隨著“走出去”戰(zhàn)略的深入���,拉美已經(jīng)成為中國(guó)企業(yè)出海的重要目的地����。越來(lái)越多的中國(guó)企業(yè)開(kāi)始在拉美地區(qū)開(kāi)展業(yè)務(wù)���,尤其是巴西���、阿根廷����、墨西哥等當(dāng)?shù)亟?jīng)濟(jì)相對(duì)發(fā)達(dá)�����、人口基數(shù)較大��、市場(chǎng)前景廣闊的國(guó)家����。在此過(guò)程中,網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)合規(guī)要求成為出海企業(yè)需要優(yōu)先注意和了解的事項(xiàng)��。尤其是巴西�����,其個(gè)人數(shù)據(jù)保護(hù)立法之活躍、個(gè)人數(shù)據(jù)保護(hù)局的監(jiān)管之頻繁已經(jīng)成為企業(yè)出海巴西重點(diǎn)關(guān)注的內(nèi)容�。
2018年����,巴西出臺(tái)了《個(gè)人數(shù)據(jù)保護(hù)法》(葡萄牙文:Lei Geral de Prote??o de Dados Pessoais�,Lei n° 13.709/2018,以下稱(chēng)“《巴西個(gè)保法》”)���,并設(shè)立國(guó)家數(shù)據(jù)保護(hù)局(葡萄牙文:Autoridade Nacional de Prote??o de Dados,以下稱(chēng)“巴西國(guó)家數(shù)據(jù)保護(hù)局”或“ANPD”)以對(duì)個(gè)人數(shù)據(jù)保護(hù)事項(xiàng)進(jìn)行監(jiān)管����,并對(duì)履行《巴西個(gè)人數(shù)據(jù)保護(hù)法》的基本義務(wù)和要求提供合規(guī)指引。巴西國(guó)家數(shù)據(jù)保護(hù)局于2020年頒布《用戶(hù)協(xié)議和隱私政策編制指南(第一稿)》(葡萄牙文:Primeira vers?o do Guia de Elabora??o de Termo de Uso e Política de Privacidade),并于2024年10月根據(jù)法律法規(guī)的最新規(guī)定以及行業(yè)實(shí)踐情況進(jìn)行了更新,形成最新版本的《用戶(hù)協(xié)議和隱私政策編制指南》(葡萄牙文:Guia de Elabora??o de Termo de Uso e Política de Privacidade���,以下簡(jiǎn)稱(chēng)“《編制指南》”)�����。
本文以《巴西個(gè)保法》《編制指南》等法律法規(guī)和政策文件為基礎(chǔ),為中國(guó)企業(yè)出海至巴西時(shí)的隱私政策撰寫(xiě)提供基本分析。《編制指南》結(jié)合ISO20100的規(guī)定,對(duì)隱私政策的命名予以建議性的規(guī)定��,即對(duì)于企業(yè)對(duì)內(nèi)部的隱私政策,宜使用“política de privacidade”(中文翻譯:隱私政策)的表述;對(duì)于企業(yè)對(duì)外的隱私政策,例如向數(shù)據(jù)主體提供產(chǎn)品或服務(wù)��,宜使用“avisos de privacidade”(中文翻譯:隱私通知)的表述。因此,中國(guó)企業(yè)在巴西向相關(guān)用戶(hù)提供產(chǎn)品和服務(wù)時(shí),隱私政策的命名方式宜使用“avisos de privacidade”(即隱私通知)的表述�����。