巴西《通用数据保护法》解读

2018年8月14日，巴西总统批准了《巴西通用数据保护法》(Lei Geral de Proteção de Dados Pessoais，简称 “LGPD”)。LGPD将于18个月的过渡期后，在2020年2月15日正式生效。LGPD 是巴西首部综合性数据保护法律，对个人数据的收集、使用、处理和存储规则做了详细规定，覆盖巴西所有的经营行业，影响全部私营和公共实体。随着LGPD 的出台，巴西的个人数据保护要求显著增加，管辖范围内的企业将需要投入大量的合规成本以免受处罚。

一 出台背景

在获总统批准前，LGPD经过8年的讨论和起草，并于2018年7月10日由巴西联邦参议院通过。值得一提的是，总统并未批准LGPD的全部条款，而是否决了法案中的几个部分：一是关于建立新监管机构——国家数据保护局(ANPD)的内容。ANPD与欧盟成员国的数据保护机构类似，旨在提供补充性规范、指引和监管。二是建立个人数据和隐私保护委员会(相当欧盟的数据保护委员会)。巴西总统提出的否决理由为，只有通过行政权力倡议(而不是通过议会批准的法律)才能设立新的监管机构。三是LGPD的一些制裁规定，包括暂停数据库或处理操作，以及一些关于公共机构之间数据共享和对数据使用的规定。总统的否决理由是这些制裁有可能造成法律上的不确定性。

二 主要内容

LGPD共十章，第一章是基本规定，对适用范围、法律目的和数据处理原则进行了阐述；第二章、第三章和第四章规定了个人数据的处理和数据主体的权利；第五章规定了数据跨境传输；第六章规定了个人数据处理代理人，包括控制者和处理者、数据保护官、责任和损害赔偿；第七章和第八章是关于数据安全和良好实践、监管的规定；第九章规定了国家数据保护局和国家个人数据和隐私保护委员会（被否决）；第十章规定了最终和过度条款。LGPD的主要内容包括：

（一）跨境管辖

与GDPR类似，该法案不仅适用于总部位于巴西的机构和在巴西处理个人数据的公司，也适用于跨境处理巴西居民的个人数据。LGPD第三条规定的管辖范围适用于任何处理：（1）处理操作是在巴西境内进行；（2）以提供货物或服务为目的的处理活动，或者处理位于巴西境内的个人数据；（3）所处理的个人数据在巴西境内收集。

（二）数据处理的核心原则

LGPD第六条阐述了个人数据处理的核心原则，包括合法、公平、问责、不歧视、目的限制和使用个人数据的透明度，也提出需要 数据最小化，准确性，存储限制和安全，包括完整性和保密性。

（三）数据主体权利

LGPD为居民引入了新权利。一是明确数据权属。与印度《2018年个人数据保护法案（草案）》对数据权属进行信托设计不同，LGPD第17条明确规定所有自然人对其个人数据享有所有权。二是规定了数据可携带权，可遗忘权以及个人数据访问权利。LGPD第18条规定个人数据主体有权在任何时候从控制者处访问数据，更正不完整、不准确或过时的数据，在符合规定的情况下将数据携带到另一服务或产品供应商等。

（四）处理个人资料的法律依据

LGPD第七条规定的个人数据处理依据主要包括数据主体同意、控制者为遵守法律或监管义务、公共行政部门处理和共享使用为履行法律法规所要求，或者基于合同、协议或者类似文件所必需的数据等十方面数据处理依据，强调了研究机构为开展研究、医疗机构为保护健康以及有关部门为保护信用等合法处理个人资料法律基础。

（五）数据跨境传输

LGPD对个人数据的跨境转移进行了限制。第三十三条明确了允许跨境传输的九个条件，数据跨境传输的条件主要可以概括为两个方面：一是第三国或国际组织提供的个人数据保护水平达到了本法规定的充分性程度，即充分性认定；二是在使用标准合同条款或数据保护机构批准的其他机制的情况下，可以进行数据转移。

