企业出海-海外数据合规概览（巴西篇）

巴西是享誉世界的“足球王国”，同时也是南美洲面积最大和人口最多的国家，巴西全国GDP一直位居南美洲第一[1]。巴西是中国第九大贸易伙伴国（最大的葡语国家贸易伙伴），也是中国在拉美地区的第一大贸易伙伴，中国则是巴西第一大贸易伙伴国。据中国海关统计，2023年中巴双边贸易额为1815.3亿美元，同比增长6.1%。中国企业对巴西的投资主要涉及能源、矿产、农业、基础设施、制造业等行业[2]。目前，巴西对于个人数据保护的立法日趋完善。中国企业在巴西开展个人数据处理活动时，应特别注意巴西个人数据保护法律的相关要求。本文将主要针对巴西的基本数据保护立法及执法情况，概述出海企业在巴西数据处理活动中的注意要点。一、巴西个人数据保护立法概览巴西《通用数据保护法》（LeiGeraldeProteçãodeDadosPessoais“LGPD”）是巴西第一部关于数据保护的综合性法律，其为公司和个人收集、使用、处理和存储数据提供了全面的法律框架。2018年12月28日，第55-A-L、58-A和58-B条生效，涉及建立国家数据保护局（AutoridadeNacionaldeProteçãodeDados（“ANPD”））和国家保护个人数据和隐私委员会（ConselhoNacionaldeProteçãodeDadosPessoaisedaPrivacidade“CNPD”2020年9月18日，LGPD的其余条款生效，但涉及适用行政处罚的条款除外；2021年8月1日，涉及行政处罚的第52、53和54条生效[3]。LGPD共十章，包含基本条款、个人数据的处理、个人数据所有者权利、公共机构对个人数据的处理、国际数据传输、个人数据处理代理人、数据安全及良好实践、国家数据保护局及国家保护个人数据和隐私委员会等内在LGPD之外，巴西关于个人数据的保护亦散见于其他法律法规中。例如，联邦法第12965/2014号及其第8771/16号法令（合称《巴西互联网法案》）对服务提供商、网络和应用程序提供商提出了有关个人数据处理的要求以及其他义务，并明确了互联网用户的相关权利[4]。此外，个人数据（包括数字媒体中的个人数据）受保护的权利，亦被写入巴西宪法（2022年第115号宪法修正案，IncluídopelaEmendaConstitucionalnº115,de2022），并在宪法中明确对个人数据的保护以及对个人数据处理活动的监督[5]。二、巴西个人数据保护监管机构巴西国家数据保护局（ANPD）是监管和执行LGPD的主要机构。根据LGPD，ANPD是具有特殊性质的独立机构，其具有技术和决策自主权，拥有自己的资产[6]。ANPD由理事会（最高领导机构）、国家个人数据保护和隐私委员会（CNPD）、以及执行LGPD规定所需的行政单位和专门单位等部门组成[7]。ANPD的主要职责包括：制定国家个人数据保护和隐私政策的指导方针；在数据处理违法的情况下，通过保障对抗、充分辩护和上诉权利的行政程序，进行监督并实施制裁；促进采纳有助于数据主体控制其个人数据的服务和产品标准；协调具有相关数据保护职责的其他机构和实体[8]。ANPD定期发布相关法规，以落实LGPD的执行，包括：2022年1月27日第CD/ANPD.2号决议-批准2018年8月14日第13.709号《LGPD小型处理代理适用条例》（经2024年4月24日第CD/ANPD.15号决议修订）（ResoluçãoCD/ANPDnº2,de27dejaneirode2022-AprovaoRegulamentodeaplicaçãodaLeinº13.709,de14deagostode2018,LeiGeraldeProteçãodeDadosPessoais（LGPD）,paraagentesdetratamentodepequenoporte（alterada2024年4月24日第CD/ANPD15号决议--批准《安全事件报告条例》（ResoluçãoCD/ANPDNº15,DE24DEAbrilDE2024-AprovaoRegulamentodeComunicaçãodeIncidentedeSegurança[10]）2023年5月22日第CD/ANPD1号公告-《修订关于处理儿童和青少年个人数据的声明》（EnunciadoCD/ANPDNº1,DE22DEMaioDE2023-EditaoEnunPessoaisdeCriançaseAdolescentes[11]）值得注意的是，ANPD会在其官网中定期发布相关指南及技术文件[12]，以向数据处理者提关于个人数据保护的指引。