数据跨境流动已成为全球贸易和投资增长的主要途径,也成为当代数字经济发展中不可阻挡的趋势。随着数字经济的发展,大数据时代的企业依靠信息通讯技术和数字数据技术,以数据信息作为生产要素,依托互联网设施实现贸易发展。企业经营过程中产生、积累、存储的数据越来越多,总量巨大,各国企业间基于业务需求或发展需求自然会出现数据跨境流动的情形。俄罗斯出于数据安全考虑,对数据跨境流动制定了严格的监管机制。
监管主体设置
20世纪末以来,俄罗斯制定了诸多信息监管法律,如《信息、信息化和信息保护法》《防止青少年接触有害其健康和发展的信息法》《知名博主管理法》等。还设立了负责数据工作的国家机构,倡导建立政府、社会共努力的制度。经修订后的《信息、信息化和信息保护法》赋予监管机构较大的管理权限。具体监管架构如下:
俄罗斯安全委员会总体负责国家信息安全工作,制定统一的网络安全政策、审议重要的网络安全及信息安全等事项。
俄罗斯联邦电信和大众传媒部是重要的互联网监管机构,一方面拥有立法权,负责制定电信和大众传媒领域的政策和法规,如个人数据处理和网络治理等;另一方面具有执法权,包括对通信及信息传播的监管。该部下设相关监管机构,如联邦电信、信息技术和大众传媒监管局,负责监管相关法律的遵守、依法保护和处理个人信息等。即联邦电信和大众传媒部负责监管立法和政策的制定,该部下设的机构负责监管措施的具体落实。
俄罗斯联邦网络和服务协会主要负责组织互联网相关活动,推广互联网安全理念,也有一定的监管权。实际上,俄罗斯联邦数据监管机构繁多,从政府、协会到企业及社会组织等,均对数据跨境活动发挥监管作用。
监管对象设置
基于国内数据监管的目的,俄罗斯对数据跨境流动实行严格的管控制度。通过多项立法将数据分为可流通数据和禁止流通数据。与企业相关的数据,是内容合法但相对禁止流动的数据,包括保密性数据信息、公民个人数据信息和知识产品型数据信息,其中保密性数据是指涉及国家秘密或者法律所保护的数据,此类数据为限制存取的信息;公民个人信息侧重个人同意制度,并且强调未成年人的个人数据保护。知识产品型的数据通常表现为数字化作品,为防止对知识产权的侵犯,其流动需要取得知识产权人的许可。
《俄罗斯联邦个人数据法》修正案,对跨境数据作出对内对外均严格的管理模式。俄罗斯联邦立法将个人敏感数据称为特殊类别的个人数据,涉及种族、政治倾向、哲学信仰、健康状况、性生活等个人信息。同时俄罗斯将生物信息与敏感信息(特殊类别资料)进行区分,生物信息是指依据特定的生物或生理特征能够识别特定个人的信息。对于个人数据的处理而言,数据主体应当享有对个人数据加工报告中的信息进行检查的权利,并在国家机关职权范围内实施个人数据检查等。
监管程序设置
俄罗斯监管部门以立法为依据,配备专门工作人员,制定详细的年度检查计划,积极开展执法监督检查活动。政府高度重视数据安全和隐私保护,因此通过立法要求企业将用户数据存储在本国境内的服务器上,其目的是加强对数据跨境流动的控制和管理,防止数据被非法访问或滥用。俄罗斯个人数据法明确规定了数据本地化的要求,并制定了相应的法律责任。
尽管立法要求严格,但在实际监管过程中,一些监管机构采取相对温和的处罚措施,这种做法可能是为了在保护数据安全和促进企业发展之间找到平衡。检查机构在进行数据本地化合规性检查时,主要关注书面文件的审查,例如企业与当地服务器服务商签订的合同。这种做法可能意味着对服务商的软硬件设施的检查并不是执法的重点。
此外,对于那些未能遵守数据本地化规定的企业,检查机构的处罚也较轻。通常这些企业只会收到轻微的罚款,只被要求在规定时间内改正违规行为。这种处罚方式可能是为了给予企业改正错误的机会。这种温和的执法策略也引起了一些争议,一方面,这可能会导致一些企业对数据本地化规定的遵守不够重视,从而影响数据安全;另一方面,如果执法过于严厉,可能会抑制企业的创新和发展,影响俄罗斯经济的竞争力。
总的来说,俄罗斯在数据跨境流动监管方面采取了一种既严格又灵活的策略,这种策略旨在保护国内数据安全,同时也考虑到了企业的实际情况和发展需求。未来,随着技术的发展和国际环境的变化,俄罗斯的数据跨境流动监管政策可能会进一步调整和完善。
【本文系国家社科基金重点项目“网络超级平台社会责任制度研究”(项目编号:23AFX018)的阶段性成果】
(作者单位:西南政法大学经济法学院)