止個(gè)人資料處理，并銷毀個(gè)人資料或者保障銷毀個(gè)人資料，如果個(gè)人資料主體作為受益人或保證人的合同、處理人和個(gè)人資料主體之間的其他協(xié)議沒有不同規(guī)定，以及處理人未經(jīng)個(gè)人資料主體同意無權(quán)依據(jù)本聯(lián)邦法律或其他聯(lián)邦法律進(jìn)行個(gè)人資料處理的話”(第21條第4款)。

第五，在個(gè)人資料主體撤回同意時(shí)的終止與銷毀義務(wù)。“在個(gè)人資料主體撤回處理其個(gè)人資料的同意時(shí)，處理人有義務(wù)在上述撤回提交之日起不超過30日內(nèi)終止處理其個(gè)人資料，或者(如果個(gè)人資料處理是由他人按照處理人委托進(jìn)行的，則)保障終止該處理，而在如果保存?zhèn)€人資料對(duì)個(gè)人資料處理之目的而言不再需要時(shí)，有義務(wù)銷毀個(gè)人資料，或者(如果個(gè)人資料處理是由他人按照處理人委托進(jìn)行的，則)保障銷毀個(gè)人資料，如果個(gè)人資料主體作為受益人或保證人的合同、處理人和個(gè)人資料主體之間的其他協(xié)議沒有不同規(guī)定，而處理人未經(jīng)個(gè)人資料主體同意無權(quán)依據(jù)本聯(lián)邦法律或者其他聯(lián)邦法律進(jìn)行個(gè)人資料處理的話”(第21條第5款)。

第六，處理人在不能如期銷毀時(shí)的封存與銷毀義務(wù)。在出現(xiàn)非法個(gè)人資料處理、處理目的達(dá)成，以及個(gè)人資料主體撤回同意的情況下，在不能按照前述期限銷毀個(gè)人資料時(shí)，“處理人實(shí)施對(duì)此類個(gè)人資料的封存，或者(如果個(gè)人資料處理是由他人按照處理人的委托進(jìn)行的，則)保障對(duì)此類個(gè)人資料的封存，并保障在不超過6個(gè)月期限內(nèi)銷毀個(gè)人資料，但聯(lián)邦法律規(guī)定了不同期限的除外”(第21條第6條)。

(六)個(gè)人資料處理的通知(處理人登記簿)

處理人在開始處理個(gè)人資料之前有義務(wù)就自己實(shí)施個(gè)人資料處理之意圖通知個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)(第22條第1款)。個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)在收到個(gè)人資料處理通知之日起30日內(nèi)將第22條第3款指明的信息以及前述通知提交的日期載入處理人登記簿。處理人登記簿中包含的信息除處理個(gè)人資料時(shí)保障個(gè)人資料安全的手段的信息外，均為公眾可獲取的信息(第22條第4款)。在提交的第22條第3款規(guī)定的信息不完整或者不準(zhǔn)確時(shí)，個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)有權(quán)在載入處理人登記簿之前要求處理人更正所提交的信息(第22條第6款)。在第22條第3款規(guī)定的信息變更，以及個(gè)人資料處理終止時(shí)，處理人有義務(wù)在自此類變更產(chǎn)生之日或個(gè)人資料處理終止之日起10個(gè)工作日內(nèi)就此通知個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)(第22條第7款)*часть 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。值得注意的是，處理人并不承擔(dān)與個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)審查個(gè)人資料處理通知有關(guān)的以及與將信息載入處理人登記簿有關(guān)的費(fèi)用(第22條第5款)。