目前ANPD已发布的相关指南包括：《个人数据处理代理人和数据控制者定义指南》（GuiaOrientativoparaDefiniçõesdosAgentesdeTratamentodeDadosPessoaisedoEncarregado[13]）《出于法定利益处理个人数据的法律假设指南》（HipótesesLegaisdeTratamentodeDadosPessoaisLegítimoInteresse[14]）《个人数据保护和隐私词汇表》（GlossáriodeProteçãodeDadosPessoaisePrivacidade[15]）已发布的技术文件包括：技术说明19/2023/CGF/ANPD号-监控活动（NotaTécnicanº19/2023/CGF/ANPD-AtividadedeMonitoramento[16]）技术说明16/2023/CGTP/ANPD号-关于巴西人工智能立法项目的法律影响建议，重点关注2338/2023号议案（NotaTécnicanº16/2023/CGTP/ANPD-SugestõesdeincidêncialegislativaemprojetosdeleisobrearegulaçãodaInteligênciaArtificialnoBrasil,comfoconoPLnº2338/2023[17]）技术说明6/2023/CGF/ANPD号-总检查协调部关于TikTok社交网络在儿童和青少年注册平台时处理其个人数据的技术表态（NotaTécnicanº6/2023/CGF/ANPD-ManifestaçãotécnicadaCoordenação-GeraldeFiscalizaçãoacercadotratamentosdedadospessoaisdecriançaseadolescentes,pelaredesocialTikTok,nomomentoemqueelessecadastramnaplataforma[18]）三、巴西个人数据保护法的关键概念LGPD定义了一系列涉及个人数据保护的概念，该等概念与中国《个人信息保护法》或欧盟《通用数据保护条例》（GeneralDataProtectionRegulation）具有一定类似性，但也存在一定差异。关键概念：处理代理人（Agentesdetratamento）处理代理人是对个人数据进行收集、使用、共享或其他活动的主体[19]。LGPD规定了两种具有不同功能和责任的处理代理人：控制者（Controlador）和操作者（Operador）。控制者是负责就个人数据的处理做出主要决定[20]，并定义个人数据处理目的和基本要素的一种处理代理人。控制者负责遵守LGPD为数据所有者创建的权利。如果控制者不遵守这些权利，数据所有者可以向ANPD提出投诉操作者是代表控制者[22]并依据控制者的指示及法律规定处理数据的一种处理代理人[23]。实践中，明确相关主体是否构成处理代理人，构成何种处理代理人（控制者还是操作者）将是企业明确自身是否需要承担个人数据保护责任以及承担何种责任的前置性问题。ANPD发布的《个人数据处理代理人和数据控制者定义指南》对企业如何解决前述问题提供了具有实操意义的指A公司决定向客户发送广告，以促进其相关产品的销售。为此，A公司聘请了一家广告公司（B公司），由其设计带有人们使用产品照片的营销活动。A公司提供广告活动的所有标准，如目标受众，并确定摄影模特的外貌标准。B公司通过挑选摄影模特并存储其照片来处理个人数据，为A公司提供服务。B公司完成服务后，B公司员工将广告发送给A公司。A公司作为控制者，决定数据处理并定义其基本要素。B公司作为操作者，根据控制者确定的处理目的处理数据。而B公司的雇员向客户发送电子邮件，是依B公司指令行事，不属于处理代理人的范畴[24]。关键概念：负责人（Encarregado）负责人是由控制者和操作者指定的人员，其将作为控制者、数据主体和ANPD之间的沟通渠道[25]。