請(qǐng)注意,在本文中,為符合中國(guó)個(gè)人信息保護(hù)背景下的日常溝通習(xí)慣��,指稱(chēng)“隱私通知”時(shí),我們?nèi)允褂谩半[私政策”或“個(gè)人信息保護(hù)政策”的表述;指稱(chēng)“個(gè)人信息”時(shí)����,我們與“個(gè)人數(shù)據(jù)”一詞混用�����。結(jié)合目前的行業(yè)實(shí)踐���,巴西企業(yè)撰寫(xiě)隱私政策時(shí)一般包括如下內(nèi)容:代:巴西隱私政策撰寫(xiě)-1.jpg "出海新時(shí)代:巴西隱私政策撰寫(xiě)-1.jpg")
在實(shí)踐操作中�,上述部分可能存在合并��、拆分或者調(diào)整順序的情形���,也可能會(huì)根據(jù)實(shí)際業(yè)務(wù)情況撰寫(xiě)其他特別章節(jié)����。因此相關(guān)企業(yè)在撰寫(xiě)隱私政策時(shí)��,可以根據(jù)實(shí)際提供的產(chǎn)品和服務(wù)的情況��,對(duì)隱私政策的結(jié)構(gòu)予以調(diào)整�����。
三�、撰寫(xiě)巴西隱私政策的十個(gè)關(guān)注點(diǎn)
1. 基本情況和基本定義
結(jié)合《巴西個(gè)保法》以及《編制指南》對(duì)于數(shù)據(jù)控制者的要求�����,隱私政策在介紹產(chǎn)品或服務(wù)時(shí),應(yīng)當(dāng)根據(jù)實(shí)際情況披露數(shù)據(jù)控制者的基本情況。同時(shí),結(jié)合《巴西個(gè)保法》第6條的要求,隱私政策應(yīng)當(dāng)可供所有使用企業(yè)產(chǎn)品和服務(wù)的用戶(hù)訪(fǎng)問(wèn)���,以便相應(yīng)用戶(hù)了解個(gè)人數(shù)據(jù)的處理方式����。為了更好地理解相應(yīng)隱私政策,撰寫(xiě)者需要在隱私政策中解釋技術(shù)或法律術(shù)語(yǔ)等重要概念,以澄清專(zhuān)有詞匯的含義�����。結(jié)合《巴西個(gè)保法》第5條的規(guī)定(即專(zhuān)有名詞定義條款)以及實(shí)踐經(jīng)驗(yàn)�����,企業(yè)一般會(huì)將上述第5條中明確的專(zhuān)有名詞定義直接引用至其隱私政策中,以供相關(guān)用戶(hù)更好地理解隱私政策內(nèi)容��。因此,中國(guó)企業(yè)出海巴西并撰寫(xiě)相關(guān)隱私政策時(shí)�����,可以根據(jù)實(shí)際情況選取《巴西個(gè)保法》第5條中明確的定義直接引用���。2. 處理哪些個(gè)人數(shù)據(jù)���,何時(shí)處理個(gè)人數(shù)據(jù)
《巴西個(gè)保法》第6條規(guī)定�����,處理個(gè)人數(shù)據(jù)需要有目的的限制性和充分性����。和中國(guó)《個(gè)人信息保護(hù)法》類(lèi)似�,數(shù)據(jù)控制者處理個(gè)人數(shù)據(jù)時(shí),應(yīng)當(dāng)對(duì)數(shù)據(jù)主體進(jìn)行充分告知,并且僅能在告知的目的范圍內(nèi)處理個(gè)人數(shù)據(jù)���。目前,在巴西開(kāi)展業(yè)務(wù)的企業(yè)對(duì)于撰寫(xiě)處理哪些個(gè)人數(shù)據(jù),以及何時(shí)處理個(gè)人數(shù)據(jù)���,可以簡(jiǎn)單總結(jié)為如下兩類(lèi)模式:(1)模式一:完整列明個(gè)人信息處理字段以及整體描述何時(shí)收集個(gè)人信息。例如微軟在巴西開(kāi)展業(yè)務(wù)時(shí)����,針對(duì)員工的隱私政策,我們摘取部分示例:代:巴西隱私政策撰寫(xiě)-2.jpg "出海新時(shí)代:巴西隱私政策撰寫(xiě)-2.jpg")
