2024年6月25日,巴西、葡萄牙、安哥拉、佛得角和圣多美及普林西比的数据保护机构的代表在葡萄牙里斯本举行的会议上签署声明,共同启动了 “葡语国家数据保护网络(RLPD)“的创建程序。葡萄牙数据保护委员会(CNPD)成立30周年的活动在该声明发布的同期举行,欧洲数据保护委员会(EDPB)和欧洲数据保护监督局(EDPS)等机构的代表参加了系列活动。
葡语数据保护网络(RLPD)的主要目标包括:(1)成立成员之间的合作机制;(2)创建一个关于数据保护的知识交流永久论坛:(3)遵循国际工具,以在尊重基本权利的前提下实现国际数据跨境传输。
此次声明的签署标志着葡语数据保护网络创建过程正式启动,下一步将是各成员制定章程,预计将在2024年10月前形成第一份草案,各方在12月前提出修改建议。葡语数据保护网络的首次会议预计将在2025年4月举行。
葡语国家数据保护立法概况
由于地理位置相聚遥远和发展程度的不同,葡语国家的数据保护立法进程不尽相同。葡萄牙作为欧盟成员国之一,其数据保护与欧盟标准保持一致。位于南美洲的巴西在参考欧盟《一般数据保护条例》(以下简称“GDPR”)后也发展出了自己的数据保护法律体系。非洲葡语国家由于相近的地理位置和相似的国际组织等原因,其数据治理的发展程度相近,保护措施也相类似。位于亚洲的东帝汶在数据治理方面的发展则相对较缓慢,仅在宪法中对隐私权有所规定。
图:主要葡语国家数据保护立法进程
以葡萄牙语为官方语言的国家中,巴西、葡萄牙、安哥拉、赤道内几亚、佛得角、圣多美和普利西比等相继出台了针对数据保护的相关法律,但是在一些关键定义上仍然存在差异,例如:
适用范围:当前,不同国家的法律对于适用范围的规定不尽相同,规定的基本原则大多遵循了属地原则,即“如在境内处理数据适用本法”。在此基础上,一些国家的法律规定,若进行数据处理的组织注册地或经营范围包括本国,则法律同样适用。如葡萄牙所遵守的欧盟GDPR第3(1)条规定,“本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行”。
个人数据:GDPR第4(1)条规定,“个人数据”指的是任何已识别或可识别的自然人(“数据主体”)相关的信息”,这也是国际社会对个人数据的普遍定义。部分国家在此基础上对“已识别或可识别”、“信息”进行了解释及规定,如安哥拉《数据保护法》第4(1)(a)条中对“个人数据”的描述为“无论其媒介如何,包括声音和图像,并被视为可识别为可直接或间接识别的信息;尤其是通过提及身份号码或其身体、生理、心理、经济、文化或社会身份的一个或多个具体要素”。尽管细节有所差异,但毫无例外是,各个国家都采用了较为模糊的语言定义个人数据,尽量扩大个人数据的范围。
数据处理:葡语国家数据处理相关法律定义基本相同,例如巴西《通用数据保护法》第5(X)条规定,“数据处理”为“对个人数据进行的任何操作”。其他葡语国家也大多采用了这一定义。
敏感个人数据:当前敏感个人数据大致包含了个人的生物数据和个人的社会信息两大方面。出于对政治、宗教等因素的敏感度不同,在对敏感个人数据进行列举时可能会有不同的考量。总体上,葡语国家敏感个人数据包含:种族、族裔、宗教信仰、政治观点、工会、哲学信仰、与自然人有关的健康或型数据、基因或生物数据。在此基础上,圣多美和普林西比将血统列为敏感个人数据,而佛得角则认为意识形态同样属于敏感个人数据。
葡语国家的数据跨境传输规则
葡语国家的数据跨境传输规则大多以GDPR为蓝本,根据本国的社会情况和历史文化进行本土化改造。
充分性认定是首选机制,但并不是唯一方式。一般情况下,国内组织可直接向通过充分性认定的国家传输数据,但安哥拉法律规定,即使通过了充分性认定,在传输之前也需要通知数据保护机构。相对而言,葡萄牙和巴西的数据跨境传输规则更为完善,除充分性认定外,还有具有约束力的公司规则、印章、证书等数据传输工具。非洲葡语国家的数据跨境传输则相对简单,除充分性认定外,更看重数据主体的同意和公共利益。实践中,各国的数据保护机构承担了数据跨境传输机制的实施和监管工作,例如负责评估境外国家的数据保护水平,并以此判断是否能够进行传输。
部分葡语国家规定的数据跨境传输机制如下图所示:
葡语国家数据跨境传输合作的发展
