1. 概述
2024年8月23日,巴西国家数据保护局(ANPD)发布了备受期待的第19号决议,针对跨境数据传输进行了详尽的规定。此新规旨在补充和完善《巴西通用数据保护法》(LGPD)的相关规定,提供了更为明确的法律框架,以确保在跨境数据流动中个人数据的安全与合规性。对于在巴西有业务和投资的中国企业而言,这一新规的发布无疑将对其数据传输操作产生深远影响。
随着全球数据保护法规的不断发展和数字经济的日益增长,跨境数据传输已成为企业运营中的一个关键环节。巴西作为拉丁美洲最大经济体之一,其数据保护政策的更新和强化,将直接影响到在该国运营的外国企业,尤其是那些依赖数据跨境流动的公司。第19号决议不仅规范了跨境数据传输的法律依据和操作要求,还引入了类似欧盟标准合同条款(SCCs)的机制,这为企业合规操作提供了具体指引。
本文将详细解读巴西新规的主要内容,分析其对中国企业的潜在影响,并提出相应的合规建议,帮助企业全面了解新规的要求,为未来数据传输操作奠定良好的合规基础,实现企业在巴西的新法律框架下的平稳运营。
2. 巴西新跨境数据传输规定概述
2.1 发布背景
ANPD在2024年8月23日正式发布了第19号决议,这是对LGPD的一次重要补充。LGPD自实施以来,一直致力于与欧盟《通用数据保护条例》(GDPR)接轨,而这次跨境数据传输新规的发布,旨在进一步完善数据保护机制,使其符合国际标准,从而提升巴西在全球数据市场中的竞争力和参与度。
具体而言,新规在LGPD的基础上填补了之前关于标准合同条款(SCCs)、充分性决定和约束性企业规则(BCRs)的空白,提供了更清晰的法律框架,提升了实施的可操作性;此外,ANPD通过更加严格的跨境数据传输机制,确保巴西公民的数据在国际传输过程中能享有与国内同等水平的隐私保护。这一系列措施不仅提升了数据主体的权利保护,也旨在通过明确的跨境数据规则,促进巴西与其他国家在数字经济领域的合作与贸易。
2.2 关键内容
新规主要涵盖以下几个方面:
2.2.1 法规目标和适用范围
新法规旨在规范跨境数据传输的规则和程序,以确保数据传输符合巴西LGPD的要求。该法规涵盖了向被ANPD认可为提供足够个人数据保护水平的国家和国际组织进行的数据传输,以及当数据控制者能够证明其通过合同条款或全球企业规则符合LGPD要求水平时的数据传输。值得注意的是,法规并未排除基于LGPD第33条规定的其他机制进行数据传输的可能性,只要满足案件的具体要求和适用的法律要求。
2.2.2 法律依据
法规规定,跨境数据传输的实施必须基于LGPD第7条或第11条规定的法律基础,这些法律基础包括数据主体的同意、合同履行、法律义务、保护数据主体重要利益等。这一要求确保了数据的处理目的透明且与数据主体的知情同意相一致。此外,为了进行合法的跨境数据传输,必须使用有效的传输机制,包括充分性决定、SCCs、BCRs等,这些机制为企业提供了在不同情境下进行合法数据传输的指导,下面将详细介绍。
2.2.3 充分性决定
第19号决议明确,ANPD有权通过作出充分性决定,认定某个外国或国际组织的数据保护水平与巴西的LGPD相当,这一机制类似于欧盟的充分性决定。这种决定的目的是确保在数据跨境传输中,接收国的数据保护制度能够为个人数据提供与巴西相近的安全保障,从而促进两国或组织之间的数据自由流动。
为了评估是否符合充分性标准,ANPD会综合考虑多个关键因素,包括:①目的国或国际组织的一般和行业特定的法律法规;②数据的性质;③数据保护原则的遵守情况以及数据主体权利的保障;④采用的安全措施;⑤现有的司法和制度保障(如独立监管机构的存在);⑥与数据传输相关的其他具体情况。
此外,在作出决定时,ANPD不仅会关注数据保护的技术性问题,还会评估该决定的潜在风险和收益,特别是对国际数据流动的影响。同时,外交关系、国际贸易以及与接收国或组织的合作关系也是ANPD评估的重要考量因素。为了进一步促进数据流动,ANPD将优先处理那些与巴西有互惠待遇,并能够推动数据自由流动的国家或组织的申请,但截至目前,ANPD尚未公布任何被认可的国家或组织名单。
