2024-12-16
出海新時代:智利個人信息保護法
作者:
傅鵬
韋龍杰
南美洲是中企出海的熱門目的地之一。智利作為位于南美洲的重要投資地,在能源、礦業、信息技術、農業等領域吸引了諸多關注。智利新近更新了自身的個人信息保護法律體系,頗具特色,在一些關鍵領域也和全球其他主流司法管轄區域的監管思路存在相似之處。
《智利第19628法,關于個人私生活保護》(Ley 19628, Sobre Protección de la Vida Privada Ministerio Secretaría General de la Presidencia,以下簡稱“《智利個保法》”)是智利關于個人信息保護的法律,頒布于1999年8月28日。在歐盟General Data Protection Regulation (“GDPR”)出臺后,又進行了數次修訂。目前,智利剛剛于2024年12月13日通過了其個人信息保護法律(la Ley N° 21.719, que modifica, entre otras, la Ley N°19.628, y que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales,簡稱“《新智利個保法》”)。
《新智利個保法》將原《智利個保法》在結構和內容方面均進行了重大調整,以使其個人數據保護水平接近《歐盟通用數據保護條例》(以下簡稱“GDPR”)以及其他拉美個人數據保護先進國家的標準和水平。本文以《新智利個保法》為基礎,并結合《中華人民共和國個人信息保護法》(以下簡稱“《中國個保法》”)、GDPR進行比較分析,以供參考和理解《新智利個保法》的監管思路。部分內容為便利比較,將簡要介紹或引用原《智利個保法》的內容。
需注意的是,由于不同法律下對“個人信息”“個人數據”的稱謂略有不同,本文分析過程中,對“個人信息”和“個人數據”這兩個術語進行混用,不特別區分。此外,由于《中國個保法》規定決定個人信息處理目的和方式的主體為個人信息“處理者”,但GDPR將此類主體稱為“數據控制者”(Data Controller),為便利理解和全文統一,本文使用數據“控制者”的表述指稱類似于《中國個保法》下“個人信息處理者”以及GDPR下“Data Controller”的角色,而將受控制者的委托處理個人信息的主體稱為“處理者”或者“受托方”。
一、《新智利個保法》的域外效力
《智利個保法》可以管轄智利境內的個人數據處理活動。《智利個保法》第一條第二款規定:“任何人(包括自然人和法人)都可以處理個人數據,前提是他們根據本法并出于智利法律法規允許的目的處理上述個人數據。在任何情況下,處理個人數據的人和相關處理行為都必須尊重數據主體的基本權利、以及本法賦予上述數據主體的相關權利的充分行使。”因此,在智利境內處理個人信息,應當遵守《智利個保法》的規定和要求。
同時,根據《新智利個保法》第一條之二(西班牙文:articulo 1 bis[1], ámbito de aplicación territorial),在下列情況下進行的個人數據處理活動應當遵守《新智利個保法》的規定:第一,當控制者或處理者在(智利)境內領土內設立或成立時;第二,當處理者獨立于其設立或成立地點,代表在(智利)國內設立或成立的控制者進行個人數據處理時;第三,當控制者或處理者不在(智利)國內設立,但其個人數據處理操作旨在向位于智利的個人提供商品或服務,無論個人數據處理行為是否需要支付時;抑或監測位于(智利)國內的個人行為,包括其分析、追蹤、用戶畫像或行為預測時;第四,若控制者不在智利境內,但是其簽訂的協議抑或國際義務的準據法指向智利法時。
