2024-12-03
出海新時代:巴西隱私政策撰寫
作者:
傅鵬
韋龍杰
隨著“走出去”戰略的深入,拉美已經成為中國企業出海的重要目的地。越來越多的中國企業開始在拉美地區開展業務,尤其是巴西、阿根廷、墨西哥等當地經濟相對發達、人口基數較大、市場前景廣闊的國家。在此過程中,網絡安全和數據保護合規要求成為出海企業需要優先注意和了解的事項。尤其是巴西,其個人數據保護立法之活躍、個人數據保護局的監管之頻繁已經成為企業出海巴西重點關注的內容。
2018年,巴西出臺了《個人數據保護法》(葡萄牙文:Lei Geral de Prote??o de Dados Pessoais,Lei n° 13.709/2018,以下稱“《巴西個保法》”),并設立國家數據保護局(葡萄牙文:Autoridade Nacional de Prote??o de Dados,以下稱“巴西國家數據保護局”或“ANPD”)以對個人數據保護事項進行監管,并對履行《巴西個人數據保護法》的基本義務和要求提供合規指引。巴西國家數據保護局于2020年頒布《用戶協議和隱私政策編制指南(第一稿)》(葡萄牙文:Primeira vers?o do Guia de Elabora??o de Termo de Uso e Política de Privacidade),并于2024年10月根據法律法規的最新規定以及行業實踐情況進行了更新,形成最新版本的《用戶協議和隱私政策編制指南》(葡萄牙文:Guia de Elabora??o de Termo de Uso e Política de Privacidade,以下簡稱“《編制指南》”)。
一、隱私政策文件的命名
二、隱私政策的結構
在實踐操作中,上述部分可能存在合并、拆分或者調整順序的情形,也可能會根據實際業務情況撰寫其他特別章節。因此相關企業在撰寫隱私政策時,可以根據實際提供的產品和服務的情況,對隱私政策的結構予以調整。
三、撰寫巴西隱私政策的十個關注點
(1)共享個人數據類型;
(2)接收共享個人數據的其他數據控制者;
(3)共享個人數據的目的。
(1)雖然《巴西個保法》區分了個人數據提供關系和個人數據委托處理關系,但是實踐中《隱私政策》撰寫會將這兩種情形一并放入這一章節;
(2)一些文本披露的顆粒度為共享個人數據類型、接收個人數據的第三方類型以及共享目的。即使在隱私政策的其他章節已經披露了個人數據字段和類型,此處也可以再重復披露共享個人數據類型;
(3)對于委托第三方處理個人數據情形下的第三方信息,可以不在隱私政策中撰寫,但是在數據主體行權響應章節(具體參見下文),應當提供相應的路徑,以供相關數據主體進行查詢。
但是,出海企業應當注意,雖然隱私政策目前對個人數據跨境傳輸的披露水位不高,但是《巴西個保法》中規定的個人數據跨境傳輸機制(例如跨境充分性認定,個人數據跨境標準合同等機制)仍然是重要合規事項,若中國出海企業需要從巴西境內將相關個人數據跨境傳輸至巴西境外進行處理,需要履行《巴西個保法》項下規定的個人數據跨境傳輸義務。
(1)使用產品和服務的數據主體有哪些權利;
(2)權利的詳細說明;
(3)行權方式。
(1)完整列舉數據主體權利,并進行相應的解釋說明;
(2)以概述方式說明相應的數據主體行權路徑和方式。
(1)使用了哪些Cookie(專有Cookie和第三方Cookie);
(2)Cookie處理了哪些個人數據;
(3)Cookie的使用目的;
(4)用戶如何獲取有關服務中使用的第三方Cookie的更多信息。
(1)介紹Cookie的基本定義以及基本使用邏輯原理;
(2)簡要說明Cookie處理的數據類型,但可以不進行詳盡列舉;
(3)根據Cookie是否必要或使用目的,對不同類別的Cookie進行區分;
(4)合規水位較高的企業會披露如下信息:第一,Cookie存儲個人數據的時間;第二,第三方Cookie相應的隱私政策鏈接以供相關數據主體進行查詢。
(1)對于企業的數據安全保障措施進行整體描述,包括組織和技術措施;
(2)對于發生安全事件的響應予以明確,并進行簡單概述;
(3)合規水位較高的企業會發布安全指引或政策,以供用戶進行瀏覽。
(1)數據控制者的名稱;
(2)數據控制者的地址;
(3)數據控制者的聯系信息。
四、總結和建議
1.巴西相關隱私政策撰寫的要求與中國行業實踐存在諸多區別,不建議企業直接翻譯國內隱私政策或歐盟基于GDPR的隱私政策套用至巴西境內,宜根據實際業務情況對巴西使用的隱私政策進行本地化撰寫;
2.在撰寫過程中,宜采用如下方式:
(1)若中國行業實踐中隱私政策的顆粒度要求比巴西高,則可以將相關隱私政策內容進行概括性描述,并進行使用;
(2)若中國行業實踐中隱私政策的顆粒度要求比巴西低,則應當對數據控制者的實際處理情況進行盡職調查,并真實反映在隱私政策中;
(3)對于中國隱私政策撰寫實踐中未披露但是根據巴西的監管規定需要披露的部分,建議企業根據實際情況單獨撰寫相關章節。
3.巴西個人數據保護法律法規以及合規指引更新速度較快,監管水位較高,建議出海企業定期跟蹤法律法規的頒布、發展,以及隱私政策撰寫的合規水位,及時對隱私政策內容進行調整和更新。
京ICP備05019364號-1 
京公網安備110105011258
近日,北京市海問律師事務所(“本所”)發現,網絡上存在將一家名為“廣州海問睿律咨詢顧問有限公司”的主體與本所進行不當關聯的大量不實信息,導致社會公眾產生混淆與誤解,也對本所的聲譽及正常執業活動造成不良影響。
本所特此澄清,本所與“廣州海問睿律咨詢顧問有限公司”(成立于2025年11月)不存在任何隸屬、投資、關聯、合作、授權或品牌許可關系,亦從未授權任何主體以“海問”的名義提供法律咨詢服務,該公司的任何行為與本所無關。更多詳情,請點擊左下方按鈕查看。
