張建文

摘要：俄羅斯個人資料法以在《自動化處理個人資料時保護自然人歐盟公約》為基礎(chǔ)，以保護包括隱私權(quán)在內(nèi)的處理個人資料時人和公民的權(quán)利與自由為宗旨，適用于包括非自動化個人資料處理在內(nèi)的所有個人資料處理。其立法的最鮮明特色在于，以最大篇幅規(guī)定了個人資料處理人的義務(wù)，以此保障個人資料主體權(quán)利的實現(xiàn)，同時，明確規(guī)定了俄羅斯公民個人資料必須在俄羅斯境內(nèi)保存的本地化保存要求，在作為法人的處理人內(nèi)部設(shè)立個人資料專員制度。在國家監(jiān)督與監(jiān)察方面，創(chuàng)設(shè)了非獨立的行政機關(guān)模式的個人資料主體權(quán)利保護主管機關(guān)，而非追隨歐盟所倡導(dǎo)的獨立的個人資料保護機關(guān)模式。

關(guān)鍵詞：個人資料；個人資料主體；處理人；個人資料專員；個人資料主體權(quán)利保護

中圖分類號：D912.8 文獻標(biāo)志碼：A 文章編號：1008-5831（2018）02-0132-22

一、俄羅斯個人資料法的立法背景

《俄羅斯聯(lián)邦個人資料法》（以下簡稱“個資法”）于2006年7月8日由國家杜馬通過，隨后14日獲聯(lián)邦委員會贊同。信息社會的典型特征就是信息、信息獲取權(quán)①和對信息保護權(quán)的重要性增長②。個人資料保護在俄羅斯法體系中屬于信息法組成部分③。俄羅斯對個人資料的保護以1993年俄羅斯聯(lián)邦憲法對個人私生活秘密權(quán)的保護（第23條）為憲法基礎(chǔ)④，與以往的蘇聯(lián)憲法不同，該憲法明確規(guī)定了人、其權(quán)利與自由為最高價值[1]，引起了俄羅斯政治生活、國家制度和國家權(quán)力組織的深刻變革[2]，維護俄羅斯人民的權(quán)利和自由至高無上，成為國家活動的根本，“自由好過不自由”[3]。1993年俄羅斯聯(lián)邦憲法、俄羅斯聯(lián)邦新民法典（1994—2006年）[4]，以及1992年俄羅斯新司法體系改革被視為轉(zhuǎn)型時期俄羅斯法律領(lǐng)域中最重大的成就。

1996年2月28日，俄羅斯簽署《歐洲保護人權(quán)和基本自由公約》，接受歐洲人權(quán)法院的司法管轄，這成為俄羅斯國內(nèi)立法創(chuàng)制和變革的重要推動力。在這段時期，俄羅斯在立法上選擇了在人權(quán)問題上調(diào)整國內(nèi)立法，以符合《歐洲人權(quán)公約》規(guī)定的標(biāo)準(zhǔn)，全面貫徹人權(quán)高于主權(quán)原則[5]。在俄羅斯當(dāng)代法治國家概念中，國際法規(guī)范優(yōu)先于國內(nèi)法的規(guī)范已經(jīng)成為其重要內(nèi)容[6]。在美國和俄羅斯，國際條約的效力都高于國內(nèi)法[7]。實際上在蘇聯(lián)解體前，俄羅斯蘇維埃社會主義聯(lián)邦（РСФСР）最高蘇維埃在1991年11月22日通過了《人和公民的權(quán)利與自由宣言》，其第1條第2款就明確宣布，“公認的有關(guān)國際人權(quán)的國際規(guī)范高于俄羅斯蘇維埃社會主義聯(lián)邦共和國的法律，并直接產(chǎn)生俄羅斯蘇維埃社會主義聯(lián)邦共和國公民的權(quán)利和義務(wù)”。

俄羅斯個人資料立法的最直接推動力來自于俄羅斯2001年加入，2005年12月19日批準(zhǔn)的《在自動化處理個人數(shù)據(jù)時保護自然人歐盟公約》。2003年底俄羅斯國家杜馬審議了《個人資料法》草案，2006年7月27日通過并正式公布《個人資料法》。作為跨國信息交換的基本前提和促進電子商務(wù)與網(wǎng)絡(luò)經(jīng)濟發(fā)展的基本保障，該法對保障俄羅斯與歐盟成員國進行跨國信息交換和促進其電子商務(wù)及網(wǎng)絡(luò)經(jīng)濟的發(fā)展意義至巨[8]。

技術(shù)進步最劇烈地形塑了世界政治地圖，改變了國家的角色。截至2017年9月底，該法迭經(jīng)19次修改，不少最初的條文被廢止或更替，同時也引入了最為前沿的制度。目前該法共計六章：《一般規(guī)定》《個人資料處理的原則和條件》《個人資料主體的權(quán)利》《處理人的義務(wù)》《對個人數(shù)據(jù)處理的監(jiān)督和監(jiān)察以及違反本聯(lián)邦法律的責(zé)任》《最終條款》，整部法律共計25條。

