巴西数据保护局(以下简称“ANPD”)于2023年8月15日发布了《个人数据国际传输条例》草案(以下简称“《条例草案》”)及《标准合同条款》以征求公众意见

在数字经济全球化的背景下,我国积极推进高水平对外开放、构建开放型经济新体制,鼓励促进数据安全有序自由流动。2023年8月13日,《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》发布,支持粤港澳大湾区等地探索便利化的数据跨境流动安全管理机制。

巴西是中国最大的葡语国家贸易伙伴,同时中国是巴西最大的贸易伙伴。澳门作为“中葡商贸合作服务平台”,长期以来一直发挥着连接中国和葡语国家的作用。随着数据要素在全球经济发展中的重要性持续增长,数据跨境流动或成为充分发挥澳门独特桥梁作用,深入推进中葡数字经济交往的关键抓手。

1.巴西数据跨境传输的法律机制

巴西《通用数据保护法》(以下简称“LGPD”)是巴西针对个人数据保护的主要法规,由ANPD负责实施。

LGPD第33条明确了巴西个人数据跨境传输的法律机制:

(1)第三国或国际组织提供的个人数据保护水平达到了LGPD规定的充分性程度

(2)当控制者提供和证明符合LGPD规定的原则、数据主体权利和数据保护制度的保证文件时,其形式为:

    • 用以传输的具体合同条款;

    • 标准合同条款(以下简称“SCC”)

    • 全球性的公司规则(类似于欧盟有约束力公司规则,即BCR)

    • 定期发布的印章、证书和行为准则。

(3)根据国际法律文书,政府情报,调查和警察机构之间的国际法律合作需要传输;

(4)为了保护数据主体或第三方的生命或身体安全;

(5)ANPD授权传输;

(6)通过国际合作协议承诺传输;

(7)履行公共政策或法定公共服务职责之必要;

(8)数据主体明确同意,且传输目的可清楚地区别于其他目的;

(9)遵守法律或监管义务;合同程序;司法、行政、仲裁中正常行使权利

2.《条例草案》是对现有数据跨境传输机制的细化

《条例草案》明确其适用于两类数据跨境传输方式,一类是提供符合LGPD充分保护水平的国家或国际组织;一类是“提供并保证遵守LGPD规定的原则、权利和数据保护制度”,包括标准合同条款、全球性企业规则等。

充分性决定

《条例草案》规定,ANPD将确定具有充分保护水平的国家或地区名单,以允许个人数据在巴西与这些国家或地区之间自由流动。《条例草案》明确,ANPD将优先评估保证巴西互惠待遇的外国或国际组织的数据保护水平

ANPD在评估国家或国际组织个人数据保护水平时将考虑以下内容:

  • 现行立法的一般规则和部门规则;

  • 数据的性质;

  • 遵守LGPD中规定的保护个人数据和数据主体权利的一般原则;

  • 采取适当的安全措施,尽量减少对持有人(holder)公民自由和基本权利的影响;

  • 是否存在尊重个人数据保护权的司法和制度保障;

  • 与跨境传输有关的其他具体情况。

标准合同条款

与欧盟标准合同条款有4个模块不同,《条例草案》只规定了一种模式。根据《条例草案》,标准合同条款不得做任何修改,任何附加条款或其他规定不得直接或间接排除、修改或反驳条款规定。但是,经ANPD审查批准后,其他国家的标准合同条款可以视为《条例草案》标准合同的有效替代方案

《条例草案》首次提出了以葡萄牙语发布关于数据跨境通知的具体要求。《条例草案》第16条规定,必须以葡萄牙语在其互联网页面上显着且易于访问的位置发布信息,作为隐私声明或其他同等文件的一部分并以简单语言介绍以下有关个人数据国际传输的主要信息:

  • 跨境传输的形式、期限和具体目的;

  • 传输数据的目的地国家;

  • 控制者的身份和联系方式;

  • 控制者对数据的共享使用及其目的;

  • 进行处理的代理人的责任;

  • 数据主体的权利及其行使方式,包括易于访问的渠道以及向ANPD对控制者提出控告的权利。

在数据主体权利方面,《条例草案》标准合同没有像欧盟标准合同条款一样限制过度请求。此外,数据主体有权通过在巴西提起司法索赔来寻求个人或集体损害赔偿,如果举证责任对于数据主体来说过于繁重,法院可以酌情将举证责任转移给控制者。

