随着“走出去”战略的深入,拉美已经成为中国企业出海的重要目的地。越来越多的中国企业开始在拉美地区开展业务,尤其是巴西、阿根廷、墨西哥等当地经济相对发达、人口基数较大、市场前景广阔的国家。在此过程中,网络安全和数据保护合规要求成为出海企业需要优先注意和了解的事项。尤其是巴西,其个人数据保护立法之活跃、个人数据保护局的监管之频繁已经成为企业出海巴西重点关注的内容。
2018年,巴西出台了《个人数据保护法》(葡萄牙文:Lei Geral de Proteção de Dados Pessoais,Lei n° 13.709/2018,以下称“《巴西个保法》”),并设立国家数据保护局(葡萄牙文:Autoridade Nacional de Proteção de Dados,以下称“巴西国家数据保护局”或“ANPD”)以对个人数据保护事项进行监管,并对履行《巴西个人数据保护法》的基本义务和要求提供合规指引。巴西国家数据保护局于2020年颁布《用户协议和隐私政策编制指南(第一稿)》(葡萄牙文:Primeira versão do Guia de Elaboração de Termo de Uso e Política de Privacidade),并于2024年10月根据法律法规的最新规定以及行业实践情况进行了更新,形成最新版本的《用户协议和隐私政策编制指南》(葡萄牙文:Guia de Elaboração de Termo de Uso e Política de Privacidade,以下简称“《编制指南》”)。
本文以《巴西个保法》《编制指南》等法律法规和政策文件为基础,为中国企业出海至巴西时的隐私政策撰写提供基本分析。《编制指南》结合ISO20100的规定,对隐私政策的命名予以建议性的规定,即对于企业对内部的隐私政策,宜使用“política de privacidade”(中文翻译:隐私政策)的表述;对于企业对外的隐私政策,例如向数据主体提供产品或服务,宜使用“avisos de privacidade”(中文翻译:隐私通知)的表述。因此,中国企业在巴西向相关用户提供产品和服务时,隐私政策的命名方式宜使用“avisos de privacidade”(即隐私通知)的表述。请注意,在本文中,为符合中国个人信息保护背景下的日常沟通习惯,指称“隐私通知”时,我们仍使用“隐私政策”或“个人信息保护政策”的表述;指称“个人信息”时,我们与“个人数据”一词混用。结合目前的行业实践,巴西企业撰写隐私政策时一般包括如下内容:
在实践操作中,上述部分可能存在合并、拆分或者调整顺序的情形,也可能会根据实际业务情况撰写其他特别章节。因此相关企业在撰写隐私政策时,可以根据实际提供的产品和服务的情况,对隐私政策的结构予以调整。
1. 基本情况和基本定义
结合《巴西个保法》以及《编制指南》对于数据控制者的要求,隐私政策在介绍产品或服务时,应当根据实际情况披露数据控制者的基本情况。同时,结合《巴西个保法》第6条的要求,隐私政策应当可供所有使用企业产品和服务的用户访问,以便相应用户了解个人数据的处理方式。为了更好地理解相应隐私政策,撰写者需要在隐私政策中解释技术或法律术语等重要概念,以澄清专有词汇的含义。结合《巴西个保法》第5条的规定(即专有名词定义条款)以及实践经验,企业一般会将上述第5条中明确的专有名词定义直接引用至其隐私政策中,以供相关用户更好地理解隐私政策内容。因此,中国企业出海巴西并撰写相关隐私政策时,可以根据实际情况选取《巴西个保法》第5条中明确的定义直接引用。2. 处理哪些个人数据,何时处理个人数据
