俄羅斯個人資料法研究

張建文

摘要：俄羅斯個人資料法以在《自動化處理個人資料時保護自然人歐盟公約》為基礎，以保護包括隱私權在內的處理個人資料時人和公民的權利與自由為宗旨，適用于包括非自動化個人資料處理在內的所有個人資料處理。其立法的最鮮明特色在于，以最大篇幅規定了個人資料處理人的義務，以此保障個人資料主體權利的實現，同時，明確規定了俄羅斯公民個人資料必須在俄羅斯境內保存的本地化保存要求，在作為法人的處理人內部設立個人資料專員制度。在國家監督與監察方面，創設了非獨立的行政機關模式的個人資料主體權利保護主管機關，而非追隨歐盟所倡導的獨立的個人資料保護機關模式。

關鍵詞：個人資料；個人資料主體；處理人；個人資料專員；個人資料主體權利保護

中圖分類號：D912.8 文獻標志碼：A 文章編號：1008-5831（2018）02-0132-22

一、俄羅斯個人資料法的立法背景

《俄羅斯聯邦個人資料法》（以下簡稱“個資法”）于2006年7月8日由國家杜馬通過，隨后14日獲聯邦委員會贊同。信息社會的典型特征就是信息、信息獲取權①和對信息保護權的重要性增長②。個人資料保護在俄羅斯法體系中屬于信息法組成部分③。俄羅斯對個人資料的保護以1993年俄羅斯聯邦憲法對個人私生活秘密權的保護（第23條）為憲法基礎④，與以往的蘇聯憲法不同，該憲法明確規定了人、其權利與自由為最高價值[1]，引起了俄羅斯政治生活、國家制度和國家權力組織的深刻變革[2]，維護俄羅斯人民的權利和自由至高無上，成為國家活動的根本，“自由好過不自由”[3]。1993年俄羅斯聯邦憲法、俄羅斯聯邦新民法典（1994—2006年）[4]，以及1992年俄羅斯新司法體系改革被視為轉型時期俄羅斯法律領域中最重大的成就。

1996年2月28日，俄羅斯簽署《歐洲保護人權和基本自由公約》，接受歐洲人權法院的司法管轄，這成為俄羅斯國內立法創制和變革的重要推動力。在這段時期，俄羅斯在立法上選擇了在人權問題上調整國內立法，以符合《歐洲人權公約》規定的標準，全面貫徹人權高于主權原則[5]。在俄羅斯當代法治國家概念中，國際法規范優先于國內法的規范已經成為其重要內容[6]。在美國和俄羅斯，國際條約的效力都高于國內法[7]。實際上在蘇聯解體前，俄羅斯蘇維埃社會主義聯邦（РСФСР）最高蘇維埃在1991年11月22日通過了《人和公民的權利與自由宣言》，其第1條第2款就明確宣布，“公認的有關國際人權的國際規范高于俄羅斯蘇維埃社會主義聯邦共和國的法律，并直接產生俄羅斯蘇維埃社會主義聯邦共和國公民的權利和義務”。

俄羅斯個人資料立法的最直接推動力來自于俄羅斯2001年加入，2005年12月19日批準的《在自動化處理個人數據時保護自然人歐盟公約》。2003年底俄羅斯國家杜馬審議了《個人資料法》草案，2006年7月27日通過并正式公布《個人資料法》。作為跨國信息交換的基本前提和促進電子商務與網絡經濟發展的基本保障，該法對保障俄羅斯與歐盟成員國進行跨國信息交換和促進其電子商務及網絡經濟的發展意義至巨[8]。

技術進步最劇烈地形塑了世界政治地圖，改變了國家的角色。截至2017年9月底，該法迭經19次修改，不少最初的條文被廢止或更替，同時也引入了最為前沿的制度。目前該法共計六章：《一般規定》《個人資料處理的原則和條件》《個人資料主體的權利》《處理人的義務》《對個人數據處理的監督和監察以及違反本聯邦法律的責任》《最終條款》，整部法律共計25條。

在中國，對俄羅斯個人資料立法的研究，要么是不夠完整全面地介紹和分析俄羅斯的個人資料立法，僅抽取其中的部分內容做介紹和分析，要么就是因為俄羅斯個資法立法的修改頻仍，導致所使用的法律文本較為陳舊。

