关于加强个人数据本地化要求的修订

2025年2月28日，第23号法律*获得通过，对个人数据监管进行了修订。这些变更将于2025年7月1日生效。

此次修订显著改变了俄罗斯公民个人数据的本地化要求。即日起，在收集俄罗斯公民的个人数据时，禁止以下行为：

• 记录；
• 系统化；
• 积累；
• 存储；
• 修正（更新、修改；
• 提取这些数据；

通过外国数据库。

此前，《个人数据法》规定，在收集个人数据时，运营商必须使用位于俄罗斯联邦境内的数据库进行初始处理。但并未禁止在后续处理中将数据传输或复制至外国数据库。

本质上，这一条款已从规定转变为严格禁止。

这些变更引发了专业领域的广泛讨论，存在不同解读，甚至有观点认为这完全禁止了跨境数据传输。然而，从法律条文的字面含义来看，这种解读并不成立，且关于跨境数据传输的法律条款并未被修改。

修订似乎仅针对俄罗斯公民数据在收集时的初始处理阶段——即直接从个人处获取数据时（例如通过注册表格）。因此，根据字面解读，与此类数据初始收集无关的存储或进一步处理，或对生成数据的处理，不应受此禁令约束。

特别是，修订并未排除在满足《个人数据法》相关要求的前提下，后续进行跨境数据传输的可能性。

值得注意的是，本地化义务现在不仅适用于运营商，还适用于“数据处理者”。

除上述修订外，第23号法律*还引入了关于公务员数据处理的条款，并加强了此类数据安全的额外措施。

这些修订是个人数据保护领域监管趋严和责任加重的更广泛趋势的一部分。

鉴于监管机构对数据本地化问题的高度关注，我们建议企业对内部流程、数据本地化方案以及与“数据处理者”的合作关系进行审核，以确保合规并避免法律责任。


* 俄语