俄罗斯跨境数据流动立法规则与执法实践
摘要:伴随着全球数字经济的迅猛发展,跨境数据流动监管越来越成为各方关切的焦点,俄罗斯出于安全考虑成为对跨境数据流动严格限制的代表国家。从俄罗斯数据管理法律框架出发,重点梳理了其跨境数据流动管理规则的立法变迁,分析了强力推行数据本地存储的原因,并考察了该规则的实施效果和监管机构的执法检查情况。最后,提出了对中国跨境数据流动管理的启示和建议。
关键词:跨境数据流动;本地化存储;数据立法;监督检查
中图分类号:D95文献标识码:A
doi:10.11959/j.issn.2096-0271.2016073
Legislationandenforcementofcross-borderdataflowsrulesinRussia
Abstract:Withtherapiddevelopmentofglobaldigitaleconomy,thecross-borderdataflowsarebecominganimportantissueofconcern.Forthesakeofdatasecurity,Russiahasimposedastrictlimitationoncross-borderdataflows.ThelegislationsystemofRussian’sdataregulationandtheestablishmentofcross-borderdataflowsruleswerediscussedindetailandthereasonsoflocalretentionrequirementinRussiawereanalyzedeither.Intheend,severalsuggestionsweregiven.
Keywords:cross-borderdataflow,localretention,datalegislation,supervisionandinspection
论文引用格式:何波.俄罗斯跨境数据流动立法规则与执法实践[J].大数据,2016,2(6):129-134.
HEB.Legislationandenforcementofcross-borderdataflowsrulesinRussia[J].BigDataResearch,2016,2(6):129-134.
1引言
对跨境数据流动进行管理是一国行使其数据主权的重要体现,是否要求在一国境内存储和处理用户数据则是近年来各国立法的主要分歧所在。当前,随着全球数字经济的发展,美国不断致力于倡导和推动数据全球自由流动,例如,在美国主导的《跨太平洋伙伴关系协定》中明确指出:当通过电子方式跨境传输信息是为涵盖的人执行其业务时,缔约方应允许此跨境传输,包括个人信息,但以俄罗斯、欧盟为代表的国家和地区采取了与美国截然不同的做法。欧盟从个人数据保护角度出发,不断强化对数据跨境流动的管理,2016年4月新通过的《一般数据保护条例》再次严格限定了数据向欧盟成员国境外跨境流动的条件。俄罗斯在2013年“棱镜计划”曝光以后,基于维护国家安全的历史传统和现实中的网络数据安全威胁,通过两次修改立法,明确提出公民数据的存储和处理必须在俄罗斯境内进行,成为强行实施数据本地化存储的典型代表。
然而,俄罗斯跨境数据流动管理法律体系是如何形成的以及本地化留存要求的具体内容到底是什么,目前并没有一个准确、系统的研究和梳理,对于俄罗斯数据本地化生效后的实施效果和执法监管也缺乏有效的介绍。本文从俄罗斯数据管理法律框架出发,重点梳理了俄罗斯跨境数据流动管理规则的立法变迁和具体内容,分析了俄罗斯强力推行数据本地存储的原因,并考察了该规则的实施效果和监管机构的执法检查情况,最后提出了我国跨境数据流动管理的建议。
2俄罗斯数据管理的法律框架与本地化规则的确立
2.1良好的数据管理立法基础
《俄罗斯联邦个人数据法》同样确立于2006年,该法旨在保障公民个人数据处理中的权利和自由,并对个人数据的跨境转交提出了同等保护的要求。该法规定:在进行个人数据跨境转交前,处理者有义务确认数据跨境转交的其他国家保证会对个人数据主体的权利进行同等保护;拥有同等保护的其他国家实施的个人数据跨境转交依照本法进行;为了保护俄罗斯联邦宪法制度体系,维护道德、保护公民权利以及保障国防和国家安全,可以中止或者限制数据跨境转交行为。该法同时提出了同等保护的例外情况。
2.2确立数据本地化基本规则
“棱镜门”事件后,俄罗斯开始启动修法进程,加强对跨境数据流动的管理,并相继发布了两个法令,确立其数据本地化存储的规则。
2014年5月7日,俄罗斯发布联邦第97号法令《俄罗斯联邦<关于信息、信息技术和信息保护法>修正案及个别互联网信息交流规范的修正案》对《关于信息、信息技术和信息保护法》进行了修改。在“互联网信息传播组织者的义务”中增加了境内留存的要求,规定:自网民接收、传递、发送和(或)处理语音信息、书面文字、图像、声音或者其他电子信息6个月内,互联网信息传播组织者必须在俄罗斯境内对上述信息及网民个人信息进行保存。同时,修正案还要求互联网信息传播组织者有义务保留和(或)提供给国家侦查机关和安全机关上述信息,不履行者将进行行政罚款。根据规定,该修正案自2014年8月1日起正式生效施行。
