南美洲是中企出海的熱門(mén)目的地之一�。智利作為位于南美洲的重要投資地,在能源���、礦業(yè)、信息技術(shù)��、農(nóng)業(yè)等領(lǐng)域吸引了諸多關(guān)注�。智利新近更新了自身的個(gè)人信息保護(hù)法律體系,頗具特色����,在一些關(guān)鍵領(lǐng)域也和全球其他主流司法管轄區(qū)域的監(jiān)管思路存在相似之處�。
《智利第19628法�����,關(guān)于個(gè)人私生活保護(hù)》(Ley 19628, Sobre Protección de la Vida Privada Ministerio Secretaría General de la Presidencia�,以下簡(jiǎn)稱(chēng)“《智利個(gè)保法》”)是智利關(guān)于個(gè)人信息保護(hù)的法律�����,頒布于1999年8月28日���。在歐盟General Data Protection Regulation (“GDPR”)出臺(tái)后,又進(jìn)行了數(shù)次修訂。目前,智利剛剛于2024年12月13日通過(guò)了其個(gè)人信息保護(hù)法律(la Ley N° 21.719, que modifica, entre otras, la Ley N°19.628, y que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales��,簡(jiǎn)稱(chēng)“《新智利個(gè)保法》”)��。
《新智利個(gè)保法》將原《智利個(gè)保法》在結(jié)構(gòu)和內(nèi)容方面均進(jìn)行了重大調(diào)整���,以使其個(gè)人數(shù)據(jù)保護(hù)水平接近《歐盟通用數(shù)據(jù)保護(hù)條例》(以下簡(jiǎn)稱(chēng)“GDPR”)以及其他拉美個(gè)人數(shù)據(jù)保護(hù)先進(jìn)國(guó)家的標(biāo)準(zhǔn)和水平��。本文以《新智利個(gè)保法》為基礎(chǔ),并結(jié)合《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱(chēng)“《中國(guó)個(gè)保法》”)、GDPR進(jìn)行比較分析��,以供參考和理解《新智利個(gè)保法》的監(jiān)管思路���。部分內(nèi)容為便利比較���,將簡(jiǎn)要介紹或引用原《智利個(gè)保法》的內(nèi)容�����。
需注意的是�,由于不同法律下對(duì)“個(gè)人信息”“個(gè)人數(shù)據(jù)”的稱(chēng)謂略有不同,本文分析過(guò)程中�����,對(duì)“個(gè)人信息”和“個(gè)人數(shù)據(jù)”這兩個(gè)術(shù)語(yǔ)進(jìn)行混用��,不特別區(qū)分�。此外�����,由于《中國(guó)個(gè)保法》規(guī)定決定個(gè)人信息處理目的和方式的主體為個(gè)人信息“處理者”�,但GDPR將此類(lèi)主體稱(chēng)為“數(shù)據(jù)控制者”(Data Controller)�����,為便利理解和全文統(tǒng)一,本文使用數(shù)據(jù)“控制者”的表述指稱(chēng)類(lèi)似于《中國(guó)個(gè)保法》下“個(gè)人信息處理者”以及GDPR下“Data Controller”的角色,而將受控制者的委托處理個(gè)人信息的主體稱(chēng)為“處理者”或者“受托方”���。
《智利個(gè)保法》可以管轄智利境內(nèi)的個(gè)人數(shù)據(jù)處理活動(dòng)����?!吨抢麄€(gè)保法》第一條第二款規(guī)定:“任何人(包括自然人和法人)都可以處理個(gè)人數(shù)據(jù)���,前提是他們根據(jù)本法并出于智利法律法規(guī)允許的目的處理上述個(gè)人數(shù)據(jù)��。在任何情況下�,處理個(gè)人數(shù)據(jù)的人和相關(guān)處理行為都必須尊重?cái)?shù)據(jù)主體的基本權(quán)利��、以及本法賦予上述數(shù)據(jù)主體的相關(guān)權(quán)利的充分行使�����。”因此,在智利境內(nèi)處理個(gè)人信息�,應(yīng)當(dāng)遵守《智利個(gè)保法》的規(guī)定和要求���。
同時(shí)�����,根據(jù)《新智利個(gè)保法》第一條之二(西班牙文:articulo 1 bis[1], ámbito de aplicación territorial)�����,在下列情況下進(jìn)行的個(gè)人數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)遵守《新智利個(gè)保法》的規(guī)定:第一�����,當(dāng)控制者或處理者在(智利)境內(nèi)領(lǐng)土內(nèi)設(shè)立或成立時(shí);第二�,當(dāng)處理者獨(dú)立于其設(shè)立或成立地點(diǎn)�����,代表在(智利)國(guó)內(nèi)設(shè)立或成立的控制者進(jìn)行個(gè)人數(shù)據(jù)處理時(shí);第三���,當(dāng)控制者或處理者不在(智利)國(guó)內(nèi)設(shè)立,但其個(gè)人數(shù)據(jù)處理操作旨在向位于智利的個(gè)人提供商品或服務(wù)��,無(wú)論個(gè)人數(shù)據(jù)處理行為是否需要支付時(shí)���;抑或監(jiān)測(cè)位于(智利)國(guó)內(nèi)的個(gè)人行為���,包括其分析�����、追蹤��、用戶(hù)畫(huà)像或行為預(yù)測(cè)時(shí)�;第四��,若控制者不在智利境內(nèi)����,但是其簽訂的協(xié)議抑或國(guó)際義務(wù)的準(zhǔn)據(jù)法指向智利法時(shí)���。