因此，筆者認為有必要以目前最新版本的《個人資料法》為藍本，為國內介紹俄羅斯個人資料立法的基本制度和保護機制，特別是闡明俄羅斯個人資料法的全貌和與歐盟公約相比較而言的重要差異，以期為中國的民法典編纂和個人資料立法創制提供更有效、更全面、更細致的比較法助益。

二、俄羅斯個人資料立法的目的與適用范圍

俄羅斯個人資料立法（Законодательство Российской Федерации в области персональных данных ）的概念要廣于個人資料法的概念。

在立法層級上，個人資料立法以俄羅斯聯邦憲法和俄羅斯聯邦的國際條約為基礎，由個人資料法和規定個人資料處理之情形與特點的其他聯邦法律構成，如《俄羅斯聯邦勞動法典》第85—89條規定由于雇主和具體的勞動者之間的勞動關系而處理個人資料的特點和對勞動者的保護，《國家民事公務法》第22、42、48條規定了由于履行國家民事公務而處理個人資料的特點和對公務員的保護，《自治市公務法》也有類似規定，還有《公民健康保護基礎法》

СЗ РФ.2011.№ 48.ст.6724.在醫療活動中對參與提供醫療服務的人和向其提供醫療服務的人的個人資料的處理等，在俄羅斯聯邦勞動法典（第81、90、192條）、行政違法法典（第13.11、13.12、13.13、13.14條）以及刑法典（第137、140和272條）中規定了違反個人資料處理程序的責任。

國家機關、俄羅斯銀行、地方自治機關在自己的職權范圍內可以依據并為了執行聯邦法律而就涉及個人資料處理的具體問題發布規范性法律文件，但是不得包含限制個人資料主體權利、設立聯邦法律沒有規定的限制處理人活動或者由處理人承擔聯邦法律沒有規定的義務的條款，而且這些規范性法律文件應當公布（第4條的2款）。如2012年11月1日俄羅斯聯邦政府《關于批準在個人資料信息系統中處理個人資料時保護個人資料的要求》的決議，規定了對在個人資料信息系統中處理個人資料時的保護要求和保護等級。這里的個人資料信息系統就是指通過幾乎可以提供無限信息交換與信息發布機會的全球性電子信息通信網絡（Internet）實現個人資料處理的信息系統。

在規范效力上，國際條約的規定優先于聯邦法律適用?！叭绻砹_斯聯邦的國際條約規定了不同于本聯邦法律的規則，則適用國際條約的規則”（第4條第4款）。在該領域中最為重要的法源是2005年12月19日俄羅斯批準的歐盟《在自動化處理個人資料時保護自然人歐盟公約》，但是俄羅斯在加入該公約時做了三項保留：第一，俄羅斯不將公約適用于（1）自然人僅為個人和家庭需要而處理的個人資料。（2）對依照俄羅斯聯邦國家秘密立法規定的程序屬于國家秘密的個人資料的處理。第二，如果公約的適用符合沒有使用自動化設備而實施的個人資料行為的特征，則俄羅斯將公約適用于未經自動化處理的個人資料。第三，俄羅斯為自己保留為保護國家安全和公共秩序目的而對個人資料主體獲取自己個人資料的權利設立限制之權力。這三項保留奠定了俄羅斯個資法與歐盟個人資料保護規范之不同的基礎。2006年2月10日俄羅斯聯邦總統簽署了第54號《關于簽署在自動化處理個人數據時保護自然人歐盟公約涉及監督機關和資料跨境移轉的補充備忘錄》總統令。

該法為俄羅斯在隱私權保護領域的首次專門立法。其第2條明確規定，該法的目的為“保障維護在處理個人資料時人和公民的權利與自由”，包括維護私生活（неприкосновенность частной жизни）、個人和家庭秘密不可侵犯的權利。該條意味著“賦予人以受到國家保障的監督有關自己的信息，阻止披露個人的親密性的信息的權利”。在俄羅斯聯邦民法典現代化過程中專門增加了“保護公民私生活”的第1522條，俄羅斯高度重視保護公民的互聯網隱私[9]，2016年7月俄羅斯還通過了關于被遺忘權的立法[10]。