在中國，對俄羅斯個人資料立法的研究，要么是不夠完整全面地介紹和分析俄羅斯的個人資料立法，僅抽取其中的部分內(nèi)容做介紹和分析，要么就是因為俄羅斯個資法立法的修改頻仍，導(dǎo)致所使用的法律文本較為陳舊。

因此，筆者認為有必要以目前最新版本的《個人資料法》為藍本，為國內(nèi)介紹俄羅斯個人資料立法的基本制度和保護機制，特別是闡明俄羅斯個人資料法的全貌和與歐盟公約相比較而言的重要差異，以期為中國的民法典編纂和個人資料立法創(chuàng)制提供更有效、更全面、更細致的比較法助益。

二、俄羅斯個人資料立法的目的與適用范圍

俄羅斯個人資料立法（Законодательство Российской Федерации в области персональных данных ）的概念要廣于個人資料法的概念。

在立法層級上，個人資料立法以俄羅斯聯(lián)邦憲法和俄羅斯聯(lián)邦的國際條約為基礎(chǔ)，由個人資料法和規(guī)定個人資料處理之情形與特點的其他聯(lián)邦法律構(gòu)成，如《俄羅斯聯(lián)邦勞動法典》第85—89條規(guī)定由于雇主和具體的勞動者之間的勞動關(guān)系而處理個人資料的特點和對勞動者的保護，《國家民事公務(wù)法》第22、42、48條規(guī)定了由于履行國家民事公務(wù)而處理個人資料的特點和對公務(wù)員的保護，《自治市公務(wù)法》也有類似規(guī)定，還有《公民健康保護基礎(chǔ)法》

СЗ РФ.2011.№ 48.ст.6724.在醫(yī)療活動中對參與提供醫(yī)療服務(wù)的人和向其提供醫(yī)療服務(wù)的人的個人資料的處理等，在俄羅斯聯(lián)邦勞動法典（第81、90、192條）、行政違法法典（第13.11、13.12、13.13、13.14條）以及刑法典（第137、140和272條）中規(guī)定了違反個人資料處理程序的責(zé)任。

國家機關(guān)、俄羅斯銀行、地方自治機關(guān)在自己的職權(quán)范圍內(nèi)可以依據(jù)并為了執(zhí)行聯(lián)邦法律而就涉及個人資料處理的具體問題發(fā)布規(guī)范性法律文件，但是不得包含限制個人資料主體權(quán)利、設(shè)立聯(lián)邦法律沒有規(guī)定的限制處理人活動或者由處理人承擔(dān)聯(lián)邦法律沒有規(guī)定的義務(wù)的條款，而且這些規(guī)范性法律文件應(yīng)當(dāng)公布（第4條的2款）。如2012年11月1日俄羅斯聯(lián)邦政府《關(guān)于批準(zhǔn)在個人資料信息系統(tǒng)中處理個人資料時保護個人資料的要求》的決議，規(guī)定了對在個人資料信息系統(tǒng)中處理個人資料時的保護要求和保護等級。這里的個人資料信息系統(tǒng)就是指通過幾乎可以提供無限信息交換與信息發(fā)布機會的全球性電子信息通信網(wǎng)絡(luò)（Internet）實現(xiàn)個人資料處理的信息系統(tǒng)。

在規(guī)范效力上，國際條約的規(guī)定優(yōu)先于聯(lián)邦法律適用?！叭绻砹_斯聯(lián)邦的國際條約規(guī)定了不同于本聯(lián)邦法律的規(guī)則，則適用國際條約的規(guī)則”（第4條第4款）。在該領(lǐng)域中最為重要的法源是2005年12月19日俄羅斯批準(zhǔn)的歐盟《在自動化處理個人資料時保護自然人歐盟公約》，但是俄羅斯在加入該公約時做了三項保留：第一，俄羅斯不將公約適用于（1）自然人僅為個人和家庭需要而處理的個人資料。（2）對依照俄羅斯聯(lián)邦國家秘密立法規(guī)定的程序?qū)儆趪颐孛艿膫€人資料的處理。第二，如果公約的適用符合沒有使用自動化設(shè)備而實施的個人資料行為的特征，則俄羅斯將公約適用于未經(jīng)自動化處理的個人資料。第三，俄羅斯為自己保留為保護國家安全和公共秩序目的而對個人資料主體獲取自己個人資料的權(quán)利設(shè)立限制之權(quán)力。這三項保留奠定了俄羅斯個資法與歐盟個人資料保護規(guī)范之不同的基礎(chǔ)。2006年2月10日俄羅斯聯(lián)邦總統(tǒng)簽署了第54號《關(guān)于簽署在自動化處理個人數(shù)據(jù)時保護自然人歐盟公約涉及監(jiān)督機關(guān)和資料跨境移轉(zhuǎn)的補充備忘錄》總統(tǒng)令。