可見(jiàn)��,《新智利個(gè)保法》將并不僅限于適用于智利境內(nèi)的活動(dòng)?����!缎轮抢麄€(gè)保法》具有域外適用的效力�,無(wú)論是智利境內(nèi)企業(yè)還是境外企業(yè),無(wú)論其是數(shù)據(jù)控制者還是數(shù)據(jù)處理者��,在收集和處理智利境內(nèi)個(gè)人的個(gè)人數(shù)據(jù)或基于收集處理的個(gè)人數(shù)據(jù)向智利提供產(chǎn)品或服務(wù)��,或者簽訂的相關(guān)協(xié)議準(zhǔn)據(jù)法指向智利法時(shí)���,應(yīng)當(dāng)遵守《新智利個(gè)保法》的相關(guān)規(guī)范和要求�。
值得特別注意的是�,在《新智利個(gè)保法》中,明確規(guī)定如果簽訂協(xié)議時(shí)�,協(xié)議的準(zhǔn)據(jù)法指向智利法��,那么如果協(xié)議相關(guān)的活動(dòng)涉及個(gè)人數(shù)據(jù)處理活動(dòng),則與協(xié)議相關(guān)的個(gè)人數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)遵守《新智利個(gè)保法》的要求���。這一域外適用場(chǎng)景相對(duì)特殊,在《中國(guó)個(gè)保法》�、GDPR中都沒(méi)有類(lèi)似的要求�,屬于較為新穎的適用范圍��。這也使得擬出海智利的中國(guó)企業(yè)����,或者擬簽署與智利業(yè)務(wù)有關(guān)協(xié)議的中國(guó)企業(yè)����,注意審閱和評(píng)估協(xié)議約定的適用法律,是否必須是智利法����,或者各方是否確實(shí)有充分動(dòng)力和意愿主動(dòng)選擇智利法,因?yàn)槿绻x擇智利法作為適用法律,則會(huì)導(dǎo)致簽署協(xié)議約定的各方與協(xié)議有關(guān)的個(gè)人數(shù)據(jù)處理活動(dòng)需要遵守《新智利個(gè)保法》的具體合規(guī)義務(wù)����。
《智利個(gè)保法》中并未明確處理個(gè)人數(shù)據(jù)的基本原則�����。但是�����,為提高智利個(gè)人數(shù)據(jù)保護(hù)水平、完善智利個(gè)人數(shù)據(jù)保護(hù)法律體系,《新智利個(gè)保法》第三條(articulo 3, principios)明確了處理個(gè)人數(shù)據(jù)的六大基本原則,具體包括如下:
(1)合法性與公正性原則:即個(gè)人數(shù)據(jù)控制者必須確保其處理個(gè)人數(shù)據(jù)的行為是合法的��。(2)目的(限制)原則:即要求個(gè)人數(shù)據(jù)必須僅在告知權(quán)利主體的特定目的范圍內(nèi)進(jìn)行收集和處理�����。(3)比例原則:即《中國(guó)個(gè)保法》第七條規(guī)定的最小必要原則�,在處理個(gè)人數(shù)據(jù)時(shí)����,僅可以處理為實(shí)現(xiàn)處理目的所必需的個(gè)人數(shù)據(jù)。(4)質(zhì)量原則:即要求個(gè)人數(shù)據(jù)處理過(guò)程中,必須準(zhǔn)確、完整�����,并及時(shí)根據(jù)實(shí)際情況進(jìn)行更新。(5)安全原則:即要求個(gè)人數(shù)據(jù)處理過(guò)程中,必須采取適當(dāng)?shù)陌踩胧?�,以保護(hù)個(gè)人數(shù)據(jù)免受未授權(quán)訪問(wèn)或安全事件的影響�����。(6)保密原則:即要求控制者應(yīng)當(dāng)采取合理措施對(duì)個(gè)人數(shù)據(jù)予以保密,除非權(quán)利主體已經(jīng)將相關(guān)個(gè)人數(shù)據(jù)公開(kāi)。對(duì)比《中國(guó)個(gè)保法》和GDPR��,《新智利個(gè)保法》所規(guī)定的處理個(gè)人數(shù)據(jù)的原則����,與《中國(guó)個(gè)保法》和GDPR其實(shí)有諸多相似之處,有利于各類(lèi)企業(yè)在對(duì)比和參照之中降低理解智利個(gè)人數(shù)據(jù)保護(hù)法律的門(mén)檻,并在一定程度上適用企業(yè)現(xiàn)有的個(gè)人信息保護(hù)合規(guī)體系來(lái)涵蓋《新智利個(gè)保法》中的要求����。
三�、個(gè)人數(shù)據(jù)的分類(lèi)
