張建文

(西南政法大學(xué)，重慶 400031)

一、俄羅斯個人資料法的立法背景

《俄羅斯聯(lián)邦個人資料法》(以下簡稱“個資法”)于2006年7月8日由國家杜馬通過，隨后14日獲聯(lián)邦委員會贊同。

信息社會的典型特征就是信息、信息獲取權(quán)*Щербович А.А.Свобода слова в Интернете:конституционно-правовой аспект.Монография.М.:ТЕИС.2013. С.136.和對信息保護權(quán)的重要性增長*Амиржан К.Ж.Становление теории информационного общества.Вестник Омского университета.Серия право.2014.№3(40).С.54.。個人資料保護在俄羅斯法體系中屬于信息法組成部分*В.И.Шаров.Структра информационного права.Юридическиая техника.2013.№7(ч.2).С.878.。俄羅斯對個人資料的保護以1993年俄羅斯聯(lián)邦憲法對個人私生活秘密權(quán)的保護(第23條)為憲法基礎(chǔ)*Бархатова.Е.Ю.Комментарий к Конституции Российской Федерации.2-е изд.,перераб.и доп.М.:Проспект.2017.С.40.，與以往的蘇聯(lián)憲法不同，該憲法明確規(guī)定了人、其權(quán)利與自由為最高價值[1]，引起了俄羅斯政治生活、國家制度和國家權(quán)力組織的深刻變革[2]，維護俄羅斯人民的權(quán)利和自由至高無上，成為國家活動的根本，“自由好過不自由”[3]。1993年俄羅斯聯(lián)邦憲法、俄羅斯聯(lián)邦新民法典(1994—2006年)[4],以及1992年俄羅斯新司法體系改革被視為轉(zhuǎn)型時期俄羅斯法律領(lǐng)域中最重大的成就*Кодификация российского частного права 2015/под ред.П.В.Крашенинникова.М.:Статут.2015.С.10.。

1996年2月28日，俄羅斯簽署《歐洲保護人權(quán)和基本自由公約》，接受歐洲人權(quán)法院的司法管轄*Петухова Н.Ю.Последствия возможного выхода России из -под юридикции Европейского Суда по права человека.Евразийская адвокатура.2015.№ 5.с.61.，這成為俄羅斯國內(nèi)立法創(chuàng)制和變革的重要推動力。在這段時期，俄羅斯在立法上選擇了在人權(quán)問題上調(diào)整國內(nèi)立法*К.А.Кирсанова.Россия и Совет Европы:20 лет вместе.Проблемы российского права.2016.№2.С.22-23.，以符合《歐洲人權(quán)公約》規(guī)定的標(biāo)準(zhǔn)，全面貫徹人權(quán)高于主權(quán)原則[5]。在俄羅斯當(dāng)代法治國家概念中，國際法規(guī)范優(yōu)先于國內(nèi)法的規(guī)范已經(jīng)成為其重要內(nèi)容[6]。在美國和俄羅斯，國際條約的效力都高于國內(nèi)法[7]。實際上在蘇聯(lián)解體前，俄羅斯蘇維埃社會主義聯(lián)邦(РСФСР)最高蘇維埃在1991年11月22日通過了《人和公民的權(quán)利與自由宣言》，其第1條第2款就明確宣布,“公認(rèn)的有關(guān)國際人權(quán)的國際規(guī)范高于俄羅斯蘇維埃社會主義聯(lián)邦共和國的法律，并直接產(chǎn)生俄羅斯蘇維埃社會主義聯(lián)邦共和國公民的權(quán)利和義務(wù)”*Все о правах человека:сборник номативных актов.Москва:Проспект.2017.С.9.。

俄羅斯個人資料立法的最直接推動力來自于俄羅斯2001年加入，2005年12月19日批準(zhǔn)的《在自動化處理個人數(shù)據(jù)時保護自然人歐盟公約》。2003年底俄羅斯國家杜馬審議了《個人資料法》草案，2006年7月27日通過并正式公布《個人資料法》*Кучеренко А.В.Этапы и тенденции нормативно-правого регурирования оборота персональных данных в Российской Федерации.Информационное право.2009.№19(4),С.32-36.。作為跨國信息交換的基本前提和促進電子商務(wù)與網(wǎng)絡(luò)經(jīng)濟發(fā)展的基本保障，該法對保障俄羅斯與歐盟成員國進行跨國信息交換和促進其電子商務(wù)及網(wǎng)絡(luò)經(jīng)濟的發(fā)展意義至巨[8]。

技術(shù)進步最劇烈地形塑了世界政治地圖，改變了國家的角色*Алферов А.Н.Развитие теоретических основ и формирование структуры информационного права. Сибирский юридический вестник.2008.№1(40).С.22.。截至2017年9月底，該法迭經(jīng)19次修改，不少最初的條文被廢止或更替，同時也引入了最為前沿的制度。目前該法共計六章：《一般規(guī)定》《個人資料處理的原則和條件》《個人資料主體的權(quán)利》《處理人的義務(wù)》《對個人數(shù)據(jù)處理的監(jiān)督和監(jiān)察以及違反本聯(lián)邦法律的責(zé)任》《最終條款》，整部法律共計25條。

在中國，對俄羅斯個人資料立法的研究，要么是不夠完整全面地介紹和分析俄羅斯的個人資料立法，僅抽取其中的部分內(nèi)容做介紹和分析，要么就是因為俄羅斯個資法立法的修改頻仍，導(dǎo)致所使用的法律文本較為陳舊。

因此，筆者認(rèn)為有必要以目前最新版本的《個人資料法》為藍(lán)本，為國內(nèi)介紹俄羅斯個人資料立法的基本制度和保護機制，特別是闡明俄羅斯個人資料法的全貌和與歐盟公約相比較而言的重要差異，以期為中國的民法典編纂和個人資料立法創(chuàng)制提供更有效、更全面、更細(xì)致的比較法助益。

二、俄羅斯個人資料立法的目的與適用范圍

俄羅斯個人資料立法(Законодательство Российской Федерации в области персональных данных )的概念要廣于個人資料法的概念。

在立法層級上，個人資料立法以俄羅斯聯(lián)邦憲法和俄羅斯聯(lián)邦的國際條約為基礎(chǔ)，由個人資料法和規(guī)定個人資料處理之情形與特點的其他聯(lián)邦法律構(gòu)成，如《俄羅斯聯(lián)邦勞動法典》第85—89條規(guī)定由于雇主和具體的勞動者之間的勞動關(guān)系而處理個人資料的特點和對勞動者的保護，《國家民事公務(wù)法》第22、42、48條規(guī)定了由于履行國家民事公務(wù)而處理個人資料的特點和對公務(wù)員的保護，《自治市公務(wù)法》也有類似規(guī)定，還有《公民健康保護基礎(chǔ)法》*СЗ РФ.2011.№ 48.ст.6724.在醫(yī)療活動中對參與提供醫(yī)療服務(wù)的人和向其提供醫(yī)療服務(wù)的人的個人資料的處理等，在俄羅斯聯(lián)邦勞動法典(第81、90、192條)、行政違法法典(第13.11、13.12、13.13、13.14條)以及刑法典(第137、140和272條)中規(guī)定了違反個人資料處理程序的責(zé)任。

國家機關(guān)、俄羅斯銀行、地方自治機關(guān)在自己的職權(quán)范圍內(nèi)可以依據(jù)并為了執(zhí)行聯(lián)邦法律而就涉及個人資料處理的具體問題發(fā)布規(guī)范性法律文件，但是不得包含限制個人資料主體權(quán)利、設(shè)立聯(lián)邦法律沒有規(guī)定的限制處理人活動或者由處理人承擔(dān)聯(lián)邦法律沒有規(guī)定的義務(wù)的條款，而且這些規(guī)范性法律文件應(yīng)當(dāng)公布(第4條的2款)*См.часть 2 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。如2012年11月1日俄羅斯聯(lián)邦政府《關(guān)于批準(zhǔn)在個人資料信息系統(tǒng)中處理個人資料時保護個人資料的要求》的決議，規(guī)定了對在個人資料信息系統(tǒng)中處理個人資料時的保護要求和保護等級。這里的個人資料信息系統(tǒng)就是指通過幾乎可以提供無限信息交換與信息發(fā)布機會的全球性電子信息通信網(wǎng)絡(luò)(Internet)*Н.Н.Парыгина.Новеллы главы 8 гражданского кодекса российской федерации:между ретроспективой и перспективами.Вестник Омского университета.Серия Право.2014.№ 2(39).С.147.實現(xiàn)個人資料處理的信息系統(tǒng)。

在規(guī)范效力上，國際條約的規(guī)定優(yōu)先于聯(lián)邦法律適用?！叭绻砹_斯聯(lián)邦的國際條約規(guī)定了不同于本聯(lián)邦法律的規(guī)則，則適用國際條約的規(guī)則”(第4條第4款)。在該領(lǐng)域中最為重要的法源是2005年12月19日俄羅斯批準(zhǔn)的歐盟《在自動化處理個人資料時保護自然人歐盟公約》，但是俄羅斯在加入該公約時做了三項保留：第一，俄羅斯不將公約適用于(1)自然人僅為個人和家庭需要而處理的個人資料。(2)對依照俄羅斯聯(lián)邦國家秘密立法規(guī)定的程序?qū)儆趪颐孛艿膫€人資料的處理。第二，如果公約的適用符合沒有使用自動化設(shè)備而實施的個人資料行為的特征，則俄羅斯將公約適用于未經(jīng)自動化處理的個人資料。第三，俄羅斯為自己保留為保護國家安全和公共秩序目的而對個人資料主體獲取自己個人資料的權(quán)利設(shè)立限制之權(quán)力*Федеральный закон от 19 декабря 2005 г.№ 160-ФЗ//СЗ РФ.2005.№ 52(ч.1).ст.5573.。這三項保留奠定了俄羅斯個資法與歐盟個人資料保護規(guī)范之不同的基礎(chǔ)。2006年2月10日俄羅斯聯(lián)邦總統(tǒng)簽署了第54號《關(guān)于簽署在自動化處理個人數(shù)據(jù)時保護自然人歐盟公約涉及監(jiān)督機關(guān)和資料跨境移轉(zhuǎn)的補充備忘錄》總統(tǒng)令*СЗ РФ.2006.№ 7.ст.769.。

該法為俄羅斯在隱私權(quán)保護領(lǐng)域的首次專門立法。其第2條明確規(guī)定，該法的目的為“保障維護在處理個人資料時人和公民的權(quán)利與自由”，包括維護私生活(неприкосновенность частной жизни)*Анисимов А.П.,Рыженков А.Я.,Чикильдина А.Ю.Обьекты гражданских прав:новые векторы правового регулирования.Вестн.Волгогр.гос.ун-та.Сер.5,Юриспруд.2013.№ 4(21).С.11.、個人和家庭秘密不可侵犯的權(quán)利。該條意味著“賦予人以受到國家保障的監(jiān)督有關(guān)自己的信息，阻止披露個人的親密性的信息的權(quán)利”*Права человека: учебник/отв.ред.Е.А.Лукашева.3-е изд.,перераб.М.:Норма:ИНФРА-М.2015.С.144.。在俄羅斯聯(lián)邦民法典現(xiàn)代化過程中專門增加了“保護公民私生活”的第1522條*Андреев В.К.Существо нематериальных благ и их защита.Журнал российского права № 3.2014.С.32.，俄羅斯高度重視保護公民的互聯(lián)網(wǎng)隱私[9]，2016年7月俄羅斯還通過了關(guān)于被遺忘權(quán)的立法[10]。

