隨著“走出去”戰略的深入,拉美已經成為中國企業出海的重要目的地。越來越多的中國企業開始在拉美地區開展業務,尤其是巴西、阿根廷、墨西哥等當地經濟相對發達、人口基數較大、市場前景廣闊的國家。在此過程中,網絡安全和數據保護合規要求成為出海企業需要優先注意和了解的事項。尤其是巴西,其個人數據保護立法之活躍、個人數據保護局的監管之頻繁已經成為企業出海巴西重點關注的內容。
2018年,巴西出臺了《個人數據保護法》(葡萄牙文:Lei Geral de Prote??o de Dados Pessoais,Lei n° 13.709/2018,以下稱“《巴西個保法》”),并設立國家數據保護局(葡萄牙文:Autoridade Nacional de Prote??o de Dados,以下稱“巴西國家數據保護局”或“ANPD”)以對個人數據保護事項進行監管,并對履行《巴西個人數據保護法》的基本義務和要求提供合規指引。巴西國家數據保護局于2020年頒布《用戶協議和隱私政策編制指南(第一稿)》(葡萄牙文:Primeira vers?o do Guia de Elabora??o de Termo de Uso e Política de Privacidade),并于2024年10月根據法律法規的最新規定以及行業實踐情況進行了更新,形成最新版本的《用戶協議和隱私政策編制指南》(葡萄牙文:Guia de Elabora??o de Termo de Uso e Política de Privacidade,以下簡稱“《編制指南》”)。
本文以《巴西個保法》《編制指南》等法律法規和政策文件為基礎,為中國企業出海至巴西時的隱私政策撰寫提供基本分析。《編制指南》結合ISO20100的規定,對隱私政策的命名予以建議性的規定,即對于企業對內部的隱私政策,宜使用“política de privacidade”(中文翻譯:隱私政策)的表述;對于企業對外的隱私政策,例如向數據主體提供產品或服務,宜使用“avisos de privacidade”(中文翻譯:隱私通知)的表述。因此,中國企業在巴西向相關用戶提供產品和服務時,隱私政策的命名方式宜使用“avisos de privacidade”(即隱私通知)的表述。請注意,在本文中,為符合中國個人信息保護背景下的日常溝通習慣,指稱“隱私通知”時,我們仍使用“隱私政策”或“個人信息保護政策”的表述;指稱“個人信息”時,我們與“個人數據”一詞混用。結合目前的行業實踐,巴西企業撰寫隱私政策時一般包括如下內容:
在實踐操作中,上述部分可能存在合并、拆分或者調整順序的情形,也可能會根據實際業務情況撰寫其他特別章節。因此相關企業在撰寫隱私政策時,可以根據實際提供的產品和服務的情況,對隱私政策的結構予以調整。
1. 基本情況和基本定義
結合《巴西個保法》以及《編制指南》對于數據控制者的要求,隱私政策在介紹產品或服務時,應當根據實際情況披露數據控制者的基本情況。同時,結合《巴西個保法》第6條的要求,隱私政策應當可供所有使用企業產品和服務的用戶訪問,以便相應用戶了解個人數據的處理方式。為了更好地理解相應隱私政策,撰寫者需要在隱私政策中解釋技術或法律術語等重要概念,以澄清專有詞匯的含義。結合《巴西個保法》第5條的規定(即專有名詞定義條款)以及實踐經驗,企業一般會將上述第5條中明確的專有名詞定義直接引用至其隱私政策中,以供相關用戶更好地理解隱私政策內容。因此,中國企業出海巴西并撰寫相關隱私政策時,可以根據實際情況選取《巴西個保法》第5條中明確的定義直接引用。2. 處理哪些個人數據,何時處理個人數據