《智利個(gè)保法》中并未對(duì)個(gè)人數(shù)據(jù)進(jìn)行分類(lèi)���。但是����,為了對(duì)不同類(lèi)型、敏感程度的個(gè)人數(shù)據(jù)進(jìn)行保護(hù)�����,《新智利個(gè)保法》將個(gè)人數(shù)據(jù)分為:一般個(gè)人數(shù)據(jù)�����、敏感個(gè)人數(shù)據(jù)和特別類(lèi)別個(gè)人數(shù)據(jù)�。● 一般個(gè)人數(shù)據(jù):根據(jù)《新智利個(gè)保法》第2條第f款規(guī)定����,個(gè)人數(shù)據(jù)是指任何與已識(shí)別或可識(shí)別的個(gè)人相關(guān)或關(guān)聯(lián)的信息。所謂自然人的可識(shí)別性是指其身份可以直接或間接確定���,特別是通過(guò)一個(gè)或多個(gè)識(shí)別符���,例如姓名��、身份證號(hào)��、身體特征、心理特征��、遺傳特征����、經(jīng)濟(jì)、文化或社會(huì)身份等分析�。同時(shí)�,在確定可識(shí)別性時(shí)����,應(yīng)當(dāng)考慮個(gè)人數(shù)據(jù)在處理時(shí)可以合理使用的所有的客觀措施和因素。
● 敏感個(gè)人數(shù)據(jù):根據(jù)《新智利個(gè)保法》第2條第g款規(guī)定�����,敏感個(gè)人數(shù)據(jù)是指適用于涉及人的身體或道德特征����、私生活或親密關(guān)系的事實(shí)或情況的個(gè)人數(shù)據(jù),這些數(shù)據(jù)揭示了個(gè)人的民族或種族����、出身���、政治����、工會(huì)或工會(huì)歸屬���、社會(huì)經(jīng)濟(jì)狀況�����、意識(shí)形態(tài)�����、哲學(xué)信念或宗教信仰、與健康有關(guān)的數(shù)據(jù)�����、人類(lèi)基因����、生物識(shí)別數(shù)據(jù)以及與個(gè)人的性生活、性取向和性別認(rèn)同有關(guān)的信息�����。
● 特別類(lèi)別個(gè)人數(shù)據(jù):除上述兩種類(lèi)別的個(gè)人數(shù)據(jù)外��,在《新智利個(gè)保法》第16條之四�、第16條之五、第16條之六,對(duì)于兒童個(gè)人數(shù)據(jù)���、歷史���、統(tǒng)計(jì)�����、科學(xué)和研究的個(gè)人數(shù)據(jù)以及地理區(qū)位相關(guān)個(gè)人數(shù)據(jù)的數(shù)據(jù)處理活動(dòng)提出了特別要求�。因此,對(duì)于該等特別類(lèi)別個(gè)人數(shù)據(jù),應(yīng)當(dāng)參考相關(guān)法條進(jìn)行處理。
四���、處理個(gè)人數(shù)據(jù)的合法性基礎(chǔ)
對(duì)于數(shù)據(jù)控制者可以依據(jù)什么來(lái)處理個(gè)人信息,《智利個(gè)保法》采取了“合法性基礎(chǔ)”+“例外”的立法方式來(lái)描述處理依據(jù)。這一點(diǎn)與《中國(guó)個(gè)保法》在形式上略有不同�,但起到的實(shí)質(zhì)效果比較近似���。但是�����,《新智利個(gè)保法》推翻了《智利個(gè)保法》規(guī)定的合法性基礎(chǔ)����,并在第12條���、第13條中規(guī)定了“同意”以及“其他合法性基礎(chǔ)”��,具體包括如下:(1)獲得權(quán)利主體同意�,即獲得權(quán)利主體的對(duì)于處理其個(gè)人數(shù)據(jù)的明確同意��,該規(guī)定與《中國(guó)個(gè)保法》一致�����;(2)當(dāng)處理涉及經(jīng)濟(jì)、金融、銀行或商業(yè)性質(zhì)的個(gè)人數(shù)據(jù)�,并且符合《智利個(gè)保法》第III章的規(guī)定時(shí)�,包括與權(quán)利主體社會(huì)經(jīng)濟(jì)狀況相關(guān)的個(gè)人數(shù)據(jù)����;(3)當(dāng)處理活動(dòng)是執(zhí)行或履行法律義務(wù)所必需��,或法律規(guī)定要求處理個(gè)人數(shù)據(jù)�;(4)當(dāng)數(shù)據(jù)處理是為了權(quán)利主體與控制者之間的合同的訂立或履行��,或?yàn)榱隧憫?yīng)權(quán)利主體請(qǐng)求而采取的合同前措施的執(zhí)行時(shí)��;(5)當(dāng)處理是為了滿(mǎn)足控制者或第三方的合法利益,前提是不會(huì)影響權(quán)利主體的權(quán)利和自由�;(6)當(dāng)數(shù)據(jù)處理是為了在法院或公共機(jī)構(gòu)提出�、行使或辯護(hù)某項(xiàng)權(quán)利所必需時(shí)。上述合法性基礎(chǔ)與《中國(guó)個(gè)保法》和GDPR的內(nèi)容具有相似性�,包含了例如“同意”�����、“履行自然人作為簽約一方的合同之必要”、“法律法規(guī)規(guī)定義務(wù)”等合法性基礎(chǔ)��。但是��,鑒于智利個(gè)人數(shù)據(jù)保護(hù)法律體系的發(fā)展����,其合法性基礎(chǔ)也具備一定特殊性���,包括以下幾點(diǎn):
第一���,對(duì)撤回“同意”方式進(jìn)行了特殊規(guī)定���?����!巴狻笔歉鲊?guó)個(gè)人信息保護(hù)法律規(guī)定的最重要的合法性基礎(chǔ)之一�����。允許提供“同意”的同時(shí)����,各國(guó)法律一般都允許權(quán)利主體對(duì)其給出的“同意”進(jìn)行撤回。結(jié)合《智利個(gè)保法》第4條以及《新智利個(gè)保法》第12條�����,權(quán)利主體對(duì)于已經(jīng)提供的同意�,也可以撤回,即權(quán)利主體有權(quán)撤回處理其個(gè)人數(shù)據(jù)的同意��,撤回的方式應(yīng)當(dāng)使用與授予同意時(shí)類(lèi)似或等效的方式撤回���,且該等撤回不能溯及既往����。同時(shí),《新智利個(gè)保法》允許權(quán)利主體通過(guò)口頭�、書(shū)面��、電子等任意方式作出其同意,只要獲得同意的“告知”行為符合法律法規(guī)的規(guī)定���。但是實(shí)踐操作中對(duì)于“口頭告知”事項(xiàng)如何操作仍有待相關(guān)法律的實(shí)踐觀察。