根據(jù)個資法第3條的規(guī)定，個人資料(персональные данные)意味著“屬于直接或間接確定或可以確定之自然人的任何信息”[11]，該自然人即為個人資料主體(субъект персональных данных)*在中國，有學(xué)者提出所謂的“公司等組織的個人信息受法律保護”問題，實在是對個人資料法的立法宗旨和保護對象的本質(zhì)性誤解。參見：崔建遠(yuǎn)《我國<民法總則>的制度創(chuàng)新及歷史意義》(《比較法研究》，2017年第3期第180-192頁)。，個人資料意味著不僅可據(jù)以將某人與他人相區(qū)分，還可以準(zhǔn)確地查明(識別)他*Кузнецов П.У.Основы информационного права:учебник для бакалавров.М.:Проспект.2016.С.261-262.。“個人資料——這是將個人與社會和所有他的情勢，首先是與每個單獨的個人為自己所選擇的情勢相連結(jié)的線”*Информационное право:актуальные проблемы теории и практики/под обц.ред. И.Л.Бачило. М.: Юрайт. 2009. с.473.。根據(jù)權(quán)威法律辭典的列舉，個人資料包括：姓、名、父稱，出生年月日，出生地，住址，家庭、社會和財產(chǎn)狀況，教育，職業(yè)，收入和其他信息*Юридичесткий энциклопедический словарь под ред.А.В.Малько.2-е изд.М.:Простпект.2016.С.436.。

個人資料的處理，是指“使用自動化設(shè)備或者不使用此類設(shè)備而進行的任何個人資料行為(作業(yè))或者行為(作業(yè))之總和”，此類行為包括“收集、記錄、體系化、積累、保存、更正(更新、更改)、抽取、使用、移轉(zhuǎn)(傳播、提供、獲取)、匿名化、封存、刪除、銷毀個人資料”。較之于俄羅斯聯(lián)邦民法典所規(guī)定的“未經(jīng)公民同意不得收集、保存、傳播和使用任何關(guān)于其私生活的信息”的范圍*Гражданское право:учебник:в 2 т./Под ред.С.А.Степанова.2-е изд.,перераб.и доп.М.:Проспект. 2017. С.190.，大大地擴展了個人資料所保護的范圍。所謂的“自動化處理個人資料”是指“借助于計算機技術(shù)進行的個人資料處理”；傳播個人資料是指“旨在向不特定的人群披露個人資料的行為”，提供個人資料是指“旨在向特定的個人或者特定的人群披露個人資料的行為”，而移轉(zhuǎn)個人資料的行為還包括跨境移轉(zhuǎn)個人資料，即“向外國境內(nèi)的外國國家權(quán)力機關(guān)、外國自然人或者外國法人移轉(zhuǎn)個人資料”；封存是指“暫時停止處理個人資料”；銷毀是指“其結(jié)果為導(dǎo)致不可能恢復(fù)個人資料信息系統(tǒng)中個人資料之內(nèi)容的行為，以及(或)其結(jié)果為銷毀個人資料之材料載體的行為”；匿名化是指“其結(jié)果為非使用補充信息而不可能確定個人資料之于具體個人資料主體之歸屬的行為”。處理人包括兩類：一是“獨立或與他人共同組織和(或)實施個人資料處理的國家機關(guān)、自治市機關(guān)、法人和自然人”；另一類是雖然不直接組織也不直接處理個人資料，但“可以決定個人資料處理之目的、應(yīng)當(dāng)處理之個人資料的構(gòu)成，以及對個人資料之行為(作業(yè))”的國家機關(guān)、自治市機關(guān)、法人和自然人*в ред. Федерального закона от 25.07.2011 N 261-ФЗ .。

根據(jù)俄羅斯個資法第1條第1款的規(guī)定，俄羅斯個資法適用范圍較廣，既適用于國家機關(guān)(聯(lián)邦國家權(quán)力機關(guān)、俄羅斯聯(lián)邦主體的國家權(quán)力機關(guān)，以及其他國家機關(guān))和自治市機關(guān)(地方自治機關(guān)和其他自治市機關(guān))所進行的個人資料處理，也適用于法人和自然人進行的個人資料處理；既適用于使用自動化設(shè)備的個人資料處理，也適用于不使用自動化設(shè)備的個人資料處理，只要該不使用自動化設(shè)備的個人資料處理符合使用自動化設(shè)備的個人資料行為(作業(yè))的特點，也就是“允許依照給定的算法查詢固定在物質(zhì)載體上和包含在卡片文件中或其他體系化的個人資料匯編中的個人資料，并(或)獲取此類個人資料”，這一點構(gòu)成了個人資料處理行為的本質(zhì)性特點；既適用于在電子通訊信息網(wǎng)絡(luò)中的個人數(shù)據(jù)處理，也適用于非在電子通訊信息網(wǎng)絡(luò)中的個人數(shù)據(jù)處理*См.часть 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。

同時，該法明確規(guī)定不適用以下三種情形：(1)自然人專為個人和家庭需要進行的個人資料處理，在此情況下不得侵犯個人資料主體的權(quán)利；(2)依照俄羅斯聯(lián)邦檔案事務(wù)立法組織保存、募集(комплектования)、點核和使用包含個人資料的俄羅斯聯(lián)邦檔案基金文件及其他檔案文件；(3)依照規(guī)定程序處理屬于構(gòu)成國家秘密之個人資料。較之之前的五種情形已經(jīng)大為減少了不適用個人資料法保護的例外情形[12]，有利于保護個人資料主體的權(quán)利和合法利益。三種例外情形有兩種，即第一種和第三種就是直接來源于俄羅斯加入歐盟公約時所作的保留。構(gòu)成國家秘密的信息清單由聯(lián)邦法律規(guī)定，任何人無權(quán)任意決定某項信息的保密性質(zhì)并以此限制憲法自由*Конституционное право Российской Федерации: учебник/М.В.Баглай.10-е изд.,изм.и.доп. М.:Норма:ИНФРА-М. 2013.С.251.。值得注意的是，對于提供、傳播、移轉(zhuǎn)和取得包含個人資料的俄羅斯聯(lián)邦法院之活動信息，管理和使用為創(chuàng)建獲取上述信息之條件的信息系統(tǒng)和電子通訊信息網(wǎng)絡(luò)等不屬于個人資料法之效力范圍，由專門的聯(lián)邦法律《保障獲取俄羅斯聯(lián)邦法院活動信息法》規(guī)定*См.часть 3 введена Федеральным законом от 29.07.2017 N 223-ФЗ .。

可以說，在個人資料的規(guī)制范圍上，俄羅斯個資法的適用范圍較歐盟廣泛，且更符合當(dāng)今個人資料法發(fā)展的趨勢，即將公共機關(guān)進行的個人資料處理與私營部門以及個人進行的個人資料處理均納入立法的效力范圍之內(nèi)*相比之下，中國人大常委會2012年12月28日通過的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》作為保護公民個人(電子)信息的基本法律，僅僅規(guī)制網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位所進行的個人信息的處理，并沒有涵括國家機關(guān)或者基層群眾性自治組織進行的個人信息處理行為，不能不說是一大遺憾，有待未來專門的個人信息法之補正。。

三、俄羅斯法上個人資料處理的原則、條件與分類

(一)個人資料處理的原則

根據(jù)俄羅斯個資法第5條*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.規(guī)定，個人資料處理有七項原則。

第一，合法與公平原則，即“個人資料處理應(yīng)當(dāng)在合法和公平的基礎(chǔ)上進行”。

第二，目的限制原則，即“個人資料處理應(yīng)當(dāng)僅限于為達(dá)致具體的事先確定的合法目的。不允許與個人資料收集目的不相容的個人資料處理”。也就是說，個人資料的處理目的必須具備具體性、事先確定性和合法性三項特征，同時，禁止違背個人資料收集目的的個人資料處理行為。

第三，禁止數(shù)據(jù)庫混合原則，也就是“不允許將包含個人資料的為相互不相容目的而進行個人資料處理的數(shù)據(jù)庫混合”。

第四，只能處理符合處理目的之?dāng)?shù)據(jù)原則，即“只有符合處理目的的個人資料才應(yīng)當(dāng)被處理”。

第五，內(nèi)容和范圍限制原則，也就是“所處理的個人資料的內(nèi)容和范圍應(yīng)當(dāng)符合所提出的處理目的。所處理的個人資料相對于所提出的處理目的不應(yīng)當(dāng)為多余的”。

第六，資料質(zhì)素原則，即“在處理個人資料時應(yīng)當(dāng)保障個人資料的準(zhǔn)確性、完整性，而在必要的情況下還應(yīng)當(dāng)保障對個人資料處理目的而言的時效性。處理人應(yīng)當(dāng)采取必要措施保障對不完整或不準(zhǔn)確的資料進行刪除或者更正”，意味著要求個人資料要具備準(zhǔn)確性和完整性兩個一般要求，在特定情況下，還要具備個人資料的時效性的特殊要求。這一點對刪除權(quán)的存在和行使具有極為重要的意義，而且在這里不是規(guī)定個人資料主體的權(quán)利，而是規(guī)定處理人的基本義務(wù)。

第七，禁止永久保存原則，即“個人資料的保存應(yīng)當(dāng)以可以確定個人資料主體的形式進行，不得超過個人資料處理目的所要求的時限，但聯(lián)邦法律、個人資料主體作為合同受益人或者保證人的合同有不同規(guī)定的除外。所處理的個人資料在處理目的達(dá)成或者在達(dá)成此類目的之必要性喪失時，應(yīng)當(dāng)刪除或匿名化，但聯(lián)邦法律有不同規(guī)定的除外”。一方面是關(guān)于保存時限的一般性規(guī)定，即不得超過個人資料處理目的所要求的期限，在這方面允許當(dāng)事人可以合同規(guī)定不同期限；另一方面是在目的達(dá)成或者目的達(dá)成必要性喪失時的強制性刪除或者匿名化要求，只有聯(lián)邦法律(排除俄羅斯聯(lián)邦主體的立法)才可規(guī)定例外。

(二)個人資料處理的條件

個人資料處理的條件，是指在遵守前述規(guī)定的原則和規(guī)則的前提下在哪些情況下允許對個人資料進行處理。俄羅斯個資法第6條第1款規(guī)定了12種情形：(1)經(jīng)個人資料主體同意而進行的個人資料的處理；(2)為達(dá)致俄羅斯聯(lián)邦國際條約或法律規(guī)定的目的，為履行和完成俄羅斯聯(lián)邦立法賦予處理人的職能、權(quán)限和義務(wù)所必要的個人資料的處理；(3)由于個人參加憲法訴訟、民事訴訟、行政訴訟、刑事訴訟、仲裁訴訟而進行的個人資料的處理；(4)為履行司法文書所必要的個人資料的處理，即為履行司法文書、其他機關(guān)或負(fù)責(zé)人的依照俄羅斯聯(lián)邦強制執(zhí)行立法應(yīng)當(dāng)履行的文書而進行的個人資料的處理；(5)為履行聯(lián)邦執(zhí)行權(quán)力機關(guān)、國家非預(yù)算基金機關(guān)、俄羅斯聯(lián)邦主體執(zhí)行權(quán)力機關(guān)、地方自治機關(guān)的權(quán)限，以及參與提供相應(yīng)國家服務(wù)和自治市服務(wù)的組織的職能所必要的個人資料的處理*в ред. Федерального закона от 05.04.2013 N 43-ФЗ.；(6)為履行個人資料主體作為受益人或保證人的合同，為締結(jié)按照個人資料主體提議的合同或個人資料主體將作為受益人或保證人的合同所必要的個人資料的處理*в ред. Федеральных законов от 21.12.2013 N 363-ФЗ，от 03.07.2016 N 231-ФЗ.；(7)如果不可能取得個人資料主體的同意，為保護其生命、健康或其他重大生存利益(иные жизненно важные интересы)所必要的個人資料的處理；(8)為處理人或第三人行使權(quán)利和合法利益，以及為達(dá)致重大社會目的所必要的個人資料的處理，其條件是在此情況下不得侵犯個人資料主體的權(quán)利和自由*в ред. Федерального закона от 03.07.2016 N 231-ФЗ.；(9)為記者從事職業(yè)活動和(或)大眾信息傳媒從事合法活動，以及為科學(xué)、文學(xué)或創(chuàng)作活動所必要的個人資料的處理，其條件是在此情況下不得侵犯個人資料主體的權(quán)利和合法利益；(10)為統(tǒng)計或其他研究性目的進行的個人資料的處理，其條件是必須將個人資料做匿名化處理；(11)對個人資料主體提供或按照其要求提供給不限定范圍的人獲取的個人資料(也就是個人資料主體使之成為可以公開獲取的個人資料)的處理；(12)對依照聯(lián)邦法律應(yīng)當(dāng)公布或強制披露的個人資料的處理。