根據個資法第3條的規定，個人資料（персональные данные）意味著“屬于直接或間接確定或可以確定之自然人的任何信息”[11]，該自然人即為個人資料主體（субъект персональных данных）在中國，有學者提出所謂的“公司等組織的個人信息受法律保護”問題，實在是對個人資料法的立法宗旨和保護對象的本質性誤解。參見：崔建遠《我國<民法總則>的制度創新及歷史意義》（《比較法研究》，2017年第3期第180-192頁）。，個人資料意味著不僅可據以將某人與他人相區分，還可以準確地查明（識別）他?！皞€人資料——這是將個人與社會和所有他的情勢，首先是與每個單獨的個人為自己所選擇的情勢相連結的線”。根據權威法律辭典的列舉，個人資料包括：姓、名、父稱，出生年月日，出生地，住址，家庭、社會和財產狀況，教育，職業，收入和其他信息。

個人資料的處理，是指“使用自動化設備或者不使用此類設備而進行的任何個人資料行為（作業）或者行為（作業）之總和”，此類行為包括“收集、記錄、體系化、積累、保存、更正（更新、更改）、抽取、使用、移轉（傳播、提供、獲?。?、匿名化、封存、刪除、銷毀個人資料”。較之于俄羅斯聯邦民法典所規定的“未經公民同意不得收集、保存、傳播和使用任何關于其私生活的信息”的范圍，大大地擴展了個人資料所保護的范圍。所謂的“自動化處理個人資料”是指“借助于計算機技術進行的個人資料處理”；傳播個人資料是指“旨在向不特定的人群披露個人資料的行為”，提供個人資料是指“旨在向特定的個人或者特定的人群披露個人資料的行為”，而移轉個人資料的行為還包括跨境移轉個人資料，即“向外國境內的外國國家權力機關、外國自然人或者外國法人移轉個人資料”；封存是指“暫時停止處理個人資料”；銷毀是指“其結果為導致不可能恢復個人資料信息系統中個人資料之內容的行為，以及（或）其結果為銷毀個人資料之材料載體的行為”；匿名化是指“其結果為非使用補充信息而不可能確定個人資料之于具體個人資料主體之歸屬的行為”。處理人包括兩類：一是“獨立或與他人共同組織和（或）實施個人資料處理的國家機關、自治市機關、法人和自然人”；另一類是雖然不直接組織也不直接處理個人資料，但“可以決定個人資料處理之目的、應當處理之個人資料的構成，以及對個人資料之行為（作業）”的國家機關、自治市機關、法人和自然人。

根據俄羅斯個資法第1條第1款的規定，俄羅斯個資法適用范圍較廣，既適用于國家機關（聯邦國家權力機關、俄羅斯聯邦主體的國家權力機關，以及其他國家機關）和自治市機關（地方自治機關和其他自治市機關）所進行的個人資料處理，也適用于法人和自然人進行的個人資料處理；既適用于使用自動化設備的個人資料處理，也適用于不使用自動化設備的個人資料處理，只要該不使用自動化設備的個人資料處理符合使用自動化設備的個人資料行為（作業）的特點，也就是“允許依照給定的算法查詢固定在物質載體上和包含在卡片文件中或其他體系化的個人資料匯編中的個人資料，并（或）獲取此類個人資料”，這一點構成了個人資料處理行為的本質性特點；既適用于在電子通訊信息網絡中的個人數據處理，也適用于非在電子通訊信息網絡中的個人數據處理。

同時，該法明確規定不適用以下三種情形：（1）自然人專為個人和家庭需要進行的個人資料處理，在此情況下不得侵犯個人資料主體的權利；（2）依照俄羅斯聯邦檔案事務立法組織保存、募集（комплектования）、點核和使用包含個人資料的俄羅斯聯邦檔案基金文件及其他檔案文件；（3）依照規定程序處理屬于構成國家秘密之個人資料。較之之前的五種情形已經大為減少了不適用個人資料法保護的例外情形[12]，有利于保護個人資料主體的權利和合法利益。三種例外情形有兩種，即第一種和第三種就是直接來源于俄羅斯加入歐盟公約時所作的保留。構成國家秘密的信息清單由聯邦法律規定，任何人無權任意決定某項信息的保密性質并以此限制憲法自由。值得注意的是，對于提供、傳播、移轉和取得包含個人資料的俄羅斯聯邦法院之活動信息，管理和使用為創建獲取上述信息之條件的信息系統和電子通訊信息網絡等不屬于個人資料法之效力范圍，由專門的聯邦法律《保障獲取俄羅斯聯邦法院活動信息法》規定。

