2023年11月17日
来源:中国国际贸易促进委员会北京市分会
摘要:2023年中国汽车的海外车主用户数量急剧增长,尤其是在俄罗斯,中国制造的汽车越来越受欢迎,欧美和日本品牌车以及其售后服务从俄罗斯撤离的背景下,据俄罗斯卫星通讯社报道,中国制造的汽车在俄罗斯市场上的占比已超过40%,2023年9月俄罗斯总共进口了80781辆新轿车,当中有86.1%来自中国。随着车载摄像头和传感器被大量运用到现代汽车中,车周信息和个人信息无时无刻都在被收集和被监测,汽车越来越智能化的同时,也存在信息安全和数据合规问题甚至可能危害国家安全。俄罗斯出于安全考虑不仅要求数据“本地化存储”,而且在2023年个人数据保护立法的修正案中,给企业增加了一些新的合规责任,遵守这些新的义务对保持俄罗斯业务的可持续性运营至关重要,建议中国汽车企业高度重视和提前进行数据合规设计。
关键词:俄罗斯、中国汽车企业、数据合规、个人信息保护、 数据跨境
2023年3月1日起俄罗斯联邦个人数据保护领域的立法已发生重大变化。这些变化将影响到所有处理俄罗斯个人数据的主体,包括进入俄罗斯市场的中国企业,修正案要求数据处理者跟上所有变化,因为无知并不能免除企业责任,而不履行法律法规的强制性要求则会受到相应的惩罚。准备进入或者已经进入俄罗斯市场的中国企业,应及时制定和发布公司数据合规制度,包括个人数据保护的组织和技术措施、销毁个人数据的规则、评估对个人数据主体造成损害的规则、个人数据泄露事件的上报规则以及应急流程等;定期分析个人数据处理的流程,以确保变更内容的及时更新与数据处理者登记册保持一致。笔者将基于《俄罗斯联邦个人数据法》修正案(以下简称“修正案”)内容以及多年数据合规实践经验,以中国汽车企业为例,对处理个人数据的处理者给出相应的建议。
修正案的数据合规新要求:
1.涉及个人数据处理变更和个人信息出境需按照新的要求和程序发送通知
根据《俄罗斯联邦个人数据法》新修订内容,个人数据处理者必须在下一个月的15日之前,将当月有关个人数据处理的任何变更通知俄罗斯联邦通信、信息技术和大众传媒监督局Роскомнадзор(以下简称“俄罗斯通信监督局”),所有变更均需提交通知。根据变更前的规定,需不迟于变更之日起10个工作日以告知函的形式发出上述通知。请注意,如果个人数据处理的负责人并未就相关变更发出通知,则根据《俄罗斯联邦行政违法法典》第19.7条,企业可能会被追究行政责任,并被处以5000卢布以下的罚款。
从2023年3月1日起,数据处理者必须向俄罗斯通信监督局报告跨境个人数据传输。俄联邦通信监督局在报告中已批准了涵盖89个国家的名单(国家名单详见注释),如果国家不在名单上,就必须获得个人数据跨境传输的许可,当这个国家在该名单上,企业仅需要通知俄联邦通信监督局(通知链接详见注释)。
2.将个人数据销毁相关的证据保存3年的义务
《个人数据销毁规则》由联邦通信、信息技术和大众传媒监督局2022年10月28日第179号命令批准,现已生效有效期将持续至2029年3月1日。在修正案生效之前,数据处理者可自行决定个人数据销毁事实的记录程序。中国企业需注意,自2023年3月1日起,如处理俄罗斯联邦的个人数据,在销毁个人数据时,必须准备一份个人数据销毁规则的特殊文件,修正案生效之前俄罗斯联邦监管机构是建议这样做,现在是必须制定此类文件,而且应当符合监管机构的合规要求,无论包含个人数据的载体是纸质的有形载体还是存储于信息系统中的个人数据。个人数据销毁文件中应当包括销毁数据类别清单、数据载体的名称和数量、销毁的方法和原因。如销毁处理是通过自动化手段进行的,则需提供个人数据销毁的信息系统日志。
《俄罗斯联邦个人数据法》下的销毁个人数据是指在销毁后无法恢复个人数据内容的行为。例如,粉碎个人数据的材料(比如纸张)载体。数据处理者需要销毁个人数据的场景如下:
●数据主体撤回对数据处理的同意;
●个人数据的处理目的已达到或不再需要达到处理的目的;
●个人数据处理不合法(例如,俄罗斯联邦禁止将个人数据跨境传输给外国人);