《巴西个保法》第6条规定,处理个人数据需要有目的的限制性和充分性。和中国《个人信息保护法》类似,数据控制者处理个人数据时,应当对数据主体进行充分告知,并且仅能在告知的目的范围内处理个人数据。目前,在巴西开展业务的企业对于撰写处理哪些个人数据,以及何时处理个人数据,可以简单总结为如下两类模式:(1)模式一:完整列明个人信息处理字段以及整体描述何时收集个人信息。例如微软在巴西开展业务时,针对员工的隐私政策,我们摘取部分示例:
(2)模式二:和中国《个人信息保护法》实践类似,根据不同业务和场景描述收集个人信息的情况,但是从颗粒度而言,该等隐私政策比中国隐私政策的颗粒度更粗放。例如PicPay支付服务隐私政策采取了如下规定方式:
因此,中国企业出海时,可以根据实际业务情况,采用模式一或模式二的撰写方式,以满足《巴西个保法》的法律要求。3. 个人数据如何被收集和使用
结合《巴西个保法》第5条和《编制指南》第4.9条的要求,在撰写个人数据如何被收集和使用的部分,应当列明被处理的个人数据以及其使用方式。在实践操作中,如果《隐私政策》已经在前文列明所有的个人数据字段,那么在这一章节可以对个人数据收集和使用情况进行整体描述,例如PicPay支付隐私政策的对应章节隐私政策采用了如下方式:
4. 与谁共享个人数据
根据《巴西个保法》第9条第5项的规定,数据控制者应当向使用服务的数据主体告知对其个人数据的共享使用情况及其共享目的。同时在《编制指南》中,要求数据控制者对如下信息进行披露:(1)共享个人数据类型;
(2)接收共享个人数据的其他数据控制者;
(3)共享个人数据的目的。
目前,一些在巴西开展业务的企业,对这一章节的实践做法如下:(1)虽然《巴西个保法》区分了个人数据提供关系和个人数据委托处理关系,但是实践中《隐私政策》撰写会将这两种情形一并放入这一章节;
(2)一些文本披露的颗粒度为共享个人数据类型、接收个人数据的第三方类型以及共享目的。即使在隐私政策的其他章节已经披露了个人数据字段和类型,此处也可以再重复披露共享个人数据类型;
(3)对于委托第三方处理个人数据情形下的第三方信息,可以不在隐私政策中撰写,但是在数据主体行权响应章节(具体参见下文),应当提供相应的路径,以供相关数据主体进行查询。
例如,巴西Itaú银行在隐私政策中的相关章节采用如下描述方式:
5. 个人数据跨境传输
结合《巴西个保法》和《编制指南》的要求,如果涉及国家之间的数据传输,必须向数据主体明确哪些数据将传输至巴西境外,并明确出境目的、涉及国家、以及这些接收方所在国规定了什么程度的个人数据保护要求。目前在行业实践中,对于跨境传输中的具体境外国家、境外国家数据保护程度的承诺等事项,巴西企业并没有在隐私政策中进行明确披露。因此,我们理解,对于跨境传输个人数据事项,隐私政策披露仅需要进行一般性和概括性陈述。例如,巴西Itaú银行在隐私政策中的相关章节采用如下描述方式:
但是,出海企业应当注意,虽然隐私政策目前对个人数据跨境传输的披露水位不高,但是《巴西个保法》中规定的个人数据跨境传输机制(例如跨境充分性认定,个人数据跨境标准合同等机制)仍然是重要合规事项,若中国出海企业需要从巴西境内将相关个人数据跨境传输至巴西境外进行处理,需要履行《巴西个保法》项下规定的个人数据跨境传输义务。
6. 个人如何行使主体权利
根据《巴西个保法》第9条和第18条规定,个人数据的处理应以透明的方式进行,并尊重个人的隐私、荣誉和形象,以及个人自由和安全保障。结合《巴西个保法》相关条款以及透明原则、自由访问原则,数据控制者一般应当向数据主体告知如下权利事项:(1)使用产品和服务的数据主体有哪些权利;
(2)权利的详细说明;
(3)行权方式。
(1)完整列举数据主体权利,并进行相应的解释说明;
(2)以概述方式说明相应的数据主体行权路径和方式。
例如,PicPay支付工具的隐私政策相关章节采取了如下模式:
7. Cookie的定义以及如何使用Cookie
