2025 年 9 月 1 日,俄罗斯《联邦个人数据法》(第 152-FZ 号联邦法,下称 “俄个保法”)第 9 条第 1 款修正案正式生效,针对个人数据处理同意机制出台严格分离要求,与此同时,俄联邦数字发展、通信与大众传媒部已公开一份拟限制同意作为数据处理合法依据的草案。对于计划或已布局俄罗斯市场的出海企业而言,这一系列立法变动将重塑其数据合规框架,潜藏多重法律风险,需及时研判并调整合规策略。
一、核心新规:个人数据处理同意需完全独立于其他文件
依据俄个保法原有规定,数据控制者(俄法下称为 “数据操作员”)可通过勾选网站选项等可证明的任意形式获取用户同意,仅在处理生物识别信息、健康信息、种族信息等特殊类别数据,或向第三方披露员工信息等场景下,需以纸质或电子签名形式获取书面同意,且书面同意需载明处理目的、数据类别、处理方式、数据处理方信息等法定要素。
而 2025 年 9 月 1 日生效的修正案,对同意的形式提出了颠覆性要求:无论书面同意还是其他形式同意,均需与数据主体确认或签署的其他任何信息、文件完全分离。俄立法机构在法案说明中明确,此举旨在消除法律模糊地带,遏制数据控制者以 “捆绑条款” 误导用户作出同意的行为。
从实操层面看,该新规已对出海企业的日常运营提出具体合规要求:
1.传统文书场景:俄罗斯联邦数据保护机构(Roscomnadzor,下称 “俄联邦数管局”)针对银行业咨询的答复已明确,同意条款需与银行核心业务文档分离,可置于纸质申请表背面。依此逻辑,企业与员工签署的劳动合同、与消费者签订的服务 / 销售合同、市场调研问卷、访客登记表等文件中,均不得嵌入数据处理同意条款,需单独制定同意文书,这无疑将增加企业法务与行政的文书工作量,同时提升了条款起草的合规差错风险。
2.线上运营场景:新规对网站与移动端应用的影响尤为显著。从字面解释,企业不得在同一 cookie 横幅中同时设置用户协议接受与数据处理同意选项,隐私政策与用户协议也不可包含同意条款;在账户注册、意见反馈、商品下单等网页表单中,需为数据处理同意单独设置勾选框,且同意操作不得与表单提交同步触发,诸如 “点击提交即视为您同意数据处理” 的传统表述,已无法满足合规要求。
值得注意的是,俄联邦数管局正加强对面向俄用户的境外网站与应用的监测,不合规的同意条款与 cookie 横幅极易被识别并触发监管动作。
二、违规成本:行政罚款与民事索赔双重追责
当前俄法律未针对 “同意未分离” 设置单独罚则,但违规获取的同意将被认定为无效,进而触发俄《行政违法法典》第 13.11 条的阶梯式罚款:
1.若应获取任意形式同意却因无效导致违规,数据控制者最高将被处以 30 万卢布罚款,直接责任人员(通常为数据保护官或企业 CEO)最高面临 10 万卢布罚款;
2.若应获取书面同意却未合规操作,数据控制者罚款上限提升至 70 万卢布,直接责任人员罚款上限为 30 万卢布。
此外,数据主体有权依据俄个保法第 24 条第 2 款,对违规企业提起民事诉讼,要求删除非法收集的数据,并索赔精神损害与财产损失,这将为出海企业带来额外的商誉与经济损失风险。
三、潜在立法动向:同意作为合法依据的适用范围或将大幅收窄
除已生效的同意分离要求外,俄联邦数字发展部已公开一份反网络欺诈草案,其条款对数据处理合法依据的冲击远超当前新规。
目前俄个保法与欧盟《通用数据保护条例》(GDPR)存在显著差异:企业可自主选择以同意作为数据处理的合法依据,且允许针对同一数据处理行为叠加适用多项合法依据,例如电商平台常同时基于用户同意与合同履行,开展消费者数据收集与使用。
而上述草案拟增设限制:仅在俄国际条约或联邦法律明确要求的情形下,企业方可要求用户提供数据处理同意。结合现行俄个保法规定,仅委托数据处理方、开展直邮营销、实施自动化决策等少数场景法定需获取同意,这意味着草案若获通过,企业在 cookie 使用、网站反馈收集、呼叫中心运营、求职者沟通、会员忠诚度计划等常规商业场景中,将无法再依赖同意作为合法依据,转而需优先援引 “履行合同”“法定义务”“合法利益” 等其他依据。
但需警惕的是,俄现行法律及该草案均未明确 “合法利益” 的判定标准,也未细化消费合同下的数据处理规则,企业在切换合法依据的过程中,将面临极高的合规实操难度。草案同时提出,自 2028 年 3 月 1 日起,用户可直接向企业或通过俄政府服务在线门户授予 / 撤回同意,但相关技术对接机制尚未明晰。
四、出海企业合规应对建议
面对俄数据合规的立法变局,出海企业需从以下维度推进合规整改:
1.全面梳理现有文档与系统:对企业在俄使用的劳动合同、客户协议、调研问卷等书面文件,以及网站、APP 的 cookie 横幅、注册表单等线上工具进行合规审查,拆除嵌入其中的同意条款,单独设置符合新规的同意模块。
2.评估替代合法依据:在无法依赖同意的场景下,结合业务场景论证 “合同履行”“法定义务”“合法利益” 的适用可行性,例如电商企业可基于 “履行买卖合同” 处理消费者收货地址、联系方式等核心数据,减少对用户同意的依赖。
3.跟进立法动态并预留调整空间:持续关注俄联邦议会对上述草案的审议进程,针对 2028 年的同意在线管理机制,提前规划与俄政府服务门户的技术对接方案,避免因规则落地产生合规断层。
4.强化内部责任分工:明确数据保护官与管理层的合规责任,建立同意文书的审核与存档机制,降低因文书瑕疵引发的行政与民事追责风险。