可以說，在個人資料的規制范圍上，俄羅斯個資法的適用范圍較歐盟廣泛，且更符合當今個人資料法發展的趨勢，即將公共機關進行的個人資料處理與私營部門以及個人進行的個人資料處理均納入立法的效力范圍之內。

三、俄羅斯法上個人資料處理的原則、條件與分類

（一）個人資料處理的原則

根據俄羅斯個資法第5條規定，個人資料處理有七項原則。

第一，合法與公平原則，即“個人資料處理應當在合法和公平的基礎上進行”。

第二，目的限制原則，即“個人資料處理應當僅限于為達致具體的事先確定的合法目的。不允許與個人資料收集目的不相容的個人資料處理”。也就是說，個人資料的處理目的必須具備具體性、事先確定性和合法性三項特征，同時，禁止違背個人資料收集目的的個人資料處理行為。

第三，禁止數據庫混合原則，也就是“不允許將包含個人資料的為相互不相容目的而進行個人資料處理的數據庫混合”。

第四，只能處理符合處理目的之數據原則，即“只有符合處理目的的個人資料才應當被處理”。

第五，內容和范圍限制原則，也就是“所處理的個人資料的內容和范圍應當符合所提出的處理目的。所處理的個人資料相對于所提出的處理目的不應當為多余的”。

第六，資料質素原則，即“在處理個人資料時應當保障個人資料的準確性、完整性，而在必要的情況下還應當保障對個人資料處理目的而言的時效性。處理人應當采取必要措施保障對不完整或不準確的資料進行刪除或者更正”，意味著要求個人資料要具備準確性和完整性兩個一般要求，在特定情況下，還要具備個人資料的時效性的特殊要求。這一點對刪除權的存在和行使具有極為重要的意義，而且在這里不是規定個人資料主體的權利，而是規定處理人的基本義務。

第七，禁止永久保存原則，即“個人資料的保存應當以可以確定個人資料主體的形式進行，不得超過個人資料處理目的所要求的時限，但聯邦法律、個人資料主體作為合同受益人或者保證人的合同有不同規定的除外。所處理的個人資料在處理目的達成或者在達成此類目的之必要性喪失時，應當刪除或匿名化，但聯邦法律有不同規定的除外”。一方面是關于保存時限的一般性規定，即不得超過個人資料處理目的所要求的期限，在這方面允許當事人可以合同規定不同期限；另一方面是在目的達成或者目的達成必要性喪失時的強制性刪除或者匿名化要求，只有聯邦法律（排除俄羅斯聯邦主體的立法）才可規定例外。