在個人資料處理問題上，還有一些特別的要求，如對國家保護對象及其家庭成員的個人資料的處理要考慮相應(yīng)特別立法的規(guī)定*в ред. Федерального закона от 03.07.2016 N 231-ФЗ.，對特種個人資料和生物個人資料規(guī)定了專門條款。

處理人除了親自處理個人資料外，在聯(lián)邦法律沒有不同規(guī)定的情況下，還允許經(jīng)個人資料主體同意依據(jù)與他人締結(jié)的合同委托他人處理，包括國家訂貨契約或自治市訂貨契約，以及通過國家機關(guān)或自治市機關(guān)作出相應(yīng)的文件而委托他人處理。依照處理人的委托從事個人資料處理的人，有義務(wù)遵循個資法規(guī)定的個人資料處理原則和規(guī)則。在處理人的委托中應(yīng)當(dāng)規(guī)定由實施個人資料處理的人實施的個人資料行為(業(yè)務(wù))清單和處理目的，應(yīng)當(dāng)規(guī)定該人對個人資料保密的義務(wù)并保障個人資料在處理中的安全，還應(yīng)當(dāng)指明保護所處理的個人資料的要求(第6條第3款)。依據(jù)處理人的委托從事個人資料處理的人沒有義務(wù)取得個人資料主體對處理其個人資料的同意(第6條第4款)。在處理人和受處理人委托處理個人資料的人之間，“處理人對該人的行為向個人資料主體承擔(dān)責(zé)任。受處理人委托實施個人資料處理的人向處理人承擔(dān)責(zé)任”(第6條第5款)，也就是說，受委托人僅向委托人承擔(dān)責(zé)任，而處理人(委托人)向個人資料主體承擔(dān)責(zé)任，而受委托人不對個人資料主體直接承擔(dān)責(zé)任。

(三)個人資料處理的分類

在俄羅斯法上，限制獲取的信息作為一項法律制度，涵蓋了包括但不限于個人資料在內(nèi)的多項信息制度，如國家秘密、職務(wù)秘密、職業(yè)秘密、商業(yè)秘密、發(fā)明的實質(zhì)性信息等*М.В.Бундин.Система информации ограниченного доступа и конфиденциальность.Вестник Нижегородского университета им.Н.И.Лобачевского.2015.№1.С.124.。

俄羅斯個資法對個人資料的分類包括四類：公眾可獲取的個人資料(公開個人資料)、普通個人資料、特種個人資料和生物個人資料。實際上根據(jù)是否限制對資料的獲取，只能分為兩種：公開資料和限制獲取的資料*Алфёров А.Н.Теоретические аспекты информационного права.Сибирский юридический вестник. №3(38). С.2.，但是為了對存在特定風(fēng)險的個人資料的處理更為嚴(yán)格和審慎，盡可能地為個人敏感資料創(chuàng)造安全的環(huán)境*參見：臥龍傳說《俄羅斯“個人數(shù)據(jù)保護法”任性實施 從“存儲本地化”到數(shù)據(jù)安全之路還有多長》( 《信息安全與通信保密》，2015年第10期第76-77頁)。，俄羅斯個資法將特種個人資料和生物個人資料單獨作為獨立的個人資料類型予以更加嚴(yán)格的法律調(diào)整。無論是哪種個人資料，在個人資料法上，處理人和其他取得對個人資料之獲取的人原則上都負(fù)有保密義務(wù)，有義務(wù)不得向第三人披露，也不得未經(jīng)個人資料主體同意而傳播個人資料，除非聯(lián)邦法律有不同規(guī)定(第7條)。

1.公眾可獲取的個人資料(公開個人資料)

公開個人資料(открытая информация)，也被稱為公眾可獲取的個人資料(Общедоступные источники персональных данных)，指為了保障信息目的而建立的公眾可獲取的個人資料來源，包括指南、地址簿、傳記、書目、電話簿、私人廣告等*參見：獨聯(lián)體成員國議會間大會第十四次全體會議于1999年10月16日第14—19號決議通過的獨聯(lián)體成員國《個人資料示范法》第4條第4款。。這是信息法上的新制度，是為了保障信息、保障的目的而建立的制度*Городов О.А.Информационное право:учебник для бакалаврров.2-е изд.М.:Проспект.2016.С.84.?？梢约{入公眾可獲取的個人資料來源的個人資料須經(jīng)個人資料主體書面同意，通常包括其姓、名、父稱，出生年份和地點，地址，用戶號碼，職業(yè)信息以及其他由個人資料主體提供的個人資料。該制度的特點在于，個人資料主體的信息應(yīng)當(dāng)在任何時候都按照個人資料主體的要求以及法院判決或其他主管國家機關(guān)的決定而從公眾可獲取的個人資料來源中刪除*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。

2.普通個人資料

普通個人資料，實際上并沒有明確列舉，也沒有明確的概念。但是從俄羅斯個資法第8—11條可以看出，在公開個人資料、特種個人資料，以及生物個人資料之外的個人資料，就是所謂的普通個人資料，因為在針對這三種有特別制度規(guī)定的個人資料之外，還規(guī)定了一般性的對個人資料處理的同意原則，而對特種個人資料和生物個人資料在此基礎(chǔ)上提出了更加嚴(yán)厲的要求。

對普通個人資料的處理來說，較為重要的問題是關(guān)于個人資料主體對處理其個人資料的同意。

個人資料主體在同意提供和撤回問題上享有完全的自由?！皞€人資料主體自由地以自己的意愿為自己的利益做出提供個人資料的決定和給予處理其個人資料的同意。處理個人資料的同意應(yīng)當(dāng)是具體、知情和自覺的”(第9條第1款)。處理個人資料的同意可以由個人資料主體或其代理人以任何可以證明取得同意之事實的形式提供，在從個人資料主體代理人處取得處理個人資料之同意時，該代理人以個人資料主體的名義給予同意的權(quán)限由處理人審查。個人資料處理的同意可以由個人資料主體撤回。在撤回的情況下，處理人不得繼續(xù)處理，但在存在該法第6條第1款第2—11項以及第10條第2款和第11條第2款時，允許無須個人資料主體的同意繼續(xù)處理個人資料，且可以從非為個人資料主體的人取得個人資料(第9條第3、8款)(參看前文部分和下文部分)。處理人承擔(dān)對取得個人資料主體的同意和存在無須個人資料主體同意而處理其個人資料的理由的證明義務(wù)(第9條第2—3款)。

對于個人資料主體的同意有形式和內(nèi)容上的要求。在聯(lián)邦法律規(guī)定的情況下，個人資料處理須經(jīng)個人資料主體書面同意。在這里，依照聯(lián)邦電子簽名法簽署的電子文件形式的同意，等同于包含個人資料主體親筆簽名的在紙質(zhì)載體上的書面同意。書面同意應(yīng)當(dāng)包括以下內(nèi)容：(1)個人資料主體的姓、名、父稱，地址，基本身份證明文件的編號、簽發(fā)日期和簽發(fā)機關(guān)信息；(2)(在從個人資料主體代理人取得同意的情況下)個人資料主體代理人的姓、名、父稱，地址，基本身份證明文件的編號、簽發(fā)日期和簽發(fā)機關(guān)信息，授權(quán)委托書或其他證明其代理人權(quán)限的必備條件；(3)取得個人資料主體同意的處理人的名稱或姓、名、父稱及地址；(4)個人資料處理的目的；(5)個人資料主體同意處理的個人資料清單；(6)如果處理是委托給他人的，依照處理人委托實施個人資料處理的人的名稱或者姓、名、父稱及地址；(7)同意實施的個人資料行為的清單，對處理人所使用的個人資料處理方式的一般描述；(8)個人資料主體同意的有效期限及撤回的方式；(9)個人資料主體簽名(第9條第4款)。

在個人資料主體無行為能力時，處理其個人資料的同意由其法定代理人提供；在個人資料主體死亡時，處理其個人資料的同意由其繼承人提供，但該同意已經(jīng)由個人資料主體生前提供的除外(第9條第6—7款)。

3.特種個人資料

特種個人資料制度的目的主要是加強對特種個人資料(Специальные категории персональных данных)的保護和明確允許處理特種個人資料的情形。

俄羅斯個資法將特種個人資料列入原則上禁止處理的范疇，僅在例外的情況下才允許處理。此類特種個人資料包括涉及種族歸屬、民族歸屬、政治觀點、宗教或哲學(xué)信念、健康狀況、性生活的個人資料(第10條第1款)，以及犯罪前科(同條第3款)。而且，在法律允許處理的例外情況下進行的特種個人資料處理，在導(dǎo)致其進行處理的原因消除后應(yīng)當(dāng)立即終止，但聯(lián)邦法律有不同規(guī)定的除外(第10條第4款)*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。

允許處理的例外情況包括：(1)個人資料主體書面同意處理自己的個人資料；(2)個人資料主體使個人資料成為公眾可獲取資料*п. 2 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.，其分為由于履行有關(guān)遣返的俄羅斯聯(lián)邦國際條約所必要的個人資料處理*п. 2.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ.與依照俄羅斯聯(lián)邦全俄居民登記法進行的個人資料處理*п. 2.2 введен Федеральным законом от 27.07.2010 N 204-ФЗ.，以及依照俄羅斯聯(lián)邦國家社會救助立法、勞動立法和退休立法進行的個人資料處理*п. 2.3 введен Федеральным законом от 25.07.2011 N 261-ФЗ;в ред. Федерального закона от 21.07.2014 N 216-ФЗ.三個方面；(3)為了保護個人資料主體的生命、健康或其他重大生存利益，以及他人的生命、健康或其他重大生存利益，且不可能取得個人資料主體的同意*п. 3 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(4)出于醫(yī)學(xué)預(yù)防目的，為進行醫(yī)療診斷、提供醫(yī)療和醫(yī)療社會服務(wù)進行的個人資料處理，其條件是個人資料處理是由職業(yè)性從事醫(yī)療活動的人并依照俄羅斯聯(lián)邦立法負(fù)有保守醫(yī)生秘密的人進行；(5)由相應(yīng)依據(jù)俄羅斯聯(lián)邦立法進行活動的社會團體或者宗教組織為了達(dá)致其設(shè)立文件規(guī)定的合法目的而對社會團體或者宗教組織成員個人資料的處理，其條件是個人資料未經(jīng)個人資料主體書面同意不得傳播；(6)為設(shè)立或者行使個人資料主體或第三人的權(quán)利所必要的個人資料處理，由于進行司法審判而進行的個人資料處理亦同*п. 6 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(7)依照俄羅斯聯(lián)邦國防、安全、反恐、交通安全、反腐敗、業(yè)務(wù)搜索活動、強制執(zhí)行、刑事強制執(zhí)行立法而進行的個人資料處理*п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.，包含由檢察機關(guān)為進行監(jiān)察監(jiān)督而對在俄羅斯聯(lián)邦立法規(guī)定的情形下取得個人資料的處理*п. 7.1 введен Федеральным законом от 23.07.2013 N 205-ФЗ.；(8)依照強制保險立法和保險立法而進行的個人資料處理*п. 7.1 введен Федеральным законом от 23.07.2013 N 205-ФЗ.；(9)在俄羅斯聯(lián)邦立法規(guī)定的情況下由國家機關(guān)、自治市機關(guān)或組織為安置無父母監(jiān)護兒童在寄養(yǎng)家庭的教養(yǎng)而進行的個人資料處理*п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ.；(10)依照俄羅斯聯(lián)邦國籍法而進行的個人資料處理*п. 10 введен Федеральным законом от 04.06.2014 N 142-ФЗ.(第10條第2款)。值得注意的是，對于犯罪前科的個人資料的處理可以由國家機關(guān)或自治市機關(guān)在依照俄羅斯聯(lián)邦立法賦予的權(quán)限范圍內(nèi)處理，以及由他人在聯(lián)邦法律規(guī)定的情形下并依照其規(guī)定的程序處理(第10條第3款)。