●在收到数据主体要求销毁其非法获取、不完整、不准确、过时或非处理目的所必需的数据时。
中国汽车企业应正确执行个人数据销毁行为并保存相关的记录,一方面保护数据主体权利,另一方面是企业证明自己履行了合规义务的重要内容,如遇到监管机构问询或数据主体起诉时可以有效保护企业的合法权益。如未按照上述要求执行的企业,根据《俄罗斯联邦行政违法法典》第13.11条第5部分,公司可能要承担行政责任,并且对此类违法行为的罚款最高可达9万卢布。
3.正确报告个人数据泄露事件
关于个人数据泄露事件登记程序经2022年11月14日俄联邦通信监督局第187号命令批准正式生效。个人数据泄露事件包括导致非法提供、分发、访问等转移个人数据的任何事实,个人数据处理者有义务将侵犯数据主体权利的事实通知俄联邦通信监督局。
通知有两种类型:主要通知需在24小时内提供、补充通知需在72小时内提供。主要通知应包含有关个人数据泄露事件可能的原因、可能对数据主体造成的损害以及补救措施。补充通知应包含有关个人数据泄露事件的内部调查结果,如果在调查期间确定了个人数据泄露事件的责任人,则应说明责任人。如俄联邦通信监督局认为数据处理者提供的信息不充分或不可靠,则有权要求其提供补充信息,数据处理者应当在3天内提供俄联邦通信监督局要求的信息。
4.损害评估新规则
《因违反《俄罗斯联邦个人数据法》对数据主体可能造成的损害进行评估的规定》,俄联邦通信监督局已于2022年10月27日第178号命令批准生效,有效期至2029年3月1日。该规定明确要求,必须由个人数据处理负责人或者个人数据处理委员会对可能造成的损害进行评估。
对数据主体造成的危害程度分为三级:高、中、低,确定危害程度需综合评估以下因素:
●处理未成年人的个人数据;
●在网站上传播个人数据;
●物识别数据或特殊类别的个人数据(如国籍、种族、宗教信仰等);
●个人数据的匿名化,包括提供专门的匿名化服务;
●委托外国人处理个人数据或使用位于俄罗斯境外的数据库收集数据;
●利用自身的个人数据库,通过与消费者的联系促销商品和服务;
●通过官方网站上的功能获得对个人数据处理的同意,而不涉及对数据主体的进一步识别和(或)认证;
●其他因素。
损害评估结果应记录在报告中,如果损害评估显示可能对数据主体造成不同程度的危害,则应适用损害程度较高的评估结果。俄罗斯联邦法律并未规定不执行损害评估的罚则,但如果在俄罗斯联邦监管机构的检查中发现违规行为,则必须予以纠正。
俄罗斯与汽车数据合规相关的法律法规
俄罗斯联邦是《有关个人数据自动化处理之个人保护斯特拉斯堡公约》成员国,有关个人数据保护的国内法律法规主要体现在:
✔1993年7⽉21⽇出台的《俄罗斯联邦国家秘密法》是保护国家秘密数据安全的基本法。1995年公布第一个国家秘密信息清单。 随后俄罗斯联邦陆续制定了涉及国家秘密信息的操作流程和实施细则,进一步明确定密责任人的职责权限、资格条件、指定程序及管理培训制度以及向提供涉密服务机构颁布许可证等相关条例。
✔2006年7月27日第152号联邦法律《俄罗斯联邦个人数据法》(以下简称《个人数据法》)是俄罗斯联邦在个人信息保护领域最重要的法律。该法自颁布之后经过了多次修改,保护个人数据的力度不断增强。2022年7月14日俄罗斯总统普金签发俄罗斯第152号联邦法律修正案,更新为第266号联邦法律,修正的内容大部分从2022年9月1日开始生效,其他部分自2023年3月1日开始生效。
✔2006年3月13日第38号联邦法律《俄罗斯联邦广告法》发布,其修正案于2022年9月1日正式生效,任何通过电子通讯网络,包括电话、传真和移动电话通讯进行的广告发布,只有在用户明确同意接收广告的情况下才可发送。明令禁止使用自动拨号或自动邮寄设施进行营销。
✔1995年2月20日颁布《俄罗斯联邦信息、信息化与信息保护法》。2014年5月7日,俄罗斯发布联邦第97号法令《俄罗斯联邦<信息、信息化与信息保护法>修正案及个别互联网信息交流规范的修正案》对《信息、信息化与信息保护法》进行了修改。