處理人的通知可以紙質(zhì)文件或電子文件呈送并由被授權(quán)者簽署。通知應(yīng)當(dāng)包含如下信息*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.：(1)處理人的名稱(姓、名、父稱)、地址；(2)個(gè)人資料處理的目的；(3)個(gè)人資料的類別；(4)其個(gè)人資料被處理主體的類別；(5)個(gè)人資料處理的法律依據(jù)；(6)個(gè)人資料行為的清單，對(duì)處理人所使用的個(gè)人資料處理方法的一般描述；(7)對(duì)保障履行本聯(lián)邦法律規(guī)定義務(wù)的措施和在處理個(gè)人資料時(shí)保障個(gè)人資料安全的措施的描述，包括是否存在加密(密碼)設(shè)備的信息以及這些設(shè)備的名稱*п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(8)負(fù)責(zé)組織個(gè)人資料處理的自然人的姓、名、父稱或者法人的名稱，以及其聯(lián)絡(luò)電話號(hào)碼、通信地址和電子郵箱地址*п. 7.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ.；(9)個(gè)人資料處理的開始日期；(10)個(gè)人資料處理的終止期限或者條件；(11)在處理進(jìn)程中是否存在跨境個(gè)人資料移轉(zhuǎn)*п. 10 введен Федеральным законом от 25.07.2011 N 261-ФЗ.；(12)包含俄羅斯聯(lián)邦公民之個(gè)人資料信息的數(shù)據(jù)庫(kù)所在地的信息*п. 10.1 введен Федеральным законом от 21.07.2014 N 242-ФЗ.；(13)依照俄羅斯聯(lián)邦政府規(guī)定的個(gè)人資料保護(hù)要求保障個(gè)人資料安全的信息*п. 11 введен Федеральным законом от 25.07.2011 N 261-ФЗ.(第22條第3款)。

通知的義務(wù)可以被豁免，在以下情況下，處理人有權(quán)無須通知個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)而處理個(gè)人資料：(1)依照勞動(dòng)立法進(jìn)行的個(gè)人資料處理*п. 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(2)對(duì)由于締結(jié)個(gè)人資料主體作為當(dāng)事人的合同而取得的個(gè)人資料的處理，但未經(jīng)個(gè)人資料主體同意不得傳播，也不得向第三人提供，且由處理人僅用于履行前述合同和與個(gè)人資料主體締結(jié)合同；(3)對(duì)屬于社會(huì)團(tuán)體或宗教組織成員(參加者)的個(gè)人資料，且由相應(yīng)社會(huì)團(tuán)體或宗教組織依據(jù)俄羅斯聯(lián)邦立法為其設(shè)立文件規(guī)定的合法目的而進(jìn)行的處理，其條件是未經(jīng)個(gè)人資料主體書面同意個(gè)人資料不得被傳播或向第三人披露*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(4)對(duì)個(gè)人資料主體使之成為公眾可獲取的個(gè)人資料之處理*п. 4 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(5)對(duì)僅包括個(gè)人資料主體之姓、名和父稱之個(gè)人資料的處理；(6)為辦理個(gè)人資料主體一次性進(jìn)出處理人所在區(qū)域的出入證目的，或其他類似目的的個(gè)人資料處理；(7)對(duì)載入依照聯(lián)邦法律具有國(guó)家自動(dòng)化信息系統(tǒng)身份的個(gè)人資料信息系統(tǒng)，以及載入為保護(hù)國(guó)家安全和公共秩序?yàn)槟康亩⒌膰?guó)家個(gè)人資料信息系統(tǒng)的個(gè)人資料的處理*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(8)對(duì)依照聯(lián)邦法律或規(guī)定個(gè)人資料處理時(shí)保障個(gè)人資料安全和遵守個(gè)人資料主體權(quán)利的其他規(guī)范性法律文件，不使用自動(dòng)化設(shè)備進(jìn)行的個(gè)人資料處理；(9)在俄羅斯聯(lián)邦交通安全立法規(guī)定的情況下，為保障交通綜合體的穩(wěn)定安全運(yùn)行，保護(hù)交通綜合體領(lǐng)域免受非法侵入行為的個(gè)人、社會(huì)和國(guó)家之利益目的而進(jìn)行的個(gè)人資料處理*п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ.。

(七)專責(zé)組織個(gè)人資料處理的人：個(gè)人資料專員制度

在俄羅斯個(gè)資法的修改中，加入了專門負(fù)責(zé)組織個(gè)人資料處理的人(Лица，ответственные за организацию обработки персональных данных в организациях )的規(guī)定(第22.1條*введена Федеральным законом от 25.07.2011 N 261-ФЗ.)，屬于作為法人的處理人中的“個(gè)人資料專員”的制度。

