俄羅斯個人資料保護制度探析

摘 要：《個人資料法》在俄羅斯具有個人資料保護之基準法的地位。相較于此前的《俄羅斯聯邦憲法》、俄羅斯聯邦參加的涉及隱私保護之國際條約以及俄羅斯國內其他立法，該法對個人資料保護更顯體系化和具體化。該法確立了個人資料處理的原則與一般情形，并對相關基本概念作出了界定。其所確定的對建立個人資料之公開獲取途徑、賦予個人資料主體對自己個人資料處理之決定權、區分特種個人資料與生物個人資料并分別相應予以不同保護等制度乃為其亮點，值得我國借鑒。

關鍵詞：個人資料；隱私；個人資料處理；個人資料保護

作者簡介：凃詠松，男，法學博士，西南政法大學俄羅斯法研究中心副主任，民商法學院副教授，從事民法學研究。

中圖分類號：D913 文獻標識碼：A 文章編號：1000-7504（2014）01-0014-09

俄羅斯個人資料保護制度，主要依據俄羅斯聯邦憲法、俄羅斯聯邦參加的國際條約，并由2006年7月通過的《個人資料法》和其他規定個人資料處理的情形與特殊性的聯邦法律予以確立的。

《個人資料法》在俄羅斯具有個人資料保護之基準法的地位，即國家機關可以在自己的權限范圍內就具體的個人資料處理問題發布規范性法律文件，但不得包含限制個人資料主體權利的條款，且應當正式公布（但包含聯邦法律限制獲取的信息的情形除外，該法第4條第1～2款）。除了更加關注公民的權利和自由以外，該法還具有過渡時期制憲性立法的另一個特征，即俄羅斯聯邦參與的國際條約具有優先性，在該類國際條約有不同于該法之規定時，適用國際條約的規則。[1]（P163）

一、俄羅斯個人資料保護的立法變遷

《個人資料法》出臺之前，俄羅斯在立法中一直嘗試著對個人資料的保護，無論是其憲法還是加入的國際條約，以及專門制定的《信息、信息技術和信息保護法》均對此領域有所涉及。通過上述立法活動，俄羅斯構建了個人資料的保護法律制度，但是事實證明這還遠遠不夠，《個人資料法》的出臺實際上是俄羅斯前期立法成果的歸納和總結。

（一）《俄羅斯聯邦憲法》對個人資料的保護

1. 《俄羅斯聯邦憲法》的具體規定

依照1993年12月通過的《俄羅斯聯邦憲法》（以下簡稱“俄憲”）的規定，人人享有私生活不可侵犯、個人和家庭秘密、自己的名譽和好名聲保護權（第23條1第1款），書信、電話交談、通郵、電報和其他通訊秘密權（第23條第2款）。不允許未經同意而匯集、保管、使用和傳播個人的私生活信息（第24條2第1款）。干預私生活、限制電話交談和通訊只有依據俄羅斯聯邦法律或者法院的判決才可進行。住宅不可侵犯在俄憲第25條3中受到保障。在俄憲第29條中包含了對言論自由和信息交換自由（以任何合法方式尋找、取得、移轉、生產和傳播信息的權利）的保障，以及對書刊檢查的禁止。按照俄憲第15條第1部分，上述條件具有最高效力和直接作用。根據俄憲第55條第3款，“人和公民的權利與自由由聯邦法律在為保護憲政制度的基礎、道德、他人的健康、權利和合法利益、保障國家防務和國家安全的目的所必要的限度內予以限制”。

2. 對俄羅斯聯邦主體-共和國的憲法的影響

在21個俄羅斯聯邦主體-共和國的憲法中有16個完全（或略加修改）復制了俄憲第23、24和25條。在印古什共和國和巴什科爾多斯坦共和國的憲法中對這些保障有些不同的表述。在巴什科爾多斯坦共和國的憲法中還增加了關于只有依據法院判決才允許進行搜查的內容。在撒哈（雅庫梯）共和國憲法中有關于住宅不受侵犯的保障，但沒有提到私生活不可侵犯。在卡列利亞和卡爾梅克憲法中則連這些權利保障都沒有。

