1.前言
2018年8月14日巴西第13.709号法律《通用个人数据保护法》(LGPD)通过,并于2020年9月18日生效。 LGPD 是一项全面的数据保护法,涵盖数据控制者和处理者的活动,并对处理数据主体的信息提出了要求。它包括关于各方面的规定,例如数据保护官(“DPO”)任命,数据保护影响评估(“DPIA”),数据传输,数据泄露以及巴西数据保护机构(“ANPD”)的建立。
根据巴西联邦共和国宪法第115号修正案的批准,已将个人数据保护的个人权利纳入基本权利和保障清单。
1.1. 关键法案、法规、指令
- LGPD;
- 2002年1月10日第10.406号民法典法;
- 1990年9月11日第8.078号法律,消费者保护法;
- 1940年12月7日第2848号法令,刑法典。
1.2. 准则
巴西数据保护机构(“ANPD”)发布了以下指南:
- 数据处理代理(agents)和数据保护官的定义指南(2.0版 – 2022 年 4 月);
- 小型数据处理代理信息安全指南(1.0版 – 2021 年 10 月);
- 数据处理代理在选举背景下应用 LGPD 的指南(2021 年);
- 公共代理数据处理指南(版本 1.0 – 2022 年 1 月);
1.3. 判例法
2021 年 5 月,巴西联邦最高法院 (“STF”) 发布的一项决定暂停了第 954/2018 号临时措施的效力,该临时措施要求电信公司与巴西地理和统计研究所共享其客户的手机号码和地址 ,用于官方统计。法院裁决的理由承认数据保护权是一项自主的基本权利,是巴西法律隐私领域的一个重要里程碑。
2. 适用范围
2.1. 个人范围
LGPD 规定由自然人或公法或私法法律实体处理个人数据,包括通过数字方式处理个人数据,目的是保护自由和隐私权的基本权利以及自然人个性的自由发展(LGPD 第 1 条)。
2.2. 地域范围
LGPD 具有域外适用性,适用于受公法或私法管辖的任何个人或法律实体,无论其总部所在的国家或数据所在的国家/地区如何(LGPD 第 4 (IV) 条):
- 加工操作在巴西领土内进行;
- 处理活动旨在提供或提供商品或服务,或处理位于巴西领土上的个人的数据;和
- 正在处理的个人数据是在巴西领土内收集的。
2.3. 数据范围
LGPD 适用于由法人实体进行的个人数据处理。以下数据处理活动不适用LGPD:
- 由自然人进行的专门用于私人和非经济目的的处理;
- 为新闻和艺术目的而处理;
- 出于学术目的的处理(但遵守LGPD第7条和第11条规则);
- 仅出于公共安全、国防、国家安全或调查活动和刑事犯罪起诉的目的进行的处理;或
- 来自提供足够数据保护水平(与LGPD相比)的巴西以外国家的个人数据处理活动不受LGPD的约束。
3. 数据保护监管机构
3.1. 数据保护的主要监管机构
巴西国家数据保护局(简称"ANPD")于2018年12月28日成立。ANPD由五名专员组成。然而,在实践中,巴西的其他政府部门也通过行政程序或诉讼来执行保护个人的隐私权,如巴西消费者保护和辩护部(Department of Consumer Protection and Defense )和负责消费者权利的巴西公共检察官办公室。
4. 关键定义
- 数据控制者:受公法或私法管辖的自然人或法人实体,负责做出有关个人数据处理的决定
- 数据处理者:受公法或私法管辖的自然人或法人实体,以控制者的名义处理个人数据
- 个人数据:与已识别或可识别的自然人有关的信息(LGPD 第 5(I) 条)。
- 敏感数据:有关种族或民族血统、宗教信仰、政治观点、工会或宗教信仰、哲学或政治组织成员身份的个人数据,以及与健康或性生活有关的数据,或与自然人有关的遗传或生物特征数据(LGPD 第 5(II) 条)。
- 假名化:数据处理使数据失去与个人直接或间接关联的可能性,除非在受控和安全的环境中使用控制者单独保存的其他信息(LGPD 第 13(§ 4º) 条)。
- 数据保护官:由控制者和处理者任命的人员,充当控制者、数据主体和 ANPD 之间的沟通渠道(LGPD 第 5(VIII) 条)。
- 匿名化:使用处理时可用的合理技术手段,通过这种手段,数据失去了与个人直接或间接关联的可能性(LGPD 第 5(XI) 条)。
5. 法律依据
5.1. 同意