✔2019年5月1日“主权互联网法案”第90号联邦法案对俄罗斯联邦《通信法》和《信息、信息化与信息保护法》进行修订,强调紧急情况下网络系统能够安全、稳定、可持续运行。
✔《俄罗斯联邦民法典》 因违反个人数据处理规则而给个人造成损失,应当承担赔偿责任。
✔《俄罗斯联邦刑法典》未经本人同意,非法收集或传播构成其个人或家庭秘密的私人生活等信息,可能面临高额罚款甚至监禁。
✔《俄罗斯联邦行政违法法典》在法律未规定的情况下处理个人数据,或处理个人数据时与收集的目的不符等情况,可能面临行政处罚。
✔《俄罗斯联邦劳动法典》雇员的个人资料应当得到足够的保护。
✔2017年7月28日第1632号俄罗斯联邦政府行政命令通过《俄罗斯联邦数字经济纲要》明确将人工智能作为端到端数字技术的一项被纳入到纲要框架下。
俄罗斯数据合规工作重点
1、数据本地化存储
俄罗斯联邦为了维护国家数据主权和国家安全,确立了数据本地化存储的基本规则。俄罗斯联邦公民个人信息和数据库需要存放在俄罗斯境内,车联网平台如涉及俄罗斯公民个人数据的处理活动必须使用位于俄罗斯境内的数据库。2019年《行政违法法典》修改后,对于违反“数据存储本地化”的行为可处以行政罚款,即车联网业务场景下如涉及对俄罗斯公民的个人信息进行搜集、记录、整理、保存、更改(更新、变动)和提取时,信息处理者应当使用位于俄罗斯境内的数据库,否则将面临罚款。
2、个人数据跨境转移
俄罗斯个人数据跨境转移的新要求从2023年3月1日起生效,处理者跨境转移个人数据时将引入强制性通知程序。该通知程序是法定额外要求,不免除个人数据处理者根据俄罗斯联邦《个人数据法》第二十二条,车联网平台应当向监管机构提交关于开始处理个人数据的通知。如果车联网平台业务涉及到将俄罗斯公民的个人数据转移到俄罗斯以外,则除了重点关注俄罗斯关于本地存储的要求外,还应当向俄罗斯联邦通信、信息技术和大众传媒监督局(以下简称“俄罗斯通信监督局”)发送单独的通知,该监管机构即保护用户权利的主管机构将决定是否允许或者禁止个人数据出境。
如汽车企业的车联网平台涉及到将俄罗斯公民的个人数据转移到俄罗斯以外, 在向俄罗斯通信监督局提交个人数据跨境转移的通知之前,作为数据处理者应从计划进行个人数据跨境转移的外国当局、外国自然人、外国法律实体那里获得以下信息:
(1)关于外国当局、外国自然人、外国法律实体(计划向其跨境转移个人数据)为保护所转移的个人数据而采取的措施以及终止个人数据处理条件的信息。
(2)关于外国个人数据领域的法律规定的信息,在其管辖下的外国当局、外国自然人、外国法律实体计划向其跨境转移个人数据(如果个人数据跨境转移是为了向外国当局、外国自然人、外国法律实体进行的,而该外国不是《欧洲委员会关于在个人数据自动处理方面保护个人的公约》的缔约国,也没有被列入为用户权利提供充分保护的外国名单)。
(3)计划向其跨境转移个人数据的外国当局、外国自然人、外国法律实体的信息(姓名或名称,以及联系电话、邮政地址和电子邮件地址)。
3. 用户对其个人数据处理的同意
中国汽车企业如作为数据处理者,通过合同协议、汽车APP、汽车服务端口、小程序等收集车主个人信息时,提供的声明、文件或协议,当中描述数据处理的范围和目的等,措辞都应当准确易懂,不应当造成用户的理解上的歧义。用户决定提供他或她的个人数据,并自由地、自愿地和为了他或她的利益同意对其个人数据进行处理。对个人数据处理的同意应是具体的、实质性的、知情的、有意识的和明确的。除非联邦法律另有规定,用户或其代表可以以任何形式对个人数据的处理表示同意。如果从用户的代表那里获得对个人数据处理的同意,则其代表给予同意的授权应得到处理者的核实,同意应当有相关的记录保存。
4. 委托第三方进行个人数据处理的情形