可見,《新智利個保法》將并不僅限于適用于智利境內的活動。《新智利個保法》具有域外適用的效力,無論是智利境內企業還是境外企業,無論其是數據控制者還是數據處理者,在收集和處理智利境內個人的個人數據或基于收集處理的個人數據向智利提供產品或服務,或者簽訂的相關協議準據法指向智利法時,應當遵守《新智利個保法》的相關規范和要求。
值得特別注意的是,在《新智利個保法》中,明確規定如果簽訂協議時,協議的準據法指向智利法,那么如果協議相關的活動涉及個人數據處理活動,則與協議相關的個人數據處理活動應當遵守《新智利個保法》的要求。這一域外適用場景相對特殊,在《中國個保法》、GDPR中都沒有類似的要求,屬于較為新穎的適用范圍。這也使得擬出海智利的中國企業,或者擬簽署與智利業務有關協議的中國企業,注意審閱和評估協議約定的適用法律,是否必須是智利法,或者各方是否確實有充分動力和意愿主動選擇智利法,因為如果選擇智利法作為適用法律,則會導致簽署協議約定的各方與協議有關的個人數據處理活動需要遵守《新智利個保法》的具體合規義務。
二、處理個人信息的基本原則
對比《中國個保法》和GDPR,《新智利個保法》所規定的處理個人數據的原則,與《中國個保法》和GDPR其實有諸多相似之處,有利于各類企業在對比和參照之中降低理解智利個人數據保護法律的門檻,并在一定程度上適用企業現有的個人信息保護合規體系來涵蓋《新智利個保法》中的要求。
三、個人數據的分類
● 一般個人數據:根據《新智利個保法》第2條第f款規定,個人數據是指任何與已識別或可識別的個人相關或關聯的信息。所謂自然人的可識別性是指其身份可以直接或間接確定,特別是通過一個或多個識別符,例如姓名、身份證號、身體特征、心理特征、遺傳特征、經濟、文化或社會身份等分析。同時,在確定可識別性時,應當考慮個人數據在處理時可以合理使用的所有的客觀措施和因素。
● 敏感個人數據:根據《新智利個保法》第2條第g款規定,敏感個人數據是指適用于涉及人的身體或道德特征、私生活或親密關系的事實或情況的個人數據,這些數據揭示了個人的民族或種族、出身、政治、工會或工會歸屬、社會經濟狀況、意識形態、哲學信念或宗教信仰、與健康有關的數據、人類基因、生物識別數據以及與個人的性生活、性取向和性別認同有關的信息。
● 特別類別個人數據:除上述兩種類別的個人數據外,在《新智利個保法》第16條之四、第16條之五、第16條之六,對于兒童個人數據、歷史、統計、科學和研究的個人數據以及地理區位相關個人數據的數據處理活動提出了特別要求。因此,對于該等特別類別個人數據,應當參考相關法條進行處理。
四、處理個人數據的合法性基礎
上述合法性基礎與《中國個保法》和GDPR的內容具有相似性,包含了例如“同意”、“履行自然人作為簽約一方的合同之必要”、“法律法規規定義務”等合法性基礎。但是,鑒于智利個人數據保護法律體系的發展,其合法性基礎也具備一定特殊性,包括以下幾點:
第一,對撤回“同意”方式進行了特殊規定。“同意”是各國個人信息保護法律規定的最重要的合法性基礎之一。允許提供“同意”的同時,各國法律一般都允許權利主體對其給出的“同意”進行撤回。結合《智利個保法》第4條以及《新智利個保法》第12條,權利主體對于已經提供的同意,也可以撤回,即權利主體有權撤回處理其個人數據的同意,撤回的方式應當使用與授予同意時類似或等效的方式撤回,且該等撤回不能溯及既往。同時,《新智利個保法》允許權利主體通過口頭、書面、電子等任意方式作出其同意,只要獲得同意的“告知”行為符合法律法規的規定。但是實踐操作中對于“口頭告知”事項如何操作仍有待相關法律的實踐觀察。
第二,“符合《智利個保法》第三章的處理個人數據行為的規定”的合法性基礎是指:為促進社會發展以及滿足金融活動要求,在部分場景下的個人數據處理行為無需獲得個人的同意可直接進行處理,例如:被拒絕的本票、匯票中載錄的個人數據的合理使用;在購買房屋時,銀行、公共機構等主體之間必要的個人數據處理行為等。這一合法性基礎系《智利個保法》第三章中豁免獲取個人同意場景的延續和運用,有利于增強《智利個保法》和《新智利個保法》之間的順利過渡和一致適用。