3. 立法評價

《俄羅斯聯邦憲法》對個人資料的保障主要體現為以下特點：（1）為專門部門法的制度奠定了憲法基礎。雖然該憲法只是較為籠統而抽象地規定了對個人的私生活信息等與個人資料密切相關客體的權利保障問題，但為進一步制定專門的個人資料保護法奠定了基礎。（2）對俄羅斯聯邦主體-共和國的立法也產生了示范效應。俄羅斯的政體決定了俄羅斯聯邦主體-共和國一定程度上具備獨立的立法權?！抖砹_斯聯邦憲法》對個人的私生活信息保護的宣示性規定影響了大多數俄羅斯聯邦主體-共和國的憲法，這為在俄羅斯全境實現對公民個人資料的保護創造了條件。但是，僅憑《俄羅斯聯邦憲法》之規定尚不能真正實現對個人資料的有效保護，原因在于：其一，規定過于抽象，缺乏可操作性。當然，這本身也是憲法作為母法的特點，其法律規范的抽象性決定了尚需具體的部門法方能有效調整現實生活，實現立法的目的。因此，需要制定專門的個人資料保護法這一部門法來與之配套。其二，公民個人資料保護的界定尚顯模糊。該憲法并未明確提出公民個人資料保護的概念，而是將其納入個人的私生活信息這一概念之中，故需要制定專門的個人資料保護法對其作出清晰的界定。

（二）俄羅斯聯邦參與的涉及隱私保護之國際條約

1. 在國際層面上，俄羅斯參加了以下涉及保護隱私的國際條約：

（1）1948年《世界人權宣言》。其中第12條對隱私的保護作出明確規定：“任何人不得被任意干預個人和家庭生活，不得被肆意侵擾其住宅之不可侵犯性、通訊秘密?！?/p>

（2）1966年《公民權利與政治權利國際公約》（第17條）。

（3）1950年《歐洲人權與基本自由保護條約》。該條約第8條規定：“人人享有個人和家庭生活受尊重、住宅和通訊秘密不可侵犯的權利?！备鶕摋l第2款之規定，國家對隱私的干預只有在法律規定的情況下“為了國家安全、社會秩序或國家經濟的利益，為了保持秩序和預防犯罪，為了預防無秩序或者犯罪，保護健康或保護道德或保護他人的權利與自由”才有可能。

（4）1995年5月26日獨聯體成員國在明斯克簽署的《人的權利與基本自由條約》（自1998年8月11日起在俄羅斯聯邦生效）。

（5）2000年6月22日八國首腦通過的《全球信息社會Окинавская憲章》。在憲章中，在基本觀點和原則中提到發展有效的保護包括在處理個人資料時的隱私機制的必要性，發展加密技術和其他手段保障操作安全和可信度。

（6）2001年俄羅斯簽署了1981年《在自動化處理個人資料時保護自然人歐盟公約》，2005年該公約得到俄羅斯聯邦議會批準。

2. 立法評價

雖然國際條約優先適用于內國法，也構成俄羅斯的法律淵源。但是，如果國際條約要轉化為對在其國內范圍內的個人資料保護尚須通過內國法的制定來“接地氣”。況且，俄羅斯最為重視的歐盟委員會所制定的一些條約因種種原因對俄羅斯并無約束力。例如：歐盟95/46/EC（1995年）和97/66/EC（1997年）保護信息隱私的指令對俄羅斯沒有約束力。2001年秋，歐盟委員會通過了遙控犯罪條約，條約包括了批評者視之為有侵犯隱私之虞的條款。俄羅斯的代表雖參加了起草，但是條約沒有生效，俄羅斯沒有簽署也沒有批準準用該國際協議。因此，俄羅斯有必要通過制定一部專門個人資料保護法以便融入歐盟體系。

（三）俄羅斯國內其他立法對個人資料的保護

在俄羅斯立法中，個人資料概念的形成以及對于個人資料保護的重視，是從20世紀90年代中期開始的。[2]

1. 《信息、信息化和信息保護法》對個人資料保護的專門規制

在《個人資料法》頒布之前，在個人資料保護方面，最為重要的法律就是1995年框架性聯邦法律《信息、信息化和信息保護法》1。該法確立了信息調整的基本理念。依照該法，國家信息資源是公開的和一般可獲得的信息。法律歸于限制獲得類型的文件化信息（屬于國家秘密和機密的信息）為例外。個人資料屬于保密信息的范疇（第11條第1款）。在該法中個人資料被定義為“關于可以識別其身份的公民生活的事實、事件和情形的信息”（第2條）。在該法律中特別提到：“非經同意不得收集、保管、利用和傳播自然人的私生活信息，以及侵犯個人秘密、家庭秘密、書信、電話交談、通郵、電報和其他通訊秘密的信息，依據法院判決的除外”（第11條）。該法為實現《俄羅斯聯邦憲法》的相關規定以及國際法的規范奠定了基礎，但并沒有建立一個保護機制。根據該法，個人資料清單及其保護制度應當由聯邦法律（個人資料法）規定。

2006年7月27日該法律被修改為《信息、信息技術和信息保護法》2，個人資料的概念被刪除，但隱私不可侵犯和未經他人同意不得收集、保管、使用和傳播隱私信息被歸入對信息、信息技術和信息保護領域中關系的法律調整的原則（第3條第7款）。