在程序方面,充分性决定的启动可以由ANPD董事会主动提出,或由相关公共法律实体申请,经过技术部门的评估与分析后,再由董事会进行最终审议并通过决议公布。如果其他国家或国际组织开始评估巴西的数据保护水平,ANPD也会遵循类似的程序进行内部评估,以确保其制度与国际标准保持一致。
2.2.4标准合同条款(SCCs)
对于那些未被认可为“充分保护”的国家或组织,企业需要采用ANPD规定的标准合同条款。这些条款旨在确保数据传输的各方承诺遵守LGPD的要求,为国际数据传输提供了最低保障和有效条件。新法规规定,这些标准条款必须被数据出口方和进口方签署的文件完整采用(即不允许修改),可以是针对跨境数据传输所签订的合同,也可以是包含其他内容的合同。标准合同条款的采用期限为12个月,企业需要在此期间内完成合同修订。
此外,数据控制者在国际数据传输中必须确保对数据主体的透明度。包括:
(1)提供合同条款:若数据主体要求,控制者需在15天内提供国际数据转移所使用条款的完整副本,前提是遵守商业和工业保密规定,除非ANPD另有规定。
(2)网站信息披露:控制者必须在其网站上发布以葡萄牙语撰写的文件,至少包含以下信息:传输方法、目的、持续时间,目的地国家,控制者的身份及联系方式,数据共享的目的,处理任务代理人的职责及安全措施,以及数据主体的权利和申诉渠道。
2.2.5 等效标准合同条款
根据巴西LGPD的规定,ANPD可以承认其他国家或国际组织的标准合同条款与巴西的标准合同条款等效,前提是这些条款与LGPD的规定相兼容。这项措施是LGPD的一项创新,相较于其他国际数据保护法规(如欧盟GDPR),它有望帮助数据处理行为在全球范围内实现更多操作上的一致性。
19号决议规定,在做出等效认定时,ANPD将考虑以下因素:
(1)与LGPD的兼容性:确认这些标准合同条款是否与LGPD兼容,并确保其提供的数据保护水平与巴西的标准合同条款相当。
(2)风险和收益评估:包括对数据国际流动、外交关系、国际贸易以及与其他国家和国际组织的合作的影响,确保这些条款可以有效保障数据主体的权利和数据保护原则。
ANPD可以通过决议批准这些等效条款,并在其网站上公布。此举有助于巴西在全球数据保护法规框架中实现更加协调的标准,并减少国际数据传输中的法律障碍。
2.2.6 约束性企业规则(BCRs):
约束性企业规则(BCRs)是针对跨国集团或公司集团内组织之间进行国际数据传输的一种法律机制。
根据LGPD的规定,BCRs必须包含详细的信息,涵盖集团内各个成员在数据处理中的责任和数据保护机制。具体包括:
(1)国际数据传输的详细描述:BCRs必须明确国际数据传输的各个方面,包括传输的数据类别、处理操作的性质和目的、法律依据、以及涉及的数据主体类型;
(2)数据传输的目的地国家识别:BCRs需要列出可能传输数据的国家,从而确保这些国家的数据保护水平与集团的标准相符,特别是要满足LGPD的要求;
(3)集团或企业集团的结构:BCRs必须明确集团内相关实体的名单、每个实体在数据处理过程中的角色,以及每个处理个人数据的组织的联系方式;
(4)集团成员的法律约束性:BCRs对集团内所有成员具有法律约束力,包括员工在内的所有人员;
(5)数据主体的权利:BCRs必须清晰说明数据主体的权利及其行使方式,如获取、修改或删除其个人数据的权利,以及如何对数据处理行为提出申诉。这一条款不仅保障了数据主体的权益,还确保企业能够及时回应和解决与数据保护相关的问题;
(6)集团内法律冲突的披露:如果某个集团成员受制于其他国家的法律,导致其无法遵守BCRs的规定,则该成员必须通知负责实体,除非法律明确禁止通知;
(7)隐私治理计划:BCRs必须与集团内的隐私治理计划相结合,确保该计划符合LGPD的最低要求。
BCRs提供了一种灵活、统一的方式,帮助跨国企业在不同法律环境下实现数据合规。通过BCRs,企业能够简化合规程序,减少因国家间法律差异带来的复杂性,这对于那些需要频繁进行跨境数据传输的大型集团来说尤为重要。同时,BCRs还可以增强企业的声誉,使其在数据保护领域表现出高度的责任感和专业性。