同年7月,总统普京签署联邦第242号法令《就“进一步明确互联网个人数据处理规范”对俄罗斯联邦系列法律的修正案》,对两部数据管理法律同时做了修改。在《关于信息、信息技术和信息保护法》第十六条第四款中增加一项,要求信息拥有者、信息系统运营方有义务对俄罗斯联邦公民个人信息进行收集、记录、整理、保存、核对(更新、变动)、提取的数据库存放在俄罗斯境内。在《俄罗斯联邦个人数据法》第十八条增加第五款,要求收集个人数据(包括使用互联网手段)时,运营商需要保证使用位于俄罗斯境内的数据库,对俄罗斯公民的个人数据进行搜集、记录、整理、保存、核对(更新、变动)和提取。此外,本条还要求数据处理者在处理数据前,要告知数据保护机关包含俄罗斯公民个人数据的数据库所在地的信息,并且根据俄罗斯联邦法律规定,对违反俄罗斯联邦个人数据法的信息进行限制访问。
3推行数据本地存储的深层原因
俄罗斯对跨境数据流动管理的态度经历了由自由放任到确保网络安全的转变。在前一届政府任期内,时任总统梅德韦杰夫和总理普京在谈到国家对网络进行监管的问题时,都曾公开表态称,俄罗斯政府不会直接介入互联网的管理。然而“棱镜门”事件后,俄罗斯对跨境数据流动管理的态度发生了重大转变。导致这一变化的原因,除了国外监控的威胁外,还与俄罗斯的历史传统和数据安全现状有关。
3.1直接原因
“棱镜门”事件是推动俄罗斯数据本地化立法的直接原因。2013年,斯诺登揭露了美国全球监控计划,出于对本国安全的担忧,俄罗斯开始考虑加强网络监控和强化数据跨境流动管理。俄罗斯信息政策和信息技术及通信委员会的一名发言人呼吁俄罗斯应该加强其“数据主权”,通过立法要求电子邮件、社交网站等企业将其收集的俄罗斯用户的数据在俄境内留存。2013年春,俄罗斯通信部起草了一份法令草案,要求电信和互联网提供者在提供服务时安装可以收集和留存数据的设备,这被认为是数据本地化要求的前兆。
3.2历史原因
3.3现实需求
网络攻击和数据泄露是俄罗斯建立数据本地留存制度的现实需求。从数据看,俄罗斯国内虽尚未发生危及国家安全的重大网络攻击事件,但长期面临大量网络攻击,潜在隐患不少。根据俄联邦安全局的统计数据,俄罗斯总统办公厅、国家杜马、联邦委员会网站每天遭受黑客攻击达1万余次。根据通信世界网的报道,俄罗斯数次成为全球网络安全风险最高的国家。为了提高网络安全和数据安全的应对和管理,俄罗斯适时推出了数据留存本地化的管理要求。
4数据本地存储规则的实施效果
4.1各方态度
俄罗斯的数据本地化存储要求从酝酿到正式立法出台,其争论从来没有停止过,各方都站在自己立场展开争论,国外的互联网企业也出现了两种截然不同的态度。
可以看出,数据存储本地化的要求给外国企业在俄罗斯开展业务带来了一定的障碍,需要在俄罗斯境内租用或建设新的数据库,给企业增加了更多的成本负担。中国互联网企业正在大幅进军俄罗斯市场,也需要按照俄方要求将俄罗斯公民的数据存储在对方境内。未来,俄罗斯数据本地化存储规制给我国企业带来的影响将逐步显现。
4.2实施方式:取于执法
整体来看,虽然俄罗斯在立法上严格要求企业将数据本地化存储,并进行了积极的监督检查,但在执法处罚尺度上却相对温和。一方面,根据美国信息技术产业理事会介绍,俄方检查机构通常只检查书面文件(如与当地服务器服务商签订的合同),不检查服务商软硬件;另一方面,对于违反规定的企业,检查机构目前只是给予了轻微罚款和限制改正的处罚。
5对我国实施跨境数据流动管理的启示
在数字经济时代,各国围绕数据资源的竞争空前激烈。我国无论是网络规模、用户规模,还是应用规模都是全球第一网络大国,而且随着“互联网+”的深入推进,大量的线下经济活动加速向线上迁移,网上数据总量保持指数增长态势,其蕴含的经济社会价值无可估量。借鉴俄方经验,要结合国情尽快确立我国跨境数据流动管理的基本规则,要敢于和善于执法,切实提升数据管理的执法效果。
5.1加快推动跨境数据流动立法出台
5.2平衡数据留存本地化与产业发展关系
数据驱动的创新是当前培育新业态、改造提升传统产业的主要领域。充分发挥我国大数据产业体量大的优势,既要支持市场主体利用网络数据开展创新,还要把握好数据本地化存储的类型划分、成本负担、责任义务和例外条款。俄罗斯虽然严格规定了数据本地存储的要求,但也规定了同等保护的例外情况,并且选择了较为温和的执法方式,没有完全挤压企业生存和发展的空间。当前我国大数据产业发展呈现上升之势,基于大数据的创业创新不断涌现,国内企业对数据流动也存在一定的需求。建议我国在立法中对数据跨境进行分类管理,凡是涉及国家秘密、社会安全以及经济安全的数据,必须在境内的数据中心存储和处理;对普通的个人数据,允许其通过合同监管等方式,在满足双方约定条件前提下允许其跨境流动,在保护安全的同时为产业发展留下一定的空间。