該法為俄羅斯在隱私權(quán)保護領(lǐng)域的首次專門立法。其第2條明確規(guī)定，該法的目的為“保障維護在處理個人資料時人和公民的權(quán)利與自由”，包括維護私生活（неприкосновенность частной жизни）、個人和家庭秘密不可侵犯的權(quán)利。該條意味著“賦予人以受到國家保障的監(jiān)督有關(guān)自己的信息，阻止披露個人的親密性的信息的權(quán)利”。在俄羅斯聯(lián)邦民法典現(xiàn)代化過程中專門增加了“保護公民私生活”的第1522條，俄羅斯高度重視保護公民的互聯(lián)網(wǎng)隱私[9]，2016年7月俄羅斯還通過了關(guān)于被遺忘權(quán)的立法[10]。

根據(jù)個資法第3條的規(guī)定，個人資料（персональные данные）意味著“屬于直接或間接確定或可以確定之自然人的任何信息”[11]，該自然人即為個人資料主體（субъект персональных данных）在中國，有學(xué)者提出所謂的“公司等組織的個人信息受法律保護”問題，實在是對個人資料法的立法宗旨和保護對象的本質(zhì)性誤解。參見：崔建遠《我國<民法總則>的制度創(chuàng)新及歷史意義》（《比較法研究》，2017年第3期第180-192頁）。，個人資料意味著不僅可據(jù)以將某人與他人相區(qū)分，還可以準(zhǔn)確地查明（識別）他?！皞€人資料——這是將個人與社會和所有他的情勢，首先是與每個單獨的個人為自己所選擇的情勢相連結(jié)的線”。根據(jù)權(quán)威法律辭典的列舉，個人資料包括：姓、名、父稱，出生年月日，出生地，住址，家庭、社會和財產(chǎn)狀況，教育，職業(yè)，收入和其他信息。

個人資料的處理，是指“使用自動化設(shè)備或者不使用此類設(shè)備而進行的任何個人資料行為（作業(yè)）或者行為（作業(yè)）之總和”，此類行為包括“收集、記錄、體系化、積累、保存、更正（更新、更改）、抽取、使用、移轉(zhuǎn)（傳播、提供、獲取）、匿名化、封存、刪除、銷毀個人資料”。較之于俄羅斯聯(lián)邦民法典所規(guī)定的“未經(jīng)公民同意不得收集、保存、傳播和使用任何關(guān)于其私生活的信息”的范圍，大大地擴展了個人資料所保護的范圍。所謂的“自動化處理個人資料”是指“借助于計算機技術(shù)進行的個人資料處理”；傳播個人資料是指“旨在向不特定的人群披露個人資料的行為”，提供個人資料是指“旨在向特定的個人或者特定的人群披露個人資料的行為”，而移轉(zhuǎn)個人資料的行為還包括跨境移轉(zhuǎn)個人資料，即“向外國境內(nèi)的外國國家權(quán)力機關(guān)、外國自然人或者外國法人移轉(zhuǎn)個人資料”；封存是指“暫時停止處理個人資料”；銷毀是指“其結(jié)果為導(dǎo)致不可能恢復(fù)個人資料信息系統(tǒng)中個人資料之內(nèi)容的行為，以及（或）其結(jié)果為銷毀個人資料之材料載體的行為”；匿名化是指“其結(jié)果為非使用補充信息而不可能確定個人資料之于具體個人資料主體之歸屬的行為”。處理人包括兩類：一是“獨立或與他人共同組織和（或）實施個人資料處理的國家機關(guān)、自治市機關(guān)、法人和自然人”；另一類是雖然不直接組織也不直接處理個人資料，但“可以決定個人資料處理之目的、應(yīng)當(dāng)處理之個人資料的構(gòu)成，以及對個人資料之行為（作業(yè)）”的國家機關(guān)、自治市機關(guān)、法人和自然人。

根據(jù)俄羅斯個資法第1條第1款的規(guī)定，俄羅斯個資法適用范圍較廣，既適用于國家機關(guān)（聯(lián)邦國家權(quán)力機關(guān)、俄羅斯聯(lián)邦主體的國家權(quán)力機關(guān)，以及其他國家機關(guān)）和自治市機關(guān)（地方自治機關(guān)和其他自治市機關(guān)）所進行的個人資料處理，也適用于法人和自然人進行的個人資料處理；既適用于使用自動化設(shè)備的個人資料處理，也適用于不使用自動化設(shè)備的個人資料處理，只要該不使用自動化設(shè)備的個人資料處理符合使用自動化設(shè)備的個人資料行為（作業(yè)）的特點，也就是“允許依照給定的算法查詢固定在物質(zhì)載體上和包含在卡片文件中或其他體系化的個人資料匯編中的個人資料，并（或）獲取此類個人資料”，這一點構(gòu)成了個人資料處理行為的本質(zhì)性特點；既適用于在電子通訊信息網(wǎng)絡(luò)中的個人數(shù)據(jù)處理，也適用于非在電子通訊信息網(wǎng)絡(luò)中的個人數(shù)據(jù)處理。