1997年3月6日，在關于批準保密性信息清單的第188號俄羅斯聯邦總統令3中，個人資料也被納入這個清單。有學者對此提出異議，其理由為：第一，遠非所有的個人資料都是保密的。許多人物百科全書、個人職業指南、地址簿等，就是依照主體的同意而公開的個人資料。第二，個人資料可以而且在目前也的確是用各種限制接近的制度來予以保護的。如在國家秘密制度中保護了可以接近國家秘密的人的個人資料，在商業秘密制度中保護了在生產中使用的技術秘密作者們的個人資料，在職業秘密制度中保護了被提供服務的使用者的典型個人信息（醫生秘密、公證秘密、律師秘密、銀行秘密、收養秘密等），在個人秘密制度中保護了有關個人特性、愛好、習慣、興趣的信息，在家庭秘密制度中保護了家庭成員包括親屬之間的相互關系的信息。因此，個人資料只是直接與個人相關的信息，而非這些信息的保密制度。[3]

2. 其他立法對個人資料的附帶性保護

“個人資料”的概念也出現在《俄羅斯聯邦稅法典》中，包括姓、名、父稱、出生日期、性別、住所地地址、護照和其他證明納稅人人格的文件的數據、國籍（第1部分第84條）。

個人資料保護規范在《俄羅斯聯邦民事狀況文件法》4（第12條第1款）中也存在，個人資料被定義為“民事狀況文件登記機關工作人員由于進行民事狀況文件國家登記而獲悉的信息”（第12條第1款）。從2002年2月1日起勞動立法中納入了保護雇員個人資料的規范。

《俄羅斯聯邦勞動法典》1第14章也規定對個人資料的保護，包括限制收集資料的內容和范圍，規定了對在使用和移轉其個人資料時雇員的權利的保障，規定了獲取、復制和修改自己數據的權利等。

3. 立法評價

筆者認為，上述部門法對于個人資料的保護主要體現在以下方面：（1）均嘗試對個人資料進行概念界定。要實現對公民個人資料的保護的前提是對個人資料的范圍作出明確的界定。因此，上述法律均在自己的專門調整領域范圍內對個人資料的概念作出了界定。（2）將個人資料的保護上升到法律層面，為個人資料保護法的制定和實施創造了前期基礎。但是，上述立法本身也存在明顯的局限性：（1）對個人資料概念的界定缺乏統一性。例如《俄羅斯聯邦稅法典》主要是出于稅收管理的角度對個人資料作出了界定，而《俄羅斯聯邦勞動法典》則主要強調對雇員個人資料的保護。（2）對個人資料保護與對個人隱私保護等相關領域界限模糊。例如雖然《信息、信息化和信息保護法》對個人資料保護涉及較為深入，但是從其條文表述看，將個人資料歸于保密信息之范疇，與個人隱私等均未作出明確區分，正因如此該法律被修改為《信息、信息技術和信息保護法》，直接將個人資料的概念刪除。刪除的原因在于立法者決定在《個人資料法》中對其作出專門的界定和調整。

綜上所述，個人資料的保護盡管在俄羅斯法律制度中有所涉及，但是顯得過于分散混亂，缺乏體系化甚至有的規定還自相矛盾，因此《個人資料法》的制定和頒布也是順勢而為。

二、《個人資料法》的立法基礎

（一）加入歐共體的需要

俄羅斯一直致力于使自己真正融入歐洲共同體。盡管俄羅斯加入歐盟并沒有義務使自己的國內立法與歐盟委員會的指令一致，但是，俄羅斯只有在接受了游戲規則，也就是歐盟所形成的價值體系后才能成為歐盟的真正成員。歐盟成員國基本上都建立了調整與個人資料的收集、保管、自動化處理和使用相關的國內立法，而且該立法往往是獨立的，與隱私權保護的一般法律平行的立法。此外，還建立了如個人資料保護專員制度等的監督機構。該制度在歐盟國家二十多年的實踐證明了其有效性。因此，俄羅斯國內立法必須為此作出改變和適應。

（二）國內普遍建立的個人資料庫的現實需要

目前俄羅斯權力機關和組織中已經建立了自動化的個人資料庫。個人作為一直處在與其他的個人、組織、權力機關的關系中的社會因素，在很多情況下不得不自主決定，可以提供哪些個人資料，在有些關系中還不得不被迫提供國家所需要的個人資料，以換取國家提供的權利保護或者所提供的服務。新技術的發展一方面實質性地簡化了個人資料的收集、處理、保管和移轉，而另一方面也產生巨大的非法流轉個人資料，侵犯個人權利的危險。為適應該社會現實，故有必要專門立法予以規制。