第二�����,“符合《智利個(gè)保法》第三章的處理個(gè)人數(shù)據(jù)行為的規(guī)定”的合法性基礎(chǔ)是指:為促進(jìn)社會(huì)發(fā)展以及滿(mǎn)足金融活動(dòng)要求�����,在部分場(chǎng)景下的個(gè)人數(shù)據(jù)處理行為無(wú)需獲得個(gè)人的同意可直接進(jìn)行處理,例如:被拒絕的本票、匯票中載錄的個(gè)人數(shù)據(jù)的合理使用��;在購(gòu)買(mǎi)房屋時(shí)�,銀行、公共機(jī)構(gòu)等主體之間必要的個(gè)人數(shù)據(jù)處理行為等。這一合法性基礎(chǔ)系《智利個(gè)保法》第三章中豁免獲取個(gè)人同意場(chǎng)景的延續(xù)和運(yùn)用,有利于增強(qiáng)《智利個(gè)保法》和《新智利個(gè)保法》之間的順利過(guò)渡和一致適用�����。
第三�����,《新智利個(gè)保法》明確了在爭(zhēng)議解決過(guò)程中處理必要的個(gè)人數(shù)據(jù)的合法性基礎(chǔ)�,該等事項(xiàng)對(duì)于智利本國(guó)爭(zhēng)議解決過(guò)程中的個(gè)人數(shù)據(jù)處理事項(xiàng)提供了便捷的合法通道�����。對(duì)于爭(zhēng)議解決過(guò)程中的個(gè)人數(shù)據(jù)處理事項(xiàng)���,《中國(guó)個(gè)保法》并未明確規(guī)定��,在實(shí)踐層面往往出現(xiàn)不具備處理個(gè)人數(shù)據(jù)合法性基礎(chǔ)而直接處理個(gè)人數(shù)據(jù)的行為���。
五���、權(quán)利主體擁有的個(gè)人信息權(quán)利
《智利個(gè)保法》對(duì)于權(quán)利主體擁有的個(gè)人信息權(quán)利進(jìn)行了基本規(guī)定����,散見(jiàn)于不同章節(jié)的條款中�����。《新智利個(gè)保法》在第一章中對(duì)個(gè)人擁有的個(gè)人信息權(quán)利進(jìn)行了詳細(xì)規(guī)定。權(quán)利主體擁有的權(quán)利是“個(gè)人的��、不可轉(zhuǎn)讓的��、不可剝奪的��,不能受到任何行為或協(xié)議的限制的”;相關(guān)權(quán)利具體包括:
(1)訪問(wèn)權(quán):即權(quán)利主體可以請(qǐng)求訪問(wèn)有關(guān)已收集個(gè)人數(shù)據(jù)的數(shù)據(jù)集及其處理的具體情況����。(2)更正權(quán):即如果個(gè)人數(shù)據(jù)是不正確或過(guò)時(shí)的�����,權(quán)利主體可以對(duì)此進(jìn)行更正。(3)刪除權(quán):在《智利個(gè)保法》中被稱(chēng)為取消權(quán),即權(quán)利主體可以請(qǐng)求在個(gè)人數(shù)據(jù)不再需要進(jìn)行處理時(shí),處理其個(gè)人數(shù)據(jù)的實(shí)體刪除其個(gè)人數(shù)據(jù)�。(4)反對(duì)權(quán):即權(quán)利主體可以反對(duì)相關(guān)實(shí)體處理其個(gè)人數(shù)據(jù)�,只要該等處理行為并非法律法規(guī)要求的��。(5)數(shù)據(jù)可攜帶權(quán):即在技術(shù)可行的情況下���,權(quán)利主體可以要求處理其個(gè)人數(shù)據(jù)的實(shí)體轉(zhuǎn)移其個(gè)人數(shù)據(jù)或相關(guān)個(gè)人數(shù)據(jù)副本到其他實(shí)體��。(6)反對(duì)自動(dòng)化決策權(quán):即權(quán)利主體可以反對(duì)在完全基于自動(dòng)化過(guò)程的決策中使用其個(gè)人數(shù)據(jù),例如征信評(píng)分、績(jī)效評(píng)估等場(chǎng)景����。另外�,《新智利個(gè)保法》在第一章第四條規(guī)定了��,對(duì)于逝者的個(gè)人信息���,其繼承人有權(quán)進(jìn)行處理��,但是,如果逝者在生前明確禁止處理其個(gè)人數(shù)據(jù)或者法律另有規(guī)定的����,繼承人將無(wú)法訪問(wèn)死者的個(gè)人數(shù)據(jù),也無(wú)法請(qǐng)求相關(guān)實(shí)體更正或刪除�����。
可見(jiàn)��,類(lèi)似于《中國(guó)個(gè)保法》和GDPR�����,《新智利個(gè)保法》亦規(guī)定了體系化的個(gè)人數(shù)據(jù)權(quán)利,甚至包含了較為先進(jìn)的數(shù)據(jù)可攜帶權(quán)���、對(duì)于逝者的個(gè)人數(shù)據(jù)處理事項(xiàng)的規(guī)范。鑒于《智利個(gè)保法》中對(duì)于權(quán)利主體的個(gè)人數(shù)據(jù)權(quán)利規(guī)定較為零散且間接���,對(duì)于該等權(quán)利保護(hù)水位的提高以及未來(lái)行業(yè)實(shí)踐情況,仍有待觀察����?����?偠灾?,《新智利個(gè)保法》在保護(hù)權(quán)利主體的個(gè)人數(shù)據(jù)基本權(quán)利事項(xiàng)上����,相比于《智利個(gè)保法》,取得了顯著的進(jìn)展�。