欧盟《通用数据保护条例》与中国《个人信息保护法》下均存在类似负责人的概念（例如，欧盟《通用数据保护条例》项下的DataProtectionOfficer和中国《个人信息保护法》项下的个人信息保护负责人）。但与欧盟及中国数据保护法仅在特定情况下要求公司指定负责人的规定不同的是，LGPD要求所有控制者均应指定负责人（除非符合其他法定豁免情形），并公开披露负责人的身份和联系信息。负责人应接收数据所有人的投诉，接收ANPD的通知，并指导控制者对个人数据的保护[26]。四、巴西个人数据保护法的主要合规义务处理个人信息的合法性基础LGPD第七条及第十一条分别明确了处理个人数据及敏感个人数据的合法性基础，包括取得数据所有人同意（Consentimento）等。与欧盟《通用数据保护条例》类似，LGPD同样明确了可以基于为履行控制者法定利益（InteressesLegítimos）所必需作为处理个人数据（不包括敏感个人数据）的合法性基础，前提是该等法定利益不会侵犯需保护的数据所有者的基本权利和自由[27]。ANPD曾发布《出于法定利益处理个人数据的法律假设指南》，该指南提供了关于法定利益的解释和实际应用的指导，明确了相关定义及解释参数，并介绍了平衡测试模型，包括三方面测试事项：1）目的；2）必要性；以及3）平衡和保障措施[28]。数据保护影响评估与欧盟《通用数据保护条例》项下的DataProtectionImpactAssessment和中国《个人信息保护法》项下的个人信息保护影响评估类似，ANPD可以要求控制者依据LGPD的规定，在遵守商业和工业秘密的情况下，就其数据处理涉及的个人数据（包括敏感个人数据）的保护准备一份数据保护影响评估报告。数据保护影响评估报告必须至少说明所收集的数据类型、用于收集和确保信息安全的方法，以及控制者对所采取的保障措施和风险缓解机制等的分析[29]。个人数据跨境传输LGPD规定，个人数据的跨境传输需符合如下标准之一：传输到对个人数据有充分保护的国家或国际组织；控制者对遵守LGPD规定的原则、数据主体权利和数据保护制度的充分保证，包括跨境传输的具体合同条款、标准合同条款、全球性企业规范、定期发布的资质或行为准则等；该等传输已由ANPD授权，或具备其他法定条件[30]。2023年8月ANPD发布了《个人数据国际传输条例》（RegulamentodeTransferênciasInternacionaisdeDados）和《标准合同条款范本》（PessoaisedomodelodeCláusulas-PadrãoContratuais）草案[31]，征求公众意见。LGPD中关于个人数据跨境传输的规则将进一步落地。个人数据安全事件的通知根据LGPD的规定，控制者必须向ANPD和数据所有人报告可能对所有人造成相关风险或损害的安全事件。报告的内容至少包括：1）受影响的个人数据的性质；2）有关数据主体的信息；3）用于保护数据的技术和安全措施；以及4）与事件有关的风险等内容[32]。ANPD于2024年发布了《安全事件报告条例》，该条例进一步明确，如果安全事件严重影响数据主体的利益和基本权利，并至少涉及以下标准之一，则可能对数据主体造成相关风险或损害：1）敏感个人数据；2）儿童、青少年或老年人的数据；3）财务数据；4）系统中的认证数据；5）受法律、司法或专业秘密保护的数据；6）大规模数据。《安全事件报告条例》要求控制者必须在知悉安全事件的3个工作日内向ANPD报告安全事件违规处罚根据LGPD，数据处理代理人（即控制者或操作者）如果违反法律规定，可能面临如下行政处罚[34]：删除或封存与违法行为相关的个人数据；暂停运行违法行为所涉数据库；暂停违法行为所涉个人数据处理活动；部分或全部禁止开展与数据处理相关的活动。其中，罚款的最高额为该私法人实体、集团或联合企业在巴西上一财政年度营业额的2%（不含税），每次违规罚款总额不超过5000万雷亚尔[35]（约合人民币7000万元）。此外，巴西《刑法典》（CódigoPenal）规定：侵入他人计算机设备，在未经设备使用者明示或默示授权的情况下，获取、篡改或破坏数据的，可能面临一至四年监禁，并处罚金[36]。值得注意的是，2023年7月，ANPD