综上,19号决议这一新规的出台,标志着巴西在全球数据保护领域中的重要进展,为跨国公司提供了更加清晰的法律框架,确保其在巴西的数据传输操作符合国际标准。这对巴西本地企业以及在巴西有业务的外国公司,尤其是依赖数据跨境流动的中国企业,具有重要的指导意义。
3. 对中国企业的影响和建议
3.1 数据跨境传输合规要求增加
巴西新颁布的跨境数据传输规定将对中国企业在巴西的运营产生重大影响,特别是在处理涉及个人数据的跨境传输时。根据第19号决议,任何涉及从巴西向其他国家传输个人数据的操作都必须遵循巴西LGPD的要求,并确保这些传输符合特定的法律依据。这意味着,中国企业在巴西的分支机构、合作伙伴或子公司如果要将数据传回中国或其他国家,必须确保这些数据传输是基于合法、明确且具体的目的。
此外,企业还需要确保其内部数据传输操作遵循SCCs或BCRs,以满足巴西的合规要求。这对企业在合同管理和数据处理政策方面提出了新的要求,尤其是需要在合同中明确规定数据传输的条款,以符合巴西的新规。
3.2 企业透明度和隐私治理
根据决议要求,跨国公司必须在其运营中确保透明度,特别是要向数据主体(如消费者或用户)提供数据传输条款的完整副本,并在公司网站上公开与数据跨境传输相关的信息,例如目的、持续时间、数据的使用情况等。这将迫使在巴西的中国企业提升其数据保护合规能力,并确保其隐私政策符合巴西法律的规定。同时,跨国公司如果在其内部使用全球企业规则(Binding Corporate Rules, BCRs)进行数据传输,必须确保这些规则符合巴西的隐私治理计划要求。这将对在多个国家运营的中国集团性企业提出更高的合规要求,需要确保所有关联公司的隐私治理计划都达到LGPD的标准,并获得ANPD的批准。
3.3 合规建议与措施
为应对巴西新出台的第19号决议的要求,中国企业应迅速采取措施,制定详细的合规策略,对现有的数据传输合同和数据处理政策进行全面的审查和修订,以确保其跨境数据传输行为符合巴西LGPD的规定。具体措施至少包括:
首先,制定全面的合规策略:中国企业需要进行全面的法律审查,识别涉及从巴西向中国或其他国家传输个人数据的流程,特别是涉及总部与国际分支机构的数据流动。在此过程中,企业需对现有的数据传输机制进行风险评估,识别合规漏洞,并制定整改措施。此类合规计划应明确每个业务部门的责任,并确保所有相关方了解新规要求。
其次,修订跨境数据传输合同:企业需确保合同中明确规定符合SCCs的内容,包括跨境数据传输的合法依据、双方的责任和义务以及数据主体的权利保障。合同条款需清晰界定数据传输的目的、数据处理的具体方式,以及保障数据主体知情权和申请权的机制。
最后,调整内部政策和加强内控:企业应根据新规对其数据处理和传输政策进行更新,确保所有跨境数据传输符合LGPD的要求。同时,企业需建立健全的内部合规审查机制,定期检查跨境数据传输的合规性,并预备应对可能的监管审计或调查。此外,企业应加强对员工的数据保护培训,明确其在数据传输过程中的角色与责任。
总之,企业不仅需要从合同和政策层面加强管理,还应确保在运营和管理实践中体现对数据保护法规的严格遵守。这些举措将有助于企业在巴西的业务中规避合规风险,保持数据传输的合法性和安全性。
结论
随着ANPD发布的第19号决议正式生效,跨境数据传输的合规性成为在巴西运营的中国企业的首要任务。新规不仅明确了数据传输的法律依据,还引入了包括SCCs在内的多项机制,以确保个人数据在国际传输中的安全性。为应对这一挑战,中国企业需要修订合同、调整内部政策,并建立有效的审查机制,以确保合规运营。此外,随着巴西在全球数据保护领域的地位不断提升,中国企业还需关注巴西与其他国家间的合作与协定,制定前瞻性的合规策略,借此提升全球竞争力。
参考文献