中国汽车企业在取得用户同意后如涉及委托第三方进行个人数据处理,则第三方需遵守《俄罗斯联邦个人数据法》规定的个人数据处理原则和规定,遵守个人数据的目的和保密义务,采取必要的安全措施和确保履行法律规定的义务,以及按照处理人的要求提供相应的证明文件。第三方必须明确个人数据清单,个人数据的操作清单和具体进行个人数据处理的实体。
5. 个人数据主体的权利
中国汽车企业如作为处理者应当保障数据主体的权利,向数据主体提供相关的信息之前,需要按照《俄罗斯联邦个人数据法》的要求核实确认用户的身份信息,自收到请求之日起应当在10个工作日内向用户提供,最长不得超过15个工作日。用户作为数据主体享有知情权、查阅权、复制权、修正权、要求删除等权利,如有权确认信息处理者处理个人信息的事实;处理信息的法律依据、目的和方法;信息处理者的名称和住所;个人信息的来源;个人信息的处理期限和存储期限等等。
6. 生物识别数据
中国汽车企业作为数据处理者应尤其注意车联网相关业务场景中,提供个人生物识别数据不应具有强制性。如果用户拒绝提供个人生物识别数据或同意处理个人数据,处理者无权拒绝服务。根据俄罗斯联邦法律,可以不经用户同意而处理其生物识别个人数据的情形仅有:在执行俄罗斯联邦重新接纳的国际条约时,在司法和执行司法行为时,在强制性国家指纹登记时,以及在俄罗斯联邦关于国防、安全、反恐、运输安全、打击腐败、俄罗斯联邦关于调查和搜查活动的法律、关于俄罗斯联邦公务员制度的法律、俄罗斯刑事执法、关于俄罗斯联邦出入境流程的法律、关于俄罗斯联邦公民身份的法律、关于俄罗斯联邦公证法律规定的特殊情形,除所列情形外,任何处理者不得强制要求用户提供生物识别数据,如指纹、声纹、人脸等。
7. 数据全生命周期均需采取相应的安全合规和技术保护措施
中国汽车企业作为数据处理者应关注不同业务场景下可能涉及个人数据的收集、存储、传输、共享和删除。如数据不是从用户那里获得的,作为处理者有义务在开始处理这些个人数据之前向用户提供:个人数据的来源、处理者或其代表的姓名和地址、个人数据处理的目的及其法律依据、个人数据的预期用户、用户的权利。处理者在开始处理个人数据之前,应将其处理个人数据的计划通知监管部门。
8. 数据事件的应急处理
中国汽车企业作为数据处理者应按照主管安全的俄罗斯联邦执行机构确定的程序,确保与国家检测、预防和消除对俄罗斯联邦信息资源的计算机攻击后果的系统互动,包括向其通报导致非法转移(提供、传播、访问)个人数据的计算机事件。俄罗斯联邦每年发生大量网络攻击事件,所以俄罗斯联邦特别强调确保计算机网络安全,防止计算机攻击和应对计算机攻击。检测、预防和消除对俄罗斯联邦信息资源的计算机攻击后果的系统(ГосСОПКА),该系统的作用是调查网络攻击事件,并确定了信息安全系统的漏洞。如发生计算机事件,则有义务及时将信息传递到该系统。
9.市场营销和服务推广
中国汽车企业如利用个人信息向用户推送广告或其他营销信息时应注意,俄罗斯联邦的监管机构有权收集、记录和存储在互联网上发布的广告信息,中国汽车企业如通过互联网发布广告,则必须将广告信息在互联网广告登记处进行统一登记。同时未经用户同意而发送的营销推广信息是不被允许的,用户的同意也可随时撤销,撤销同意后,中国汽车企业如涉及该场景则应当停止任何营销,以避免违规被罚。
10.劳动者的个人信息保护
中国汽车企业如涉及在俄罗斯处理员工个人数据,如姓名、联系方式、护照号、家庭住址等,则俄罗斯关于劳动者权利和个人数据保护的法律同样适用于中国汽车企业,在存储和处理员工个人数据时违反法律规定或超出法定范围,则可能面临俄罗斯监管机构的罚款;如涉及员工个人数据泄露,则需承担物质赔偿和精神损害赔偿义务。
《俄罗斯联邦行政违法法典》第13.11条规定:对于在处理个人数据方面未遵守法律规定的组织,可处以3万卢布至600万卢布的罚款(视具体违法行为而定)
2023年10月16日俄罗斯总统弗拉基米尔普京在接受中国媒体采访时表示,随着中国汽车质量的提高,俄罗斯消费者非常乐于选择性价比高的中国汽车。中国汽车进入俄罗斯市场时,如何全面满足俄罗斯联邦法律法规的相关要求,需要建立一套完善的制度和计划,以确保汽车数据的合规性和安全性。中国汽车企业可以通过以下步骤实现俄罗斯数据合规:
遵守中国数据合规的要求:中国汽车企业在跨境贸易中应当首先遵守中国的法律法规,如涉及中国法下的重要数据或个人信息跨境传输,应当符合中国《网络安全法》、《数据安全法》以及《个人信息保护法》的相关要求。
了解俄罗斯法律法规:俄罗斯对汽车数据合规的具体要求,包括数据保护、隐私、安全等方面的规定。
建立数据合规计划:制定一个符合俄罗斯数据合规要求的计划,包括设立数据合规组织、数据收集、数据存储、数据传输、数据处理、数据删除等方面的规定。
制定数据合规制度:企业数据管理制度,包括数据分类分级、数据备份、数据加密等方面的规定,以确保数据的合规性。尤其需要制定专门的数据销毁制度,确保将个人数据销毁相关的证据保存3年的义务建立数据安全保障机制:完善的数据安全保障机制,可以确保数据的安全性,包括网络安全、物理安全等方面的措施。
定期评估和审计:定期对数据生命周期进行评估和审计,以确保合规有效性,并及时调整制度和流程以适应新的数据合规要求。
注释:
1. 俄罗斯联邦个人数据的定义和类型
https://habr.com/ru/articles/568364/
2. 《俄罗斯联邦个人数据法》РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ 27 июля 2006 года N 152-ФЗ
https://www.consultant.ru/document/cons_doc_LAW_61801/
3. 2023年3月1日《俄罗斯联邦个人数据法》修正案:变更内容、新表格和模板文件Персональные данные с 1 марта 2023 года: изменения, новые бланки и образцы документов
https://buhguru.com/kadrovaya-rabota/personalnye-dannye-s-1-marta-2023.html
4. 俄联邦通信监督局已批准的89个国家的名单,涉及个人数据跨境传输不需要申请许可,仅需要通知,具体名单请参阅链接:
http://publication.pravo.gov.ru/Document/View/0001202209200008?index=
5. 向俄联邦通信监督局上报路径链接:https://pd.rkn.gov.ru/cross-border-transmission/notification_check/
6. 《俄罗斯联邦行政违法法典》(2023年8月4日修订)(附2023年10月12日起生效的修改和补充内容)
https://www.consultant.ru/document/cons_doc_LAW_34661/
7. 《俄罗斯联邦民法典》
https://base.garant.ru/10164072/
8. 《俄罗斯联邦刑法典》
9. 《俄罗斯联邦劳动法典》
https://normativ.kontur.ru/document?moduleId=1&documentId=454527
10. 俄罗斯联邦国家信息安全系统(ГосСОПКА)官网
来源:德和衡研究院
原标题:罗兰:中国汽车企业如何应对俄罗斯数据合规新要求
作者:
罗兰:北京德和衡律师事务所执业律师。俄罗斯人民友谊大学国际法博士,中国法律职业资格,俄罗斯司法部注册外国律师,国际隐私专家协会CIPP/E隐私专家资格认证。邮箱:luolan@deheheng.com
质控人简介:
刘克江:高级合伙人,北京德和衡律师事务所总裁。邮箱:liukejiang@deheheng.com
信息内容来源于贸法通平台 ,报告内容仅供预警与风险提示,供参考之用,不能将其视为做出决策的唯一依据。如有任何意见与信息反馈,请与我们联系。
北京市贸促会法律部
联系人:田博文
电话:010-88070495;13718609060