4.生物個人資料

所謂生物個人資料(Биометрические персональные данные)，是指“可以據(jù)以查明人的身份的表征人的身體特征和生物特征”。在生物個人資料被處理人用以查明個人資料主體的身份時，僅可在存在個人資料主體書面同意時方可處理(第11條第1款)。例外的允許無須個人資料主體同意而進行生物個人資料處理的情形為：由于履行關(guān)于遣返的俄羅斯聯(lián)邦國際條約，由于進行司法審判和執(zhí)行司法文書，以及在俄羅斯聯(lián)邦國防、安全、反恐、交通安全、反腐敗、業(yè)務(wù)搜索活動、國家公務(wù)、刑事執(zhí)行、出入境程序、國籍立法規(guī)定的情形*в ред. Федерального закона от 04.06.2014 N 142-ФЗ.(第11條第2款)。

(四)個人資料的跨境移轉(zhuǎn)

個人資料的跨境移轉(zhuǎn)是個人資料處理行為之一種，由于其涉及個人資料主體權(quán)利國際保護問題，因此成為個人資料法關(guān)注的基本問題。

俄羅斯個人資料跨境移轉(zhuǎn)制度，與歐盟關(guān)于在自動化處理個人資料時保護自然人的公約相銜接，區(qū)分轉(zhuǎn)入國是否為歐盟公約成員國，是否能夠保障有效保護個人資料主體權(quán)利的標(biāo)準(zhǔn)，建立了一個由作為歐盟公約當(dāng)事國的外國國家、能夠有效保障個人資料主體權(quán)利的外國國家和不能有效保障個人資料主體權(quán)利的外國國家構(gòu)成的不同層級的跨境保護機制。

原則上在作為歐盟公約成員國的外國國家境內(nèi)以及在能夠保障有效保護個人資料主體權(quán)利的外國國家境內(nèi)，可以依照俄羅斯個資法進行個人資料跨境移轉(zhuǎn)，但是該移轉(zhuǎn)可以為了保護俄羅斯聯(lián)邦憲政制度基礎(chǔ)、道德、公民的健康、權(quán)利和合法利益，保障國家防務(wù)和國家安全而予以禁止或者限制(第12條第1款)。

個人資料主體權(quán)利主管保護機關(guān)負(fù)責(zé)批準(zhǔn)不是歐盟公約成員國，但能夠有效保障個人資料主體權(quán)利的外國國家名單。其標(biāo)準(zhǔn)為雖然該國不是歐盟公約成員國，但是在該國有有效的法規(guī)范和所適用的個人資料安全措施符合前述公約的規(guī)定(第12條第2款)。可見在這里所采取的標(biāo)準(zhǔn)是以歐盟公約的保護水平和規(guī)則作為實質(zhì)性標(biāo)準(zhǔn)。而且，處理人在開始實施個人資料跨境移轉(zhuǎn)之前有義務(wù)確保個人資料移入國能有效保障個人資料主體權(quán)利的保護(同條第3款)。

對于不能有效保障對個人資料主體權(quán)利保護的外國國家，僅在以下五種情形下才允許進行個人資料的跨境轉(zhuǎn)入：(1)存在個人資料主體對其個人資料跨境轉(zhuǎn)移的書面同意；(2)俄羅斯聯(lián)邦國際條約規(guī)定的情形；(3)聯(lián)邦法律規(guī)定的為保護俄羅斯聯(lián)邦憲政制度基礎(chǔ)，保障國家防務(wù)和國家安全，以及保障交通綜合體的穩(wěn)定和完全運行，保護個人、社會和國家在交通綜合體免受非法干涉領(lǐng)域內(nèi)的利益的情形；(4)履行個人資料主體作為當(dāng)事人的合同；(5)在無法取得個人資料主體書面同意時保護個人資料主體或他人的生命、健康、其他重大生存利益(第12條第4款)。

四、個人資料主體的權(quán)利

俄羅斯學(xué)者認(rèn)為，非物質(zhì)利益主觀民事權(quán)利的內(nèi)容通常有三種：請求權(quán)、積極行動權(quán)和訴權(quán)。積極行動權(quán)可能由多個權(quán)限構(gòu)成*Мужанова В.А.О положительном содержании субьективного гражданского права на нематериальные блага.Сибирский юридический вестник.№ 4(55).2011.С.77.。個人資料主體的權(quán)利*在中國，有學(xué)者認(rèn)為，《民法總則》第111條“個人信息受法律保護”的規(guī)定并未確認(rèn)個人信息權(quán)，只是從信息安全的角度規(guī)定了主體外的其他人的義務(wù)。參見：郭明瑞《關(guān)于人格權(quán)立法的思考》(《甘肅政法學(xué)院學(xué)報》，2017年第4期第1-7頁)。是一個由多項權(quán)利構(gòu)成的權(quán)利束。主要包括四種：一是獲取其個人資料的權(quán)利；二是在為推銷市場上的商品、工作和服務(wù)，以及為進行政治鼓動時的權(quán)利；三是在僅依據(jù)自動化個人數(shù)據(jù)處理做出決定時的權(quán)利；四是對處理人作為或者不作為的申訴權(quán)利。

(一)個人資料主體獲取其個人資料的權(quán)利

1.個人資料主體取得涉及其個人資料處理的信息的權(quán)利

個人資料主體有權(quán)獲取以下信息：(1)確認(rèn)處理人處理其個人資料的事實；(2)處理個人資料的法律依據(jù)和目的；(3)個人資料處理的目的和處理人所使用的方式；(4)處理人的名稱和所在地，可能依據(jù)與處理人之間的合同或依據(jù)聯(lián)邦法律獲取個人資料或向其披露個人資料的人(處理人的工作人員除外)的信息；(5)被處理的屬于個人資料主體的個人資料，取得的來源，但聯(lián)邦法律規(guī)定了提供這些資料的其他程序的除外；(6)個人資料處理的期限，包括保存期限；(7)個人資料主體行使聯(lián)邦法律規(guī)定權(quán)利的程序；(8)已經(jīng)實施或預(yù)定的跨境資料移轉(zhuǎn)的信息；(9)如果處理是委托或?qū)⑽心橙说脑?，受處理人委托實施個人資料處理的人的名稱或姓、名、父稱和地址；(10)本聯(lián)邦法律或者其他聯(lián)邦法律規(guī)定的其他資料(第14條第1、7款)。

對前述資料的形式、內(nèi)容和提供方式，俄羅斯個資法也有具體的規(guī)定。該類資料“應(yīng)當(dāng)以可獲取的方式由處理人提供給個人資料主體，而且其中不得包含屬于他人的個人資料，但對披露該類個人資料有合法利益存在的情形除外(第14條第2款)”。該類資料“在個人資料主體或其代理人來訪或收到其來函時提供給個人資料主體或其代理人”，來函應(yīng)當(dāng)包括證明個人資料主體或其代理人身份的基本證明文件，文件簽發(fā)日期和簽發(fā)機關(guān)的信息，證明個人資料主體參加與處理人之間關(guān)系的信息(合同編號、合同締結(jié)日期、有條件的口頭名稱和(或)其他信息)，以及以其他方式證明處理人處理個人資料的事實的信息，個人資料主體或其代理人的簽名。函件可以電子文件形式提交并經(jīng)依照俄羅斯聯(lián)邦立法的電子簽名簽署(第14條第3款)。

獲取前述資料的權(quán)利可以再次行使。在前述信息以及所處理的個人資料已經(jīng)按其來函提供個人資料主體了解的情況下，個人資料主體有權(quán)在不早于第一次到訪或發(fā)出第一次函件之后30日內(nèi)再次造訪處理人或向其發(fā)出第二次函件以取得前述信息和了解此類個人資料，但依照聯(lián)邦法律、規(guī)范性法律文件或個人資料主體作為其受益人或保證人的合同規(guī)定了更短期限的除外。由于處理初次來訪而沒有提供完整的此類信息和(或)所處理的個人資料，個人資料主體有權(quán)在前述期限屆滿之前再次造訪處理人或向其發(fā)送第二次函件以便獲取前述信息以及了解所處理的個人資料。第二次去函除了包含前述規(guī)定的信息之外還應(yīng)當(dāng)說明再次來函的理由(第14條第4—5款)。處理人有權(quán)拒絕履行不符合規(guī)定條件的第二次來函。該拒絕應(yīng)當(dāng)敘明理由。處理人承擔(dān)證明其拒絕履行第二次來函之合理性的義務(wù)(第14條第6款)。

值得注意的是，獲取個人資料的權(quán)利是可以被限制的。在以下情況下可以依照聯(lián)邦法律予以限制：(1)個人資料處理，包括對因業(yè)務(wù)搜索、反偵察和偵查活動而取得的個人資料的處理，是為了國家防務(wù)、國家安全和維護法律秩序而進行的；(2)個人資料處理是因懷疑個人資料主體實施犯罪行為而由對其執(zhí)行拘留的機關(guān)，或?qū)€人資料主體提起刑事指控的機關(guān)，以及對個人資料主體采取訴前強制措施的機關(guān)進行的，但俄羅斯聯(lián)邦刑事訴訟立法規(guī)定允許嫌疑人或被指控者了解此類個人資料的情形除外；(3)依照反犯罪途徑收入合法化(反洗錢)立法和資助恐怖主義立法的個人資料處理；(4)個人資料主體獲取其個人資料將侵犯第三人權(quán)利和合法利益；(5)個人資料處理是在俄羅斯聯(lián)邦交通安全立法規(guī)定的情況下為保障交通綜合體穩(wěn)定安全運作，保護個人、社會和國家在交通綜合體免受非法干涉領(lǐng)域的利益而實施的(第14條第8款)。