（三）國家管理的需要

1998年4月，國家杜馬議員團曾經向國家杜馬提出了一部聯邦法律即《個人信息法》的草案，但是在兩年半期間該法草案沒有被提交國家杜馬討論。其原因在于當時俄羅斯聯邦政府和國會選舉人團體的構成經常變動，該法因此難以被大多數人接受。而且該草案涉及建立獨立的個人資料主體權利保護監督機關的規定是一個難以解決的法律現實問題。鑒于《俄羅斯聯邦憲法》沒有規定這樣的機關，而要將其納入俄羅斯聯邦人權專員的權限，則需要修改相應的俄羅斯聯邦憲法性法律方能做到。在此背景下，另一個國家杜馬議員團在2000年10月向國家杜馬提出了新的《個人信息法》草案。該草案與前者的根本性區別在于：它沒有規定建立獨立的個人資料權利保護專員制度，而是由俄羅斯聯邦政府賦予聯邦行政機關相應的管理職能。但是，該草案既沒有規定對主管行政機關運作的國家預算撥款的來源，也沒有明確到底應當授權哪個行政機關負責，也沒有規定被授權的個人資料主體權利保護機關應具備之獨立性，由于幾乎所有的機關都可以收集和處理個人資料，因此，按照該草案的規定則可能產生被授權的機關本身既是監督主體又是監督對象的尷尬情形。正因如此，上述兩個草案沒有進入到一讀程序就被立法動議權主體主動撤回。但尚未解決的問題并未因此喪失其現實意義。隨著社會上大量出現的出售由行政機關收集且包含個人信息的資料庫的現象，社會秩序日益混亂，國家需要運用公權力對此予以干預，但又限于缺乏法律上的支持，因此基于國家管理的需要也成為《個人資料法》的立法基礎之一。

（四）公民權利保護的需要

空前大規模侵犯公民權利的社會現實不僅挑戰了俄羅斯內部人權保護問題，也使俄羅斯在國際上受到巨大的壓力。這促使俄羅斯領導層作出了批準《在自動化處理個人資料時保護自然人公約》的政治決定。根據該公約的規定，國家在批準時應當建立同等的實現該國際文件的原則的國內立法。2005年11月25日，國家杜馬決定批準公約。為履行該公約的承諾，實現對公民權利的有效保護，在該次國會例會上一讀通過了俄羅斯聯邦政府起草的聯邦法律《個人資料法》草案，隨后經過立法程序，俄羅斯于2006年7月底公布了《個人資料法》，為個人資料的保護，維護公民權利提供了法律保障。

三、《個人資料法》內容上的創新

（一）確定俄羅斯聯邦居民個人登記系統應由其他聯邦單行法專門規制

《個人資料法》法律草案第24條中規定建立俄羅斯聯邦居民國家登記。按照國家杜馬安全委員會的意見，這種全球性的個人資料庫的建立原則和程序應當由聯邦單行法規定。俄羅斯聯邦政府計劃起草類似法律，以“提高居民社會保護水平并加強其居民姓名住址”并進行“統一的公民個人社會保險登記”1。草案所規定的建立國家居民登記的目的是極為寬泛的——“為保障包含在信息系統中的個人資料不矛盾”。草案之所以要將此內容納入其中，原因在于俄羅斯政府早有建立俄羅斯聯邦個人登記系統的基本構想。2005年6月9日，俄羅斯聯邦政府第748號令批準了這一構想。根據該構想，俄羅斯聯邦居民個人登記系統是一個基于現代信息技術、依照俄羅斯聯邦立法在保障公民憲法權利并向居民提供服務的國家權力機關、地方自治機關、國家和自治市組織之間相互交換關于俄羅斯聯邦公民、暫時停留和暫時居住或永久居住在俄羅斯聯邦的外國公民或無國籍人（以下簡稱公民）的個人資料的系統。但該規定審議時卻受到廣泛質疑。反對者認為，根據所批準的公約規定的個人資料自動化處理原則，其中就有一項原則是為特定的和合法的目的而收集資料，并禁止以其他方式為與該目的不相容的目的而使用這些資料（公約第5條b款）。在歐洲國家的國內立法中，該原則被體現為直接禁止為不同目的而收集的資料庫合并。因此，對于涉及公民基本權利的個人信息應當單獨規定，以體現與其他資料庫的區別。而 “在統一的信息空間范圍內的一體化自動登記系統”將會產生侵犯自然人的包括隱私權在內的基本權利和自由之虞，這就違背了公約的文義與精神?；谏鲜鲈?，俄羅斯聯邦總統簽署的對該法律草案的意見中認為，建立俄羅斯聯邦居民個人登記系統“明顯需要通過聯邦單行法《俄羅斯聯邦居民個人登記法》”2。最終2006年7月底公布的《個人資料法》第13條第4款規定“為了保障由于處理在國家或自治市個人資料信息系統中的個人資料時個人資料主體權利的實現，可以建立居民國家登記簿，其法律地位和工作程序由聯邦法律規定”。這無疑成為《個人資料法》的一項重要創新。