作為法人的處理人任命負(fù)責(zé)組織個(gè)人資料處理的人。負(fù)責(zé)組織個(gè)人資料處理的人直接從作為組織的法人執(zhí)行機(jī)關(guān)取得指示并向其報(bào)告工作。處理人有義務(wù)向負(fù)責(zé)組織個(gè)人資料處理的人提供該法第22條第3款規(guī)定的信息。負(fù)責(zé)個(gè)人資料處理的人負(fù)有以下義務(wù)：(1)實(shí)施對(duì)處理人及其工作人員遵守俄羅斯聯(lián)邦個(gè)人資料立法，包括對(duì)遵守個(gè)人資料保護(hù)要求的內(nèi)部監(jiān)督；(2)引起處理人的工作人員對(duì)俄羅斯聯(lián)邦個(gè)人資料立法、就個(gè)人資料處理問題的本地文件的規(guī)定，以及對(duì)保護(hù)個(gè)人資料的要求的重視；(3)組織接收和處理個(gè)人資料主體或其代理人的來訪來函，并(或)對(duì)接收和處理此類來訪來函實(shí)施監(jiān)督。

在該制度中，負(fù)責(zé)個(gè)人資料事務(wù)處理的人具有獨(dú)立的法律地位，他雖然是由作為處理人的法人所任命，且是從法人執(zhí)行機(jī)關(guān)取得指示并向其報(bào)告工作的，但是其法律義務(wù)卻是直接來自于法律的規(guī)定，更重要的是其作為個(gè)人資料處理事務(wù)的內(nèi)部監(jiān)督者的地位是立法直接賦予的，這構(gòu)成了俄羅斯個(gè)人資料制度自動(dòng)實(shí)施機(jī)制中極為重要的一環(huán)。

六、個(gè)人資料處理的國(guó)家監(jiān)督與監(jiān)察：個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)

在國(guó)家對(duì)個(gè)人資料處理的監(jiān)督和監(jiān)察問題上，也即在個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)(Уполномоченный орган по защите прав субъектов персональных данных)的問題上，俄羅斯個(gè)資法并沒有追隨歐盟設(shè)立獨(dú)立保護(hù)機(jī)關(guān)的做法，而是以附設(shè)在聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)(行政機(jī)關(guān))內(nèi)的方式設(shè)立個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)(以下簡(jiǎn)稱保護(hù)機(jī)關(guān))。

(一)保護(hù)機(jī)關(guān)的法律地位與活動(dòng)方式

根據(jù)俄羅斯個(gè)資法的規(guī)定，“履行對(duì)個(gè)人資料處理是否符合俄羅斯聯(lián)邦在個(gè)人資料領(lǐng)域中立法的要求的監(jiān)督和監(jiān)察的聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)為個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)”(第23條第1款)*часть 1 в ред. Федерального закона от 22.02.2017 N 16-ФЗ.。這就意味著在俄羅斯個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)是聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)，即聯(lián)邦行政機(jī)關(guān)，而且是不具有獨(dú)立法律地位的聯(lián)邦行政機(jī)關(guān)，也意味著該項(xiàng)事務(wù)屬于聯(lián)邦管轄事務(wù)，而非俄羅斯聯(lián)邦主體和地方自治的管轄事務(wù)。因此，在預(yù)算撥款的來源上，“對(duì)個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)的撥款從聯(lián)邦預(yù)算資金中撥付”(同條第8款)。

盡管保護(hù)機(jī)關(guān)并非獨(dú)立的機(jī)關(guān)，但是其活動(dòng)方式卻體現(xiàn)了較高的法律地位：一是保護(hù)機(jī)關(guān)每年要向俄羅斯聯(lián)邦總統(tǒng)、俄羅斯聯(lián)邦政府和由國(guó)家杜馬與聯(lián)邦委員會(huì)構(gòu)成的聯(lián)邦大會(huì)*Конституция Российской Федерации с комментариям для изучения и понимания/сост.Л.Ш.Лозовский，Б.А.Райзберг.3-е изд.М.:ИНФРА-М.2017.С.38.(也就是俄羅斯聯(lián)邦國(guó)會(huì)*Конституция Российской Федерации.Официальный текст с изменениями.М.:ИНФРА-М.2016.С.58.)提交工作報(bào)告；二是該報(bào)告應(yīng)當(dāng)在大眾信息傳媒上公布(同條第7款)。