2.更正、封存和銷毀個人資料的權(quán)利和要求處理人采取措施保護自己權(quán)利的權(quán)利

個人資料主體有權(quán)在其個人資料不完整、陳舊、不準(zhǔn)確、非法取得時或非為所申明的處理目的所必要時要求處理人更正、封存或銷毀其個人資料，以及采取法律規(guī)定的措施保護自己的權(quán)利(第14條第1款)。如果處理人拒絕更正，則可能會承擔(dān)傳播不實貶損性信息的責(zé)任。在俄羅斯聯(lián)邦最高法院的司法實踐中曾確認(rèn)“歐洲人權(quán)法院在其判決中所使用的誹謗(диффамация)的概念等同于俄羅斯聯(lián)邦民法典第152條所包含的傳播不實的貶損性信息的概念”*Постановление Пленума Верховного суда РФ от 24 Февраля 2005 г.№ 3 《О судебной практике по делам о защите чести и достоинства граждан,а также деловой репутации граждан и юридических лиц》，Бюллетень Верховного Суда РФ.2005.№4.。

相比較以促進獨聯(lián)體成員國立法統(tǒng)一化為目的的《獨聯(lián)體成員國示范個人資料法》而言[13]，俄羅斯個資法沒有更進一步區(qū)分更正、封存和銷毀所針對的具體情形。根據(jù)《示范個人資料法》第12條第4—6款的規(guī)定，在存在相應(yīng)文件證實的理由時，個人資料主體有權(quán)要求資料持有人修改自己的個人資料；在個人資料主體發(fā)現(xiàn)其不準(zhǔn)確或?qū)€人資料處理的合法性提出爭議時，則有權(quán)要求持有人封存這些資料；在查明個人資料處理存在非法行為時，個人資料主體有權(quán)要求賠償損失*參見：獨聯(lián)體成員國議會間大會第十四次全體會議于1999年10月16日第14—19號決議通過的獨聯(lián)體成員國《個人資料示范法》第12條第4—5款。。但是，均沒有在規(guī)定何種情況下可以銷毀這些資料。而且也沒有規(guī)定刪除權(quán)的問題。這是留待被遺忘權(quán)立法予以處理的問題[10]。

(二)個人資料主體在為推銷市場上的商品、工作和服務(wù)，以及為進行政治鼓動時的權(quán)利

根據(jù)俄羅斯個資法第15條，只有在經(jīng)個人資料主體事先同意的條件下，才允許通過借助于通訊設(shè)備直接聯(lián)系潛在的消費者以推銷市場上的商品、工作和服務(wù)，以及為了進行政治鼓動目的的個人資料處理。如果處理者不能證明已經(jīng)取得該同意，則前述個人資料處理被視為未經(jīng)個人資料主體事先同意。處理人有義務(wù)按照個人資料主體的要求立即終止處理其個人資料。

(三)個人資料主體在僅依據(jù)自動化個人數(shù)據(jù)處理作出決定時的權(quán)利

原則上，俄羅斯個資法禁止僅依據(jù)自動化個人資料處理作出對個人資料主體產(chǎn)生法律后果或以其他方式影響其權(quán)利和合法利益的決定(第16條第1款)。但是，存在兩種例外情形：一是存在個人資料主體的書面同意時；二是在聯(lián)邦法律規(guī)定的情況下，且該法律規(guī)定了保障個人資料主體權(quán)利和合法利益的措施(同條第2款)。在此情況下，處理人負(fù)有四項義務(wù)：(1)向個人資料主體解釋僅依據(jù)自動化個人資料處理作出決定的程序和該決定可能的法律后果；(2)提供針對該決定提出異議的可能性；(3)解釋個人資料主體保護自己權(quán)利和合法利益的程序；(4)處理人有義務(wù)在自收到個人資料主體異議之日起30日內(nèi)審處異議并就該異議的審處結(jié)果通知個人資料主體(第16條第3、4款)*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。

(四)個人資料主體對處理人作為或者不作為的權(quán)利

如果個人資料主體認(rèn)為處理人對其個人資料的處理違反個資法的要求或以其他方式侵犯其權(quán)利和自由，則個人資料主體有權(quán)就處理人的作為和不作為向個人資料主體權(quán)利保護主管機關(guān)提出投訴或依照司法程序提起訴訟。個人資料主體有權(quán)保護自己的權(quán)利和合法利益，包括依照司法程序要求賠償損失和(或)精神損害賠償(第17條)。

根據(jù)俄羅斯個資法的規(guī)定，包括處理人在內(nèi)的“因過錯違反本聯(lián)邦法律要求的人，均承擔(dān)俄羅斯聯(lián)邦立法規(guī)定的責(zé)任”，而且“由于侵犯其權(quán)利、違反本聯(lián)邦法律規(guī)定個人資料處理規(guī)則，以及違反本聯(lián)邦法律規(guī)定保護個人資料的要求而給個人資料主體造成的精神損害，應(yīng)當(dāng)依照俄羅斯聯(lián)邦立法予以賠償”，“精神損害賠償獨立于財產(chǎn)損害賠償和給個人資料主體造成的損失的賠償”(第24條)*часть 2 введена Федеральным законом от 25.07.2011 N 261-ФЗ.。有關(guān)精神損害賠償?shù)囊话阋?guī)定和特別規(guī)范，應(yīng)當(dāng)以俄羅斯聯(lián)邦民法典第151條和第1099—1101條的規(guī)定為基本淵源*Табунщиков А.Т.Компенсация морального вреда:учебно-практическое пособие.Москва:Проспект.2017. С.19.。

五、處理人的義務(wù)

個人資料處理人的義務(wù)，是俄羅斯個資法立法的重點問題。有關(guān)處理人義務(wù)規(guī)范的比重占到了整個個資法近一半的篇幅，是所有個資法諸章中篇幅最大的一章，處理人的義務(wù)及其履行機制構(gòu)成了俄羅斯個人資料法律制度實施中最龐大最復(fù)雜也是最重要的部分。

主要包括：(1)處理人收集個人資料時的義務(wù)；(2)處理人保障履行本聯(lián)邦法律規(guī)定義務(wù)的措施；(3)在個人資料處理時保障個人資料安全的措施；(4)處理人在個人資料主體來訪或在收到個人資料主體或其代理人以及個人資料主體權(quán)利保護主管機關(guān)來函時的義務(wù)；(5)處理人消除處理個人資料時違反立法的行為，更正、封存和銷毀個人資料的義務(wù)；(6)個人資料處理的通知；(7)專責(zé)組織個人資料處理的人(個人資料專員)。

(一)處理人在收集個人資料時的義務(wù)

根據(jù)俄羅斯個資法第18條，處理人在收集個人資料時的義務(wù)主要有四項。

第一，依照請求提供法定信息的義務(wù)。“處理人在收集個人資料時有義務(wù)按照個人資料主體的請求向其提供本聯(lián)邦法律第14條第7款規(guī)定的信息”(第1款)。

第二，解釋拒絕提供個人資料法律后果的義務(wù)?！叭绻峁﹤€人資料根據(jù)聯(lián)邦法律是強制性的，則處理人有義務(wù)向個人資料主體解釋拒絕提供其個人資料的法律后果”(第2款)。

第三，自第三方取得個人資料時提供法定信息的義務(wù)?！叭绻麄€人資料不是從個人資料主體取得的，處理人在開始處理此類個人資料時有義務(wù)向個人資料主體提供以下信息：(1)處理人或其代理人的名稱或姓、名、父稱和地址；(2)個人資料處理的目的和法律依據(jù)；(3)個人資料的預(yù)定使用人；(4)本聯(lián)邦法律規(guī)定個人資料主體的權(quán)利；(5)個人資料的來源”(第3款)。該項義務(wù)在以下情況下可以豁免：(1)個人資料主體已經(jīng)被相應(yīng)處理人通知所實施個人資料處理；(2)個人資料是由處理人依據(jù)聯(lián)邦法律或由于履行個人資料主體作為受益人或保證人的合同而取得；(3)個人資料是由個人資料主體使之成為公眾可獲取的或從公眾可獲取來源而取得；(4)處理人為統(tǒng)計或其他研究性目的，為從事記者職業(yè)活動或科學(xué)、文學(xué)或其他創(chuàng)作性活動而進行個人資料處理，且在此時不侵犯個人資料主體權(quán)利和合法利益；(5)向個人資料主體提供本條第3款規(guī)定的信息侵犯第三人的權(quán)利和合法利益(第4款)。

第四，俄羅斯聯(lián)邦公民個人資料的本地化保存義務(wù)。也就是，在包括通過電子信息通訊網(wǎng)絡(luò)“Internet”收集個人資料時，處理人有義務(wù)保障通過使用俄羅斯聯(lián)邦境內(nèi)的數(shù)據(jù)庫記錄、體系化、積累、保存、更正(更新、更改)、提取俄羅斯聯(lián)邦公民個人資料(第5款)*часть 5 введена Федеральным законом от 21.07.2014 N 242-ФЗ.，其例外是在為履行國際條約或者法定職能、權(quán)限和義務(wù)，為參與訴訟、履行司法文件，以及為從事記者與大眾信息傳媒的職業(yè)活動與各種創(chuàng)作活動而處理個人資料的情形。有評論認(rèn)為，這是對Facebook、推特等美國社交網(wǎng)站的排擠[14]。

值得注意的是，這一規(guī)定與中國《網(wǎng)絡(luò)安全法》第37條相比有較大的不同：第一，在個人資料的保護范圍方面，俄羅斯法的適用范圍大于中國法的規(guī)定。俄羅斯強調(diào)的是所有處理人收集和產(chǎn)生的所有涉及俄羅斯聯(lián)邦公民的個人資料均應(yīng)實現(xiàn)本地化存儲，而中國《網(wǎng)絡(luò)安全法》則只強調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中國境內(nèi)收集和產(chǎn)生的個人信息要履行本地化存儲義務(wù)。第二，在本地化存儲的范圍方面，中國法的范圍要遠(yuǎn)遠(yuǎn)大于俄羅斯法的規(guī)定。俄羅斯個資法僅強調(diào)俄羅斯聯(lián)邦公民個人資料，而中國立法強調(diào)的是“在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”?？梢?，中國法要求本地化存儲的范圍更大，不限于是本國公民的個人信息，即使是在中國境內(nèi)收集和產(chǎn)生的外國公民或無國籍公民的個人信息也在該規(guī)定的效力射程之內(nèi)，而且除了本國境內(nèi)收集和產(chǎn)生的個人信息之外，重要數(shù)據(jù)也在本地化存儲的義務(wù)之列，所謂重要數(shù)據(jù)的定義和范圍并沒有立法規(guī)定，尚有待進一步明確。存儲本地化的要求具有強烈的反“信息殖民主義”[15]的色彩，也具有強烈的彰顯國家網(wǎng)絡(luò)主權(quán)[16]、信息主權(quán)[17]，強化以國家行政管理為主的網(wǎng)絡(luò)管理體制[18]意味。對該問題國際上缺乏統(tǒng)一的共識，如何避免因過分強調(diào)立法的國家權(quán)力性[19]和所謂的國情而阻礙國際信息流通與國際電子商務(wù)的發(fā)展，值得深入思考。

(二)處理人保障履行個資法規(guī)定義務(wù)的措施

第一，采取必要和充分保障履行法定義務(wù)的措施的義務(wù)。在法律沒有不同規(guī)定的情況下，處理人可以自主確定必要和充分保障履行法定義務(wù)的措施的構(gòu)成和清單。俄羅斯個資法規(guī)定了屬于此類措施的六項內(nèi)容：(1)作為法人的處理人任命負(fù)責(zé)組織個人資料處理的人(個人資料專員)；(2)作為法人的處理人發(fā)布確定處理人在個人資料處理方面政策的文件，就個人資料處理問題的本地文件，以及規(guī)定旨在預(yù)防和產(chǎn)生違反聯(lián)邦立法的行為、消除這些違法行為后果的程序的本地文件；(3)采取保障個人資料安全的法律、組織與技術(shù)措施；(4)對個人資料處理是否符合本聯(lián)邦法律和依照該法頒布的規(guī)范性法律文件、對個人資料保護的要求、處理人在個人資料處理方面的政策、處理人的本地文件的內(nèi)部監(jiān)督和(或)審計；(5)對在違反本聯(lián)邦法律時造成的損害、前述損害與處理人所采取的保障履行本聯(lián)邦法律規(guī)定義務(wù)之措施的相互關(guān)系進行評估；(6)讓處理人直接從事個人資料處理的工作人員了解俄羅斯聯(lián)邦個人資料立法的規(guī)定，包括對個人資料保護的要求，決定處理人在個人資料處理方面政策的文件，就個人資料處理問題的本地文件，和(或)培訓(xùn)前述工作人員(第18.1條第1款)。