与中国隐私政策撰写习惯不同的是,《巴西个保法》《编制指南》以及行业实践中对于Cookie定义和使用部分的撰写要求较高。根据《编制指南》第4.13条的规定,撰写Cookie章节时需要包含如下信息:(1)使用了哪些Cookie(专有Cookie和第三方Cookie);
(2)Cookie处理了哪些个人数据;
(3)Cookie的使用目的;
(4)用户如何获取有关服务中使用的第三方Cookie的更多信息。
在实践操作中,Cookie的撰写一般会采用如下方式:(1)介绍Cookie的基本定义以及基本使用逻辑原理;
(2)简要说明Cookie处理的数据类型,但可以不进行详尽列举;
(3)根据Cookie是否必要或使用目的,对不同类别的Cookie进行区分;
(4)合规水位较高的企业会披露如下信息:第一,Cookie存储个人数据的时间;第二,第三方Cookie相应的隐私政策链接以供相关数据主体进行查询。
例如,Grupo Boticário的隐私政策的Cookie章节属于较为普遍的撰写模式,具体如下:
8. 数据控制者如何保护个人数据
根据《编制指南》第4.12条规定,处理个人数据应采取安全技术和管理措施,保护个人数据免受未经授权的访问、意外或非法的破坏、丢失、更改、传输或其他任何形式的不当或非法处理,并对因违反个人数据安全而造成的损害负责。因此,数据主体了解处理其个人数据的服务中实施的安全措施非常重要。此外,控制者应向数据主体告知潜在安全事件发生的可能性。在实践中,巴西企业会对保护个人数据事项进行如下描述:(1)对于企业的数据安全保障措施进行整体描述,包括组织和技术措施;
(2)对于发生安全事件的响应予以明确,并进行简单概述;
(3)合规水位较高的企业会发布安全指引或政策,以供用户进行浏览。
例如,巴西Itaú银行在隐私政策中的相关章节采用如下描述方式:
9. 隐私政策的更新
根据《编制指南》第4.13条规定,由于隐私政策描述了如何处理个人数据,因此需要确保数据主体了解隐私政策的更新。例如,更改控制者的联系方式或更改个人数据的处理方式等事项均需要向相关数据主体进行通知。当数据主体使用相关产品或服务时,企业可以通过向电子邮件发送消息或直接在应用程序中进行通知。在实践中,巴西企业会对隐私政策更新事项进行基本描述,例如PicPay支付的隐私政策相关章节如下:
10. 联系方式和回复问题
结合《巴西个保法》第6条和《编制指南》第4.3条的规定,披露数据控制者时应包含以下信息:(1)数据控制者的名称;
(2)数据控制者的地址;
(3)数据控制者的联系信息。
同时,《编制指南》对于披露联系方式时的方法进行了描述,具体如下:
在实践中,巴西企业一般会对于企业基本信息以及联系方式进行明确披露,以回复数据主体的问题,满足透明性原则以及响应数据主体的相关权利要求。目前,中国企业出海巴西依旧是出海热点之一,作为重要的出海目的地国,巴西的隐私政策撰写工作亦是前期合规工作的重点,在此我们建议中国的出海企业注意如下内容:
1.巴西相关隐私政策撰写的要求与中国行业实践存在诸多区别,不建议企业直接翻译国内隐私政策或欧盟基于GDPR的隐私政策套用至巴西境内,宜根据实际业务情况对巴西使用的隐私政策进行本地化撰写;
2.在撰写过程中,宜采用如下方式:
(1)若中国行业实践中隐私政策的颗粒度要求比巴西高,则可以将相关隐私政策内容进行概括性描述,并进行使用;
(2)若中国行业实践中隐私政策的颗粒度要求比巴西低,则应当对数据控制者的实际处理情况进行尽职调查,并真实反映在隐私政策中;
(3)对于中国隐私政策撰写实践中未披露但是根据巴西的监管规定需要披露的部分,建议企业根据实际情况单独撰写相关章节。
3.巴西个人数据保护法律法规以及合规指引更新速度较快,监管水位较高,建议出海企业定期跟踪法律法规的颁布、发展,以及隐私政策撰写的合规水位,及时对隐私政策内容进行调整和更新。
京公网安备110105011258