•Brazilian National Data Protection Authority Regulates International Transfer of Personal Data and Defines Standard Contractual Clauses Vella Pugliese Buosi Guidoni, August 28, 2024, available at https://www.vpbg.com.br/en/insights/articles/2024/august/28/brazilian-national-data-protection-authority-regulates-international-transfer-of-personal-data
•Brazil: ANPD Publishes Data Transfer Regulation and SCCs. Data Guidance, August 23, 2024, available at https://www.dataguidance.com/news/brazil-anpd-publishes-data-transfer-regulation-and-sccs
•Regulation on International Transfer of Personal Data and the Standard Contractual Clauses Model Participa + Brasil, August 2024, available at https://www.gov.br/participamaisbrasil/regulation-on-international-transfer-of-personal-data
•English version of ANPD No. 19 Resolution about International Data Transfer, available at https://www.mattosfilho.com.br/wp-content/uploads/2024/08/anpd-resolution-idt-english.pdf
往期推荐
出海经纬 | 新加坡数据保护官注册新规:关键要求与合规指南
卓纬研究 | 海外数据跨境回传合规 – 以出海东盟为例
卓纬关注 | 沙特阿拉伯政府要求企业任命数据保护官(DPO)
作者简介
李诘 合伙人
业务领域:跨境投资与并购、政府事务与合规、数据安全与隐私保护、知识产权
联系电话:8621 6859 0516
电子邮箱:joseph.j.li@chancebridge.com
李诘律师,卓纬上海办公室执行合伙人。李律师系美国反舞弊审核协会(ACFE)的认证反舞弊审核师(CFE)和英国标准协会(BSI)认证的ISO 37301合规管理体系合规师。李律师的专业领域主要集中在数据安全与隐私保护、品牌与商业秘密保护、跨境投资与并购以及反腐败与反商业贿赂合规。
李律师在网络安全、数据合规和个人信息保护方面的专业领域积累了丰富的理论与实践经验,他是信息系统审计和控制协会(ISACA)的注册信息系统审计师(CISA)、国际信息隐私专业协会(IAPP)的注册信息隐私专家和院士(CIPP/CIPM/CIPT/FIP)、国际数据管理协会(DAMA)的注册数据管理专家(CDMP)以及EXIN认证的数据保护官和信息安全官(EXIN DPO/ISO)。李律师目前为跨国公司、高科技企业、医药企业、消费品企业以及深圳数据交易所、上海数据交易所和苏州大数据交易所等企业和机构提供数据安全和个人信息保护方面的合规服务。
特 别 声 明
本微信公众号的文章仅供交流之用,不代表北京卓纬律师事务所或其律师的正式法律意见或建议。若需要法律意见或专业分析,请联系并咨询北京卓纬律师事务所及其律师。欢迎转载或引用本微信公众号的文章和内容,请联系沟通授权事宜,并于转载时在文章开头处注明来源于微信公众号“北京卓纬律师事务所”以及作者名字。