全球性公司规则

全球性公司规则适用于同一经济集团的组织之间的数据传输,对该集团的所有成员都具有约束力。《条例草案》规定,通过此种方式跨境传输个人数据则公司必须建立和实施隐私治理计划,并概述了该计划的最低要求,如采取内部流程和政策确保遵守个人数据保护相关规则和良好实践。全球性公司规则制定后,需交由ANPD进行审批。

《条例草案》在2023年8月15日至9月14日征询公众意见。意见征询期结束后,ANPD将举行公开听证会,讨论该草案。一旦法规草案获得批准,它将在发布后立即生效,公司将有180天的时间将ANPD版本纳入其现有的SCC协议或实施新协议。

3. 《条例草案》释放数据跨境传输国际合作积极信号

在上述三种数据跨境流动方式具体落地中,《条例草案》都留有与其他国家或地区合作的空间并表达出合作的意向。第一,在充分性决定方面,ANPD将优先评估保证巴西互惠待遇的外国或国际组织的数据保护水平。第二,其他国家的标准合同条款可以视为《条例草案》标准合同的有效替代方案。第三,全球性公司规则与欧盟有约束力的公司规则、我国个人信息保证类似,都适用于同一经济集团的组织之间的数据传输。

基于历史渊源,澳门与葡语国家长期以来保持着密切的联系。澳门作为中国与葡语国家商贸合作服务平台,推动着中国与葡语国家的贸易投资、产业合作。此外,澳门《个人资料保护法》中规定的个人数据跨境转移机制与巴西有诸多相似之处,如澳门特区也将“充分性认定”作为数据跨境传输机制,这使得澳门与巴西的数据跨境传输之间存在制度的衔接空间。

未来,澳门若能够成为“中葡数据跨境流通据点”,则必将架起中国与葡语国家合作的桥梁,从而在融入国家发展大局的同时实现自身的多元化、可持续发展。

附:澳门特区个人资料跨境转移相关规定

依据《个人资料保护法》,个人资料原则上仅在遵守本法规定且转移地达到适当保护程度的情况下方可转移到特区以外的地方。一国或地区是否达到“适当保护程度”由澳门公共当局决定。这种途径与欧盟的“充分性保护认定决定”相似。

通常采用的方法,是根据互惠的原则把已经达到适当保护水平的国家/地区名单列入“白名单”。而直至目前为止,澳门未将任何国家或地区列入“白名单”。

如资料转移的目的地对个人资料没有适当保护程度,则在符合以下法律规定的前提下,实体仍可以将个人资料转移,但须通知公共当局,即使不确定资料转移的目的地是否对个人资料有适当保护程度,也可以选择直接作出通知:

1. 当资料当事人明确同意转移;转移是执行资料当事人和负责实体间的合同所必需,或是应资料当事人要求执行订定合同的预先措施所必需者;

2. 转移是执行或订定一合同所必需,而该合同是为了资料当事人的利益由负责实体和第三人之间所订立或将要订立者;

3. 转移是保护一重要的公共利益,或是在司法诉讼中宣告、行使或维护一权利所必需的或法律所要求者;

4. 转移是保护资料当事人的重大利益所必需者;

5. 转移自作出公开登记后进行。根据法律或行政法规,该登记是为着公众资讯和可供一般公众或证明有正当利益的人公开查询之用者,只要在具体情况下遵守上述法律或行政法规订定的查询条件。

当转移的目的地对个人资料没有适当保护程度,且有关转移不符合上述第1-5点的规定,则实体在确保有足够的保障他人的私人生活、基本权利和自由的机制,尤其透过适当的合同条款确保这些权利的行使的情况下,可申请许可,在获公共当局许可后方可将个人资料转移。(《个人资料保护法》第二十条第二款)

如当个人资料的转移成为维护公共安全、预防犯罪、刑事侦查和制止刑事违法行为以及保障公共卫生所必需的措施时,个人资料的转移如由专门法律或适用于特区的国际法文书以及区际协定规范,则无需向公共当局申请许可。(《个人资料保护法》第二十条第三款)

参考链接:

1.https://www.gov.br/anpd/pt-br/assuntos/noticias/aberta-consulta-publica-sobre-norma-de-transferencias-internacionais-de-dados-pessoais

2.https://www.jdsupra.com/legalnews/brazil-data-protection-agency-anpd-6651324/

3.https://www.dataguidance.com/news/brazil-anpd-requests-public-comments-resolution-%C2%A0data

声明:本文来自数据信任与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。