■ 文/卧龙传说

俄罗斯“个人数据保护法”任性实施从“存储本地化”到数据安全之路还有多长？

■ 文/卧龙传说

中国于2003年就已经开始讨论个人信息保护的法律制定，至今十年有余，尚未真正出台，可见难度之大，俄罗斯“个人数据保护法”的出台为中国个人信息法的颁布提供给了借鉴意义。

经过多年的探讨，特别是在“斯诺登事件”之后，俄罗斯对于网络信息安全日趋重视， “个人数据保护法”终于在9月1日生效。该项法律规定俄罗斯公民的个人信息数据只能存于俄境内的服务器中，以实现数据本地化。

这部法律无论是出台之前还是出台之后，都引起了俄罗斯国内和国外的广泛关注，国内支持和反对的声音此起彼伏。针对这项法律的实施，各方的意见如何，对中国的数据安全又能否起到哪些借鉴意义呢？

引发俄国内激烈讨论

俄罗斯本次实施的“个人数据保护法”从酝酿到正式立法过程中，争论从来没有停止过，各方都站在自己的利益角度展开讨论。

法律的支持者认为，这样做有助于国家安全。多名俄罗斯议员指出，此前俄罗斯的大量在线个人数据存储在外国，尤其是美国的服务器上，这项法律与欧洲当前的在线个人数据保护政策一致。俄罗斯国家杜马信息政策委员会副主席里奥利德·列文表示，俄罗斯这项法律与欧洲司法法院近期一项关于“被遗忘权”的决定有着类似的目的。这项关于“被遗忘权”的规定要求谷歌在个人数据中删除用户请求链接。

而反对者则认为此举侵犯了公民自由，俄罗斯政府有关部门将可以引用这项法律进行审查。俄罗斯互联网专家及博客安东·诺西克表示：“这一法律的目的是创建又一个准法律文本，从而在俄罗斯关闭Facebook、Twitter、YouTube和其他一些服务。”

对于这项法律的实施，互联网企业也是意见纷纷。最主要原因是法律条文表述不清，并且在法规中没有对合法行为进行明确说明。互联网支付服务提供商ChronoPay总经理阿莱克西·克维辛（Aleksey Kovyrshin）表示：“如果这项法律以当前的形式获得通过，那么俄罗斯人不仅无法乘飞机前往欧洲，甚至也无法购买从莫斯科飞往圣彼得堡的机票。”

针对互联网公司的担忧，俄罗斯联邦通讯、信息技术和大众传媒监督局官员称，这项法律不会影响到签证办理、机票购买、媒体行为和法院行为。他还表示，个人信息数据的跨境传输是允许的，但是必须存储在俄罗斯境内。数据的副本可能会暂时存放在国外，但仅限于需要使用的期间内。例如，俄罗斯公民的个人数据可以被传输到境外的宾馆或者医院，但是在公民结束休息或者结束治疗后，宾馆和诊所中的俄公民个人数据应当被删除。

有分析指出，目前欧盟也有保护个人数据的类似公约，俄出台该法案也符合国际惯例。莫斯科大学法律系教授戈洛夫科表示，保护个人信息法案出台合乎逻辑，将俄民众数据保存在本土有利于保护公民个人隐私，而考虑到美国中情局前雇员斯诺登曝光的信息，从维护国家安全利益解读该法案的出台也并非杞人忧天。

国外公司助力数据存储“本土化”

支持归支持，反对归反对，讨论是必须的，但生意也是必须要做的，一些国外的科技公司并没有被争论所打扰，而是本着务实的态度来面对“个人数据保护法”，积极协助俄罗斯数据存储“本土化”。

全球购物网站巨头易趣公司俄罗斯地区总裁多尔戈夫表示，该公司愿意接受俄政府的指令，正在把其俄罗斯用户信息从瑞士服务器转移至俄罗斯本土，预计这将在俄政府规定的日期前完成。有报道称，易趣旗下的支付系统贝宝也会将所有俄境内的交易数据储存在俄罗斯。

易趣由此成为该法案通过以来第一家宣布转移用户信息的在俄美国互联网公司。由于易趣在俄用户多达370万，预计今后一段时间将对其他互联网公司产生示范效应。

务实的不止易趣一家，据报道，苹果公司和莫斯科市的互联网公司IXcellerate进行了合作，俄罗斯苹果用户的云服务数据（iCloud）将保存在对方的数据中心。苹果遵守新规则，意味着其不会遭到监管有关封锁互联网服务的处罚。

据报道，俄罗斯这项新规定可能影响到该国260多万网民，而监管机构表示，将会在今年年内对互联网公司是否遵守新规进行调查。这一监管制度出台之后，由于担心服务被关停，大部分互联网公司表示将遵守规则，在俄罗斯境内保存数据。

·俄罗斯官员称，这项法律不会影响到签证办理、机票购买、媒体行为和法院行为。·易趣由此成为该法案通过以来第一家宣布转移用户信息的在俄美国互联网公司。·在普京的铁腕推动之下，俄罗斯“个人数据保护法”终于在9月1日正式生效。

与易趣和苹果积极配合不同是，包括全球最大社交网络Facebook在内的少数公司，提出反对意见。今年初，全球音乐流媒体服务巨头Spotify宣布，将取消在俄罗斯推出音乐服务的计划，主要原因就是在俄罗斯保存数据的监管要求。

对中国个人数据保护的启示

针对俄罗斯本次通过的“个人数据保护法”，对于中国的个人数据和信息保护来说有着重要的借鉴和启示作用。

中国的人口数量决定了数据规模的庞大和复杂，而技术和立法的相对落后加大了个人数据的安全风险。为了应对新时代下的数据安全，中国不断研究学习国外先进的立法经验，试图寻求最为科学完善的数据保护模式。2013年2月，中国首个个人信息保护标准《信息安全技术公共及商用服务信息系统个人信息保护指南》正式出台。近些年来，中国各界对个人信息立法的内容探讨不断掀起高潮。斯诺登事件给各国敲响了警钟，尤其是中国这种数据保护法律还不够健全的国家，必然加快个人数据保护立法的进程。

中国于2003年就已经开始讨论个人信息保护的法律制定，至今十年有余，尚未真正出台，可见难度之大，俄罗斯“个人数据保护法”的出台为中国个人信息法的颁布提供了借鉴意义。首先，大数据的包容性和开放性使得个人数据无处遁形，我们应该更加重视并且加快个人数据保护法的进程。其次，为了顺应数字时代的发展，应该在立法上确定被遗忘权，重新审视数据跨境流动的规则和体制，并且根据国际贸易趋势做出改变。再次，区分敏感个人数据和一般个人数据，对存在特定风险的个人数据的处理应该更为严格和审慎，尽可能的为个人敏感数据创造安全的环境。

最后，应该建立数据保护官制度，结合政府机关或者企事业单位的具体情况，设置不同的岗位级别检测数据收集及处理活动，保证数据动态生命周期的透明度。X