第二，公開相關(guān)政策文件等的義務(wù)。處理人有義務(wù)公開或以其他方式保障無限制地獲取規(guī)定其個人資料處理政策的文件、對已實施的保護個人資料要求的信息。使用電子通訊信息網(wǎng)絡(luò)收集個人資料的處理人有義務(wù)在相應(yīng)的電子通訊信息網(wǎng)絡(luò)中公開決定其個人資料處理政策的文件和所實施的保護個人資料要求的信息，并保障通過使用相應(yīng)電子通訊信息網(wǎng)絡(luò)設(shè)備獲取前述文件(第18.1條第2款)。對于國家機關(guān)和自治市機關(guān)作為處理人時的保障履行法定義務(wù)的措施的清單由俄羅斯聯(lián)邦政府規(guī)定。

第三，提交相關(guān)政策文件的義務(wù)。處理人有義務(wù)按照個人資料主體權(quán)利保護主管機關(guān)的來函提交決定處理人個人資料處理政策的文件和相關(guān)本地文件(同條第4款)。

(三)在個人資料處理時保障個人資料安全的義務(wù)與措施

處理人在處理個人資料時負(fù)有義務(wù)采取必要的法律、組織和技術(shù)措施或保障采取這些措施以保護個人資料免受非法或意外的獲取、銷毀、修改、封存、復(fù)制、提供、傳播，以及個人資料方面的其他非法行為(第19條第1款)。

保障個人資料安全的途徑包括：(1)確定在個人資料信息系統(tǒng)中處理個人資料時個人資料的安全威脅；(2)在個人資料信息系統(tǒng)中處理個人資料時，采取保障個人資料安全的組織性和技術(shù)性措施，這是為完成俄羅斯聯(lián)邦政府規(guī)定的個人資料保護等級對個人資料保護的要求所必要的；(3)對依照規(guī)定程序采取的信息保護手段的符合性進行評估；(4)在個人資料信息系統(tǒng)投入使用前評估所采取的個人資料安全保障措施的有效性；(5)清點個人資料的計算機載體；(6)發(fā)現(xiàn)未經(jīng)許可的獲取個人資料的事實并采取措施；(7)恢復(fù)由于未經(jīng)許可的獲取而被修改或被銷毀的個人資料；(8)設(shè)立獲取在個人資料信息系統(tǒng)中所處理個人資料的規(guī)則，以及保障登記和清點對個人資料信息系統(tǒng)中個人資料所實施的所有行為；(9)監(jiān)督所采取的個人資料安全保障措施和個人資料信息系統(tǒng)保護等級(第19條第2款)。在這里所謂的個人資料安全威脅是指“能夠產(chǎn)生包括意外獲取個人資料在內(nèi)的未經(jīng)許可的個人資料獲取，導(dǎo)致銷毀、修改、封存、復(fù)制、提供、傳播個人資料，以及在個人信息系統(tǒng)中處理個人資料時的其他非法行為之虞的條件和事實的總和”，個人資料安全保護等級指“表征用以中和在個人資料信息系統(tǒng)中處理個人資料時保障個人資料安全威脅的要求的綜合指標(biāo)”(同條第11款)。

在個人資料安全保障方面，俄羅斯聯(lián)邦政府、有關(guān)聯(lián)邦執(zhí)行權(quán)力機關(guān)，以及數(shù)據(jù)處理人協(xié)會、聯(lián)盟和社團各有不同的義務(wù)和權(quán)限，同時俄羅斯個資法還規(guī)定了前述相關(guān)主體的強制協(xié)商程序。

對俄羅斯聯(lián)邦政府來說，主要是規(guī)定前述保護個人資料安全的要求，而安全保障領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機關(guān)和反技術(shù)偵查以及對信息的技術(shù)性保護措施領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機關(guān)在各自的權(quán)限范圍內(nèi)，規(guī)定完成俄羅斯聯(lián)邦政府規(guī)定的保護個人資料的要求而對每一保護等級所必要的在個人資料信息系統(tǒng)中處理個人資料時保障個人資料安全的組織性和技術(shù)性措施*По вопросу разработки нормативных правовых актов，определяющих угрозы безопасности персональных данных，см. Методические рекомендации，утв. ФСБ России 31.03.2015 N 149/7/2/6-432.(第19條第4款)。

國家機關(guān)(包括在規(guī)定活動領(lǐng)域中履行制定國家政策和規(guī)范性法律調(diào)整職能的聯(lián)邦執(zhí)行權(quán)力機關(guān)，俄羅斯聯(lián)邦主體的國家機關(guān)、俄羅斯銀行、國家非預(yù)算基金的機關(guān)及其他國家機關(guān))在自己權(quán)限范圍內(nèi)可以發(fā)布規(guī)范性法律文件，根據(jù)個人資料的內(nèi)容、處理的特點和方式規(guī)定從事相應(yīng)活動時使用個人資料信息系統(tǒng)處理個人資料時現(xiàn)實的個人資料安全威脅(同條第5款)。與此同時，處理人協(xié)會、聯(lián)盟和其他處理人社會團體也有權(quán)以自己的決定，根據(jù)個人資料的內(nèi)容、處理的特點和方式規(guī)定此類協(xié)會、聯(lián)盟和其他處理人社會團體的成員在從事相應(yīng)活動時使用個人資料信息系統(tǒng)處理個人資料時的補充性現(xiàn)實個人資料安全威脅(同條第6款)。

俄羅斯個資法還規(guī)定了強制協(xié)商程序，以提高前述主體相互之間在確定安全威脅方面的協(xié)調(diào)性和一致性。國家機關(guān)的規(guī)范性法律文件草案起草及施行應(yīng)當(dāng)與安全保障領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機關(guān)和反技術(shù)偵查與對信息的技術(shù)保護領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機關(guān)進行協(xié)商。處理人協(xié)會、聯(lián)盟和其他處理人社會團體決定的草案也應(yīng)當(dāng)與前述聯(lián)邦執(zhí)行權(quán)力機關(guān)按照俄羅斯聯(lián)邦政府規(guī)定的程序進行協(xié)商。前述聯(lián)邦執(zhí)行權(quán)力機關(guān)拒絕對前述決定草案進行協(xié)商應(yīng)當(dāng)敘明理由(第19條第7款)。

在國家監(jiān)督和監(jiān)察方面，對于在國家個人資料信息系統(tǒng)中進行個人資料處理時履行保障個人資料安全的組織性和技術(shù)性措施的監(jiān)督和監(jiān)察由安全保障領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機關(guān)和反技術(shù)偵查與對信息的技術(shù)保護領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機關(guān)在各自的權(quán)限范圍內(nèi)進行，但是無權(quán)了解在個人資料信息系統(tǒng)中所處理的個人資料(同條第8款)。對于使用非國家個人資料信息系統(tǒng)處理個人資料時，對其所采取的個人資料安全保障組織性和技術(shù)性措施的監(jiān)督，根據(jù)所處理的個人資料的重要性和內(nèi)容，可以俄羅斯聯(lián)邦政府決定的方式授予前述聯(lián)邦執(zhí)行權(quán)力機關(guān)監(jiān)督的權(quán)限，但前述聯(lián)邦執(zhí)行權(quán)力機關(guān)無權(quán)了解在個人資料信息系統(tǒng)中所處理的個人資料(同條第9款)。

對于個人資料信息系統(tǒng)之外生物個人資料的使用和保存只能在此類信息的物質(zhì)載體上，并使用足以保障這些數(shù)據(jù)免受非法獲取或意外獲取、銷毀、修改、封存、復(fù)制、提供和傳播的保存技術(shù)進行(第19條第10款)。

(四)處理人在個人資料主體來訪時以及在收到個人資料主體或其代理人以個人資料主體權(quán)利保護主管機關(guān)來函時的義務(wù)

在處理前述有關(guān)來訪或來函時，處理人負(fù)有以下具體義務(wù)*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.：第一，在來訪或來函時提供個人資料是否存在之信息，以及了解該類個人資料之機會的義務(wù)。在個人資料主體或其代理人來訪時，或者在自收到個人資料主體或其代理人來函之日起30日內(nèi)，處理人有義務(wù)按照法定程序向個人資料主體或其代理人提供屬于相應(yīng)個人資料主體的個人資料是否存在的信息，并提供了解這些個人資料的機會(第20條第1款)。第二，拒絕提供時須出具附理由書面答復(fù)的義務(wù)。在個人資料主體或其代理人來訪或收到其來函時拒絕提供是否存在關(guān)于相應(yīng)個人資料主體的個人資料存在的信息或個人資料時，處理人在自個人資料主體或其代理人來訪之日起或在自收到其來函之日起30日內(nèi)有義務(wù)提供包含援引作為拒絕依據(jù)的聯(lián)邦法律的附理由書面答復(fù)(第20條第2款)。第三，無償提供、更改、銷毀個人資料的義務(wù)。處理人有義務(wù)無償向個人資料主體或其代理人提供了解屬于該個人資料主體之個人資料的機會。在自個人資料主體或其代理人提交證明該個人資料不完整、不準(zhǔn)確或不具時效性的信息之日起不超過7個工作日的期限內(nèi)，處理人有義務(wù)對之進行必要修改。在自個人資料主體或其代理人提交證明該個人資料為非法取得或非為所申明的處理目的所必要的信息之日起不超過7個工作日的期限內(nèi)，處理人有義務(wù)銷毀這些個人資料。處理者有義務(wù)就所做的修改和所采取的措施通知個人資料主體或其代理人，并采取合理措施通知該主體的個人資料曾經(jīng)被移轉(zhuǎn)給的第三人(第20條第3款)。第四，向個人資料主體權(quán)利保護主管機關(guān)提供信息的義務(wù)。處理人有義務(wù)按照個人資料主體權(quán)利保護主管機關(guān)的函詢在自收到該函詢之日起30日內(nèi)告知該機關(guān)必要的信息(第20條第4款)。

(五)處理人消除在處理個人資料時違反立法的行為，更正、封存和銷毀個人資料的義務(wù)

第一，處理人的封存義務(wù)?！霸诜欠ㄌ幚韨€人資料時，個人資料主體或其代理人來訪以及個人資料主體或其代理人或個人資料主體權(quán)利保護主管機關(guān)來函時，處理人有義務(wù)在自到訪或者收到來函之時起至整個審查期間對非法處理的屬于個人資料主體的個人資料實施封存，或者(如果個人資料處理是由他人按照處理人委托進行的，則)保障對該個人資料實施封存”；“在發(fā)現(xiàn)不準(zhǔn)確的個人資料時，個人資料主體或其代理人來訪或來函，以及個人資料主體權(quán)利保護主管機關(guān)來函時，處理人有義務(wù)對屬于個人資料主體的個人資料實施封存，或者(如果個人資料處理是由他人按照處理人的委托進行的，則)保障對該個人資料實施封存，但是封存?zhèn)€人資料侵犯個人資料主體或第三人的權(quán)利和合法利益除外”(第21條第1款)。