（二）個人資料處理的條件

個人資料處理的條件，是指在遵守前述規定的原則和規則的前提下在哪些情況下允許對個人資料進行處理。俄羅斯個資法第6條第1款規定了12種情形：（1）經個人資料主體同意而進行的個人資料的處理；（2）為達致俄羅斯聯邦國際條約或法律規定的目的，為履行和完成俄羅斯聯邦立法賦予處理人的職能、權限和義務所必要的個人資料的處理；（3）由于個人參加憲法訴訟、民事訴訟、行政訴訟、刑事訴訟、仲裁訴訟而進行的個人資料的處理；（4）為履行司法文書所必要的個人資料的處理，即為履行司法文書、其他機關或負責人的依照俄羅斯聯邦強制執行立法應當履行的文書而進行的個人資料的處理；（5）為履行聯邦執行權力機關、國家非預算基金機關、俄羅斯聯邦主體執行權力機關、地方自治機關的權限，以及參與提供相應國家服務和自治市服務的組織的職能所必要的個人資料的處理；（6）為履行個人資料主體作為受益人或保證人的合同，為締結按照個人資料主體提議的合同或個人資料主體將作為受益人或保證人的合同所必要的個人資料的處理；（7）如果不可能取得個人資料主體的同意，為保護其生命、健康或其他重大生存利益（иные жизненно важные интересы）所必要的個人資料的處理；（8）為處理人或第三人行使權利和合法利益，以及為達致重大社會目的所必要的個人資料的處理，其條件是在此情況下不得侵犯個人資料主體的權利和自由；（9）為記者從事職業活動和（或）大眾信息傳媒從事合法活動，以及為科學、文學或創作活動所必要的個人資料的處理，其條件是在此情況下不得侵犯個人資料主體的權利和合法利益；（10）為統計或其他研究性目的進行的個人資料的處理，其條件是必須將個人資料做匿名化處理；（11）對個人資料主體提供或按照其要求提供給不限定范圍的人獲取的個人資料（也就是個人資料主體使之成為可以公開獲取的個人資料）的處理；（12）對依照聯邦法律應當公布或強制披露的個人資料的處理。

在個人資料處理問題上，還有一些特別的要求，如對國家保護對象及其家庭成員的個人資料的處理要考慮相應特別立法的規定，對特種個人資料和生物個人資料規定了專門條款。

處理人除了親自處理個人資料外，在聯邦法律沒有不同規定的情況下，還允許經個人資料主體同意依據與他人締結的合同委托他人處理，包括國家訂貨契約或自治市訂貨契約，以及通過國家機關或自治市機關作出相應的文件而委托他人處理。依照處理人的委托從事個人資料處理的人，有義務遵循個資法規定的個人資料處理原則和規則。在處理人的委托中應當規定由實施個人資料處理的人實施的個人資料行為（業務）清單和處理目的，應當規定該人對個人資料保密的義務并保障個人資料在處理中的安全，還應當指明保護所處理的個人資料的要求（第6條第3款）。依據處理人的委托從事個人資料處理的人沒有義務取得個人資料主體對處理其個人資料的同意（第6條第4款）。在處理人和受處理人委托處理個人資料的人之間，“處理人對該人的行為向個人資料主體承擔責任。受處理人委托實施個人資料處理的人向處理人承擔責任”（第6條第5款），也就是說，受委托人僅向委托人承擔責任，而處理人（委托人）向個人資料主體承擔責任，而受委托人不對個人資料主體直接承擔責任。

（三）個人資料處理的分類

在俄羅斯法上，限制獲取的信息作為一項法律制度，涵蓋了包括但不限于個人資料在內的多項信息制度，如國家秘密、職務秘密、職業秘密、商業秘密、發明的實質性信息等。

俄羅斯個資法對個人資料的分類包括四類：公眾可獲取的個人資料（公開個人資料）、普通個人資料、特種個人資料和生物個人資料。實際上根據是否限制對資料的獲取，只能分為兩種：公開資料和限制獲取的資料，但是為了對存在特定風險的個人資料的處理更為嚴格和審慎，盡可能地為個人敏感資料創造安全的環境，俄羅斯個資法將特種個人資料和生物個人資料單獨作為獨立的個人資料類型予以更加嚴格的法律調整。無論是哪種個人資料，在個人資料法上，處理人和其他取得對個人資料之獲取的人原則上都負有保密義務，有義務不得向第三人披露，也不得未經個人資料主體同意而傳播個人資料，除非聯邦法律有不同規定（第7條）。

1.公眾可獲取的個人資料（公開個人資料）

公開個人資料（открытая информация），也被稱為公眾可獲取的個人資料（Общедоступные источники персональных данных），指為了保障信息目的而建立的公眾可獲取的個人資料來源，包括指南、地址簿、傳記、書目、電話簿、私人廣告等。這是信息法上的新制度，是為了保障信息、保障的目的而建立的制度?？梢约{入公眾可獲取的個人資料來源的個人資料須經個人資料主體書面同意，通常包括其姓、名、父稱，出生年份和地點，地址，用戶號碼，職業信息以及其他由個人資料主體提供的個人資料。該制度的特點在于，個人資料主體的信息應當在任何時候都按照個人資料主體的要求以及法院判決或其他主管國家機關的決定而從公眾可獲取的個人資料來源中刪除。