《巴西個保法》第6條規定,處理個人數據需要有目的的限制性和充分性。和中國《個人信息保護法》類似,數據控制者處理個人數據時,應當對數據主體進行充分告知,并且僅能在告知的目的范圍內處理個人數據。目前,在巴西開展業務的企業對于撰寫處理哪些個人數據,以及何時處理個人數據,可以簡單總結為如下兩類模式:(1)模式一:完整列明個人信息處理字段以及整體描述何時收集個人信息。例如微軟在巴西開展業務時,針對員工的隱私政策,我們摘取部分示例:
(2)模式二:和中國《個人信息保護法》實踐類似,根據不同業務和場景描述收集個人信息的情況,但是從顆粒度而言,該等隱私政策比中國隱私政策的顆粒度更粗放。例如PicPay支付服務隱私政策采取了如下規定方式:
因此,中國企業出海時,可以根據實際業務情況,采用模式一或模式二的撰寫方式,以滿足《巴西個保法》的法律要求。3. 個人數據如何被收集和使用
結合《巴西個保法》第5條和《編制指南》第4.9條的要求,在撰寫個人數據如何被收集和使用的部分,應當列明被處理的個人數據以及其使用方式。在實踐操作中,如果《隱私政策》已經在前文列明所有的個人數據字段,那么在這一章節可以對個人數據收集和使用情況進行整體描述,例如PicPay支付隱私政策的對應章節隱私政策采用了如下方式:
4. 與誰共享個人數據
根據《巴西個保法》第9條第5項的規定,數據控制者應當向使用服務的數據主體告知對其個人數據的共享使用情況及其共享目的。同時在《編制指南》中,要求數據控制者對如下信息進行披露:(1)共享個人數據類型;
(2)接收共享個人數據的其他數據控制者;
(3)共享個人數據的目的。
目前,一些在巴西開展業務的企業,對這一章節的實踐做法如下:(1)雖然《巴西個保法》區分了個人數據提供關系和個人數據委托處理關系,但是實踐中《隱私政策》撰寫會將這兩種情形一并放入這一章節;
(2)一些文本披露的顆粒度為共享個人數據類型、接收個人數據的第三方類型以及共享目的。即使在隱私政策的其他章節已經披露了個人數據字段和類型,此處也可以再重復披露共享個人數據類型;
(3)對于委托第三方處理個人數據情形下的第三方信息,可以不在隱私政策中撰寫,但是在數據主體行權響應章節(具體參見下文),應當提供相應的路徑,以供相關數據主體進行查詢。
例如,巴西Itaú銀行在隱私政策中的相關章節采用如下描述方式:
5. 個人數據跨境傳輸
結合《巴西個保法》和《編制指南》的要求,如果涉及國家之間的數據傳輸,必須向數據主體明確哪些數據將傳輸至巴西境外,并明確出境目的、涉及國家、以及這些接收方所在國規定了什么程度的個人數據保護要求。目前在行業實踐中,對于跨境傳輸中的具體境外國家、境外國家數據保護程度的承諾等事項,巴西企業并沒有在隱私政策中進行明確披露。因此,我們理解,對于跨境傳輸個人數據事項,隱私政策披露僅需要進行一般性和概括性陳述。例如,巴西Itaú銀行在隱私政策中的相關章節采用如下描述方式:
但是,出海企業應當注意,雖然隱私政策目前對個人數據跨境傳輸的披露水位不高,但是《巴西個保法》中規定的個人數據跨境傳輸機制(例如跨境充分性認定,個人數據跨境標準合同等機制)仍然是重要合規事項,若中國出海企業需要從巴西境內將相關個人數據跨境傳輸至巴西境外進行處理,需要履行《巴西個保法》項下規定的個人數據跨境傳輸義務。
6. 個人如何行使主體權利
根據《巴西個保法》第9條和第18條規定,個人數據的處理應以透明的方式進行,并尊重個人的隱私、榮譽和形象,以及個人自由和安全保障。結合《巴西個保法》相關條款以及透明原則、自由訪問原則,數據控制者一般應當向數據主體告知如下權利事項:(1)使用產品和服務的數據主體有哪些權利;
(2)權利的詳細說明;
(3)行權方式。
(1)完整列舉數據主體權利,并進行相應的解釋說明;
(2)以概述方式說明相應的數據主體行權路徑和方式。
例如,PicPay支付工具的隱私政策相關章節采取了如下模式:
7. Cookie的定義以及如何使用Cookie