（二）對基礎性概念作出了明確界定

在該法出臺前，對于什么是個人資料、個人資料的處理、傳播個人資料以及個人資料信息系統等基礎性概念的界定其他法律鮮有涉及，或者即使涉及也顯片面。而《個人資料法》對其作出了較為全面而深刻的歸納。

1. 明確界定了個人資料和對其保護具有重要意義之相關概念

該法將個人資料定義為：“任何屬于特定的或者可以依據此類信息而確定的自然人（個人資料主體）的信息，包括姓、名、父稱、出生年、月、日、住址、家庭狀況、社會狀況、財產狀況、教育程度、職業、收入及其他信息。任何組織并（或）實施個人資料處理，以及確定個人資料處理之目的與內容的國家機關、自治市機關、法人或者自然人，均為處理人?！痹摱x較之先前的法律規定，更為全面而具體，為實現個人資料的有效保護確立了前提。該法將“個人資料的處理”界定為：“包括收集、體系化、積累、保存、更正（更新、修改）、使用、傳播（包括轉遞）、匿名化、封存、銷毀個人資料在內的與個人資料有關的行為（作業）?！?

不僅如此，該法對與個人資料的有效保護密切關聯的概念作出了明確界定。例如特別規定了傳播個人資料、使用個人資料、封存個人資料、銷毀個人資料、匿名化個人資料的含義。根據該法規定，所謂的傳播個人資料，是指“旨在將個人資料轉遞給特定范圍的人（個人資料轉遞）或旨在令不特定范圍的人了解個人資料的行為，包括在大眾信息傳媒上公開個人資料，在電子信息通信網絡中放置或者以任何其他方式提供對個人資料之獲取的行為”；所謂的使用個人資料，是指“由處理人實施的，旨在作出決定或者實施其他的對個人資料主體產生法律效果或任何其他觸及個人資料主體或者其他人的權利與自由的行為有關的個人資料行為（作業）”；所謂的封存個人資料，是指“暫時停止收集、體系化、積累、使用、傳播個人資料，包括轉遞個人資料”；所謂的銷毀個人資料，是指“以無法恢復個人資料信息系統中的個人資料之內容為結果的，或者以銷毀個人資料之物質載體為結果的行為”；所謂的匿名化個人資料，是指“以無法確定個人資料之于具體的個人資料主體的歸屬為結果之行為”。上述規定，有利于規范明確個人資料的保護范圍。

2. 明確界定個人資料信息系統以及與個人資料信息系統利用相關的法律概念

根據該法規定，個人資料信息系統，是指“體現為包含在數據庫中的個人資料之總和，以及可以用于實施使用或不使用自動化設備處理個人資料的信息技術和信息設備”。除此以外，個人資料的保密義務、個人資料的跨境轉遞、公開個人資料等問題與個人資料信息系統的合理使用密切相關，因此該法對上述概念均作出了明確規定。具體表現為：將“個人資料的保密義務”界定為“處理人或其他取得個人資料的人所必須遵守的未經個人資料主體同意或非有其他合法依據存在不允許予以傳播的要求”；將“個人資料的跨境轉遞”界定為“處理人跨越俄羅斯聯邦國邊境向外國國家權力機關、外國自然人或者法人轉遞個人資料”；將“公開個人資料”界定為“經個人資料主體同意向不特定范圍的人提供獲取機會的個人資料，或依照聯邦法律不適用保密義務之要求的個人資料”。

（三）適用范圍較為廣泛但邊界明確

《個人資料法》的適用范圍，較為廣泛，大體可以分為兩類：一是由聯邦國家權力機關、俄羅斯聯邦主體的國家權力機關（以下簡稱“國家機關”）、地方自治機關、不列入地方自治機關的自治市機關（以下簡稱“自治市機關”）、法人、自然人使用自動化設備所實施的與個人資料處理有關的關系；二是由上述主體實施的雖然沒有使用自動化設備，但符合與使用自動化設備所完成的行為（作業）之特征的個人資料處理有關的關系（第1條第1款）。該法以調整第一類關系為主，對第二類關系的情形和內容，則不甚明確，委諸聯邦法律和其他規范性法律文件斟酌《個人資料法》的條款予以規定（第4條第3款）。

但是該法也明確規定了其效力所不適用之關系，共有五項（第1條第2款）：第一，在不侵犯個人資料主體之權利時，自然人專為個人或者家庭需要而實施的個人資料處理；第二，依照俄羅斯聯邦檔案事務立法，組織保存、補充、清點和使用包含有個人資料的俄羅斯聯邦檔案基金的文件和其他檔案文件；第三，依照俄羅斯聯邦立法，處理由于自然人作為個體經營者活動而應當納入國家統一的個人經營者登記簿的自然人信息；第四，依照規定程序，處理構成國家秘密的個人資料；第五，主管機關依照2008年12月22日第262號聯邦法律《保障獲取俄羅斯聯邦法院活動信息法》提供俄羅斯聯邦各級法院活動信息的行為。