基于政治、经济、文化等不同目标,葡语国家先后成立或参与不同的国际组织,以凝聚共识,增强协作,提高国际影响力。葡语国家参加的国际组织主要以分布在拉美地区的南方共同市场和分布在非洲地区的非洲联盟、南部非洲发展共同体、西非国家经济共同体为主。此次声明签署和网络创建的背景便是于1996年7月17日在葡萄牙首都里斯本正式宣布成立的葡语国家共同体(Comunidade dos Países de Língua Portuguesa--CPLP)。葡语国家共同体由葡萄牙、巴西、安哥拉、莫桑比克、几内亚比绍、佛得角、圣多美和普林西比、东帝汶和赤道几内亚9个官方语言为葡萄牙语的国家组成,这9个国家地处欧洲、亚洲、非洲和拉美,总人口约2.5亿,共同体总部设在葡萄牙首都里斯本。
葡语国家间有关数据的相关合作和条约在2010年之后才陆续启动和发布。这一时间大数据产业飞速发展,数据成为经济发展的重要战略资源,各国纷纷制定相关法律法规。这一时期的相关合作和条约在一定程度上促进了葡语国家的数据治理立法。部分条约规定了统一的数据治理标准,一些条约则要求成员国成立数据保护机构提高数据治理能力,或者以软法的形式为成员国提供数据治理的方向。
其中,南方共同市场在2019年前后与欧盟达成了《欧盟-南方共同市场贸易协定》。作为欧盟与拉美地区达成的重要经济协议,《欧盟-南方共同市场贸易协定》虽然没有直接对数据治理进行规定,但是在部分章节提到了数据相关内容。非洲地区葡语国际组织出台的数据治理规定在成员约束力上存在着较大的差异。如非洲联盟《非洲联盟网络安全和个人数据保护公约》规定成员国应建立数据保护机构,但由于属于倡议性保护公约,对成员国没有强制约束力;而南部非洲发展共同体发布的《数据保护示范法》效力上则更接近欧盟GDPR,致力于打造所有成员国都适用的法律,为成员国设立了统一的数据治理示范法案。在内容方面,这些条约大多与欧盟的GDPR相似,部分条约甚至直接是在欧盟的帮助下起草。2012年前后,第九欧洲发展基金资助了南部非洲发展共同体起草《数据保护示范法》,并由欧洲发展合作组织负责监督该法的起草。由于这些国际组织的约束力相对较弱,并非所有的成员国都签署并落实了相关规定。
数据保护机构的合作对于数据跨境传输合作具有促进作用,同时能够在一定程度上推进双方政府与企业更加深入的交流与合作,推动双方数据保护规则的协同。作为国际性的数据保护大会,全球隐私大会(Global Privacy Assembly)吸引了130多个国家和地区的数据保护和隐私机构参与交流,力求在数据保护和隐私方面发挥国际领导作用。巴西、葡萄牙、圣多美和普林西比作为大会的参与者,在儿童数字权利、公共利益共享等方面曾共同发布了相关决议。2016年,非洲各国成立了非洲数据保护机构(NADPA/RAPD),该机构由来自不同地区的非洲数据保护机构组成,会议每年召开一次旨在为其成员之间的交流与合作建立平台,并在国际上发出非洲声音,安哥拉、佛得角、圣多美和普林西比等都是其成员国。
在全球数字经济蓬勃发展的今天,数据跨境传输已成为国际贸易和合作的重要组成部分。葡语国家数据保护网络(RLPD)的启动,是促进葡语国家间数据保护合作的重要一步。该网络的成立和运行,将为葡语国家间数据跨境传输和数字经济合作开辟广阔的新空间,并带来更多可能性。
*本文参考的相关葡语国家数据保护立法、数据保护机构、国际条约等信息汇总,请点击“阅读原文”下载附表,提取码1234。
其他参考资料
[1]https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-assina-declaracao-pela-criacao-da-rede-lusofona-de-protecao-de-dados
[2]https://baike.baidu.com/item/%E8%91%A1%E8%90%84%E7%89%99%E8%AF%AD%E5%9B%BD%E5%AE%B6%E5%85%B1%E5%90%8C%E4%BD%93/7164805
[3]https://www.fmprc.gov.cn/web/wjb_673085/zzjg_673183/fzs_673445/dqzzhzjz_673449/fzlm_673521/gk_673523/
[4]https://data.worldbank.org/?locations=BR-AR-UY-PY
[5]https://globalprivacyassembly.org/
[6]https://www.rapdp.org/en/qui-sommes-nous
延申阅读
葡语国家数据跨境|巴西发布《个人数据国际传输条例》草案,开放数据跨境国际合作
声明:本文来自数据信任与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。