六�����、個(gè)人數(shù)據(jù)控制者的主要義務(wù)
《智利個(gè)保法》規(guī)定了數(shù)據(jù)控制者的基本義務(wù),但是并未進(jìn)行體系化規(guī)定��。《新智利個(gè)保法》在第二章中規(guī)定了個(gè)人數(shù)據(jù)控制者處理個(gè)人數(shù)據(jù)的基本義務(wù)�,具體包括如下:
(1)保密義務(wù):控制者必須對(duì)權(quán)利主體的個(gè)人數(shù)據(jù)進(jìn)行保密���,除非權(quán)利主體已將相關(guān)個(gè)人數(shù)據(jù)公開(kāi)��。另外�����,該等義務(wù)在雙方關(guān)系結(jié)束后仍然有效。(2)信息公開(kāi)與透明義務(wù):控制者應(yīng)持續(xù)公開(kāi)其處理個(gè)人數(shù)據(jù)相關(guān)的隱私政策或相關(guān)文件材料��,并公開(kāi)其處理個(gè)人數(shù)據(jù)的相應(yīng)情況��。(3)設(shè)計(jì)和默認(rèn)保護(hù)義務(wù):控制者應(yīng)當(dāng)在個(gè)人數(shù)據(jù)處理前和處理過(guò)程中采取適當(dāng)?shù)慕M織和技術(shù)措施���,并確保在默認(rèn)情況下�����,控制者或其受托方僅可以處理特定、嚴(yán)格和必要的個(gè)人數(shù)據(jù)���。(4)采取安全措施的義務(wù):控制者應(yīng)當(dāng)采取必要措施以確保遵循《新智利個(gè)保法》規(guī)定的安全原則,從而保障個(gè)人數(shù)據(jù)處理系統(tǒng)的機(jī)密性��、完整性����、可用性和靈活性。(5)報(bào)告安全措施漏洞的義務(wù):控制者有義務(wù)向監(jiān)管機(jī)構(gòu)報(bào)告因安全措施的漏洞而導(dǎo)致的個(gè)人數(shù)據(jù)的毀損���、泄露、丟失或篡改��,以及未授權(quán)的訪問(wèn)等事項(xiàng)����。(6)進(jìn)行個(gè)人數(shù)據(jù)保護(hù)影響評(píng)估的義務(wù):在法律規(guī)定的情況下�,控制者有義務(wù)進(jìn)行影響評(píng)估。該等評(píng)估旨在對(duì)風(fēng)險(xiǎn)進(jìn)行分析,識(shí)別風(fēng)險(xiǎn)并確定需要采取的相應(yīng)措施�,評(píng)估可能對(duì)權(quán)利主體的個(gè)人數(shù)據(jù)權(quán)利造成的損害����,以消除或最小化相關(guān)處理個(gè)人數(shù)據(jù)的風(fēng)險(xiǎn)����。根據(jù)《新智利個(gè)保法》第15條之三的規(guī)定,在以下情況下,應(yīng)當(dāng)進(jìn)行個(gè)人數(shù)據(jù)保護(hù)影響評(píng)估:
(1)自動(dòng)化處理個(gè)人數(shù)據(jù),對(duì)數(shù)據(jù)主體的個(gè)人方面進(jìn)行系統(tǒng)和詳盡的評(píng)估���,并對(duì)他們產(chǎn)生重大法律影響。(2)大數(shù)據(jù)處理或大規(guī)模處理個(gè)人數(shù)據(jù)。(3)監(jiān)視或監(jiān)控公共通道區(qū)域的相應(yīng)系統(tǒng)來(lái)處理個(gè)人數(shù)據(jù)的情況����。(4)并非基于“同意”的情況下���,處理敏感個(gè)人數(shù)據(jù)和特別類(lèi)別個(gè)人數(shù)據(jù)����。上述對(duì)于數(shù)據(jù)控制者的義務(wù)和《中國(guó)個(gè)保法》以及GDPR中的部分規(guī)定具備相似性�����;但是�����,《中國(guó)個(gè)保法》中對(duì)于數(shù)據(jù)分類(lèi)分級(jí)�����、個(gè)人信息保護(hù)負(fù)責(zé)人設(shè)立等事項(xiàng)�,《新智利個(gè)保法》未進(jìn)行明確規(guī)定。鑒于《新智利個(gè)保法》未來(lái)的實(shí)踐情況未知,對(duì)于例如“采取安全措施的義務(wù)”是否包含數(shù)據(jù)分類(lèi)分級(jí)��、設(shè)立數(shù)據(jù)保護(hù)官等事項(xiàng)�,仍有待觀察。
七、委托處理個(gè)人數(shù)據(jù)的關(guān)系下,相應(yīng)的合規(guī)要求
《智利個(gè)保法》在不同章節(jié)中間接規(guī)定了關(guān)于委托處理個(gè)人數(shù)據(jù)的基本要求��,《新智利個(gè)保法》第二章第15條之二對(duì)該等要求進(jìn)行了系統(tǒng)化規(guī)定����,具體包括如下:
● 目的限制要求:控制者可以直接處理個(gè)人數(shù)據(jù),也可以通過(guò)第三方進(jìn)行處理。在通過(guò)第三方進(jìn)行處理的情況下,第三方應(yīng)當(dāng)根據(jù)委托方的委托和指示進(jìn)行個(gè)人數(shù)據(jù)處理����,不得將相關(guān)個(gè)人數(shù)據(jù)用于與控制者約定的內(nèi)容所不同的目的�����,也不得在控制者未明確和具體授權(quán)的情況下進(jìn)行個(gè)人數(shù)據(jù)傳輸。
● 合同簽訂要求:控制者應(yīng)當(dāng)與第三方針對(duì)數(shù)據(jù)處理事項(xiàng)簽訂數(shù)據(jù)處理協(xié)議����,協(xié)議中應(yīng)當(dāng)明確委托目的�����、委托時(shí)間、個(gè)人數(shù)據(jù)處理目的�����、處理類(lèi)型��、相關(guān)權(quán)利主體類(lèi)別�,以及各方的權(quán)利和義務(wù)���。同時(shí)�����,上述條款對(duì)轉(zhuǎn)委托事項(xiàng)進(jìn)行了規(guī)定:即除非獲得控制者的書(shū)面授權(quán),受托方不得將部分或全部個(gè)人數(shù)據(jù)處理事項(xiàng)轉(zhuǎn)交給其他第三方進(jìn)行處理�。
● 受托方通報(bào)安全事件的義務(wù):如果受托方的安全措施出現(xiàn)漏洞或發(fā)生安全事件�����,受托方有義務(wù)將相關(guān)安全事件報(bào)告控制者以供控制者采取相應(yīng)措施保護(hù)個(gè)人數(shù)據(jù)。
● 數(shù)據(jù)刪除或返還要求:即要求受托方在完成個(gè)人數(shù)據(jù)處理后�����,應(yīng)當(dāng)結(jié)合實(shí)際情況將相關(guān)個(gè)人數(shù)據(jù)刪除或返還給數(shù)據(jù)控制者�。
《新智利個(gè)保法》的規(guī)定與《中國(guó)個(gè)保法》的規(guī)定基本類(lèi)似,但是《新智利個(gè)保法》對(duì)于委托處理協(xié)議中的具體內(nèi)容����、轉(zhuǎn)委托事項(xiàng)以及安全事件報(bào)送通知等事項(xiàng)進(jìn)行規(guī)定���,比《中國(guó)個(gè)保法》更為細(xì)致和明確����。同時(shí)《中國(guó)個(gè)保法》中規(guī)定了控制者應(yīng)當(dāng)對(duì)受托方數(shù)據(jù)處理事項(xiàng)進(jìn)行監(jiān)督�����,但是在《新智利個(gè)保法》中并未予以明確��。
八���、對(duì)個(gè)人數(shù)據(jù)跨境傳輸?shù)奶厥獗O(jiān)管要求
《智利個(gè)保法》并未明確個(gè)人數(shù)據(jù)跨境傳輸?shù)奶厥庖蟆?/span>為保護(hù)智利境內(nèi)的個(gè)人數(shù)據(jù),《新智利個(gè)保法》結(jié)合GDPR�����、拉美個(gè)人數(shù)據(jù)保護(hù)先進(jìn)國(guó)家的經(jīng)驗(yàn)���,對(duì)本國(guó)個(gè)人數(shù)據(jù)跨境機(jī)制進(jìn)行了系統(tǒng)化的規(guī)定�����,具體包括如下:
(1)充分性認(rèn)定國(guó)(西班牙語(yǔ):un país que proporcione niveles adecuados de protección de datos personales):若某一國(guó)家被智利個(gè)人數(shù)據(jù)保護(hù)局認(rèn)定為充分性保護(hù)國(guó)家�,則可以將智利境內(nèi)個(gè)人數(shù)據(jù)傳輸給該國(guó)的個(gè)人�、實(shí)體或公共或私人組織,但須遵守該國(guó)的個(gè)人數(shù)據(jù)保護(hù)法律制度和要求���。(2)標(biāo)準(zhǔn)合同或約束性公司準(zhǔn)則:當(dāng)執(zhí)行傳輸?shù)目刂普吲c接收個(gè)人數(shù)據(jù)的控制者或第三方代理之間簽署標(biāo)準(zhǔn)合同(西班牙文:cláusulas contractuales),或雙方之間存在約束性公司準(zhǔn)則(西班牙文:normas corporativas vinculantes)�����,或滿(mǎn)足個(gè)人數(shù)據(jù)保護(hù)局規(guī)定的其他跨境傳輸機(jī)制時(shí)��。(3)個(gè)人數(shù)據(jù)保護(hù)認(rèn)證:當(dāng)傳輸方和接收方均通過(guò)個(gè)人數(shù)據(jù)保護(hù)局進(jìn)行的個(gè)人信息保護(hù)認(rèn)證時(shí)����。當(dāng)不滿(mǎn)足上述跨境傳輸機(jī)制的任何一條���,但是跨境傳輸確有必要時(shí)�,個(gè)人數(shù)據(jù)可以基于下列理由進(jìn)行跨境傳輸:
(1)當(dāng)權(quán)利主體明確同意進(jìn)行特定的國(guó)際數(shù)據(jù)傳輸時(shí);(2)當(dāng)數(shù)據(jù)跨境傳輸行為涉及特定的銀行�、金融或股票市場(chǎng)時(shí)�����;(3)當(dāng)個(gè)人數(shù)據(jù)的傳輸對(duì)傳輸方和接收方之間簽訂或執(zhí)行合同是必要的�,或執(zhí)行應(yīng)權(quán)利主體要求采取的合同履行前的相應(yīng)措施是必要的。可見(jiàn),《新智利個(gè)保法》對(duì)跨境傳輸機(jī)制進(jìn)行了明確和系統(tǒng)的規(guī)定���,包含了GDPR和《中國(guó)個(gè)保法》中常見(jiàn)的個(gè)人數(shù)據(jù)保護(hù)認(rèn)證、充分性認(rèn)定國(guó)、標(biāo)準(zhǔn)合同、約束性公司準(zhǔn)則等機(jī)制��。同時(shí)��,為促進(jìn)數(shù)據(jù)流通�����、滿(mǎn)足數(shù)據(jù)跨境傳輸?shù)谋匾缎轮抢麄€(gè)保法》也對(duì)部分確有需要進(jìn)行跨境傳輸個(gè)人數(shù)據(jù)的情況進(jìn)行了豁免�。該等機(jī)制一定程度上屬于各國(guó)跨境傳輸機(jī)制的融合�����,體現(xiàn)了《新智利個(gè)保法》吸收各國(guó)優(yōu)秀實(shí)踐的思路。
九����、智利個(gè)人數(shù)據(jù)保護(hù)的監(jiān)管機(jī)構(gòu)
根據(jù)《新智利個(gè)保法》第六章的規(guī)定�,智利將創(chuàng)建個(gè)人數(shù)據(jù)保護(hù)局(西班牙文:Agencia de Protección de Datos Personales)��,旨在引入保護(hù)智利公民個(gè)人數(shù)據(jù)相關(guān)監(jiān)管機(jī)構(gòu)��,詳細(xì)規(guī)范各實(shí)體在個(gè)人數(shù)據(jù)處理中的義務(wù),以提高智利個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)和水平。個(gè)人數(shù)據(jù)保護(hù)局創(chuàng)立的目標(biāo)和職能如下:
(1)尋求在數(shù)字經(jīng)濟(jì)中平衡人們的隱私與個(gè)人數(shù)據(jù)的自由流動(dòng)�,從而提高個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)�����。(2)鑒于個(gè)人數(shù)據(jù)局擁有監(jiān)管、監(jiān)督和制裁的權(quán)力,其可以負(fù)責(zé)確保有效的保護(hù)隱私和個(gè)人數(shù)據(jù)的權(quán)利��。(3)個(gè)人數(shù)據(jù)控制者�����,無(wú)論其是否在智利境內(nèi)注冊(cè),如果受到《新智利個(gè)保法》的監(jiān)管����,需要遵守《新智利個(gè)保法》的合規(guī)義務(wù)��,則必須在個(gè)人數(shù)據(jù)保護(hù)局指定一名代表���,以確保和個(gè)人數(shù)據(jù)保護(hù)局進(jìn)行溝通�。《智利個(gè)保法》第五章規(guī)定了在訴訟過(guò)程中,處理個(gè)人數(shù)據(jù)違反法律法規(guī)的基本責(zé)任�,但是相關(guān)條款僅包含停止數(shù)據(jù)處理行為等幾項(xiàng)相對(duì)基本的罰則�����,并未形成系統(tǒng)性罰則。《新智利個(gè)保法》第七章對(duì)于違反《新智利個(gè)保法》的罰則進(jìn)行了系統(tǒng)性的規(guī)定���;根據(jù)違反嚴(yán)重程度的不同,可以分為三類(lèi)(第34條):輕微違法、嚴(yán)重違法和特別嚴(yán)重違法��。同時(shí)����,該章節(jié)對(duì)于上述三種嚴(yán)重程度進(jìn)行了列舉。例如,未履行或部分履行信息和透明度義務(wù)屬于輕微違法�����;缺乏合法性基礎(chǔ)收集和處理個(gè)人數(shù)據(jù)屬于嚴(yán)重違法�����;以欺詐方式收集和處理個(gè)人數(shù)據(jù)屬于特別嚴(yán)重違法。同時(shí)�,《新智利個(gè)保法》第七章第35條規(guī)定了違法情形下適用的罰款金額��,具體為:若屬于輕微違法,罰款最高額度為5,000 UTM��;若屬于嚴(yán)重違法��,罰款最高為10,000 UTM��;如果屬于特別嚴(yán)重違法,罰款最高為20,000 UTM[2]����。除罰款外����,《新智利個(gè)保法》在第七章中也明確了監(jiān)管機(jī)構(gòu)有權(quán)要求數(shù)據(jù)處理主體對(duì)違法后果進(jìn)行修復(fù)����、在特別嚴(yán)重違法的情況下要求停止個(gè)人數(shù)據(jù)處理活動(dòng)等相關(guān)規(guī)定。因此����,處理智利境內(nèi)的個(gè)人數(shù)據(jù)時(shí)�����,應(yīng)當(dāng)對(duì)《新智利個(gè)保法》的罰則要求和法律后果予以重點(diǎn)關(guān)注。
十一�����、對(duì)企業(yè)日常處理智利個(gè)人信息的提示
結(jié)合前文分析����,中國(guó)企業(yè)在前往智利進(jìn)行經(jīng)營(yíng)時(shí)�����,或者在智利境外開(kāi)展與智利有關(guān)的業(yè)務(wù)活動(dòng)時(shí)��,只要涉及到處理智利境內(nèi)個(gè)人的個(gè)人數(shù)據(jù),都需要關(guān)注《新智利個(gè)保法》及其他配套規(guī)定的影響,特別注意如下幾個(gè)方面:
1. 關(guān)注《新智利個(gè)保法》的適用范圍
