俄罗斯升级数据本地化监管，游戏公司批量被起诉

文/麻策律师

Roskomnadzor已成为中国企业出海俄罗斯的悬头之剑！

自2025年末起，俄罗斯通信监管局Roskomnadzor一直在打击游戏发行商将俄罗斯用户的个人数据存储在俄罗斯境外服务器上的行为。

而在近期，据新闻媒体报道，这种情况似乎愈演愈烈——截止目前为止，Roskomnadzor已经对七家境外大型游戏类公司提起了七起诉讼。

上榜的游戏公司

媒体报道打击的法律依据，是《俄罗斯联邦行政违法法典》（Code of Administrative Offenses of the Russian Federation，有些类似中国的行政处罚法）第13.11条（此条是“关于通信和通信领域的行政违法行为的列示”）第8款。

该条款明确规定：“运营者在收集个人数据时，包括通过信息通信网络"互联网"收集时，未履行俄罗斯联邦个人数据领域立法规定的义务，即未使用位于俄罗斯联邦境内的数据库确保对俄罗斯联邦公民个人数据进行记录、系统化、积累、存储、澄清（更新、变更）或提取的——对公民处以三万至五万卢布的行政罚款; 对官员处以十万至二十万卢布的罚款; 对法人处以一百万至六百万卢布的罚款。”这个条款，是2019年12月2日第405-ФЗ号联邦法律《关于修改俄罗斯联邦某些立法文件》而增补的条款。

这意味着，游戏开发商作为运营者，必须将俄罗斯玩家用户的个人数据存储和处理在俄罗斯境内的服务器上。

根据相关俄罗斯媒体统计显示，Roskomnadzor已在这七起诉讼中赢得四起胜诉。2025年12 月，开发《坦克世界》的 Lesta 工作室收到警告；2026年 3 月，开发在线射击游戏《逃离塔科夫》的 Battlestate Games 工作室被罚款 200 万卢布；2026年4 月，Take-Two （ 《侠盗猎车手 》、《荒野大镖客》）和 EA （ 《极品飞车 》《战地》《模拟人生 》等）也被处以同样的罚款。

在此其中，媒体报道称，中国游戏公司NetEase（网易）也在罚款名单上，网易所涉及到的游戏为其漫威游戏联合推出的《漫威争锋》，一款基于漫威宇宙深度角色阵容的全新超级英雄团队 PVP 射击游戏。

以上每家公司的罚款金额为200万卢布（约合人民币16.5万元）。尽管理论上法院有权将罚款提高至每家公司600万卢布，但目前均按较低标准执行。

目前为止，判决书尚未公布。

有媒体称，接下来预计Roskomnadzor将对《堡垒之夜》 和 《战争机器》 的开发商 Epic Games、 《星际战甲 》的开发商Digital Extremes 以及拥有 《古墓丽影》 、 《杀出重围 》等游戏版权的瑞典工作室Embracer Group 提起诉讼。

数据本地化

俄罗斯的数据本地化要求并非新规。自2015年联邦法律第242-FZ号生效以来，俄罗斯《个人数据法》（第152-FZ号）第18条第5部分明确要求，自2015年9月1日起，所有处理俄罗斯公民个人数据的公司，必须将包含其个人数据的数据库部署在俄罗斯境内。

然而，2025年2月28日颁布的第23-FZ号联邦法律对第18条第5部分进行了实质性修订，自2025年7月1日起生效，标志着俄罗斯数据本地化制度进入了一个更严格、更无死角的新阶段。

新版本的核心变化在于措辞的转向：旧版本强调的是运营商的积极义务——"运营商应确保使用俄罗斯境内数据库"进行相关操作；新版本则直接引入了明确禁止——"禁止使用位于俄罗斯联邦境外的数据库"进行个人数据的记录、系统化、积累、存储、更新和检索。

这一从"应做"到"禁止"的转变，在法律解释上具有根本性差异，意味着任何在外服务器上的数据收集行为，不论是否有后续补救措施，都将直接构成违规。

同时，我们认为，新法将数据本地化义务的主体扩展到了数据处理者（即受运营者委托处理个人数据的第三方），而不仅仅是运营者本身。当然，仅仅只是数据通过俄罗斯路由中转的模式，是否符合仍不清楚。

2025年11月通过的第420-FZ号法律还将违规罚款大幅提高至最高1800万卢布。此外，据笔者所知，Roskomnadzor还启用了名为"Revizor"的自动化监测系统，用于主动检查服务器位置和分析流量，将执法从被动举报模式转换为了主动监测模式。第152-FZ号虽未明确提及Cookie，但Roskomnadzor将Cookie的使用解释为个人数据收集行为，要求获得用户的明确同意，这使得大量使用海外分析工具的网站在合规层面面临同样的本地化要求。

俄罗斯的与众不同

从我们日常从事的涉俄罗斯数字出海平台合规评估来看，俄罗斯数据本地化执法的范围正在从传统互联网平台扩展到游戏产业，这一趋势在全球范围内具有独特的监管特征。与欧盟GDPR和中国的《个人信息保护法》相比，俄罗斯的执法路径呈现出几个值得关注的差异化特征。