同意必须是自由、知情和明确的表达,数据主体同意出于特定目的处理其个人数据,并且可以应用于“常规”个人数据和敏感个人数据(LGPD 第 7、11 和 14 条)。
5.2. 与数据主体签订合同
适用于应数据主体要求执行合同或与数据主体作为一方的合同相关的初步程序所需的数据处理活动(LGPD 第 7、11 和 19 条)。
5.3. 法律义务
控制者可以处理个人数据和敏感数据以遵守法律或监管义务(LGPD 第 7(II) 条)。
5.4. 数据主体的利益
没有特定的法律依据来处理个人数据以追求数据主体的利益。但是,数据控制者的合法利益可以应用于保护其权利的正常行使或提供有利于他们的服务的情况。
5.5. 公共利益
为了追求公共利益而处理个人数据没有特定的法律依据。但是,公共管理部门可以在必要时处理个人数据,以执行法律或法规规定的公共政策,或基于合同、协议或类似文书。
5.6. 数据控制者的合法利益
数据控制者或数据主体的合法利益不能用于处理敏感数据,并且在支持在此法律基础上的处理活动时,数据控制者需要(LGPD 第 7(IX) 条):
- 保证所处理的个人数据对于预期目的绝对必要;和
- 采取措施,确保基于其合法利益的数据处理的透明度。
5.7. 其他情况下的法律依据
处理个人数据的其他法律依据是(LGPD 第 7 条):
- 由研究机构进行研究;
- 在司法或行政诉讼或仲裁程序中定期行使权利;
- 保护数据主体的生命或人身安全;
- 信用保护,不适用于敏感数据;
- 防止欺诈并保证数据主体的安全(特定于敏感数据);和
- 保护健康,但仅适用于卫生专业人员、卫生服务或卫生当局执行的程序。
6. 原则
LGPD 第 6 条规定,任何个人数据处理活动都应遵循以下原则(LGPD 第 6 条):
- 诚信;
- 目的:出于合法、特定和明确的目的进行处理,告知数据主体,没有任何与目的不一致处理的可能性;
- 充分性:根据处理的上下文,处理与告知数据主体的目的的兼容性;
- 必要性:将处理限制在实现其目的所需的最低限度,涵盖与数据处理目的相关、相称且不过度的数据;
- 免费访问:保证向数据主体提供便利和免费的咨询,了解处理的形式和持续时间,以及其个人数据的完整性;
- 数据质量:根据需要和实现处理目的,向数据主体保证数据的准确性、清晰度、相关性和更新性;
- 透明度:保证数据主体获得关于执行处理和相应处理代理的清晰、准确和易于访问的信息,但须遵守商业和工业保密;
- 安全:使用能够保护个人数据免遭未经授权的访问以及意外或非法的破坏、丢失、更改、通信或传播情况的技术和管理措施;
- 预防:针对个人数据的处理,采取措施防止损害的发生;
- 非歧视:不可能出于歧视、非法或滥用目的处理数据;和
- 问责制:控制者或处理者证明采取了有效措施,能够证明遵守和遵守个人数据保护规则,以及这些措施的有效性。
7. 控制者和处理者义务
7.1. 数据传输
仅在以下情况下可以跨境传输个人数据(LGPD 第 33 条):
- 向 LGPD 规定的个人数据提供适当保护水平的国家或国际组织披露;
- 当控制者以以下形式提供并证明遵守 LGPD 中建立的数据主体的原则和权利以及数据保护制度的保证时:
- 特定转让的具体合同条款;
- 标准合同条款(“SCC”);
- 具有约束力的公司规则(“BCR”);和
- 定期签发印章、证书和行为准则;
- 为保护数据主体或任何第三方的生命或人身安全而需要传输时;
- 当ANPD授权此类转移时;
- 当数据主体已对此类传输提供具体明确的同意,并将其与其他目的明确区分开来时;
- 当控制者有必要遵守法律或监管义务时;
- 应数据主体的要求,执行与数据主体作为一方的合同相关程序所必需的;
- 允许在司法、行政或仲裁程序中正常行使权利。
7.2. 数据处理记录
控制者和处理者应保留其执行的个人数据处理操作的记录,尤其是在基于合法利益的情况下(LGPD 第 37 条)。对于应在这些记录中注册哪种信息没有要求。
7.3. 数据保护影响评估
国家当局可以要求控制者根据法规的规定准备与其数据处理操作相关的 DPIA,并适当考虑商业和工业保密(LGPD 第 10(3)条)。值得一提的是,ANPD尚未对此事进行监管。
7.4. 数据保护官任命
DPO 必须由控制者任命。ANPD可以根据实体的性质和规模或数据处理操作的数量免除控制者任命DPO(LGPD第41条和第41(3)条)。