(2)模式二:和中國(guó)《個(gè)人信息保護(hù)法》實(shí)踐類(lèi)似���,根據(jù)不同業(yè)務(wù)和場(chǎng)景描述收集個(gè)人信息的情況,但是從顆粒度而言���,該等隱私政策比中國(guó)隱私政策的顆粒度更粗放。例如PicPay支付服務(wù)隱私政策采取了如下規(guī)定方式:代:巴西隱私政策撰寫(xiě)-3.jpg "出海新時(shí)代:巴西隱私政策撰寫(xiě)-3.jpg")
因此����,中國(guó)企業(yè)出海時(shí)�����,可以根據(jù)實(shí)際業(yè)務(wù)情況,采用模式一或模式二的撰寫(xiě)方式��,以滿(mǎn)足《巴西個(gè)保法》的法律要求���。3. 個(gè)人數(shù)據(jù)如何被收集和使用
結(jié)合《巴西個(gè)保法》第5條和《編制指南》第4.9條的要求��,在撰寫(xiě)個(gè)人數(shù)據(jù)如何被收集和使用的部分��,應(yīng)當(dāng)列明被處理的個(gè)人數(shù)據(jù)以及其使用方式。在實(shí)踐操作中�����,如果《隱私政策》已經(jīng)在前文列明所有的個(gè)人數(shù)據(jù)字段��,那么在這一章節(jié)可以對(duì)個(gè)人數(shù)據(jù)收集和使用情況進(jìn)行整體描述��,例如PicPay支付隱私政策的對(duì)應(yīng)章節(jié)隱私政策采用了如下方式:代:巴西隱私政策撰寫(xiě)-4.jpg "出海新時(shí)代:巴西隱私政策撰寫(xiě)-4.jpg")
4. 與誰(shuí)共享個(gè)人數(shù)據(jù)
根據(jù)《巴西個(gè)保法》第9條第5項(xiàng)的規(guī)定,數(shù)據(jù)控制者應(yīng)當(dāng)向使用服務(wù)的數(shù)據(jù)主體告知對(duì)其個(gè)人數(shù)據(jù)的共享使用情況及其共享目的����。同時(shí)在《編制指南》中��,要求數(shù)據(jù)控制者對(duì)如下信息進(jìn)行披露:(1)共享個(gè)人數(shù)據(jù)類(lèi)型���;
(2)接收共享個(gè)人數(shù)據(jù)的其他數(shù)據(jù)控制者��;
(3)共享個(gè)人數(shù)據(jù)的目的����。
目前����,一些在巴西開(kāi)展業(yè)務(wù)的企業(yè),對(duì)這一章節(jié)的實(shí)踐做法如下:(1)雖然《巴西個(gè)保法》區(qū)分了個(gè)人數(shù)據(jù)提供關(guān)系和個(gè)人數(shù)據(jù)委托處理關(guān)系,但是實(shí)踐中《隱私政策》撰寫(xiě)會(huì)將這兩種情形一并放入這一章節(jié)���;
(2)一些文本披露的顆粒度為共享個(gè)人數(shù)據(jù)類(lèi)型�����、接收個(gè)人數(shù)據(jù)的第三方類(lèi)型以及共享目的。即使在隱私政策的其他章節(jié)已經(jīng)披露了個(gè)人數(shù)據(jù)字段和類(lèi)型�,此處也可以再重復(fù)披露共享個(gè)人數(shù)據(jù)類(lèi)型�;
(3)對(duì)于委托第三方處理個(gè)人數(shù)據(jù)情形下的第三方信息�,可以不在隱私政策中撰寫(xiě),但是在數(shù)據(jù)主體行權(quán)響應(yīng)章節(jié)(具體參見(jiàn)下文)���,應(yīng)當(dāng)提供相應(yīng)的路徑,以供相關(guān)數(shù)據(jù)主體進(jìn)行查詢(xún)��。