第二，處理人的更正義務(wù)。保障信息的可靠性也是俄羅斯信息法學(xué)的基本原則*А.В.Минбалеев.Принципы информационного права.Вестник ЮУрГУ.Серия право.2015.№1.С.80.?！霸谧C實個人資料不準(zhǔn)確的情況下，處理人有義務(wù)依據(jù)個人資料主體或其代理人以及個人資料主體權(quán)利保護主管機關(guān)提交的信息或其他必要文件在自提交給此類信息之日起7個工作日內(nèi)更正個人資料，或者(如果個人資料處理是由他人按照處理人委托進行的，則)保障更正的該個人資料，并解除對個人資料的封存”(第21條第2款)。

第三，處理人的終止義務(wù)?！霸诔霈F(xiàn)由處理人或依照處理人委托行為的人非法處理個人資料時，處理人有義務(wù)在不超過自其出現(xiàn)之日起3個工作日內(nèi)終止非法個人資料處理，或由依據(jù)處理人委托行為的人保障終止非法的個人資料處理。在不可能保障個人資料處理的合法性的情況下，處理人有義務(wù)在不超過自非法個人資料處理出現(xiàn)之日起10個工作日內(nèi)銷毀這些個人資料或保障銷毀這些個人資料。處理人有義務(wù)將消除所犯的違法行為或銷毀個人資料，在個人資料主體或其代理人來訪的，通知個人資料主體或其代理人，在個人資料主體權(quán)利保護主管機關(guān)來函的情況下，還應(yīng)通知該機關(guān)”(第21條第3款)。

第四，處理人在處理目的達(dá)成時的終止與銷毀義務(wù)。“在個人資料處理目的達(dá)成時，處理人有義務(wù)在自處理目的達(dá)成之日起不超過30日內(nèi)終止個人資料處理，或者(如果個人資料處理是由他人按照處理人委托進行的，則)保障終止個人資料處理，并銷毀個人資料或者保障銷毀個人資料，如果個人資料主體作為受益人或保證人的合同、處理人和個人資料主體之間的其他協(xié)議沒有不同規(guī)定，以及處理人未經(jīng)個人資料主體同意無權(quán)依據(jù)本聯(lián)邦法律或其他聯(lián)邦法律進行個人資料處理的話”(第21條第4款)。

第五，在個人資料主體撤回同意時的終止與銷毀義務(wù)?！霸趥€人資料主體撤回處理其個人資料的同意時，處理人有義務(wù)在上述撤回提交之日起不超過30日內(nèi)終止處理其個人資料，或者(如果個人資料處理是由他人按照處理人委托進行的，則)保障終止該處理，而在如果保存?zhèn)€人資料對個人資料處理之目的而言不再需要時，有義務(wù)銷毀個人資料，或者(如果個人資料處理是由他人按照處理人委托進行的，則)保障銷毀個人資料，如果個人資料主體作為受益人或保證人的合同、處理人和個人資料主體之間的其他協(xié)議沒有不同規(guī)定，而處理人未經(jīng)個人資料主體同意無權(quán)依據(jù)本聯(lián)邦法律或者其他聯(lián)邦法律進行個人資料處理的話”(第21條第5款)。

第六，處理人在不能如期銷毀時的封存與銷毀義務(wù)。在出現(xiàn)非法個人資料處理、處理目的達(dá)成，以及個人資料主體撤回同意的情況下，在不能按照前述期限銷毀個人資料時，“處理人實施對此類個人資料的封存，或者(如果個人資料處理是由他人按照處理人的委托進行的，則)保障對此類個人資料的封存，并保障在不超過6個月期限內(nèi)銷毀個人資料，但聯(lián)邦法律規(guī)定了不同期限的除外”(第21條第6條)。

(六)個人資料處理的通知(處理人登記簿)

處理人在開始處理個人資料之前有義務(wù)就自己實施個人資料處理之意圖通知個人資料主體權(quán)利保護主管機關(guān)(第22條第1款)。個人資料主體權(quán)利保護主管機關(guān)在收到個人資料處理通知之日起30日內(nèi)將第22條第3款指明的信息以及前述通知提交的日期載入處理人登記簿。處理人登記簿中包含的信息除處理個人資料時保障個人資料安全的手段的信息外，均為公眾可獲取的信息(第22條第4款)。在提交的第22條第3款規(guī)定的信息不完整或者不準(zhǔn)確時，個人資料主體權(quán)利保護主管機關(guān)有權(quán)在載入處理人登記簿之前要求處理人更正所提交的信息(第22條第6款)。在第22條第3款規(guī)定的信息變更，以及個人資料處理終止時，處理人有義務(wù)在自此類變更產(chǎn)生之日或個人資料處理終止之日起10個工作日內(nèi)就此通知個人資料主體權(quán)利保護主管機關(guān)(第22條第7款)*часть 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.。值得注意的是，處理人并不承擔(dān)與個人資料主體權(quán)利保護主管機關(guān)審查個人資料處理通知有關(guān)的以及與將信息載入處理人登記簿有關(guān)的費用(第22條第5款)。

處理人的通知可以紙質(zhì)文件或電子文件呈送并由被授權(quán)者簽署。通知應(yīng)當(dāng)包含如下信息*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.：(1)處理人的名稱(姓、名、父稱)、地址；(2)個人資料處理的目的；(3)個人資料的類別；(4)其個人資料被處理主體的類別；(5)個人資料處理的法律依據(jù)；(6)個人資料行為的清單，對處理人所使用的個人資料處理方法的一般描述；(7)對保障履行本聯(lián)邦法律規(guī)定義務(wù)的措施和在處理個人資料時保障個人資料安全的措施的描述，包括是否存在加密(密碼)設(shè)備的信息以及這些設(shè)備的名稱*п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(8)負(fù)責(zé)組織個人資料處理的自然人的姓、名、父稱或者法人的名稱，以及其聯(lián)絡(luò)電話號碼、通信地址和電子郵箱地址*п. 7.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ.；(9)個人資料處理的開始日期；(10)個人資料處理的終止期限或者條件；(11)在處理進程中是否存在跨境個人資料移轉(zhuǎn)*п. 10 введен Федеральным законом от 25.07.2011 N 261-ФЗ.；(12)包含俄羅斯聯(lián)邦公民之個人資料信息的數(shù)據(jù)庫所在地的信息*п. 10.1 введен Федеральным законом от 21.07.2014 N 242-ФЗ.；(13)依照俄羅斯聯(lián)邦政府規(guī)定的個人資料保護要求保障個人資料安全的信息*п. 11 введен Федеральным законом от 25.07.2011 N 261-ФЗ.(第22條第3款)。

通知的義務(wù)可以被豁免，在以下情況下，處理人有權(quán)無須通知個人資料主體權(quán)利保護主管機關(guān)而處理個人資料：(1)依照勞動立法進行的個人資料處理*п. 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(2)對由于締結(jié)個人資料主體作為當(dāng)事人的合同而取得的個人資料的處理，但未經(jīng)個人資料主體同意不得傳播，也不得向第三人提供，且由處理人僅用于履行前述合同和與個人資料主體締結(jié)合同；(3)對屬于社會團體或宗教組織成員(參加者)的個人資料，且由相應(yīng)社會團體或宗教組織依據(jù)俄羅斯聯(lián)邦立法為其設(shè)立文件規(guī)定的合法目的而進行的處理，其條件是未經(jīng)個人資料主體書面同意個人資料不得被傳播或向第三人披露*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(4)對個人資料主體使之成為公眾可獲取的個人資料之處理*п. 4 в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(5)對僅包括個人資料主體之姓、名和父稱之個人資料的處理；(6)為辦理個人資料主體一次性進出處理人所在區(qū)域的出入證目的，或其他類似目的的個人資料處理；(7)對載入依照聯(lián)邦法律具有國家自動化信息系統(tǒng)身份的個人資料信息系統(tǒng)，以及載入為保護國家安全和公共秩序為目的而建立的國家個人資料信息系統(tǒng)的個人資料的處理*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(8)對依照聯(lián)邦法律或規(guī)定個人資料處理時保障個人資料安全和遵守個人資料主體權(quán)利的其他規(guī)范性法律文件，不使用自動化設(shè)備進行的個人資料處理；(9)在俄羅斯聯(lián)邦交通安全立法規(guī)定的情況下，為保障交通綜合體的穩(wěn)定安全運行，保護交通綜合體領(lǐng)域免受非法侵入行為的個人、社會和國家之利益目的而進行的個人資料處理*п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ.。

(七)專責(zé)組織個人資料處理的人：個人資料專員制度

在俄羅斯個資法的修改中，加入了專門負(fù)責(zé)組織個人資料處理的人(Лица，ответственные за организацию обработки персональных данных в организациях )的規(guī)定(第22.1條*введена Федеральным законом от 25.07.2011 N 261-ФЗ.)，屬于作為法人的處理人中的“個人資料專員”的制度。

作為法人的處理人任命負(fù)責(zé)組織個人資料處理的人。負(fù)責(zé)組織個人資料處理的人直接從作為組織的法人執(zhí)行機關(guān)取得指示并向其報告工作。處理人有義務(wù)向負(fù)責(zé)組織個人資料處理的人提供該法第22條第3款規(guī)定的信息。負(fù)責(zé)個人資料處理的人負(fù)有以下義務(wù)：(1)實施對處理人及其工作人員遵守俄羅斯聯(lián)邦個人資料立法，包括對遵守個人資料保護要求的內(nèi)部監(jiān)督；(2)引起處理人的工作人員對俄羅斯聯(lián)邦個人資料立法、就個人資料處理問題的本地文件的規(guī)定，以及對保護個人資料的要求的重視；(3)組織接收和處理個人資料主體或其代理人的來訪來函，并(或)對接收和處理此類來訪來函實施監(jiān)督。

在該制度中，負(fù)責(zé)個人資料事務(wù)處理的人具有獨立的法律地位，他雖然是由作為處理人的法人所任命，且是從法人執(zhí)行機關(guān)取得指示并向其報告工作的，但是其法律義務(wù)卻是直接來自于法律的規(guī)定，更重要的是其作為個人資料處理事務(wù)的內(nèi)部監(jiān)督者的地位是立法直接賦予的，這構(gòu)成了俄羅斯個人資料制度自動實施機制中極為重要的一環(huán)。

六、個人資料處理的國家監(jiān)督與監(jiān)察：個人資料主體權(quán)利保護主管機關(guān)

在國家對個人資料處理的監(jiān)督和監(jiān)察問題上，也即在個人資料主體權(quán)利保護主管機關(guān)(Уполномоченный орган по защите прав субъектов персональных данных)的問題上，俄羅斯個資法并沒有追隨歐盟設(shè)立獨立保護機關(guān)的做法，而是以附設(shè)在聯(lián)邦執(zhí)行權(quán)力機關(guān)(行政機關(guān))內(nèi)的方式設(shè)立個人資料主體權(quán)利保護主管機關(guān)(以下簡稱保護機關(guān))。

(一)保護機關(guān)的法律地位與活動方式

根據(jù)俄羅斯個資法的規(guī)定，“履行對個人資料處理是否符合俄羅斯聯(lián)邦在個人資料領(lǐng)域中立法的要求的監(jiān)督和監(jiān)察的聯(lián)邦執(zhí)行權(quán)力機關(guān)為個人資料主體權(quán)利保護主管機關(guān)”(第23條第1款)*часть 1 в ред. Федерального закона от 22.02.2017 N 16-ФЗ.。這就意味著在俄羅斯個人資料主體權(quán)利保護主管機關(guān)是聯(lián)邦執(zhí)行權(quán)力機關(guān)，即聯(lián)邦行政機關(guān)，而且是不具有獨立法律地位的聯(lián)邦行政機關(guān)，也意味著該項事務(wù)屬于聯(lián)邦管轄事務(wù)，而非俄羅斯聯(lián)邦主體和地方自治的管轄事務(wù)。因此，在預(yù)算撥款的來源上，“對個人資料主體權(quán)利保護主管機關(guān)的撥款從聯(lián)邦預(yù)算資金中撥付”(同條第8款)。