(二)保護(hù)機(jī)關(guān)的職責(zé)與職權(quán)

保護(hù)機(jī)關(guān)的職責(zé)為“保障、組織和實(shí)施對(duì)個(gè)人資料處理的國(guó)家監(jiān)督和監(jiān)察”，也就是“保障、組織和實(shí)施對(duì)個(gè)人資料處理是否符合本聯(lián)邦法律以及依照該法通過的規(guī)范性法律文件的要求之國(guó)家監(jiān)督與監(jiān)察”(第23條第1.1款)*часть 1 в ред. Федерального закона от 22.02.2017 N 16-ФЗ.。主要的工作方式為“處理個(gè)人資料主體關(guān)于個(gè)人資料的內(nèi)容和處理方式是否符合其處理目的，并作出相應(yīng)的決定”(同條第2款)，但是該決定并非終局性的，而是行政性的，因此可以其“決定可以依照司法程序提起訴訟”(同條第6款)。

保護(hù)機(jī)關(guān)在履行職責(zé)的過程中，享有以下職權(quán)：(1)向自然人或法人索取為履行自己權(quán)限所必要的信息并無償取得該信息；(2)實(shí)施對(duì)包含在個(gè)人資料處理通知中信息的審查，或延請(qǐng)其他國(guó)家機(jī)關(guān)在其權(quán)限范圍內(nèi)進(jìn)行此種審查；(3)要求處理人更正、封存或銷毀不真實(shí)或以非法途徑取得的個(gè)人資料；(4)按照聯(lián)邦立法規(guī)定的程序限制獲取違反個(gè)人資料領(lǐng)域俄羅斯聯(lián)邦立法處理的信息*п. 3.1 введен Федеральным законом от 21.07.2014 N 242-ФЗ.；(5)依照聯(lián)邦立法規(guī)定的程序采取終止或終止違反本聯(lián)邦法律處理個(gè)人資料的措施；(6)向法院提起訴訟以保護(hù)個(gè)人資料主體的權(quán)利，包括保護(hù)不特定范圍人群的權(quán)利，并在法院代表個(gè)人資料主體利益*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(7)向負(fù)責(zé)安全保障領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)和反技術(shù)偵查與信息技術(shù)保護(hù)領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)針對(duì)其活動(dòng)領(lǐng)域發(fā)送關(guān)于采取安全領(lǐng)域保障措施的信息；(8)向負(fù)責(zé)處理人活動(dòng)許可的機(jī)關(guān)發(fā)出審查按照俄羅斯聯(lián)邦立法規(guī)定的程序采取暫停其活動(dòng)或注銷其相應(yīng)許可的措施問題的建議，如果許可從事此類活動(dòng)的條件是禁止未經(jīng)個(gè)人資料主體書面同意不得將個(gè)人資料移轉(zhuǎn)給第三人的話；(9)向檢察機(jī)關(guān)、其他護(hù)法機(jī)關(guān)移交材料，以決定是否依據(jù)管轄根據(jù)侵犯?jìng)€(gè)人資料主體權(quán)利的犯罪行為的特征啟動(dòng)刑事案件；(10)向俄羅斯聯(lián)邦政府提出完善個(gè)人資料主體權(quán)利保護(hù)的規(guī)范性法律調(diào)整的建議；(11)對(duì)因過錯(cuò)違反本聯(lián)邦法律的人處以行政責(zé)任(第23條第3款)。

值得注意的是，根據(jù)2011年的法律修改，增加了保護(hù)機(jī)關(guān)的國(guó)際合作職能，“實(shí)施與外國(guó)國(guó)家的個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)的合作，包括關(guān)于個(gè)人資料主體權(quán)利保護(hù)信息的國(guó)際交換，批準(zhǔn)有效保障個(gè)人資料主體權(quán)利保護(hù)外國(guó)國(guó)家名單”(第23條第5.1款)*п. 5.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ.。