同時，該法明確規(guī)定不適用以下三種情形：（1）自然人專為個人和家庭需要進行的個人資料處理，在此情況下不得侵犯個人資料主體的權(quán)利；（2）依照俄羅斯聯(lián)邦檔案事務(wù)立法組織保存、募集（комплектования）、點核和使用包含個人資料的俄羅斯聯(lián)邦檔案基金文件及其他檔案文件；（3）依照規(guī)定程序處理屬于構(gòu)成國家秘密之個人資料。較之之前的五種情形已經(jīng)大為減少了不適用個人資料法保護的例外情形[12]，有利于保護個人資料主體的權(quán)利和合法利益。三種例外情形有兩種，即第一種和第三種就是直接來源于俄羅斯加入歐盟公約時所作的保留。構(gòu)成國家秘密的信息清單由聯(lián)邦法律規(guī)定，任何人無權(quán)任意決定某項信息的保密性質(zhì)并以此限制憲法自由。值得注意的是，對于提供、傳播、移轉(zhuǎn)和取得包含個人資料的俄羅斯聯(lián)邦法院之活動信息，管理和使用為創(chuàng)建獲取上述信息之條件的信息系統(tǒng)和電子通訊信息網(wǎng)絡(luò)等不屬于個人資料法之效力范圍，由專門的聯(lián)邦法律《保障獲取俄羅斯聯(lián)邦法院活動信息法》規(guī)定。

可以說，在個人資料的規(guī)制范圍上，俄羅斯個資法的適用范圍較歐盟廣泛，且更符合當(dāng)今個人資料法發(fā)展的趨勢，即將公共機關(guān)進行的個人資料處理與私營部門以及個人進行的個人資料處理均納入立法的效力范圍之內(nèi)。

三、俄羅斯法上個人資料處理的原則、條件與分類

（一）個人資料處理的原則

根據(jù)俄羅斯個資法第5條規(guī)定，個人資料處理有七項原則。

第一，合法與公平原則，即“個人資料處理應(yīng)當(dāng)在合法和公平的基礎(chǔ)上進行”。

第二，目的限制原則，即“個人資料處理應(yīng)當(dāng)僅限于為達致具體的事先確定的合法目的。不允許與個人資料收集目的不相容的個人資料處理”。也就是說，個人資料的處理目的必須具備具體性、事先確定性和合法性三項特征，同時，禁止違背個人資料收集目的的個人資料處理行為。

第三，禁止數(shù)據(jù)庫混合原則，也就是“不允許將包含個人資料的為相互不相容目的而進行個人資料處理的數(shù)據(jù)庫混合”。

第四，只能處理符合處理目的之?dāng)?shù)據(jù)原則，即“只有符合處理目的的個人資料才應(yīng)當(dāng)被處理”。

第五，內(nèi)容和范圍限制原則，也就是“所處理的個人資料的內(nèi)容和范圍應(yīng)當(dāng)符合所提出的處理目的。所處理的個人資料相對于所提出的處理目的不應(yīng)當(dāng)為多余的”。

第六，資料質(zhì)素原則，即“在處理個人資料時應(yīng)當(dāng)保障個人資料的準(zhǔn)確性、完整性，而在必要的情況下還應(yīng)當(dāng)保障對個人資料處理目的而言的時效性。處理人應(yīng)當(dāng)采取必要措施保障對不完整或不準(zhǔn)確的資料進行刪除或者更正”，意味著要求個人資料要具備準(zhǔn)確性和完整性兩個一般要求，在特定情況下，還要具備個人資料的時效性的特殊要求。這一點對刪除權(quán)的存在和行使具有極為重要的意義，而且在這里不是規(guī)定個人資料主體的權(quán)利，而是規(guī)定處理人的基本義務(wù)。

第七，禁止永久保存原則，即“個人資料的保存應(yīng)當(dāng)以可以確定個人資料主體的形式進行，不得超過個人資料處理目的所要求的時限，但聯(lián)邦法律、個人資料主體作為合同受益人或者保證人的合同有不同規(guī)定的除外。所處理的個人資料在處理目的達成或者在達成此類目的之必要性喪失時，應(yīng)當(dāng)刪除或匿名化，但聯(lián)邦法律有不同規(guī)定的除外”。一方面是關(guān)于保存時限的一般性規(guī)定，即不得超過個人資料處理目的所要求的期限，在這方面允許當(dāng)事人可以合同規(guī)定不同期限；另一方面是在目的達成或者目的達成必要性喪失時的強制性刪除或者匿名化要求，只有聯(lián)邦法律（排除俄羅斯聯(lián)邦主體的立法）才可規(guī)定例外。