2.普通個人資料

普通個人資料，實際上并沒有明確列舉，也沒有明確的概念。但是從俄羅斯個資法第8—11條可以看出，在公開個人資料、特種個人資料，以及生物個人資料之外的個人資料，就是所謂的普通個人資料，因為在針對這三種有特別制度規定的個人資料之外，還規定了一般性的對個人資料處理的同意原則，而對特種個人資料和生物個人資料在此基礎上提出了更加嚴厲的要求。

對普通個人資料的處理來說，較為重要的問題是關于個人資料主體對處理其個人資料的同意。

個人資料主體在同意提供和撤回問題上享有完全的自由?！皞€人資料主體自由地以自己的意愿為自己的利益做出提供個人資料的決定和給予處理其個人資料的同意。處理個人資料的同意應當是具體、知情和自覺的”（第9條第1款）。處理個人資料的同意可以由個人資料主體或其代理人以任何可以證明取得同意之事實的形式提供，在從個人資料主體代理人處取得處理個人資料之同意時，該代理人以個人資料主體的名義給予同意的權限由處理人審查。個人資料處理的同意可以由個人資料主體撤回。在撤回的情況下，處理人不得繼續處理，但在存在該法第6條第1款第2—11項以及第10條第2款和第11條第2款時，允許無須個人資料主體的同意繼續處理個人資料，且可以從非為個人資料主體的人取得個人資料（第9條第3、8款）（參看前文部分和下文部分）。處理人承擔對取得個人資料主體的同意和存在無須個人資料主體同意而處理其個人資料的理由的證明義務（第9條第2—3款）。

對于個人資料主體的同意有形式和內容上的要求。在聯邦法律規定的情況下，個人資料處理須經個人資料主體書面同意。在這里，依照聯邦電子簽名法簽署的電子文件形式的同意，等同于包含個人資料主體親筆簽名的在紙質載體上的書面同意。書面同意應當包括以下內容：（1）個人資料主體的姓、名、父稱，地址，基本身份證明文件的編號、簽發日期和簽發機關信息；（2）（在從個人資料主體代理人取得同意的情況下）個人資料主體代理人的姓、名、父稱，地址，基本身份證明文件的編號、簽發日期和簽發機關信息，授權委托書或其他證明其代理人權限的必備條件；（3）取得個人資料主體同意的處理人的名稱或姓、名、父稱及地址；（4）個人資料處理的目的；（5）個人資料主體同意處理的個人資料清單；（6）如果處理是委托給他人的，依照處理人委托實施個人資料處理的人的名稱或者姓、名、父稱及地址；（7）同意實施的個人資料行為的清單，對處理人所使用的個人資料處理方式的一般描述；（8）個人資料主體同意的有效期限及撤回的方式；（9）個人資料主體簽名（第9條第4款）。

在個人資料主體無行為能力時，處理其個人資料的同意由其法定代理人提供；在個人資料主體死亡時，處理其個人資料的同意由其繼承人提供，但該同意已經由個人資料主體生前提供的除外（第9條第6—7款）。

3.特種個人資料

特種個人資料制度的目的主要是加強對特種個人資料（Специальные категории персональных данных）的保護和明確允許處理特種個人資料的情形。

俄羅斯個資法將特種個人資料列入原則上禁止處理的范疇，僅在例外的情況下才允許處理。此類特種個人資料包括涉及種族歸屬、民族歸屬、政治觀點、宗教或哲學信念、健康狀況、性生活的個人資料（第10條第1款），以及犯罪前科（同條第3款）。而且，在法律允許處理的例外情況下進行的特種個人資料處理，在導致其進行處理的原因消除后應當立即終止，但聯邦法律有不同規定的除外（第10條第4款）。