第三,《新智利個保法》明確了在爭議解決過程中處理必要的個人數據的合法性基礎,該等事項對于智利本國爭議解決過程中的個人數據處理事項提供了便捷的合法通道。對于爭議解決過程中的個人數據處理事項,《中國個保法》并未明確規定,在實踐層面往往出現不具備處理個人數據合法性基礎而直接處理個人數據的行為。
五、權利主體擁有的個人信息權利
《智利個保法》對于權利主體擁有的個人信息權利進行了基本規定,散見于不同章節的條款中。《新智利個保法》在第一章中對個人擁有的個人信息權利進行了詳細規定。權利主體擁有的權利是“個人的、不可轉讓的、不可剝奪的,不能受到任何行為或協議的限制的”;相關權利具體包括:
另外,《新智利個保法》在第一章第四條規定了,對于逝者的個人信息,其繼承人有權進行處理,但是,如果逝者在生前明確禁止處理其個人數據或者法律另有規定的,繼承人將無法訪問死者的個人數據,也無法請求相關實體更正或刪除。
可見,類似于《中國個保法》和GDPR,《新智利個保法》亦規定了體系化的個人數據權利,甚至包含了較為先進的數據可攜帶權、對于逝者的個人數據處理事項的規范。鑒于《智利個保法》中對于權利主體的個人數據權利規定較為零散且間接,對于該等權利保護水位的提高以及未來行業實踐情況,仍有待觀察。總而言之,《新智利個保法》在保護權利主體的個人數據基本權利事項上,相比于《智利個保法》,取得了顯著的進展。
六、個人數據控制者的主要義務
根據《新智利個保法》第15條之三的規定,在以下情況下,應當進行個人數據保護影響評估:
上述對于數據控制者的義務和《中國個保法》以及GDPR中的部分規定具備相似性;但是,《中國個保法》中對于數據分類分級、個人信息保護負責人設立等事項,《新智利個保法》未進行明確規定。鑒于《新智利個保法》未來的實踐情況未知,對于例如“采取安全措施的義務”是否包含數據分類分級、設立數據保護官等事項,仍有待觀察。
七、委托處理個人數據的關系下,相應的合規要求
● 目的限制要求:控制者可以直接處理個人數據,也可以通過第三方進行處理。在通過第三方進行處理的情況下,第三方應當根據委托方的委托和指示進行個人數據處理,不得將相關個人數據用于與控制者約定的內容所不同的目的,也不得在控制者未明確和具體授權的情況下進行個人數據傳輸。
● 合同簽訂要求:控制者應當與第三方針對數據處理事項簽訂數據處理協議,協議中應當明確委托目的、委托時間、個人數據處理目的、處理類型、相關權利主體類別,以及各方的權利和義務。同時,上述條款對轉委托事項進行了規定:即除非獲得控制者的書面授權,受托方不得將部分或全部個人數據處理事項轉交給其他第三方進行處理。
● 受托方通報安全事件的義務:如果受托方的安全措施出現漏洞或發生安全事件,受托方有義務將相關安全事件報告控制者以供控制者采取相應措施保護個人數據。
● 數據刪除或返還要求:即要求受托方在完成個人數據處理后,應當結合實際情況將相關個人數據刪除或返還給數據控制者。
《新智利個保法》的規定與《中國個保法》的規定基本類似,但是《新智利個保法》對于委托處理協議中的具體內容、轉委托事項以及安全事件報送通知等事項進行規定,比《中國個保法》更為細致和明確。同時《中國個保法》中規定了控制者應當對受托方數據處理事項進行監督,但是在《新智利個保法》中并未予以明確。
八、對個人數據跨境傳輸的特殊監管要求
當不滿足上述跨境傳輸機制的任何一條,但是跨境傳輸確有必要時,個人數據可以基于下列理由進行跨境傳輸:
可見,《新智利個保法》對跨境傳輸機制進行了明確和系統的規定,包含了GDPR和《中國個保法》中常見的個人數據保護認證、充分性認定國、標準合同、約束性公司準則等機制。同時,為促進數據流通、滿足數據跨境傳輸的必要,《新智利個保法》也對部分確有需要進行跨境傳輸個人數據的情況進行了豁免。該等機制一定程度上屬于各國跨境傳輸機制的融合,體現了《新智利個保法》吸收各國優秀實踐的思路。
九、智利個人數據保護的監管機構
十、違反《新智利個保法》的后果
十一、對企業日常處理智利個人信息的提示
1. 關注《新智利個保法》的適用范圍
《新智利個保法》的適用范圍不僅包括本國境內個人數據收集和處理活動,亦包括境外主體收集和處理智利境內的個人數據的行為。甚至如果簽訂的協議約定準據法為智利法,那么就與協議履行有關的個人數據處理活動,也應當遵守《新智利個保法》的規定和要求。可見,《新智利個保法》的域外適用原則相比于GDPR和《中國個保法》有更加廣泛的擴展。因此中國企業在簽訂協議時,無論相關協議是否專注于個人數據處理(例如勞動協議、系統技術開發協議等),只要該協議的準據法為智利法,那么該協議涉及的個人數據處理活動應當滿足《新智利個保法》的要求。因此中國企業在協議擬定過程中,也需要注意考慮,在并非法律強制要求的情況下,是否選擇智利法還是其他法域的法律作為協議的管轄法律。
2. 合法處理個人數據、關注監管動態
鑒于《新智利個保法》的頒布顯著提高了與智利有關的個人數據保護水位,因此中國出海企業應當關注《新智利個保法》的落地、執行和監管情況;僅在具備處理個人數據合法性基礎的前提下處理相關個人數據,并積極履行法律法規規定的個人數據處理義務;如果相關權利主體對出海企業提出個人數據權利要求,則應當積極響應相關權利,以防止因未響應個人主體行權要求而遭到處罰。
3. 關注個人數據跨境機制
《新智利個保法》首次規定了個人數據跨境傳輸機制,同時由于智利個人數據保護局系在概念上首次被提出設立,因此目前智利國內暫無專門的個人數據保護監管機構。結合《新智利個保法》的要求,具體個人數據跨境機制的細則和要求(例如制定出境標準合同、進行充分認定國認定)將由個人數據保護局執行,因此出海企業在智利設立機構后,若需要將例如員工個人數據、用戶數據跨境傳輸至中國或其他智利以外的國家,則需要滿足《新智利個保法》的規定,滿足跨境傳輸機制后方可傳輸相關個人數據。
4. 設立個人數據保護代表
鑒于《新智利個保法》要求,只要處理智利境內收集的個人數據,無論其位于智利境內還是境外,均需要設立個人數據保護代表。根據法律規定,該代表具有溝通職能,但并未規定該代表需要承擔出海企業個人數據處理的合規義務或違法責任,因此該機構的設立定位與GDPR和《中國個保法》的規定存在一定區別,其更多承擔的是監管溝通的職責。
[1] 在西班牙和拉丁美洲法系中,經常存在同一條款分述兩條、但是條目數字相同的情況,此處“第一條之二”是指和《智利個保法草案》第一條并列且為“第一條”的條款;一般而言,該等并列條款規定同一事項,但是分為兩條進行規定,下同。
[2] 在智利,月度稅收單位(UTM)是用于計算稅款、罰款和其他稅務義務的重要指標。該具體數值每月根據通貨膨脹情況進行調整。因此如果需要具體計算罰款金額,需要咨詢如智利稅務局等官方機構。
更多出海新時代系列文章,請點擊查看:
京ICP備05019364號-1 
京公網安備110105011258
近日,北京市海問律師事務所(“本所”)發現,網絡上存在將一家名為“廣州海問睿律咨詢顧問有限公司”的主體與本所進行不當關聯的大量不實信息,導致社會公眾產生混淆與誤解,也對本所的聲譽及正常執業活動造成不良影響。
本所特此澄清,本所與“廣州海問睿律咨詢顧問有限公司”(成立于2025年11月)不存在任何隸屬、投資、關聯、合作、授權或品牌許可關系,亦從未授權任何主體以“海問”的名義提供法律咨詢服務,該公司的任何行為與本所無關。更多詳情,請點擊左下方按鈕查看。