（二）個人資料處理的條件

個人資料處理的條件，是指在遵守前述規(guī)定的原則和規(guī)則的前提下在哪些情況下允許對個人資料進行處理。俄羅斯個資法第6條第1款規(guī)定了12種情形：（1）經(jīng)個人資料主體同意而進行的個人資料的處理；（2）為達致俄羅斯聯(lián)邦國際條約或法律規(guī)定的目的，為履行和完成俄羅斯聯(lián)邦立法賦予處理人的職能、權(quán)限和義務(wù)所必要的個人資料的處理；（3）由于個人參加憲法訴訟、民事訴訟、行政訴訟、刑事訴訟、仲裁訴訟而進行的個人資料的處理；（4）為履行司法文書所必要的個人資料的處理，即為履行司法文書、其他機關(guān)或負責(zé)人的依照俄羅斯聯(lián)邦強制執(zhí)行立法應(yīng)當(dāng)履行的文書而進行的個人資料的處理；（5）為履行聯(lián)邦執(zhí)行權(quán)力機關(guān)、國家非預(yù)算基金機關(guān)、俄羅斯聯(lián)邦主體執(zhí)行權(quán)力機關(guān)、地方自治機關(guān)的權(quán)限，以及參與提供相應(yīng)國家服務(wù)和自治市服務(wù)的組織的職能所必要的個人資料的處理；（6）為履行個人資料主體作為受益人或保證人的合同，為締結(jié)按照個人資料主體提議的合同或個人資料主體將作為受益人或保證人的合同所必要的個人資料的處理；（7）如果不可能取得個人資料主體的同意，為保護其生命、健康或其他重大生存利益（иные жизненно важные интересы）所必要的個人資料的處理；（8）為處理人或第三人行使權(quán)利和合法利益，以及為達致重大社會目的所必要的個人資料的處理，其條件是在此情況下不得侵犯個人資料主體的權(quán)利和自由；（9）為記者從事職業(yè)活動和（或）大眾信息傳媒從事合法活動，以及為科學(xué)、文學(xué)或創(chuàng)作活動所必要的個人資料的處理，其條件是在此情況下不得侵犯個人資料主體的權(quán)利和合法利益；（10）為統(tǒng)計或其他研究性目的進行的個人資料的處理，其條件是必須將個人資料做匿名化處理；（11）對個人資料主體提供或按照其要求提供給不限定范圍的人獲取的個人資料（也就是個人資料主體使之成為可以公開獲取的個人資料）的處理；（12）對依照聯(lián)邦法律應(yīng)當(dāng)公布或強制披露的個人資料的處理。

在個人資料處理問題上，還有一些特別的要求，如對國家保護對象及其家庭成員的個人資料的處理要考慮相應(yīng)特別立法的規(guī)定，對特種個人資料和生物個人資料規(guī)定了專門條款。

處理人除了親自處理個人資料外，在聯(lián)邦法律沒有不同規(guī)定的情況下，還允許經(jīng)個人資料主體同意依據(jù)與他人締結(jié)的合同委托他人處理，包括國家訂貨契約或自治市訂貨契約，以及通過國家機關(guān)或自治市機關(guān)作出相應(yīng)的文件而委托他人處理。依照處理人的委托從事個人資料處理的人，有義務(wù)遵循個資法規(guī)定的個人資料處理原則和規(guī)則。在處理人的委托中應(yīng)當(dāng)規(guī)定由實施個人資料處理的人實施的個人資料行為（業(yè)務(wù)）清單和處理目的，應(yīng)當(dāng)規(guī)定該人對個人資料保密的義務(wù)并保障個人資料在處理中的安全，還應(yīng)當(dāng)指明保護所處理的個人資料的要求（第6條第3款）。依據(jù)處理人的委托從事個人資料處理的人沒有義務(wù)取得個人資料主體對處理其個人資料的同意（第6條第4款）。在處理人和受處理人委托處理個人資料的人之間，“處理人對該人的行為向個人資料主體承擔(dān)責(zé)任。受處理人委托實施個人資料處理的人向處理人承擔(dān)責(zé)任”（第6條第5款），也就是說，受委托人僅向委托人承擔(dān)責(zé)任，而處理人（委托人）向個人資料主體承擔(dān)責(zé)任，而受委托人不對個人資料主體直接承擔(dān)責(zé)任。

（三）個人資料處理的分類

在俄羅斯法上，限制獲取的信息作為一項法律制度，涵蓋了包括但不限于個人資料在內(nèi)的多項信息制度，如國家秘密、職務(wù)秘密、職業(yè)秘密、商業(yè)秘密、發(fā)明的實質(zhì)性信息等。

俄羅斯個資法對個人資料的分類包括四類：公眾可獲取的個人資料（公開個人資料）、普通個人資料、特種個人資料和生物個人資料。實際上根據(jù)是否限制對資料的獲取，只能分為兩種：公開資料和限制獲取的資料，但是為了對存在特定風(fēng)險的個人資料的處理更為嚴(yán)格和審慎，盡可能地為個人敏感資料創(chuàng)造安全的環(huán)境，俄羅斯個資法將特種個人資料和生物個人資料單獨作為獨立的個人資料類型予以更加嚴(yán)格的法律調(diào)整。無論是哪種個人資料，在個人資料法上，處理人和其他取得對個人資料之獲取的人原則上都負有保密義務(wù)，有義務(wù)不得向第三人披露，也不得未經(jīng)個人資料主體同意而傳播個人資料，除非聯(lián)邦法律有不同規(guī)定（第7條）。

1.公眾可獲取的個人資料（公開個人資料）

公開個人資料（открытая информация），也被稱為公眾可獲取的個人資料（Общедоступные источники персональных данных），指為了保障信息目的而建立的公眾可獲取的個人資料來源，包括指南、地址簿、傳記、書目、電話簿、私人廣告等。這是信息法上的新制度，是為了保障信息、保障的目的而建立的制度?？梢约{入公眾可獲取的個人資料來源的個人資料須經(jīng)個人資料主體書面同意，通常包括其姓、名、父稱，出生年份和地點，地址，用戶號碼，職業(yè)信息以及其他由個人資料主體提供的個人資料。該制度的特點在于，個人資料主體的信息應(yīng)當(dāng)在任何時候都按照個人資料主體的要求以及法院判決或其他主管國家機關(guān)的決定而從公眾可獲取的個人資料來源中刪除。