允許處理的例外情況包括：（1）個人資料主體書面同意處理自己的個人資料；（2）個人資料主體使個人資料成為公眾可獲取資料，其分為由于履行有關遣返的俄羅斯聯邦國際條約所必要的個人資料處理，以及依照俄羅斯聯邦國家社會救助立法、勞動立法和退休立法進行的個人資料處理三個方面；（3）為了保護個人資料主體的生命、健康或其他重大生存利益，以及他人的生命、健康或其他重大生存利益，且不可能取得個人資料主體的同意；（4）出于醫學預防目的，為進行醫療診斷、提供醫療和醫療社會服務進行的個人資料處理，其條件是個人資料處理是由職業性從事醫療活動的人并依照俄羅斯聯邦立法負有保守醫生秘密的人進行；（5）由相應依據俄羅斯聯邦立法進行活動的社會團體或者宗教組織為了達致其設立文件規定的合法目的而對社會團體或者宗教組織成員個人資料的處理，其條件是個人資料未經個人資料主體書面同意不得傳播；（6）為設立或者行使個人資料主體或第三人的權利所必要的個人資料處理，由于進行司法審判而進行的個人資料處理亦同；（7）依照俄羅斯聯邦國防、安全、反恐、交通安全、反腐敗、業務搜索活動、強制執行、刑事強制執行立法而進行的個人資料處理，包含由檢察機關為進行監察監督而對在俄羅斯聯邦立法規定的情形下取得個人資料的處理；（8）依照強制保險立法和保險立法而進行的個人資料處理；（9）在俄羅斯聯邦立法規定的情況下由國家機關、自治市機關或組織為安置無父母監護兒童在寄養家庭的教養而進行的個人資料處理；（10）依照俄羅斯聯邦國籍法而進行的個人資料處理（第10條第2款）。值得注意的是，對于犯罪前科的個人資料的處理可以由國家機關或自治市機關在依照俄羅斯聯邦立法賦予的權限范圍內處理，以及由他人在聯邦法律規定的情形下并依照其規定的程序處理（第10條第3款）。

4.生物個人資料

所謂生物個人資料（Биометрические персональные данные），是指“可以據以查明人的身份的表征人的身體特征和生物特征”。在生物個人資料被處理人用以查明個人資料主體的身份時，僅可在存在個人資料主體書面同意時方可處理（第11條第1款）。例外的允許無須個人資料主體同意而進行生物個人資料處理的情形為：由于履行關于遣返的俄羅斯聯邦國際條約，由于進行司法審判和執行司法文書，以及在俄羅斯聯邦國防、安全、反恐、交通安全、反腐敗、業務搜索活動、國家公務、刑事執行、出入境程序、國籍立法規定的情形（第11條第2款）。

（四）個人資料的跨境移轉

個人資料的跨境移轉是個人資料處理行為之一種，由于其涉及個人資料主體權利國際保護問題，因此成為個人資料法關注的基本問題。

俄羅斯個人資料跨境移轉制度，與歐盟關于在自動化處理個人資料時保護自然人的公約相銜接，區分轉入國是否為歐盟公約成員國，是否能夠保障有效保護個人資料主體權利的標準，建立了一個由作為歐盟公約當事國的外國國家、能夠有效保障個人資料主體權利的外國國家和不能有效保障個人資料主體權利的外國國家構成的不同層級的跨境保護機制。

原則上在作為歐盟公約成員國的外國國家境內以及在能夠保障有效保護個人資料主體權利的外國國家境內，可以依照俄羅斯個資法進行個人資料跨境移轉，但是該移轉可以為了保護俄羅斯聯邦憲政制度基礎、道德、公民的健康、權利和合法利益，保障國家防務和國家安全而予以禁止或者限制（第12條第1款）。

個人資料主體權利主管保護機關負責批準不是歐盟公約成員國，但能夠有效保障個人資料主體權利的外國國家名單。其標準為雖然該國不是歐盟公約成員國，但是在該國有有效的法規范和所適用的個人資料安全措施符合前述公約的規定（第12條第2款）?？梢娫谶@里所采取的標準是以歐盟公約的保護水平和規則作為實質性標準。而且，處理人在開始實施個人資料跨境移轉之前有義務確保個人資料移入國能有效保障個人資料主體權利的保護（同條第3款）。