《新智利個(gè)保法》的適用范圍不僅包括本國(guó)境內(nèi)個(gè)人數(shù)據(jù)收集和處理活動(dòng)��,亦包括境外主體收集和處理智利境內(nèi)的個(gè)人數(shù)據(jù)的行為�。甚至如果簽訂的協(xié)議約定準(zhǔn)據(jù)法為智利法,那么就與協(xié)議履行有關(guān)的個(gè)人數(shù)據(jù)處理活動(dòng)�����,也應(yīng)當(dāng)遵守《新智利個(gè)保法》的規(guī)定和要求?����?梢?jiàn)�,《新智利個(gè)保法》的域外適用原則相比于GDPR和《中國(guó)個(gè)保法》有更加廣泛的擴(kuò)展。因此中國(guó)企業(yè)在簽訂協(xié)議時(shí)�����,無(wú)論相關(guān)協(xié)議是否專(zhuān)注于個(gè)人數(shù)據(jù)處理(例如勞動(dòng)協(xié)議���、系統(tǒng)技術(shù)開(kāi)發(fā)協(xié)議等)����,只要該協(xié)議的準(zhǔn)據(jù)法為智利法,那么該協(xié)議涉及的個(gè)人數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)滿(mǎn)足《新智利個(gè)保法》的要求����。因此中國(guó)企業(yè)在協(xié)議擬定過(guò)程中��,也需要注意考慮�����,在并非法律強(qiáng)制要求的情況下����,是否選擇智利法還是其他法域的法律作為協(xié)議的管轄法律�。
2. 合法處理個(gè)人數(shù)據(jù)、關(guān)注監(jiān)管動(dòng)態(tài)
鑒于《新智利個(gè)保法》的頒布顯著提高了與智利有關(guān)的個(gè)人數(shù)據(jù)保護(hù)水位,因此中國(guó)出海企業(yè)應(yīng)當(dāng)關(guān)注《新智利個(gè)保法》的落地、執(zhí)行和監(jiān)管情況;僅在具備處理個(gè)人數(shù)據(jù)合法性基礎(chǔ)的前提下處理相關(guān)個(gè)人數(shù)據(jù)��,并積極履行法律法規(guī)規(guī)定的個(gè)人數(shù)據(jù)處理義務(wù)�;如果相關(guān)權(quán)利主體對(duì)出海企業(yè)提出個(gè)人數(shù)據(jù)權(quán)利要求,則應(yīng)當(dāng)積極響應(yīng)相關(guān)權(quán)利,以防止因未響應(yīng)個(gè)人主體行權(quán)要求而遭到處罰��。
3. 關(guān)注個(gè)人數(shù)據(jù)跨境機(jī)制
《新智利個(gè)保法》首次規(guī)定了個(gè)人數(shù)據(jù)跨境傳輸機(jī)制��,同時(shí)由于智利個(gè)人數(shù)據(jù)保護(hù)局系在概念上首次被提出設(shè)立�,因此目前智利國(guó)內(nèi)暫無(wú)專(zhuān)門(mén)的個(gè)人數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)����。結(jié)合《新智利個(gè)保法》的要求,具體個(gè)人數(shù)據(jù)跨境機(jī)制的細(xì)則和要求(例如制定出境標(biāo)準(zhǔn)合同、進(jìn)行充分認(rèn)定國(guó)認(rèn)定)將由個(gè)人數(shù)據(jù)保護(hù)局執(zhí)行����,因此出海企業(yè)在智利設(shè)立機(jī)構(gòu)后��,若需要將例如員工個(gè)人數(shù)據(jù)、用戶(hù)數(shù)據(jù)跨境傳輸至中國(guó)或其他智利以外的國(guó)家���,則需要滿(mǎn)足《新智利個(gè)保法》的規(guī)定,滿(mǎn)足跨境傳輸機(jī)制后方可傳輸相關(guān)個(gè)人數(shù)據(jù)�����。
4. 設(shè)立個(gè)人數(shù)據(jù)保護(hù)代表
鑒于《新智利個(gè)保法》要求�,只要處理智利境內(nèi)收集的個(gè)人數(shù)據(jù),無(wú)論其位于智利境內(nèi)還是境外����,均需要設(shè)立個(gè)人數(shù)據(jù)保護(hù)代表。根據(jù)法律規(guī)定�����,該代表具有溝通職能����,但并未規(guī)定該代表需要承擔(dān)出海企業(yè)個(gè)人數(shù)據(jù)處理的合規(guī)義務(wù)或違法責(zé)任,因此該機(jī)構(gòu)的設(shè)立定位與GDPR和《中國(guó)個(gè)保法》的規(guī)定存在一定區(qū)別�,其更多承擔(dān)的是監(jiān)管溝通的職責(zé)����。
[1] 在西班牙和拉丁美洲法系中�,經(jīng)常存在同一條款分述兩條、但是條目數(shù)字相同的情況�����,此處“第一條之二”是指和《智利個(gè)保法草案》第一條并列且為“第一條”的條款;一般而言�����,該等并列條款規(guī)定同一事項(xiàng)�����,但是分為兩條進(jìn)行規(guī)定��,下同。
[2] 在智利���,月度稅收單位(UTM)是用于計(jì)算稅款、罰款和其他稅務(wù)義務(wù)的重要指標(biāo)�����。該具體數(shù)值每月根據(jù)通貨膨脹情況進(jìn)行調(diào)整�。因此如果需要具體計(jì)算罰款金額�����,需要咨詢(xún)?nèi)缰抢悇?wù)局等官方機(jī)構(gòu)���。
更多出海新時(shí)代系列文章�����,請(qǐng)點(diǎn)擊查看:
題21-1_畫(huà)板 1 副本.png)
題21-1_畫(huà)板 1.png)
.png "備案圖標(biāo).png"){kind=small}