第一，"数据本地化"的物理性要求远超其他法域。 欧盟GDPR并未一般性地要求数据本地化，而是通过充分性认定和标准合同条款（SCC）构建了一套数据跨境流动框架。中国的《个人信息保护法》第38-43条虽对数据出境设置了安全评估、标准合同和保护认证等路径，但并未要求所有个人数据必须物理存储于境内服务器——数据处理者可以在满足法定条件的前提下向境外提供数据。

而俄罗斯新规的表述——"禁止使用位于俄罗斯联邦境外的数据库"——实际上构成了对数据初始收集阶段的物理本地化强制要求。

第二，执法力度正在加速升级。 从2025年5月30日起，俄罗斯将违规罚款上限提高至1800万卢布（约合人民币150万元），较此前的6万至30万卢布有了指数级的提升。虽然目前法院对游戏公司处以的200万卢布罚款尚处于偏低水平，但这或许反映了执法初期的"示警"策略。

我们评估认为，新法影响的范围远不止游戏公司——任何使用境外商业服务（如Google Forms、Google Analytics）、境外IT解决方案或涉及数据跨境传输的公司均可能受影响。

第三，"数字主权"的政治驱动因素不可忽视。 与欧盟以个人权利保护为核心的GDPR和中国以国家安全与个人信息权益并重的《个人信息保护法》不同，俄罗斯的数据本地化立法带有更鲜明的"数字主权"和地缘政治色彩。这可能是因为俄乌冲突及随之而来的国际制裁显著加速了俄罗斯推动"数字自给自足"的步伐——数据本地化被用作一种防御性工具，以减少对外国数字基础设施的依赖和外部势力的数据访问。

这种政策驱动意味着俄罗斯的执法不会因个别公司的"技术困难"而松动——第23-FZ号法案发布于2025年2月，仅给了企业四个多月的过渡期，本身就体现了立法者对商业适应能力的有限关注。

第四，执法手段的自动化和系统性。 我们了解，Roskomnadzor通过Revizor系统对服务器位置进行自动化监测，辅以与专业法律机构的合作，形成了一种可快速复制、规模化推进的执法模式。这意味着被盯上的公司不会是个别案例，而是一整批同时被清查。对七家游戏公司的同步同批次起诉即是这种模式的典型体现。

第五，要注意境外落地法要求。即使企业不在俄罗斯境内而是在境外面向俄罗斯用户提供服务，但是也不要忘记俄罗斯还有配套的落地法（236-ФЗ）相关监管义务，这些义务在日服务器访问超过50万用户后即会激活。

包括要求设立俄罗斯法律实体，确保其能接收投诉、执行监管 / 法院要求、在法院代表母公司、删除或限制违规内容；需要注册 Roskomnadzor 账户，提交外国母公司信息、信息资源信息、联系方式等；在面向俄罗斯用户的信息资源（如俄区 App 内、官网等）设置电子投诉反馈表单，至少包含申请人信息、联系方式、投诉内容必填字段。

该如何对待

对于在俄罗斯市场运营的中国公司——不论是游戏发行商、社交平台、电商平台还是提供在线服务的互联网企业——俄罗斯数据本地化新规的合规挑战已刻不容缓。

第一，立即进行数据资产盘点。 每个在俄运营的实体应识别其所有收集俄罗斯用户个人数据的流程、数据流向、使用的数据库位置和涉及的数据处理器。重点排查以下场景：是否使用了俄罗斯境外云服务或节点（AWS、Azure、Google Cloud等）对俄罗斯用户数据进行存储或处理；是否在网站或App中嵌入了Google Analytics、Firebase、Facebook Pixel等境外分析工具；是否通过境外CRM或客服系统收集和处理俄罗斯用户信息；在线游戏是否将俄罗斯玩家的账户信息、游戏数据存储在海外服务器上。

第二，评估本地化可行性和技术方案。 中国公司需要评估将数据库迁移至俄罗斯境内的技术可行性和成本，包括数据迁移方案、持续的数据库同步机制、对跨域数据传输的影响。对于游戏公司，特别需要考虑的是俄罗斯玩家的账户数据、支付信息、游戏进度存档和系统日志的本地化存储方案。

第三，审查合同和第三方关系。 新规将数据本地化义务延伸至数据处理器，这意味着即使运营者本身遵守了要求，如果其委托的第三方处理器将数据存储或处理在境外，运营者仍将承担违规责任。公司应审查所有涉及俄罗斯个人数据处理的供应商合同，确保受托数据处理者同样遵守本地化要求。

俄罗斯的数据本地化正在从"法律原则"转化为"执法现实"。对于中国出海企业而言，网易的案例绝非孤例。

兴许，2026年将是俄罗斯数据合规执法的分水岭——随着更多游戏公司和互联网平台案件进入审理阶段，以及Roskomnadzor展现出的系统性执法能力，数据本地化的合规成本将从"可选项"变为"生存线"。

相关新闻源：https://meduza.io/en/news/2026/05/01/russia-s-media-regulator-fines-take-two-and-electronic-arts-over-data-storage-violations-targets-more-game-studios

声明：本文来自麻策的备忘录，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。