巴西是南美洲最大的发展中国家,对于个人数据保护的立法日趋完善。2018年8月,巴西颁布了《通用数据保护法》,系统完整地规定了对个人数据的保护。今年8月,巴西国家数据保护局发布第19/2024号决议,批准了《数据跨境传输条例》(以下简称《条例》)和标准合同条款的内容,为《通用数据保护法》第33条中概述的需要指导的情况制定了具体方针,例如充分性决定、标准合同条款、特定合同条款、约束性企业规则等。
《通用数据保护法》是巴西第一部关于数据保护的综合性法律,其为有关公司和个人收集、使用、处理和存储数据提供了全面的法律框架。《通用数据保护法》共十章,包含总则、个人数据的处理、个人数据所有者的权利、公共机构对个人数据的处理、国际数据传输、个人数据处理代理、数据安全及良好实践、违规处罚、国家数据保护局及国家保护个人数据和隐私委员会、最终条款和过渡条款等内容。该法旨在保护数据主体的隐私权、信息自决权等基本权利,同时促进数字经济的发展。
在《通用数据保护法》之外,巴西亦有其他法律涉及个人数据的保护。巴西众议院于2014年通过了有网络宪法之称的《互联网民法》,该法对网络服务提供商、运营者等提出了有关个人数据处理的要求以及相关义务,并明确了互联网用户的相关权利。2022年巴西国会颁布的一项宪法修正案将个人数据保护作为一项公民基本权利,明确了对个人数据的保护以及对个人数据处理活动的监督。这一宪法修改晚于《通用数据保护法》的制定和生效,实质上将《通用数据保护法》中的数据保护原则上升到了宪法的高度。
《条例》由巴西国家数据保护局批准,该《条例》对数据跨境传输作出了详细规定,以规范将个人数据传输至巴西境外的行为。与该《条例》同时批准的标准合同条款则为数据传输方与境外数据接收方之间传输个人数据提供了一个合法机制。
根据《通用数据保护法》的规定,巴西成立了国家数据保护局,负责该法的实施。国家数据保护局由董事会、国家个人数据保护和隐私委员会、检察员和适用该法规定所必需的行政单位和专门单位组成。国家数据保护局的职责有:确保依法保护个人数据;确保遵守商业和工业秘密;制定国家个人数据保护和隐私政策的指导方针;在数据处理违法的情况下,通过保障对抗、充分辩护和上诉权利的行政程序,进行监督并实施制裁;宣传个人数据保护的公共知识;促进个人数据和隐私保护的国际做法研究等。
国家个人数据保护和隐私委员会由23名代表组成,其来源广泛,包括联邦行政部门、参议院、众议院、国家司法委员会、全国检察院委员会、互联网指导委员会等。国家个人数据和隐私保护委员会的主要职责是:提出战略指导方针;准备年度报告,评估国家个人数据和隐私保护政策行动的执行情况;向民众传播有关保护个人数据和隐私的知识等。
对一些关键词语,《通用数据保护法》均作了定义。个人数据,《通用数据保护法》将其定义为与已识别或可识别的自然人相关的信息。敏感个人数据,指与自然人相关的种族或民族血统、宗教信仰、政治观点、工会隶属关系或宗教、哲学或政治组织、健康或性生活数据、遗传或生物特征数据的个人数据。数据主体,所处理的个人数据所指的自然人。控制者,负责就个人数据的处理作出主要决定,并定义个人数据处理目的和基本要素的自然人或法人。操作者,代表控制者处理个人数据的自然人或法人,操作者依据控制者的指示及法律规定处理数据。控制者和操作者都是数据处理代理人。负责人,由控制者和操作者指定的人员,负责控制者、数据主体和国家数据保护局之间的沟通。
《通用数据保护法》第33条明确了巴西允许个人数据跨境传输的情况:(1)第三国或国际组织提供的个人数据保护水平达到了本法规定的充分性程度。(2)控制者提供和证明符合本法规定的原则、数据主体权利和数据保护制度的保证文件。(3)根据国际法律文书,政府情报、调查和警察机构之间的国际法律合作需要传输。(4)为了保护数据主体或第三方的生命或身体安全。(5)国家数据保护局授权传输。(6)通过国际合作协议承诺传输。(7)履行公共政策或法定公共服务职责需要传输,并且符合本法规定的程序。(8)数据主体明确同意,且传输目的可清楚地区别于其他目的。(9)履行法律或监管义务,履行合同程序,或在司法、行政、仲裁中正常行使权利等。
《条例》对于《通用数据保护法》中数据跨境传输的内容进行了细化和落实,尤其是对该法第33条中规定的允许个人数据跨境传输的前两种情况。《条例》的适用范围:数据处理操作在巴西境内进行(不包括:数据来源于巴西境外,且未与巴西境内的数据处理主体进行通信或共享;数据来源于巴西境外,仅在处理后返还数据来源国等);数据处理活动的目的是在巴西境内提供商品或服务,或者处理巴西境内个人的数据;需处理的数据收集自巴西境内。
《条例》规定了数据跨境传输的机制:充分性决定、标准合同条款、特定合同条款、约束性企业规则等。
充分性决定。对接收国或国际组织数据保护水平是否达到充分性程度的评估,《通用数据保护法》规定国家数据保护局将考虑以下情况:(1)目的地国或国际机构现行立法的一般和行业规则。(2)数据的性质。(3)遵守数据保护原则和数据主体的权利。(4)目的地国或国际组织采取的安全措施。(5)现有的司法和机构保障,包括独立监管机构的存在。(6)其他与传输相关的具体情况。《条例》对充分性决定的影响因素、程序等作了更细致的规定。迄今为止,巴西国家数据保护局尚未发布充分性决定。
标准合同条款。数据传输方向巴西境外的其他企业传输巴西用户个人数据时,均可以采用标准合同条款作为数据跨境传输机制,需要注意的是不得对国家数据保护局提供的标准合同条款作任何修改或者作另外的抵触性约定。标准条款主要包括以下内容:双方的责任分配、双方的一般义务、数据主体的权利、违约责任、管辖条款等。标准合同条款模型已经与《条例》同时公布。
特定合同条款。由于某些数据跨境传输的独特性,无法适用标准合同条款,控制者可以向国家数据保护局申请批准特定合同条款。特定合同条款必须被证明遵守了《通用数据保护法》中规定的原则、数据主体权利和保护制度等。
约束性企业规则。约束性企业规则旨在适用于同一经济集团的组织之间的数据跨境传输,对集团的所有成员具有约束力。约束性企业规则包括以下内容:根据《通用数据保护法》第50条第2款规定实施的隐私治理计划;数据跨境传输活动的描述;可能的数据接收国;该经济集团的结构及成员在数据跨境中的角色;责任分配;数据主体的权利及行使方式;约束性企业规则的审查程序;集团成员之一受到外国法律决定约束无法遵守约束性企业规则时,要向国家数据保护局报告等。