盡管保護機關(guān)并非獨立的機關(guān)，但是其活動方式卻體現(xiàn)了較高的法律地位：一是保護機關(guān)每年要向俄羅斯聯(lián)邦總統(tǒng)、俄羅斯聯(lián)邦政府和由國家杜馬與聯(lián)邦委員會構(gòu)成的聯(lián)邦大會*Конституция Российской Федерации с комментариям для изучения и понимания/сост.Л.Ш.Лозовский，Б.А.Райзберг.3-е изд.М.:ИНФРА-М.2017.С.38.(也就是俄羅斯聯(lián)邦國會*Конституция Российской Федерации.Официальный текст с изменениями.М.:ИНФРА-М.2016.С.58.)提交工作報告；二是該報告應(yīng)當(dāng)在大眾信息傳媒上公布(同條第7款)。

(二)保護機關(guān)的職責(zé)與職權(quán)

保護機關(guān)的職責(zé)為“保障、組織和實施對個人資料處理的國家監(jiān)督和監(jiān)察”，也就是“保障、組織和實施對個人資料處理是否符合本聯(lián)邦法律以及依照該法通過的規(guī)范性法律文件的要求之國家監(jiān)督與監(jiān)察”(第23條第1.1款)*часть 1 в ред. Федерального закона от 22.02.2017 N 16-ФЗ.。主要的工作方式為“處理個人資料主體關(guān)于個人資料的內(nèi)容和處理方式是否符合其處理目的，并作出相應(yīng)的決定”(同條第2款)，但是該決定并非終局性的，而是行政性的，因此可以其“決定可以依照司法程序提起訴訟”(同條第6款)。

保護機關(guān)在履行職責(zé)的過程中，享有以下職權(quán)：(1)向自然人或法人索取為履行自己權(quán)限所必要的信息并無償取得該信息；(2)實施對包含在個人資料處理通知中信息的審查，或延請其他國家機關(guān)在其權(quán)限范圍內(nèi)進行此種審查；(3)要求處理人更正、封存或銷毀不真實或以非法途徑取得的個人資料；(4)按照聯(lián)邦立法規(guī)定的程序限制獲取違反個人資料領(lǐng)域俄羅斯聯(lián)邦立法處理的信息*п. 3.1 введен Федеральным законом от 21.07.2014 N 242-ФЗ.；(5)依照聯(lián)邦立法規(guī)定的程序采取終止或終止違反本聯(lián)邦法律處理個人資料的措施；(6)向法院提起訴訟以保護個人資料主體的權(quán)利，包括保護不特定范圍人群的權(quán)利，并在法院代表個人資料主體利益*в ред. Федерального закона от 25.07.2011 N 261-ФЗ.；(7)向負(fù)責(zé)安全保障領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機關(guān)和反技術(shù)偵查與信息技術(shù)保護領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機關(guān)針對其活動領(lǐng)域發(fā)送關(guān)于采取安全領(lǐng)域保障措施的信息；(8)向負(fù)責(zé)處理人活動許可的機關(guān)發(fā)出審查按照俄羅斯聯(lián)邦立法規(guī)定的程序采取暫停其活動或注銷其相應(yīng)許可的措施問題的建議，如果許可從事此類活動的條件是禁止未經(jīng)個人資料主體書面同意不得將個人資料移轉(zhuǎn)給第三人的話；(9)向檢察機關(guān)、其他護法機關(guān)移交材料，以決定是否依據(jù)管轄根據(jù)侵犯個人資料主體權(quán)利的犯罪行為的特征啟動刑事案件；(10)向俄羅斯聯(lián)邦政府提出完善個人資料主體權(quán)利保護的規(guī)范性法律調(diào)整的建議；(11)對因過錯違反本聯(lián)邦法律的人處以行政責(zé)任(第23條第3款)。

值得注意的是，根據(jù)2011年的法律修改，增加了保護機關(guān)的國際合作職能，“實施與外國國家的個人資料主體權(quán)利保護主管機關(guān)的合作，包括關(guān)于個人資料主體權(quán)利保護信息的國際交換，批準(zhǔn)有效保障個人資料主體權(quán)利保護外國國家名單”(第23條第5.1款)*п. 5.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ.。

由此可見，保護機關(guān)的職權(quán)較為廣泛，既包括在國內(nèi)事務(wù)中的職責(zé)，也承擔(dān)了國際合作與交流方面的職責(zé)；既包括了在行政領(lǐng)域中的職權(quán)，也包括了在法院中代表個人資料主體利益而提起訴訟的權(quán)力；既包括自己獨立做出處以行政責(zé)任決定的權(quán)力，也包括了與其他行政機關(guān)相銜接處理行政事務(wù)(如中止或撤銷許可)、與其他司法機關(guān)銜接轉(zhuǎn)入刑事訴訟程序等；既包括行政事務(wù)的處理職權(quán)，也包括了提出改善法律調(diào)整的建議、提供信息等職權(quán)?？傮w而言，保護機關(guān)的職權(quán)較為全面細(xì)致，實現(xiàn)了行政機關(guān)之間以及與司法機關(guān)和聯(lián)邦政府之間的工作銜接。

(三)保護機關(guān)的義務(wù)

個人資料主體權(quán)利保護主管機關(guān)負(fù)有義務(wù)：(1)對在履行自己工作中獲悉的個人資料負(fù)有保密義務(wù)(第23條第4款)；(2)依照本聯(lián)邦法律和其他聯(lián)邦法律的要求組織個人資料主體權(quán)利保護；(3)審理公民和法人就與個人資料處理有關(guān)問題的投訴和來訪，并在自己的職權(quán)范圍內(nèi)根據(jù)對前述投訴和來訪的審理結(jié)果做出決定；(3)負(fù)責(zé)辦理處理人登記簿事務(wù)；(4)實施完善個人資料主體權(quán)利的保護措施；(5)依照俄羅斯聯(lián)邦立法規(guī)定程序，根據(jù)負(fù)責(zé)安全保障領(lǐng)域聯(lián)邦執(zhí)行權(quán)力機關(guān)、負(fù)責(zé)國家保護領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機關(guān)或者負(fù)責(zé)反技術(shù)偵查和信息技術(shù)保護領(lǐng)域中聯(lián)邦執(zhí)行權(quán)力機關(guān)的意見采取終止或終止個人數(shù)據(jù)處理的措施*в ред. Федерального закона от 01.07.2017 N 148-ФЗ.；(6)就其來訪或者來函向國家機關(guān)以及個人資料主體提供個人資料主體權(quán)利保護領(lǐng)域中事務(wù)狀況信息；(7)履行俄羅斯聯(lián)邦立法規(guī)定的其他義務(wù)(第23條第5款)。

七、結(jié)語

從上可知，俄羅斯個人資料法雖然以《在自動化處理個人類資料時保護自然人歐盟公約》為標(biāo)準(zhǔn)，但也有自己鮮明的特色，值得中國在制定個人資料法時予以關(guān)注和借鑒。

第一，在個人資料法的適用范圍上涵蓋了非自動化處理個人資料的情形，明確排除了對構(gòu)成國家秘密的個人資料處理的適用，允許以國家安全和公共秩序為目的限制個人資料主體對其個人資料的獲取。

第二，在個人資料法的內(nèi)容建構(gòu)上，明確了個人資料主體的權(quán)利內(nèi)容，建立了龐大細(xì)密嚴(yán)實的處理人義務(wù)群，設(shè)置了處理人登記簿制度，以此保障個人資料主體和處理人以及國家(社會)之間的利益平衡。尤其是占據(jù)個人資料法最大篇幅的處理人義務(wù)規(guī)范是俄羅斯個資法的創(chuàng)新。

第三，在個人資料法的實施機制上，明確提出了俄羅斯聯(lián)邦公民個人資料保存的本地化要求，在作為法人的處理人內(nèi)部設(shè)立個人資料專員制度，在國家的監(jiān)督監(jiān)察機制上，創(chuàng)設(shè)了非獨立的屬于行政機關(guān)性質(zhì)的個人資料主體權(quán)利保護主管機關(guān)的模式，而非歐盟式的作為獨立機構(gòu)的個人資料主體保護主管機關(guān)模式，由此創(chuàng)新構(gòu)成了俄羅斯個人資料法的鮮明特色，特別是本國公民個人資料保存的本地化要求也成為西方世界批評和攻擊俄羅斯的對象和理由。

[1]劉向文,宋雅芳.俄羅斯聯(lián)邦憲政制度[M].北京:法律出版社,1999:34.

[2]傅榮.私法復(fù)興——俄羅斯新民法典研究[M].長春:吉林人民出版社,2003:64.

[3]趙嘉麟.梅德韋杰夫傳[M].武漢:湖北人民出版社,2008:91.

[4]鄢一美.俄羅斯當(dāng)代民法研究[M].北京:中國政法大學(xué),2006:1.

[5]王志華.俄羅斯與歐洲人權(quán)法院二十年：主權(quán)與人權(quán)的博弈[J].中外法學(xué),2016(6):1554-1579.

[6]張俊杰.俄羅斯法治國家理論[M].北京:知識產(chǎn)權(quán)出版社,2008:153.

[7]魏磊杰,張建文.俄羅斯聯(lián)邦民法典的過去、現(xiàn)在及其未來[M].北京:中國政法大學(xué)出版社,2012:175.

[8]肖秋會.俄羅斯信息法研究綜述[J].中國圖書館學(xué)報,2013(6):75-85.

[9]曲頌.俄羅斯高度重視保護公民互聯(lián)網(wǎng)隱私[N].人民日報,2016-01-08(021).

[10]張建文.俄羅斯被遺忘權(quán)立法的意圖、架構(gòu)和特點[J].求是學(xué)刊,2016(5):102-110.

[11]肖秋會.近五年來俄羅斯信息政策和信息立法進展[J].圖書情報知識,2010(4):96-101.

[12]涂詠松.俄羅斯個人資料保護制度探析[J].求是學(xué)刊,2014(1):14-22.

[13]張建文.獨聯(lián)體成員國示范民法典[M].北京:法律出版社,2014:11.

[14]方亮.俄羅斯如何管制互聯(lián)網(wǎng)[J].南風(fēng)窗,2014(15):73-75.

[15]尹建國.我國網(wǎng)絡(luò)信息的政府治理機制研究[J].中國法學(xué),2015(1):134-151.

[16]程琳.加快信息網(wǎng)絡(luò)法治建設(shè) 維護網(wǎng)絡(luò)社會安全秩序[J].中國人民公安大學(xué)學(xué)報(社會科學(xué)版),2013(1):1-9.

[17]張文顯.習(xí)近平法治思想研究(上)——習(xí)近平法治思想的鮮明特征 [J].法制與社會發(fā)展,2016(2):5-21.

[18]陳俊良,李友根,肖冰.論計算機網(wǎng)絡(luò)管理的法律問題[J].南京大學(xué)法律評論,1996(1):161-167.

[19]劉德良,班志剛.論我國信息網(wǎng)絡(luò)法治化的必要性與對策[J].鄭州大學(xué)學(xué)報(哲學(xué)社會科學(xué)版),2003(4):144-148.