2024年10月31日,《福布斯》俄罗斯门户网站发出报道,俄罗斯数字发展、通信与大众传媒部推出了一项法令草案,明确了俄罗斯当局可从在俄经营的企业获取员工和客户数据的条件。此法令草案预计将于2025年9月生效,是对8月8日通过的《个人数据法》修正案的跟进。该法建立了一个国家信息系统(GIS),要求企业和国家机构在接到要求时上传其员工和客户的个人数据。
该法令将授权当局以保护民众免受紧急情况影响、预防恐怖主义、控制传染病传播以及进行经济和社会研究为目的,要求企业提供客户和员工的匿名个人数据。
拟议法令
福布斯调查的商界代表对最后两点反应强烈。根据文件内容,政府将能够向企业收集数据,以进行经济和社会领域的研究,以及“实施国家计划、国家和联邦项目、优先计划和项目中确定的活动”。预计该政府决议草案将于2025年9月生效。
该文件是基于8月8日通过的《个人数据法》修正案制定的。数字发展部(Mincifry)几年来一直在对其进行改写。该倡议的初衷是简化企业获得客户个人数据处理同意的流程。这将便于利用客户信息编制统计数据和培训基于人工智能的技术,例如推荐服务或广告服务。
最终通过的法律提议建立一个国家信息系统(GIS),要求企业和政府市政组织应要求向该系统传输其客户和员工的个人数据,但须事先对数据进行匿名化处理。法律草案中并未规定用户同意将数据传输至“国家数据湖”。数据发布后的第一年,只有政府用户才能访问这些数据,之后政府批准的其他用户也可访问。
大数据协会(包括俄罗斯储蓄银行、Megafon、Yandex、VTB和Rostelecom等公司)认为,该决议草案允许政府“几乎在任何情况下”要求企业提供匿名化的个人数据。“这为处理个人数据的运营商(几乎是任何公司或组织)制造了法律上的不确定性和不合理的监管负担,”协会继续表示,并认为需要建立一个透明的机制来公开讨论为研究以及各种国家计划和项目的“活动实施”而请求数据的案例。
大数据协会认为,这样的平台可以是政府下属的专家委员会、“数字经济”非营利组织,或是Regulation.gov.ru上的公众讨论机制。协会总结道:“重要的是,还要制定一种方法来评估进行统计或其他研究的合理性和经济可行性,包括论证不存在其他同类数据来源的方法。”
MTS强调,在“国家数据湖”中整合数据时,避免数据泄露至关重要。“即使是匿名化的个人信息也极其敏感。必须制定明确、透明、可行且能保证安全的算法来传输和使用数据,”该公司坚信,还必须建立机制以避免信息请求被滥用。“‘国家数据湖’请求数据的情形和时限应明确规定并固定在规范性文件中,”公司指出。
一位IT行业消息人士指出,当前的政府决议草案文本并未明确列出何时以及可以向公司请求哪些匿名化数据:“这是企业在讨论该法律时多次强调的一个原则性问题。”据该消息人士称,为了规范公司与政府在数据传输方面的关系,需要一个完整的规范性文件和一个公开讨论此类案例的透明机制。“例如,副总理的指示不能起到这一作用,而且这些指示中的大部分根本就没有公布,而公司却有义务遵守。这会使企业处于弱势地位,”他总结道。
企业对政府的请求缺乏透明度并非商界的唯一不满。Garda集团副总经理鲁斯捷姆·海雷特迪诺夫表示,为了对数据进行匿名化处理,企业将承担巨大成本。这要么是员工为内置于数据库管理系统(DBMS)中的掩码解决方案进行设置和管理所花费的时间,要么是购买专用掩码工具的直接财务支出。
全球背景:在细绳上行走
在寻求更大程度的个人数据访问权限方面,俄罗斯并非孤例。世界各国都在应对类似的问题。例如,美国根据《爱国者法案》及其后续立法制定了一系列法律和法规,允许政府在某些条件下访问个人数据。同样,欧盟的《通用数据保护条例》(GDPR)也为数据访问提供了框架,同时旨在保护个人隐私。
每个国家的做法都反映了其独特的政治、社会和文化背景。然而,核心问题依然存在:如何在国家访问权限和个人隐私之间找到恰当的平衡。
伦理和社会影响
关于国家访问个人数据的辩论不仅仅是一个法律或政治问题;它还深刻涉及伦理和社会层面。增强国家访问权限可以提高公共安全和国家安全。例如,在像COVID-19大流行这样的健康危机期间,访问个人数据有助于进行有效的接触者追踪和监测病毒的传播。与此同时,仍然存在可通过数据确定具体信息归属者的风险。