2.普通個人資料

普通個人資料，實際上并沒有明確列舉，也沒有明確的概念。但是從俄羅斯個資法第8—11條可以看出，在公開個人資料、特種個人資料，以及生物個人資料之外的個人資料，就是所謂的普通個人資料，因為在針對這三種有特別制度規(guī)定的個人資料之外，還規(guī)定了一般性的對個人資料處理的同意原則，而對特種個人資料和生物個人資料在此基礎(chǔ)上提出了更加嚴(yán)厲的要求。

對普通個人資料的處理來說，較為重要的問題是關(guān)于個人資料主體對處理其個人資料的同意。

個人資料主體在同意提供和撤回問題上享有完全的自由?！皞€人資料主體自由地以自己的意愿為自己的利益做出提供個人資料的決定和給予處理其個人資料的同意。處理個人資料的同意應(yīng)當(dāng)是具體、知情和自覺的”（第9條第1款）。處理個人資料的同意可以由個人資料主體或其代理人以任何可以證明取得同意之事實的形式提供，在從個人資料主體代理人處取得處理個人資料之同意時，該代理人以個人資料主體的名義給予同意的權(quán)限由處理人審查。個人資料處理的同意可以由個人資料主體撤回。在撤回的情況下，處理人不得繼續(xù)處理，但在存在該法第6條第1款第2—11項以及第10條第2款和第11條第2款時，允許無須個人資料主體的同意繼續(xù)處理個人資料，且可以從非為個人資料主體的人取得個人資料（第9條第3、8款）（參看前文部分和下文部分）。處理人承擔(dān)對取得個人資料主體的同意和存在無須個人資料主體同意而處理其個人資料的理由的證明義務(wù)（第9條第2—3款）。

對于個人資料主體的同意有形式和內(nèi)容上的要求。在聯(lián)邦法律規(guī)定的情況下，個人資料處理須經(jīng)個人資料主體書面同意。在這里，依照聯(lián)邦電子簽名法簽署的電子文件形式的同意，等同于包含個人資料主體親筆簽名的在紙質(zhì)載體上的書面同意。書面同意應(yīng)當(dāng)包括以下內(nèi)容：（1）個人資料主體的姓、名、父稱，地址，基本身份證明文件的編號、簽發(fā)日期和簽發(fā)機關(guān)信息；（2）（在從個人資料主體代理人取得同意的情況下）個人資料主體代理人的姓、名、父稱，地址，基本身份證明文件的編號、簽發(fā)日期和簽發(fā)機關(guān)信息，授權(quán)委托書或其他證明其代理人權(quán)限的必備條件；（3）取得個人資料主體同意的處理人的名稱或姓、名、父稱及地址；（4）個人資料處理的目的；（5）個人資料主體同意處理的個人資料清單；（6）如果處理是委托給他人的，依照處理人委托實施個人資料處理的人的名稱或者姓、名、父稱及地址；（7）同意實施的個人資料行為的清單，對處理人所使用的個人資料處理方式的一般描述；（8）個人資料主體同意的有效期限及撤回的方式；（9）個人資料主體簽名（第9條第4款）。

在個人資料主體無行為能力時，處理其個人資料的同意由其法定代理人提供；在個人資料主體死亡時，處理其個人資料的同意由其繼承人提供，但該同意已經(jīng)由個人資料主體生前提供的除外（第9條第6—7款）。

3.特種個人資料

特種個人資料制度的目的主要是加強對特種個人資料（Специальные категории персональных данных）的保護和明確允許處理特種個人資料的情形。

俄羅斯個資法將特種個人資料列入原則上禁止處理的范疇，僅在例外的情況下才允許處理。此類特種個人資料包括涉及種族歸屬、民族歸屬、政治觀點、宗教或哲學(xué)信念、健康狀況、性生活的個人資料（第10條第1款），以及犯罪前科（同條第3款）。而且，在法律允許處理的例外情況下進行的特種個人資料處理，在導(dǎo)致其進行處理的原因消除后應(yīng)當(dāng)立即終止，但聯(lián)邦法律有不同規(guī)定的除外（第10條第4款）。