例如��,巴西Itaú銀行在隱私政策中的相關(guān)章節(jié)采用如下描述方式:代:巴西隱私政策撰寫(xiě)-5.jpg "出海新時(shí)代:巴西隱私政策撰寫(xiě)-5.jpg")
5. 個(gè)人數(shù)據(jù)跨境傳輸
結(jié)合《巴西個(gè)保法》和《編制指南》的要求����,如果涉及國(guó)家之間的數(shù)據(jù)傳輸���,必須向數(shù)據(jù)主體明確哪些數(shù)據(jù)將傳輸至巴西境外����,并明確出境目的�����、涉及國(guó)家��、以及這些接收方所在國(guó)規(guī)定了什么程度的個(gè)人數(shù)據(jù)保護(hù)要求。目前在行業(yè)實(shí)踐中,對(duì)于跨境傳輸中的具體境外國(guó)家���、境外國(guó)家數(shù)據(jù)保護(hù)程度的承諾等事項(xiàng),巴西企業(yè)并沒(méi)有在隱私政策中進(jìn)行明確披露。因此���,我們理解,對(duì)于跨境傳輸個(gè)人數(shù)據(jù)事項(xiàng),隱私政策披露僅需要進(jìn)行一般性和概括性陳述。例如�,巴西Itaú銀行在隱私政策中的相關(guān)章節(jié)采用如下描述方式:代:巴西隱私政策撰寫(xiě)-6.jpg "出海新時(shí)代:巴西隱私政策撰寫(xiě)-6.jpg")
但是�����,出海企業(yè)應(yīng)當(dāng)注意,雖然隱私政策目前對(duì)個(gè)人數(shù)據(jù)跨境傳輸?shù)呐端徊桓撸恰栋臀鱾€(gè)保法》中規(guī)定的個(gè)人數(shù)據(jù)跨境傳輸機(jī)制(例如跨境充分性認(rèn)定����,個(gè)人數(shù)據(jù)跨境標(biāo)準(zhǔn)合同等機(jī)制)仍然是重要合規(guī)事項(xiàng)���,若中國(guó)出海企業(yè)需要從巴西境內(nèi)將相關(guān)個(gè)人數(shù)據(jù)跨境傳輸至巴西境外進(jìn)行處理���,需要履行《巴西個(gè)保法》項(xiàng)下規(guī)定的個(gè)人數(shù)據(jù)跨境傳輸義務(wù)�����。
6. 個(gè)人如何行使主體權(quán)利
根據(jù)《巴西個(gè)保法》第9條和第18條規(guī)定,個(gè)人數(shù)據(jù)的處理應(yīng)以透明的方式進(jìn)行,并尊重個(gè)人的隱私����、榮譽(yù)和形象,以及個(gè)人自由和安全保障�。結(jié)合《巴西個(gè)保法》相關(guān)條款以及透明原則����、自由訪(fǎng)問(wèn)原則�,數(shù)據(jù)控制者一般應(yīng)當(dāng)向數(shù)據(jù)主體告知如下權(quán)利事項(xiàng):(1)使用產(chǎn)品和服務(wù)的數(shù)據(jù)主體有哪些權(quán)利;
(2)權(quán)利的詳細(xì)說(shuō)明���;
(3)行權(quán)方式。
目前巴西各企業(yè)隱私政策在撰寫(xiě)時(shí)��,會(huì)采取如下模式:(1)完整列舉數(shù)據(jù)主體權(quán)利�����,并進(jìn)行相應(yīng)的解釋說(shuō)明���;
(2)以概述方式說(shuō)明相應(yīng)的數(shù)據(jù)主體行權(quán)路徑和方式����。
例如,PicPay支付工具的隱私政策相關(guān)章節(jié)采取了如下模式:代:巴西隱私政策撰寫(xiě)-7.jpg "出海新時(shí)代:巴西隱私政策撰寫(xiě)-7.jpg")
7. Cookie的定義以及如何使用Cookie