（四）規定了個人資料處理機制

該法對個人資料處理作出了規定，主要體現為以下方面：

1. 確定了個人資料處理的原則

該法確定個人資料的處理應當依據下列原則進行：（1）個人資料處理之目的與方法應合法且善意；（2）個人資料處理之目的符合之前所確定的和在收集個人資料時所聲明的目的，以及處理人的權限；（3）所處理個人資料之范圍與特性、個人資料處理之方法，符合個人資料處理的目的；（4）個人資料準確，對處理目的而言為適當，不允許逾越在收集個人資料時所聲明之目的處理個人資料；（5）不得將為不相容之目的而建立個人資料信息系統數據庫合并。個人資料之保存，應當以可得確定個人資料主體之形式進行，且不得逾越其處理目的所要求之期限。在處理目的達成時或者在達成處理目的之必要性喪失時，個人資料應予銷毀（第5條）。

2. 區分了個人資料的處理的不同情形

該法將個人資料的處理分為兩種情形，而有針對性地作出調整規制。

（1）征得個人資料主體同意而進行的個人資料處理。在此情形下，該法尊重當事人的意愿，認為只要不損害國家利益以及公共利益便是有效處置。

（2）無須征得個人資料主體同意而進行的個人資料處理，即依照法律的規定而進行的個人資料處理。其中又包括：第一，依據規定了個人資料處理的目的、取得個人資料的條件和其個人資料應當被處理的主體的范圍，以及處理人的權限之聯邦法律而進行的個人資料處理，包括為執行俄羅斯聯邦關于реадмиссии的國際條約而必須進行的個人資料處理。第二，為執行個人資料主體作為一方當事人的契約而進行的個人資料處理。第三，為統計或其他學術目的在必須遵守將個人資料匿名化的條件下而進行的個人資料處理。第四，在無法取得個人資料主體的同意時，為保護個人資料主體的生命、健康或者其他重大生存利益而必須進行的個人資料處理。第五，郵政組織為遞送郵件、電信業者為與電信服務使用人結算所提供的電信服務費用，以及為處理電信服務使用人的投訴而必須進行的個人資料處理。與此類似的還有依照俄羅斯聯邦住宅法典管理區分所有建筑物的管理團體、住宅所有人協會、住宅合作社、住宅建設合作社或者其他專門合作社，或其他與之簽訂契約直接管理區分所有建筑物的人為與區分所有建筑物的業主、住宅大廈的所有權人、國有或自治市有住宅基金的承租人結算區分所有建筑物、住宅大廈之共用財產的維護和維修，以及公共服務費用而必須進行的個人資料處理。第六，為記者的職業活動或者為學術的、文學的或其他的創作活動在不侵犯個人資料主體的權利和自由的條件下而進行的個人資料處理。第七，對依照聯邦法律應當公布的個人資料的處理，包括擔任國家領導人、國家民事職務的人的個人資料，以及參選國家或自治市領導人的候選人的個人資料（第6條第1～2款）。

個人資料的處理人和可以接近個人資料的第三人應當對此類個人資料承擔保密義務，但在個人資料匿名化和針對可公開獲取的個人資料的情形除外（第7條）

四、俄羅斯個人資料保護制度的立法價值及其借鑒意義

雖然俄羅斯個人資料保護制度隨著《個人資料法》的頒布實施已趨于完善，但是《個人資料法》上述創新是否適合我國立法的借鑒，筆者認為不能一概而論，因為我國國情與較之有巨大差異。因此，為充分挖掘其對我國未來立法的借鑒意義，故應結合我國社會法治環境來認識。

（一）個人資料保護制度的立法價值

1. 建立個人資料之公開獲取途徑

為了信息保障可以建立個人資料的公開獲取途徑（包括手冊、地址簿）。經個人資料主體的書面同意方可將其姓、名、父稱、出生年份及出生地、住址、用戶號碼、職業信息和其他由個人資料主體提供的個人資料納入可公開獲取的個人資料途徑。但是，個人資料主體的信息可以在任何時候按照個人資料主體的要求或者按照法院或其他主管國家機關的要求從可公開獲取的個人資料途徑中刪除（第8條）。

2. 賦予個人資料主體對自己個人資料處理之決定權

個人資料主體依照自己的意愿和為自己的利益作出提供自己個人資料的決定，并同意對自己個人資料的處理。對處理個人資料的同意可以由個人資料主體予以撤銷。只有聯邦法律為保護憲政制度的基礎、道德、他人的健康、權利和合法利益、保障國家防務和國家安全之目的，才可以規定個人資料主體負有提供自己的個人資料的義務（第9條第1～2款）。