允許處理的例外情況包括：（1）個人資料主體書面同意處理自己的個人資料；（2）個人資料主體使個人資料成為公眾可獲取資料，其分為由于履行有關(guān)遣返的俄羅斯聯(lián)邦國際條約所必要的個人資料處理，以及依照俄羅斯聯(lián)邦國家社會救助立法、勞動立法和退休立法進行的個人資料處理三個方面；（3）為了保護個人資料主體的生命、健康或其他重大生存利益，以及他人的生命、健康或其他重大生存利益，且不可能取得個人資料主體的同意；（4）出于醫(yī)學(xué)預(yù)防目的，為進行醫(yī)療診斷、提供醫(yī)療和醫(yī)療社會服務(wù)進行的個人資料處理，其條件是個人資料處理是由職業(yè)性從事醫(yī)療活動的人并依照俄羅斯聯(lián)邦立法負有保守醫(yī)生秘密的人進行；（5）由相應(yīng)依據(jù)俄羅斯聯(lián)邦立法進行活動的社會團體或者宗教組織為了達致其設(shè)立文件規(guī)定的合法目的而對社會團體或者宗教組織成員個人資料的處理，其條件是個人資料未經(jīng)個人資料主體書面同意不得傳播；（6）為設(shè)立或者行使個人資料主體或第三人的權(quán)利所必要的個人資料處理，由于進行司法審判而進行的個人資料處理亦同；（7）依照俄羅斯聯(lián)邦國防、安全、反恐、交通安全、反腐敗、業(yè)務(wù)搜索活動、強制執(zhí)行、刑事強制執(zhí)行立法而進行的個人資料處理，包含由檢察機關(guān)為進行監(jiān)察監(jiān)督而對在俄羅斯聯(lián)邦立法規(guī)定的情形下取得個人資料的處理；（8）依照強制保險立法和保險立法而進行的個人資料處理；（9）在俄羅斯聯(lián)邦立法規(guī)定的情況下由國家機關(guān)、自治市機關(guān)或組織為安置無父母監(jiān)護兒童在寄養(yǎng)家庭的教養(yǎng)而進行的個人資料處理；（10）依照俄羅斯聯(lián)邦國籍法而進行的個人資料處理（第10條第2款）。值得注意的是，對于犯罪前科的個人資料的處理可以由國家機關(guān)或自治市機關(guān)在依照俄羅斯聯(lián)邦立法賦予的權(quán)限范圍內(nèi)處理，以及由他人在聯(lián)邦法律規(guī)定的情形下并依照其規(guī)定的程序處理（第10條第3款）。

4.生物個人資料

所謂生物個人資料（Биометрические персональные данные），是指“可以據(jù)以查明人的身份的表征人的身體特征和生物特征”。在生物個人資料被處理人用以查明個人資料主體的身份時，僅可在存在個人資料主體書面同意時方可處理（第11條第1款）。例外的允許無須個人資料主體同意而進行生物個人資料處理的情形為：由于履行關(guān)于遣返的俄羅斯聯(lián)邦國際條約，由于進行司法審判和執(zhí)行司法文書，以及在俄羅斯聯(lián)邦國防、安全、反恐、交通安全、反腐敗、業(yè)務(wù)搜索活動、國家公務(wù)、刑事執(zhí)行、出入境程序、國籍立法規(guī)定的情形（第11條第2款）。

（四）個人資料的跨境移轉(zhuǎn)

個人資料的跨境移轉(zhuǎn)是個人資料處理行為之一種，由于其涉及個人資料主體權(quán)利國際保護問題，因此成為個人資料法關(guān)注的基本問題。

俄羅斯個人資料跨境移轉(zhuǎn)制度，與歐盟關(guān)于在自動化處理個人資料時保護自然人的公約相銜接，區(qū)分轉(zhuǎn)入國是否為歐盟公約成員國，是否能夠保障有效保護個人資料主體權(quán)利的標(biāo)準(zhǔn)，建立了一個由作為歐盟公約當(dāng)事國的外國國家、能夠有效保障個人資料主體權(quán)利的外國國家和不能有效保障個人資料主體權(quán)利的外國國家構(gòu)成的不同層級的跨境保護機制。

原則上在作為歐盟公約成員國的外國國家境內(nèi)以及在能夠保障有效保護個人資料主體權(quán)利的外國國家境內(nèi)，可以依照俄羅斯個資法進行個人資料跨境移轉(zhuǎn)，但是該移轉(zhuǎn)可以為了保護俄羅斯聯(lián)邦憲政制度基礎(chǔ)、道德、公民的健康、權(quán)利和合法利益，保障國家防務(wù)和國家安全而予以禁止或者限制（第12條第1款）。

個人資料主體權(quán)利主管保護機關(guān)負責(zé)批準(zhǔn)不是歐盟公約成員國，但能夠有效保障個人資料主體權(quán)利的外國國家名單。其標(biāo)準(zhǔn)為雖然該國不是歐盟公約成員國，但是在該國有有效的法規(guī)范和所適用的個人資料安全措施符合前述公約的規(guī)定（第12條第2款）?？梢娫谶@里所采取的標(biāo)準(zhǔn)是以歐盟公約的保護水平和規(guī)則作為實質(zhì)性標(biāo)準(zhǔn)。而且，處理人在開始實施個人資料跨境移轉(zhuǎn)之前有義務(wù)確保個人資料移入國能有效保障個人資料主體權(quán)利的保護（同條第3款）。