由此可見，保護(hù)機(jī)關(guān)的職權(quán)較為廣泛，既包括在國(guó)內(nèi)事務(wù)中的職責(zé)，也承擔(dān)了國(guó)際合作與交流方面的職責(zé)；既包括了在行政領(lǐng)域中的職權(quán)，也包括了在法院中代表個(gè)人資料主體利益而提起訴訟的權(quán)力；既包括自己獨(dú)立做出處以行政責(zé)任決定的權(quán)力，也包括了與其他行政機(jī)關(guān)相銜接處理行政事務(wù)(如中止或撤銷許可)、與其他司法機(jī)關(guān)銜接轉(zhuǎn)入刑事訴訟程序等；既包括行政事務(wù)的處理職權(quán)，也包括了提出改善法律調(diào)整的建議、提供信息等職權(quán)?？傮w而言，保護(hù)機(jī)關(guān)的職權(quán)較為全面細(xì)致，實(shí)現(xiàn)了行政機(jī)關(guān)之間以及與司法機(jī)關(guān)和聯(lián)邦政府之間的工作銜接。

(三)保護(hù)機(jī)關(guān)的義務(wù)

個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)負(fù)有義務(wù)：(1)對(duì)在履行自己工作中獲悉的個(gè)人資料負(fù)有保密義務(wù)(第23條第4款)；(2)依照本聯(lián)邦法律和其他聯(lián)邦法律的要求組織個(gè)人資料主體權(quán)利保護(hù)；(3)審理公民和法人就與個(gè)人資料處理有關(guān)問題的投訴和來訪，并在自己的職權(quán)范圍內(nèi)根據(jù)對(duì)前述投訴和來訪的審理結(jié)果做出決定；(3)負(fù)責(zé)辦理處理人登記簿事務(wù)；(4)實(shí)施完善個(gè)人資料主體權(quán)利的保護(hù)措施；(5)依照俄羅斯聯(lián)邦立法規(guī)定程序，根據(jù)負(fù)責(zé)安全保障領(lǐng)域聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)、負(fù)責(zé)國(guó)家保護(hù)領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)或者負(fù)責(zé)反技術(shù)偵查和信息技術(shù)保護(hù)領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機(jī)關(guān)的意見采取終止或終止個(gè)人數(shù)據(jù)處理的措施*в ред. Федерального закона от 01.07.2017 N 148-ФЗ.；(6)就其來訪或者來函向國(guó)家機(jī)關(guān)以及個(gè)人資料主體提供個(gè)人資料主體權(quán)利保護(hù)領(lǐng)域中事務(wù)狀況信息；(7)履行俄羅斯聯(lián)邦立法規(guī)定的其他義務(wù)(第23條第5款)。

七、結(jié)語

從上可知，俄羅斯個(gè)人資料法雖然以《在自動(dòng)化處理個(gè)人類資料時(shí)保護(hù)自然人歐盟公約》為標(biāo)準(zhǔn)，但也有自己鮮明的特色，值得中國(guó)在制定個(gè)人資料法時(shí)予以關(guān)注和借鑒。

第一，在個(gè)人資料法的適用范圍上涵蓋了非自動(dòng)化處理個(gè)人資料的情形，明確排除了對(duì)構(gòu)成國(guó)家秘密的個(gè)人資料處理的適用，允許以國(guó)家安全和公共秩序?yàn)槟康南拗苽€(gè)人資料主體對(duì)其個(gè)人資料的獲取。

第二，在個(gè)人資料法的內(nèi)容建構(gòu)上，明確了個(gè)人資料主體的權(quán)利內(nèi)容，建立了龐大細(xì)密嚴(yán)實(shí)的處理人義務(wù)群，設(shè)置了處理人登記簿制度，以此保障個(gè)人資料主體和處理人以及國(guó)家(社會(huì))之間的利益平衡。尤其是占據(jù)個(gè)人資料法最大篇幅的處理人義務(wù)規(guī)范是俄羅斯個(gè)資法的創(chuàng)新。

