數據跨境流動已成為全球貿易和投資增長的主要途徑,也成為當代數字經濟發展中不可阻擋的趨勢。隨著數字經濟的發展,大數據時代的企業依靠信息通訊技術和數字數據技術,以數據信息作為生產要素,依托互聯網設施實現貿易發展。企業經營過程中產生、積累、存儲的數據越來越多,總量巨大,各國企業間基于業務需求或發展需求自然會出現數據跨境流動的情形。俄羅斯出于數據安全考慮,對數據跨境流動制定了嚴格的監管機制。
監管主體設置
20世紀末以來,俄羅斯制定了諸多信息監管法律,如《信息、信息化和信息保護法》《防止青少年接觸有害其健康和發展的信息法》《知名博主管理法》等。還設立了負責數據工作的國家機構,倡導建立政府、社會共努力的制度。經修訂后的《信息、信息化和信息保護法》賦予監管機構較大的管理權限。具體監管架構如下:
俄羅斯安全委員會總體負責國家信息安全工作,制定統一的網絡安全政策、審議重要的網絡安全及信息安全等事項。
俄羅斯聯邦電信和大眾傳媒部是重要的互聯網監管機構,一方面擁有立法權,負責制定電信和大眾傳媒領域的政策和法規,如個人數據處理和網絡治理等;另一方面具有執法權,包括對通信及信息傳播的監管。該部下設相關監管機構,如聯邦電信、信息技術和大眾傳媒監管局,負責監管相關法律的遵守、依法保護和處理個人信息等。即聯邦電信和大眾傳媒部負責監管立法和政策的制定,該部下設的機構負責監管措施的具體落實。
俄羅斯聯邦網絡和服務協會主要負責組織互聯網相關活動,推廣互聯網安全理念,也有一定的監管權。實際上,俄羅斯聯邦數據監管機構繁多,從政府、協會到企業及社會組織等,均對數據跨境活動發揮監管作用。
監管對象設置
基于國內數據監管的目的,俄羅斯對數據跨境流動實行嚴格的管控制度。通過多項立法將數據分為可流通數據和禁止流通數據。與企業相關的數據,是內容合法但相對禁止流動的數據,包括保密性數據信息、公民個人數據信息和知識產品型數據信息,其中保密性數據是指涉及國家秘密或者法律所保護的數據,此類數據為限制存取的信息;公民個人信息側重個人同意制度,并且強調未成年人的個人數據保護。知識產品型的數據通常表現為數字化作品,為防止對知識產權的侵犯,其流動需要取得知識產權人的許可。
《俄羅斯聯邦個人數據法》修正案,對跨境數據作出對內對外均嚴格的管理模式。俄羅斯聯邦立法將個人敏感數據稱為特殊類別的個人數據,涉及種族、政治傾向、哲學信仰、健康狀況、性生活等個人信息。同時俄羅斯將生物信息與敏感信息(特殊類別資料)進行區分,生物信息是指依據特定的生物或生理特征能夠識別特定個人的信息。對于個人數據的處理而言,數據主體應當享有對個人數據加工報告中的信息進行檢查的權利,并在國家機關職權范圍內實施個人數據檢查等。
監管程序設置
俄羅斯監管部門以立法為依據,配備專門工作人員,制定詳細的年度檢查計劃,積極開展執法監督檢查活動。政府高度重視數據安全和隱私保護,因此通過立法要求企業將用戶數據存儲在本國境內的服務器上,其目的是加強對數據跨境流動的控制和管理,防止數據被非法訪問或濫用。俄羅斯個人數據法明確規定了數據本地化的要求,并制定了相應的法律責任。
盡管立法要求嚴格,但在實際監管過程中,一些監管機構采取相對溫和的處罰措施,這種做法可能是為了在保護數據安全和促進企業發展之間找到平衡。檢查機構在進行數據本地化合規性檢查時,主要關注書面文件的審查,例如企業與當地服務器服務商簽訂的合同。這種做法可能意味著對服務商的軟硬件設施的檢查并不是執法的重點。
此外,對于那些未能遵守數據本地化規定的企業,檢查機構的處罰也較輕。通常這些企業只會收到輕微的罰款,只被要求在規定時間內改正違規行為。這種處罰方式可能是為了給予企業改正錯誤的機會。這種溫和的執法策略也引起了一些爭議,一方面,這可能會導致一些企業對數據本地化規定的遵守不夠重視,從而影響數據安全;另一方面,如果執法過于嚴厲,可能會抑制企業的創新和發展,影響俄羅斯經濟的競爭力。
總的來說,俄羅斯在數據跨境流動監管方面采取了一種既嚴格又靈活的策略,這種策略旨在保護國內數據安全,同時也考慮到了企業的實際情況和發展需求。未來,隨著技術的發展和國際環境的變化,俄羅斯的數據跨境流動監管政策可能會進一步調整和完善。
【本文系國家社科基金重點項目“網絡超級平臺社會責任制度研究”(項目編號:23AFX018)的階段性成果】
?。ㄗ髡邌挝唬何髂险ù髮W經濟法學院)