與中國(guó)隱私政策撰寫(xiě)習(xí)慣不同的是����,《巴西個(gè)保法》《編制指南》以及行業(yè)實(shí)踐中對(duì)于Cookie定義和使用部分的撰寫(xiě)要求較高���。根據(jù)《編制指南》第4.13條的規(guī)定�,撰寫(xiě)Cookie章節(jié)時(shí)需要包含如下信息:(1)使用了哪些Cookie(專(zhuān)有Cookie和第三方Cookie)�;
(2)Cookie處理了哪些個(gè)人數(shù)據(jù);
(3)Cookie的使用目的;
(4)用戶(hù)如何獲取有關(guān)服務(wù)中使用的第三方Cookie的更多信息���。
在實(shí)踐操作中,Cookie的撰寫(xiě)一般會(huì)采用如下方式:(1)介紹Cookie的基本定義以及基本使用邏輯原理;
(2)簡(jiǎn)要說(shuō)明Cookie處理的數(shù)據(jù)類(lèi)型�,但可以不進(jìn)行詳盡列舉;
(3)根據(jù)Cookie是否必要或使用目的���,對(duì)不同類(lèi)別的Cookie進(jìn)行區(qū)分;
(4)合規(guī)水位較高的企業(yè)會(huì)披露如下信息:第一���,Cookie存儲(chǔ)個(gè)人數(shù)據(jù)的時(shí)間;第二���,第三方Cookie相應(yīng)的隱私政策鏈接以供相關(guān)數(shù)據(jù)主體進(jìn)行查詢(xún)。
例如����,Grupo Boticário的隱私政策的Cookie章節(jié)屬于較為普遍的撰寫(xiě)模式�����,具體如下:代:巴西隱私政策撰寫(xiě)-8.jpg "出海新時(shí)代:巴西隱私政策撰寫(xiě)-8.jpg")
8. 數(shù)據(jù)控制者如何保護(hù)個(gè)人數(shù)據(jù)
根據(jù)《編制指南》第4.12條規(guī)定,處理個(gè)人數(shù)據(jù)應(yīng)采取安全技術(shù)和管理措施��,保護(hù)個(gè)人數(shù)據(jù)免受未經(jīng)授權(quán)的訪(fǎng)問(wèn)��、意外或非法的破壞�、丟失�、更改、傳輸或其他任何形式的不當(dāng)或非法處理�����,并對(duì)因違反個(gè)人數(shù)據(jù)安全而造成的損害負(fù)責(zé)����。因此,數(shù)據(jù)主體了解處理其個(gè)人數(shù)據(jù)的服務(wù)中實(shí)施的安全措施非常重要�����。此外��,控制者應(yīng)向數(shù)據(jù)主體告知潛在安全事件發(fā)生的可能性。在實(shí)踐中,巴西企業(yè)會(huì)對(duì)保護(hù)個(gè)人數(shù)據(jù)事項(xiàng)進(jìn)行如下描述:(1)對(duì)于企業(yè)的數(shù)據(jù)安全保障措施進(jìn)行整體描述��,包括組織和技術(shù)措施�����;
(2)對(duì)于發(fā)生安全事件的響應(yīng)予以明確�,并進(jìn)行簡(jiǎn)單概述����;
(3)合規(guī)水位較高的企業(yè)會(huì)發(fā)布安全指引或政策,以供用戶(hù)進(jìn)行瀏覽。
例如����,巴西Itaú銀行在隱私政策中的相關(guān)章節(jié)采用如下描述方式:代:巴西隱私政策撰寫(xiě)-9.jpg "出海新時(shí)代:巴西隱私政策撰寫(xiě)-9.jpg")
9. 隱私政策的更新