DPO 的身份和联系方式必须公开,最好是在控制者的网站上。DPO的职责包括以下内容(LGPD第41(1)条): • 接受数据主体的投诉和通信,提供澄清并采取措施; • 接收监管机构的通信并采取措施; • 指导实体的雇员和承包商在个人数据保护方面应采取的做法;和 • 履行控制者或补充规则中规定的任何其他职责。
7.5. 数据泄露通知
控制者必须通知ANPD和数据主体任何可能对数据主体造成任何相关风险或损害的安全事件(LGPD第48条)。
通知的内容必须至少包含以下信息(LGPD第48(1)条):
- 对受影响个人数据类型的描述;
- 有关所涉数据主体的信息;
- 说明用于数据保护的技术和安全措施,并适当考虑商业和工业秘密;
- 与事件有关的风险;
- 延迟的原因,如果通知不是立即的;和
- 为扭转或减轻损失的影响而已经或将要采取的措施。
此外,巴西中央银行针对金融实体的第4.658/2018号决议对云计算协议规定了具体要求。
7.6. 数据保留
LGPD 规定数据应尽可能短地存储,并且在达到处理目的后无法处理。此外,ANPD 可以规定控制者和处理者必须保留其处理活动记录的时间段(LGPD 第 40 条)。
7.7. 儿童数据
为了处理儿童的个人数据,LGPD 需要收集至少一位父母或法定监护人提供的具体和明确的同意。 根据《巴西儿童和青少年法规》,儿童为12岁以下的个人,青少年为12岁以上但未满18岁的个人。
7.8. 特殊类别的个人数据
控制者处理敏感个人数据的法律依据如下(LGPD 第 11 条):
- 同意;
- 遵守法律或监管义务;
- 由研究机构进行研究;
- 执行合同或与合同相关的初步程序(数据主体必须是本合同的一方);
- 在诉讼或行政或仲裁程序中定期行使权利;
- 保护生命或人身安全;
- 保护健康(仅适用于卫生专业人员、卫生服务机构或卫生当局执行的程序);和
- 防止欺诈并保证数据主体的安全。
7.9. 控制者和处理者合同
LGPD 下没有关于控制者和处理者协议的具体规则,数据处理者应遵循的唯一要求是数据控制者提供的所有指示。
8. 数据主体权利
LGPD 为数据主体确立了以下权利(LGPD 第 18 条):
- 确认是否存在处理;
- 访问数据;
- 更正不完整、不准确或过时的数据;
- 匿名化、阻止或删除不必要或过多的数据,或不符合 LGPD 规定的数据处理;
- 通过明确请求将数据移植到其他服务提供商或产品供应商;
- 要求删除基于同意处理的个人数据,但 LGPD 第 16 条规定的情况除外;
- 数据共享的相关信息;
- 关于不同意的可能性以及这种拒绝的后果;
- 撤销同意;
- 反对基于仅通过自动化方式进行的个人数据处理的决定。
8.1. 知情权
LGDP 规定,数据主体有权访问有关其个人数据数据处理的信息(LGPD 第 9 条)。LGPD 没有明确提及直接从数据主体或第三方获取个人数据时知情权要求的差异。
8.2. 访问权
LGPD 规定,数据主体有权随时请求获取正在处理的个人数据。
8.3. 更正权
LGPD 规定,数据主体有权随时通过请求更正不完整、不准确或过时的数据。
8.4. 删除权
该权利应在数据主体的请求和同意下行使(LGPD 第 18(VI) 条)。
8.5. 反对/选择退出的权利
LGPD 规定了数据主体可以请求阻止不必要的数据或不符合 LGPD 规定处理的数据。 限制权被定义为通过保留个人数据或数据库暂时停止任何处理操作。
8.6. 数据可移植权利
数据主体有权根据国家当局的规定,通过明确请求的方式移植其数据,并受商业和工业秘密的约束(LGPD 第 18(V)条)。
8.7. 不受自动决策约束的权利
数据主体有权要求审查仅基于自动化处理而做出的决定,包括旨在定义其个人、专业、消费者和信用状况或其个性方面的决定(LGPD 第 20 条)。
9. 处罚
根据LGPD,可以实施以下制裁(LGPD第51条):
- 警告,并指出采取纠正措施的期限;
- 对巴西实体上一财政年度的销售收入处以高达2%的简单罚款,不含税,每次违规行为总额不得超过5000万巴西雷亚尔(约合960万欧元);
- 披露违规行为;
- 阻止与违规行为相关的个人数据,直到其规范化;
- 删除与违规行为相关的个人数据;
- 部分或全部禁止执行与数据处理相关的活动。
以上不准确之处还望各位朋友指正!