與中國隱私政策撰寫習慣不同的是,《巴西個保法》《編制指南》以及行業實踐中對于Cookie定義和使用部分的撰寫要求較高。根據《編制指南》第4.13條的規定,撰寫Cookie章節時需要包含如下信息:(1)使用了哪些Cookie(專有Cookie和第三方Cookie);
(2)Cookie處理了哪些個人數據;
(3)Cookie的使用目的;
(4)用戶如何獲取有關服務中使用的第三方Cookie的更多信息。
在實踐操作中,Cookie的撰寫一般會采用如下方式:(1)介紹Cookie的基本定義以及基本使用邏輯原理;
(2)簡要說明Cookie處理的數據類型,但可以不進行詳盡列舉;
(3)根據Cookie是否必要或使用目的,對不同類別的Cookie進行區分;
(4)合規水位較高的企業會披露如下信息:第一,Cookie存儲個人數據的時間;第二,第三方Cookie相應的隱私政策鏈接以供相關數據主體進行查詢。
例如,Grupo Boticário的隱私政策的Cookie章節屬于較為普遍的撰寫模式,具體如下:
8. 數據控制者如何保護個人數據
根據《編制指南》第4.12條規定,處理個人數據應采取安全技術和管理措施,保護個人數據免受未經授權的訪問、意外或非法的破壞、丟失、更改、傳輸或其他任何形式的不當或非法處理,并對因違反個人數據安全而造成的損害負責。因此,數據主體了解處理其個人數據的服務中實施的安全措施非常重要。此外,控制者應向數據主體告知潛在安全事件發生的可能性。在實踐中,巴西企業會對保護個人數據事項進行如下描述:(1)對于企業的數據安全保障措施進行整體描述,包括組織和技術措施;
(2)對于發生安全事件的響應予以明確,并進行簡單概述;
(3)合規水位較高的企業會發布安全指引或政策,以供用戶進行瀏覽。
例如,巴西Itaú銀行在隱私政策中的相關章節采用如下描述方式:
9. 隱私政策的更新
根據《編制指南》第4.13條規定,由于隱私政策描述了如何處理個人數據,因此需要確保數據主體了解隱私政策的更新。例如,更改控制者的聯系方式或更改個人數據的處理方式等事項均需要向相關數據主體進行通知。當數據主體使用相關產品或服務時,企業可以通過向電子郵件發送消息或直接在應用程序中進行通知。在實踐中,巴西企業會對隱私政策更新事項進行基本描述,例如PicPay支付的隱私政策相關章節如下:
10. 聯系方式和回復問題
結合《巴西個保法》第6條和《編制指南》第4.3條的規定,披露數據控制者時應包含以下信息:(1)數據控制者的名稱;
(2)數據控制者的地址;
(3)數據控制者的聯系信息。
同時,《編制指南》對于披露聯系方式時的方法進行了描述,具體如下:
在實踐中,巴西企業一般會對于企業基本信息以及聯系方式進行明確披露,以回復數據主體的問題,滿足透明性原則以及響應數據主體的相關權利要求。目前,中國企業出海巴西依舊是出海熱點之一,作為重要的出海目的地國,巴西的隱私政策撰寫工作亦是前期合規工作的重點,在此我們建議中國的出海企業注意如下內容:
1.巴西相關隱私政策撰寫的要求與中國行業實踐存在諸多區別,不建議企業直接翻譯國內隱私政策或歐盟基于GDPR的隱私政策套用至巴西境內,宜根據實際業務情況對巴西使用的隱私政策進行本地化撰寫;
2.在撰寫過程中,宜采用如下方式:
(1)若中國行業實踐中隱私政策的顆粒度要求比巴西高,則可以將相關隱私政策內容進行概括性描述,并進行使用;
(2)若中國行業實踐中隱私政策的顆粒度要求比巴西低,則應當對數據控制者的實際處理情況進行盡職調查,并真實反映在隱私政策中;
(3)對于中國隱私政策撰寫實踐中未披露但是根據巴西的監管規定需要披露的部分,建議企業根據實際情況單獨撰寫相關章節。
3.巴西個人數據保護法律法規以及合規指引更新速度較快,監管水位較高,建議出海企業定期跟蹤法律法規的頒布、發展,以及隱私政策撰寫的合規水位,及時對隱私政策內容進行調整和更新。
京公網安備110105011258