第三，在個(gè)人資料法的實(shí)施機(jī)制上，明確提出了俄羅斯聯(lián)邦公民個(gè)人資料保存的本地化要求，在作為法人的處理人內(nèi)部設(shè)立個(gè)人資料專員制度，在國(guó)家的監(jiān)督監(jiān)察機(jī)制上，創(chuàng)設(shè)了非獨(dú)立的屬于行政機(jī)關(guān)性質(zhì)的個(gè)人資料主體權(quán)利保護(hù)主管機(jī)關(guān)的模式，而非歐盟式的作為獨(dú)立機(jī)構(gòu)的個(gè)人資料主體保護(hù)主管機(jī)關(guān)模式，由此創(chuàng)新構(gòu)成了俄羅斯個(gè)人資料法的鮮明特色，特別是本國(guó)公民個(gè)人資料保存的本地化要求也成為西方世界批評(píng)和攻擊俄羅斯的對(duì)象和理由。

[1]劉向文,宋雅芳.俄羅斯聯(lián)邦憲政制度[M].北京:法律出版社,1999:34.

[2]傅榮.私法復(fù)興——俄羅斯新民法典研究[M].長(zhǎng)春:吉林人民出版社,2003:64.

[3]趙嘉麟.梅德韋杰夫傳[M].武漢:湖北人民出版社,2008:91.

[4]鄢一美.俄羅斯當(dāng)代民法研究[M].北京:中國(guó)政法大學(xué),2006:1.

[5]王志華.俄羅斯與歐洲人權(quán)法院二十年：主權(quán)與人權(quán)的博弈[J].中外法學(xué),2016(6):1554-1579.

[6]張俊杰.俄羅斯法治國(guó)家理論[M].北京:知識(shí)產(chǎn)權(quán)出版社,2008:153.

[7]魏磊杰,張建文.俄羅斯聯(lián)邦民法典的過去、現(xiàn)在及其未來[M].北京:中國(guó)政法大學(xué)出版社,2012:175.

[8]肖秋會(huì).俄羅斯信息法研究綜述[J].中國(guó)圖書館學(xué)報(bào),2013(6):75-85.

[9]曲頌.俄羅斯高度重視保護(hù)公民互聯(lián)網(wǎng)隱私[N].人民日?qǐng)?bào),2016-01-08(021).

[10]張建文.俄羅斯被遺忘權(quán)立法的意圖、架構(gòu)和特點(diǎn)[J].求是學(xué)刊,2016(5):102-110.

[11]肖秋會(huì).近五年來俄羅斯信息政策和信息立法進(jìn)展[J].圖書情報(bào)知識(shí),2010(4):96-101.

[12]涂詠松.俄羅斯個(gè)人資料保護(hù)制度探析[J].求是學(xué)刊,2014(1):14-22.

[13]張建文.獨(dú)聯(lián)體成員國(guó)示范民法典[M].北京:法律出版社,2014:11.

[14]方亮.俄羅斯如何管制互聯(lián)網(wǎng)[J].南風(fēng)窗,2014(15):73-75.

[15]尹建國(guó).我國(guó)網(wǎng)絡(luò)信息的政府治理機(jī)制研究[J].中國(guó)法學(xué),2015(1):134-151.

[16]程琳.加快信息網(wǎng)絡(luò)法治建設(shè) 維護(hù)網(wǎng)絡(luò)社會(huì)安全秩序[J].中國(guó)人民公安大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2013(1):1-9.

[17]張文顯.習(xí)近平法治思想研究(上)——習(xí)近平法治思想的鮮明特征 [J].法制與社會(huì)發(fā)展,2016(2):5-21.

[18]陳俊良,李友根,肖冰.論計(jì)算機(jī)網(wǎng)絡(luò)管理的法律問題[J].南京大學(xué)法律評(píng)論,1996(1):161-167.

[19]劉德良,班志剛.論我國(guó)信息網(wǎng)絡(luò)法治化的必要性與對(duì)策[J].鄭州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2003(4):144-148.