根據(jù)《編制指南》第4.13條規(guī)定���,由于隱私政策描述了如何處理個(gè)人數(shù)據(jù)�����,因此需要確保數(shù)據(jù)主體了解隱私政策的更新。例如,更改控制者的聯(lián)系方式或更改個(gè)人數(shù)據(jù)的處理方式等事項(xiàng)均需要向相關(guān)數(shù)據(jù)主體進(jìn)行通知�。當(dāng)數(shù)據(jù)主體使用相關(guān)產(chǎn)品或服務(wù)時(shí)����,企業(yè)可以通過(guò)向電子郵件發(fā)送消息或直接在應(yīng)用程序中進(jìn)行通知���。在實(shí)踐中,巴西企業(yè)會(huì)對(duì)隱私政策更新事項(xiàng)進(jìn)行基本描述���,例如PicPay支付的隱私政策相關(guān)章節(jié)如下:代:巴西隱私政策撰寫(xiě)-10.jpg "出海新時(shí)代:巴西隱私政策撰寫(xiě)-10.jpg")
10. 聯(lián)系方式和回復(fù)問(wèn)題
結(jié)合《巴西個(gè)保法》第6條和《編制指南》第4.3條的規(guī)定,披露數(shù)據(jù)控制者時(shí)應(yīng)包含以下信息:(1)數(shù)據(jù)控制者的名稱(chēng)�;
(2)數(shù)據(jù)控制者的地址�����;
(3)數(shù)據(jù)控制者的聯(lián)系信息�����。
同時(shí)���,《編制指南》對(duì)于披露聯(lián)系方式時(shí)的方法進(jìn)行了描述���,具體如下:代:巴西隱私政策撰寫(xiě)-11.jpg "出海新時(shí)代:巴西隱私政策撰寫(xiě)-11.jpg")
在實(shí)踐中����,巴西企業(yè)一般會(huì)對(duì)于企業(yè)基本信息以及聯(lián)系方式進(jìn)行明確披露�,以回復(fù)數(shù)據(jù)主體的問(wèn)題,滿(mǎn)足透明性原則以及響應(yīng)數(shù)據(jù)主體的相關(guān)權(quán)利要求��。目前����,中國(guó)企業(yè)出海巴西依舊是出海熱點(diǎn)之一,作為重要的出海目的地國(guó),巴西的隱私政策撰寫(xiě)工作亦是前期合規(guī)工作的重點(diǎn)����,在此我們建議中國(guó)的出海企業(yè)注意如下內(nèi)容:
1.巴西相關(guān)隱私政策撰寫(xiě)的要求與中國(guó)行業(yè)實(shí)踐存在諸多區(qū)別�����,不建議企業(yè)直接翻譯國(guó)內(nèi)隱私政策或歐盟基于GDPR的隱私政策套用至巴西境內(nèi),宜根據(jù)實(shí)際業(yè)務(wù)情況對(duì)巴西使用的隱私政策進(jìn)行本地化撰寫(xiě);
2.在撰寫(xiě)過(guò)程中,宜采用如下方式:
(1)若中國(guó)行業(yè)實(shí)踐中隱私政策的顆粒度要求比巴西高�,則可以將相關(guān)隱私政策內(nèi)容進(jìn)行概括性描述���,并進(jìn)行使用;
(2)若中國(guó)行業(yè)實(shí)踐中隱私政策的顆粒度要求比巴西低�,則應(yīng)當(dāng)對(duì)數(shù)據(jù)控制者的實(shí)際處理情況進(jìn)行盡職調(diào)查���,并真實(shí)反映在隱私政策中��;
(3)對(duì)于中國(guó)隱私政策撰寫(xiě)實(shí)踐中未披露但是根據(jù)巴西的監(jiān)管規(guī)定需要披露的部分,建議企業(yè)根據(jù)實(shí)際情況單獨(dú)撰寫(xiě)相關(guān)章節(jié)����。
3.巴西個(gè)人數(shù)據(jù)保護(hù)法律法規(guī)以及合規(guī)指引更新速度較快�,監(jiān)管水位較高�����,建議出海企業(yè)定期跟蹤法律法規(guī)的頒布���、發(fā)展�,以及隱私政策撰寫(xiě)的合規(guī)水位����,及時(shí)對(duì)隱私政策內(nèi)容進(jìn)行調(diào)整和更新。
題21-1_畫(huà)板 1 副本.png)
題21-1_畫(huà)板 1.png)
.png "備案圖標(biāo).png"){kind=small}