對于不能有效保障對個人資料主體權(quán)利保護的外國國家，僅在以下五種情形下才允許進行個人資料的跨境轉(zhuǎn)入：（1）存在個人資料主體對其個人資料跨境轉(zhuǎn)移的書面同意；（2）俄羅斯聯(lián)邦國際條約規(guī)定的情形；（3）聯(lián)邦法律規(guī)定的為保護俄羅斯聯(lián)邦憲政制度基礎(chǔ)，保障國家防務(wù)和國家安全，以及保障交通綜合體的穩(wěn)定和完全運行，保護個人、社會和國家在交通綜合體免受非法干涉領(lǐng)域內(nèi)的利益的情形；（4）履行個人資料主體作為當(dāng)事人的合同；（5）在無法取得個人資料主體書面同意時保護個人資料主體或他人的生命、健康、其他重大生存利益（第12條第4款）。

四、個人資料主體的權(quán)利

俄羅斯學(xué)者認為，非物質(zhì)利益主觀民事權(quán)利的內(nèi)容通常有三種：請求權(quán)、積極行動權(quán)和訴權(quán)。積極行動權(quán)可能由多個權(quán)限構(gòu)成。個人資料主體的權(quán)利在中國，有學(xué)者認為，《民法總則》第111條“個人信息受法律保護”的規(guī)定并未確認個人信息權(quán)，只是從信息安全的角度規(guī)定了主體外的其他人的義務(wù)。參見：郭明瑞《關(guān)于人格權(quán)立法的思考》（《甘肅政法學(xué)院學(xué)報》，2017年第4期第1-7頁）。是一個由多項權(quán)利構(gòu)成的權(quán)利束。主要包括四種：一是獲取其個人資料的權(quán)利；二是在為推銷市場上的商品、工作和服務(wù)，以及為進行政治鼓動時的權(quán)利；三是在僅依據(jù)自動化個人數(shù)據(jù)處理做出決定時的權(quán)利；四是對處理人作為或者不作為的申訴權(quán)利。

（一）個人資料主體獲取其個人資料的權(quán)利

1.個人資料主體取得涉及其個人資料處理的信息的權(quán)利

個人資料主體有權(quán)獲取以下信息：（1）確認處理人處理其個人資料的事實；（2）處理個人資料的法律依據(jù)和目的；（3）個人資料處理的目的和處理人所使用的方式；（4）處理人的名稱和所在地，可能依據(jù)與處理人之間的合同或依據(jù)聯(lián)邦法律獲取個人資料或向其披露個人資料的人（處理人的工作人員除外）的信息；（5）被處理的屬于個人資料主體的個人資料，取得的來源，但聯(lián)邦法律規(guī)定了提供這些資料的其他程序的除外；（6）個人資料處理的期限，包括保存期限；（7）個人資料主體行使聯(lián)邦法律規(guī)定權(quán)利的程序；（8）已經(jīng)實施或預(yù)定的跨境資料移轉(zhuǎn)的信息；（9）如果處理是委托或?qū)⑽心橙说脑?，受處理人委托實施個人資料處理的人的名稱或姓、名、父稱和地址；（10）本聯(lián)邦法律或者其他聯(lián)邦法律規(guī)定的其他資料（第14條第1、7款）。

對前述資料的形式、內(nèi)容和提供方式，俄羅斯個資法也有具體的規(guī)定。該類資料“應(yīng)當(dāng)以可獲取的方式由處理人提供給個人資料主體，而且其中不得包含屬于他人的個人資料，但對披露該類個人資料有合法利益存在的情形除外（第14條第2款）”。該類資料“在個人資料主體或其代理人來訪或收到其來函時提供給個人資料主體或其代理人”，來函應(yīng)當(dāng)包括證明個人資料主體或其代理人身份的基本證明文件，文件簽發(fā)日期和簽發(fā)機關(guān)的信息，證明個人資料主體參加與處理人之間關(guān)系的信息（合同編號、合同締結(jié)日期、有條件的口頭名稱和（或）其他信息），以及以其他方式證明處理人處理個人資料的事實的信息，個人資料主體或其代理人的簽名。函件可以電子文件形式提交并經(jīng)依照俄羅斯聯(lián)邦立法的電子簽名簽署（第14條第3款）。

獲取前述資料的權(quán)利可以再次行使。在前述信息以及所處理的個人資料已經(jīng)按其來函提供個人資料主體了解的情況下，個人資料主體有權(quán)在不早于第一次到訪或發(fā)出第一次函件之后30日內(nèi)再次造訪處理人或向其發(fā)出第二次函件以取得前述信息和了解此類個人資料，但依照聯(lián)邦法律、規(guī)范性法律文件或個人資料主體作為其受益人或保證人的合同規(guī)定了更短期限的除外。由于處理初次來訪而沒有提供完整的此類信息和（或）所處理的個人資料，個人資料主體有權(quán)在前述期限屆滿之前再次造訪處理人或向其發(fā)送第二次函件以便獲取前述信息以及了解所處理的個人資料。第二次去函除了包含前述規(guī)定的信息之外還應(yīng)當(dāng)說明再次來函的理由（第14條第4—5款）。處理人有權(quán)拒絕履行不符合規(guī)定條件的第二次來函。該拒絕應(yīng)當(dāng)敘明理由。處理人承擔(dān)證明其拒絕履行第二次來函之合理性的義務(wù)（第14條第6款）。