（六）行政处罚

数据处理代理人如果不遵守LGPD的要求，会被处以巨额罚款。依据LGPD第52条规定，行政处罚可达上一财政年度巴西境内私法人主体、集团或大型企业集团收入的最高百分之二（2％）的总计罚款，单次罚款最高可达五千万雷亚尔（R$ 50,000,000.00），约合1290万美元。

三 与欧盟GDPR的比较

（一）LGPD大量借鉴欧盟GDPR规定

就内容而言，LGPD 与欧盟GDPR存在诸多相似规定，甚至有学者认为LGPD 很大程度上是GDPR 的“镜像”（a“close mirror”）。一是在域外管辖方面，LGPD规定了宽泛的管辖范围。与欧盟GDPR相似，这种宽泛的管辖范围适用于完全在巴西境外进行的、但影响或针对巴西公民的数据处理活动。二是在数据保护原则方面，LGPD与GDPR呈现诸多共有原则。二者包含共有的原则，如责任，目的限制，数据最小化以及安全和隐私设计。三是在行政处罚方面，LGPD罚款额度的设置方式与GDPR相似。LGPD 的处罚，也能高达企业全球收入的2%。

（二）LGPD区别于GDPR的规定

LGPD并非照搬GDPR，二者呈现出诸多方面的差异：一是LGPD进行数据处理注册的企业范围较大。LGPD规定所有的公司都需要进行注册，而GDPR规定雇员人数不足250人的企业无须注册。二是LGPD增加了处理个人数据的合法依据。LGPD第七条引入了十个处理个人数据的依据，使数据控制者能够合法地处理个人数据。相比之下，GDPR只提供6个法律依据。巴西特有的依据包括：为保护健康，按医护人员或医疗机构执行的程序；为了保护信用，包括所适用的法律中关于信用的规定。三是LGPD增设定同意豁免规定。LGPD第七条第四款明确，如资料当事人的个人资料“明显公开”，有关同意的规定将被视为豁免；GDPR没有这样的例外规定。四是LGPD关于数据保护官（DPO）的要求与GDPR存在差异。LGPD强制要求所有公司都设立数据保护官，且必须是自然人；GDPR设定了一些例外，未要求数据保护官须为自然人。五是数据主体的权利不完全相同。LGPD规定了匿名权以及更为广泛的删除、携带和撤销同意的权利，并要求向数据主体免费提供个人数据；GDPR对数据删除权、携带权和限制处理进行了较多限制，并规定数据控制者可以在一些情况下收取费用。除上述主要区别外， GDPR明确数据泄露的通知时间为72小时，而LGPD规定可以由DPA确定合理时间；LGPD缩短了数据控制者响应数据主体请求的时间。与GDPR规定了30天的期限相比，LGPD只规定了15天。

四 对我国的启示

一是数据保护法的制定是提升完善一国数据保护制度的良好契机。巴西通过《通用数据保护法》大幅完善了本国的数据保护制度，并试图证明其在欧盟数据传输标准下的“充分性”，将使巴西成为少数几个提供与欧盟居民类似的数据隐私保护的国家之一。我国应该进一步推动《个人信息保护法》的完善出台，构建适用于数据权利保护和增强数据流动的个人数据保护制度。

二是深入分析国际数据保护立法的趋势，明确我国数据保护的定位。尽管巴西《通用数据保护法》追随效仿欧盟GDPR立法模式，体现了欧盟GDPR强大的影响力，但巴西《通用数据保护法》也同样具有本国特色，与GDPR亦存在区别。我国数据保护立法无疑也需要在符合数据保护国际潮流的同时，立足我国国情和经济发展状况，以求兼容并蓄并坚持自主创新。

（作者：中国信息通信研究院安全研究所 李晓伟）

声明：本文来自互联网新技术新业务安全评估中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。