對于不能有效保障對個人資料主體權利保護的外國國家，僅在以下五種情形下才允許進行個人資料的跨境轉入：（1）存在個人資料主體對其個人資料跨境轉移的書面同意；（2）俄羅斯聯邦國際條約規定的情形；（3）聯邦法律規定的為保護俄羅斯聯邦憲政制度基礎，保障國家防務和國家安全，以及保障交通綜合體的穩定和完全運行，保護個人、社會和國家在交通綜合體免受非法干涉領域內的利益的情形；（4）履行個人資料主體作為當事人的合同；（5）在無法取得個人資料主體書面同意時保護個人資料主體或他人的生命、健康、其他重大生存利益（第12條第4款）。

四、個人資料主體的權利

俄羅斯學者認為，非物質利益主觀民事權利的內容通常有三種：請求權、積極行動權和訴權。積極行動權可能由多個權限構成。個人資料主體的權利在中國，有學者認為，《民法總則》第111條“個人信息受法律保護”的規定并未確認個人信息權，只是從信息安全的角度規定了主體外的其他人的義務。參見：郭明瑞《關于人格權立法的思考》（《甘肅政法學院學報》，2017年第4期第1-7頁）。是一個由多項權利構成的權利束。主要包括四種：一是獲取其個人資料的權利；二是在為推銷市場上的商品、工作和服務，以及為進行政治鼓動時的權利；三是在僅依據自動化個人數據處理做出決定時的權利；四是對處理人作為或者不作為的申訴權利。

（一）個人資料主體獲取其個人資料的權利

1.個人資料主體取得涉及其個人資料處理的信息的權利

個人資料主體有權獲取以下信息：（1）確認處理人處理其個人資料的事實；（2）處理個人資料的法律依據和目的；（3）個人資料處理的目的和處理人所使用的方式；（4）處理人的名稱和所在地，可能依據與處理人之間的合同或依據聯邦法律獲取個人資料或向其披露個人資料的人（處理人的工作人員除外）的信息；（5）被處理的屬于個人資料主體的個人資料，取得的來源，但聯邦法律規定了提供這些資料的其他程序的除外；（6）個人資料處理的期限，包括保存期限；（7）個人資料主體行使聯邦法律規定權利的程序；（8）已經實施或預定的跨境資料移轉的信息；（9）如果處理是委托或將委托某人的話，受處理人委托實施個人資料處理的人的名稱或姓、名、父稱和地址；（10）本聯邦法律或者其他聯邦法律規定的其他資料（第14條第1、7款）。

對前述資料的形式、內容和提供方式，俄羅斯個資法也有具體的規定。該類資料“應當以可獲取的方式由處理人提供給個人資料主體，而且其中不得包含屬于他人的個人資料，但對披露該類個人資料有合法利益存在的情形除外（第14條第2款）”。該類資料“在個人資料主體或其代理人來訪或收到其來函時提供給個人資料主體或其代理人”，來函應當包括證明個人資料主體或其代理人身份的基本證明文件，文件簽發日期和簽發機關的信息，證明個人資料主體參加與處理人之間關系的信息（合同編號、合同締結日期、有條件的口頭名稱和（或）其他信息），以及以其他方式證明處理人處理個人資料的事實的信息，個人資料主體或其代理人的簽名。函件可以電子文件形式提交并經依照俄羅斯聯邦立法的電子簽名簽署（第14條第3款）。

獲取前述資料的權利可以再次行使。在前述信息以及所處理的個人資料已經按其來函提供個人資料主體了解的情況下，個人資料主體有權在不早于第一次到訪或發出第一次函件之后30日內再次造訪處理人或向其發出第二次函件以取得前述信息和了解此類個人資料，但依照聯邦法律、規范性法律文件或個人資料主體作為其受益人或保證人的合同規定了更短期限的除外。由于處理初次來訪而沒有提供完整的此類信息和（或）所處理的個人資料，個人資料主體有權在前述期限屆滿之前再次造訪處理人或向其發送第二次函件以便獲取前述信息以及了解所處理的個人資料。第二次去函除了包含前述規定的信息之外還應當說明再次來函的理由（第14條第4—5款）。處理人有權拒絕履行不符合規定條件的第二次來函。該拒絕應當敘明理由。處理人承擔證明其拒絕履行第二次來函之合理性的義務（第14條第6款）。