證明已經取得個人資料主體對處理其個人資料的同意的義務，以及在處理可公開獲取的個人資料時證明所處理的個人資料為可公開獲取的資料的義務，均由處理人承擔。對為了處理包含在個人資料主體的書面同意中的個人資料而言，不需要額外同意（第9條第3、5款）。對該同意，一般而言并不要求書面形式。只有在聯邦法律規定的情況下，個人資料的處理才必須經個人資料主體書面同意，如處理特種個人資料、生物個人資料，以及向不能保障個人資料主體之權利的國家進行個人資料的跨境轉遞等。該法還規定了兩種必須提供書面同意的情形：一是在個人資料主體沒有行為能力的情況下，處理其個人資料的同意由個人資料主體的法定代理人以書面形式提供；二是在個人資料主體死亡的情況下，處理其個人資料的同意由個人資料主體的繼承人以書面形式提供，但個人資料主體在生前已經提供的除外（第9條第4、6、7款）。

個人資料主體對處理其個人資料的書面同意應當包括：（1）個人資料主體的姓、名、父稱、住址、身份證明文件的編號、頒發日期和頒發機關等信息；（2）獲得個人資料主體之同意的處理人的名稱（姓、名、父稱）和住址；（3）個人資料處理的目的；（4）個人資料主體同意處理的個人資料的清單；（5）同意實施的個人資料行為的清單，對處理人所使用的個人資料處理方式的一般描述；（6）同意的有效期間及其撤銷方式；（7）個人資料主體的親筆簽名。以電子數字簽名形式簽署的電子文件或在聯邦法律或其他依照聯邦法律頒布的規范性法律文件規定的情況下，以其他類似于親筆簽署的同意文件被視為等同于個人資料主體在紙質載體上簽署的書面同意（第9條第4款）。

3. 區分特種個人資料與生物個人資料

在俄羅斯個人資料保護制度上，特種個人資料與生物個人資料是并列的概念。

特種個人資料包括種族、民族、政治觀點、宗教觀念或哲學觀念、健康狀況、性生活、犯罪前科等，原則上不允許予以處理。只有在法律明確規定的情況下，才能予以處理（第10條第1款）。此類情形包括八種：（1）個人資料主體書面同意處理自己的個人資料。（2）個人資料為可公開獲取的個人資料。此種類型包括為執行俄羅斯聯邦關于реадмиссии的國際條約而必須進行的個人資料處理和依照全俄居民重新登記法而進行的個人資料處理。（3）在無法取得個人資料主體的同意時，為保護其生命、健康或者其他重大生存利益或者為保護他人的生命、健康或者其他重大生存利益而必須對屬于個人資料主體的健康狀況的個人資料的處理。（4）為醫學預防目的、為進行醫療診斷、提供醫療服務和醫療社會服務目的，由職業從事醫療活動并依法承擔保守醫生秘密義務的人而進行的個人資料處理。（5）社會團體或宗教組織為實現其設立文件規定的合法目的而對其成員（參加者）的個人資料的處理，但未經個人資料主體的書面同意不得傳播該類個人資料。（6）為進行司法審判所必要的個人資料處理。（7）依照安全立法、偵查-搜查活動立法以及依照刑事執行立法進行的個人資料處理。（8）為強制社會保險目的依照具體類型的強制社會保險聯邦法律進行的個人資料處理（第10條第2款）。對于有關犯罪前科的個人資料的處理，規定了尤其嚴格的保護，只能由國家機關或者自治市機關在法律賦予的權限范圍內進行，其他人只能在聯邦法律規定的情況下且按照聯邦法律規定的方式才能進行對有關犯罪前科的個人資料處理（第10條第3款）。對此類特種個人資料的處理，在引起處理之原因消失時，應立即終止（第10條第4款）。

生物個人資料，是指“體現一個人的生物學特征并可據以確定其身份的信息”。生物個人資料只有在個人資料主體書面同意的情況下才可予以處理（第11條第1款）。法律規定的可以不需要個人資料主體的同意而進行的對生物個人資料的處理的情形，較之于特種個人資料大大減少了，而且僅僅局限于法律明確規定的情形，如為執行俄羅斯聯邦關于реадмиссии的國際條約、為進行司法審判，以及安全立法、偵查-搜查活動立法、國家公務員立法、刑事執行立法、出入境立法規定的情形（第11條第2款）?？梢?，在俄羅斯法上，一個重要的特征就是將生物個人資料排除在特種個人資料之列，而且給予了更加嚴格的保護。

（二）對我國未來立法的借鑒意義

1. 開拓未來立法研究的比較法視野

我國目前尚未專門制定《個人資料法》，但是隨著國家信息化管理進程的推進，我國也同樣面臨這個現實問題，我國學界對此也開始關注。但是，比較法研究的視角尚未涉及俄羅斯。有觀點將世界個人資料保護的模式分為美國模式與德國模式。[4]但是，根據《俄羅斯個人資料法》的上述內容，筆者認為其相對于美國模式或者德國模式，具有自己的特點。雖然，我們不能認為它的規定較之美國模式或者德國模式更加科學，但是它畢竟為我們提供了另外一個視角，為我們未來立法拓寬了視野，有助于我國立法對世界先進立法經驗的借鑒。

2. 應將專門的個人資料保護法與個人信息保護法相區分

我國目前沒有專門的個人資料保護法，但是我國個人資料信息系統正在形成。雖然，我國學界對此有所關注，但主要還是主張通過制定《個人信息保護法》來與之應對。但是，個人資料與個人信息還是有所區別。正因如此，俄羅斯最初是在《信息、信息化和信息保護法》中實現對個人資料的保護，但是還是選擇了制定專門的《個人資料法》加強對其專門性保護。

3. 個人資料保護法應與國際接軌

目前國際上除了俄羅斯以外，德國、英國、美國、瑞典均制定了自己的個人資料保護法。但不統一的國內法并不能為個人資料當事人提供充分保護，為加強網絡環境下個人資料的國際保護，聯合國于1990年通過了《關于自動資料檔案中個人資料的指南》。[5]俄羅斯立法的基礎也是為了與國際社會相融合，因此充分考慮了國際條約的相關規定。我國立法活動也應按照這種模式展開，實現與國際接軌。

參 考 文 獻

[1] М.Н.馬爾琴科：《國家與法的理論》，徐曉晴譯，北京：中國政法大學出版社，2010.

[2] Ю.Г.Просвирнин. Защита персональных данных，?Вестник ВГУ.Серия Право?. №.2.2008.С.174.

[3] В.В.Дятленко， Е.К.Волчинская. Законодательство о защите персональных данных：проблемы и решения，?Информационное право?. №.1（4），2006.

[4] 齊愛民：《美德個人資料保護法之立法比較——兼論我國個人資料保護立法的價值取向和基本立場》，載《甘肅社會科學》2004年第3期.

[5] 侯?。骸堵摵蠂鴮€人資料保護的國際保護——論1990年聯合國〈關于自動資料檔案中個人資料的指南〉》，載《廣西大學學報（哲學社會科學版）》2005年第4期.

[責任編輯 李宏弢]

Exploration into Russian Individual Information

Protection System

TU Yong-song

（School of Civil Law， Southwest University of Political Science and Law， Chongqing 401120， China）

Abstract： “Individual Information Law” has a basic status in protecting individual information in Russia. Compared with former “Russian Federation Constitution”， international treaty involving Russia dealing with protection of privacy， and other legislation of Russia， this law is more systematic and specific in protection of individual information. This law establishes the principle and general condition to deal with individual information and defines relevant basic concepts. It is characterized by its public way to obtain individual information， individual right to deal with ones own information， different way to distinguish and protect special individual information and biological individual information， which is inspiring.

Key words： individual information； privacy； dealing of individual information； individual information protection

1 《俄羅斯聯邦憲法》第23條：“1.人人享有私生活不可侵犯、個人和家庭秘密、保護自己的名譽和好名聲的權利。2.人人享有書信、電話交談、通郵、電報和其他通訊秘密權。對此類權利的限制只有依據法院之判決才得許可?！?/p>

2 《俄羅斯聯邦憲法》第24條：“1.非經同意不允許匯集、保管、使用和傳播個人的私生活信息。2.國家機關和地方自治機關，其負責人有義務保障每個人了解直接涉及其權利和自由的文件和材料的權利，但法律另有規定的除外?！?/p>

3 《俄羅斯聯邦憲法》第25條：“住宅不可侵犯。任何人非在聯邦法律規定的情況下或依據法院判決無權違背居住在其中者的意愿而進入住宅?！?/p>

1 1995年2月20日第24-ФЗ號聯邦法律。

2 СЗ РФ.2006.№31（ч.1）.Ст.3448.

3 該令規定了一個封閉的屬于機密資料的清單?？s小該需要保護的資料的范圍可能被評價為違背憲法，所以它成為保護侵犯隱私的依據。

4 1997年11月15日第143號聯邦法律。

1 2001年12月30日第197號聯邦法律。

1 См：распоряжение Правительства РФ от 14.04.1999 г.№ 583-р.

2 См：Заключение на проект федерального закона №217352-4“о персональных данных” от 11 февраля 2006 г.исх.№ Пр-210.