巴西《通用數(shù)據(jù)保護(hù)法》（Lei Geral de Prote??o de Dados，簡(jiǎn)稱(chēng)LGPD）于2018年8月14日正式通過(guò)，并將于2020年2月15日正式生效。LGPD為巴西的法律框架帶來(lái)了迫需闡述的說(shuō)明，被稱(chēng)為巴西版的“歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）”。LGPD試圖通過(guò)替換某些法規(guī)和補(bǔ)充其他法規(guī)，整合目前管理線(xiàn)上和線(xiàn)下個(gè)人數(shù)據(jù)的40多個(gè)不同的法令和法規(guī)。這種對(duì)以前互不相同、時(shí)?；ハ嗝艿姆ㄒ?guī)的整合，為L(zhǎng)GPD與巴西獲得啟發(fā)的GDPR之間的相同點(diǎn)之一。

另一個(gè)相同點(diǎn)則是LGPD適用于處理巴西境內(nèi)自然人的個(gè)人數(shù)據(jù)的任何企業(yè)或組織，不管該企業(yè)或組織本身可能位于何處。因此，在巴西有任何顧客或客戶(hù)的公司應(yīng)該開(kāi)始著手LGPD合規(guī)，如果已經(jīng)完成GDPR合規(guī)，則代表完成了LGPD合規(guī)所需的大部分工作。

GDPR與LGPD之間的相同點(diǎn)：

除了其域外管轄效力以外，LGPD和GDPR在數(shù)據(jù)保護(hù)方面，就以下若干基本問(wèn)題達(dá)成一致。

1.個(gè)人數(shù)據(jù)

盡管LGPD對(duì)“個(gè)人數(shù)據(jù)”沒(méi)有唯一定義，但LGPD原文中能看到GDPR對(duì)“個(gè)人數(shù)據(jù)”定義的影子。LGPD在不同地方表明，個(gè)人數(shù)據(jù)可以指任何單獨(dú)或與其他數(shù)據(jù)相結(jié)合的數(shù)據(jù)，能識(shí)別一個(gè)自然人或?qū)ζ溥M(jìn)行特定處理。雖然該定義可能會(huì)隨著巴西即將實(shí)施LDPG而得以闡明，但LGPD對(duì)哪些數(shù)據(jù)屬于個(gè)人數(shù)據(jù)的理解更為廣泛，甚至比GDPR還要廣泛。

2.數(shù)據(jù)主體權(quán)利

LGPD第18條是LGPD中對(duì)于已做好GDPR合規(guī)的企業(yè)來(lái)說(shuō)看似熟悉的另一部分，闡明了數(shù)據(jù)主體所擁有的的九項(xiàng)基本權(quán)利，包括：

（1）有權(quán)確認(rèn)存在數(shù)據(jù)處理；

（2）有權(quán)訪(fǎng)問(wèn)數(shù)據(jù)；

（3）有權(quán)糾正不完整、不準(zhǔn)確或過(guò)時(shí)的數(shù)據(jù)；

（4）有權(quán)匿名、攔截或刪除不必要或過(guò)多的數(shù)據(jù)或未按照LGPD處理的數(shù)據(jù)；

（5）有權(quán)通過(guò)明示請(qǐng)求將數(shù)據(jù)轉(zhuǎn)移至另一個(gè)服務(wù)或產(chǎn)品的提供者；

（6）有權(quán)刪除經(jīng)數(shù)據(jù)主體準(zhǔn)許處理后的個(gè)人數(shù)據(jù)；

（7）有權(quán)知曉數(shù)據(jù)控制者與之共享數(shù)據(jù)的公共或私人實(shí)體；

（8）有權(quán)知曉拒絕準(zhǔn)許的可能性及拒絕后果；

（9）有權(quán)撤回準(zhǔn)許。

雖然GDPR以賦予數(shù)據(jù)主體八項(xiàng)基本權(quán)利而眾所周知，但它們本質(zhì)上與LGPD提到的權(quán)利相同。LGPD似乎將“有權(quán)知曉數(shù)據(jù)控制者與之共享數(shù)據(jù)的公共或私人實(shí)體”從GDPR更通用的“知情權(quán)”中分離出來(lái)，使之更清晰明了。

LGPD與GDPR之間的區(qū)別

盡管LGPD和GDPR的目標(biāo)相似，而且GDPR對(duì)巴西立法者有著明顯影響，但這兩者之間仍有值得注意的關(guān)鍵區(qū)別。

1.數(shù)據(jù)保護(hù)官

兩項(xiàng)立法都要求企業(yè)或組織設(shè)立一名數(shù)據(jù)保護(hù)官（DPO）。然而，盡管GDPR概述了何時(shí)需要數(shù)據(jù)保護(hù)人員（DPO），而LGPD第41條僅作簡(jiǎn)要表述：“數(shù)據(jù)控制者需任命一名人員負(fù)責(zé)數(shù)據(jù)處理”，這意味著處理巴西人民數(shù)據(jù)的任何組織都需要聘用一名數(shù)據(jù)保護(hù)官（DPO）。這是另一個(gè)可能會(huì)得到進(jìn)一步闡明的領(lǐng)域，但這是LGPD比GDPR少數(shù)更嚴(yán)格的領(lǐng)域之一。

2.數(shù)據(jù)處理的合法性依據(jù)

LGPD和GDPR之間最顯著的區(qū)別，可能為對(duì)滿(mǎn)足數(shù)據(jù)處理的法律依據(jù)資格的規(guī)定。GDPR規(guī)定了六項(xiàng)數(shù)據(jù)處理的合法性依據(jù)，數(shù)據(jù)控制者必須選擇其一作為使用數(shù)據(jù)主體信息的理由。但是，LGPD在其第7條中列出了十項(xiàng)，分別是：

（1）獲得數(shù)據(jù)主體的同意；

（2）為遵守?cái)?shù)據(jù)控制者的法律或監(jiān)管義務(wù)；

（3）為執(zhí)行法律或法規(guī)規(guī)定的，或以合同、協(xié)議或類(lèi)似法律文件為依據(jù)的公開(kāi)政策；

（4）為在由研究實(shí)體開(kāi)展的研究中，其研究將盡可能確保個(gè)人數(shù)據(jù)的匿名化；

（5）為應(yīng)數(shù)據(jù)主體要求，執(zhí)行與數(shù)據(jù)主體為其中一方的合同有關(guān)的合同或預(yù)備程序；

（6）為行使司法、行政或仲裁程序中的權(quán)利；

（7）為保護(hù)數(shù)據(jù)主體或第三方的生命或人身安全；

（8）為在由衛(wèi)生專(zhuān)業(yè)人員和衛(wèi)生實(shí)體開(kāi)展的過(guò)程中保護(hù)健康；

（9）為實(shí)現(xiàn)數(shù)據(jù)控制者或第三方的合法權(quán)益，除了在數(shù)據(jù)主體的基本權(quán)利和自由（需要個(gè)人數(shù)據(jù)保護(hù)的）更為重要情況下；

（10）為保護(hù)信用（指信用評(píng)分）。

3.通報(bào)數(shù)據(jù)泄露

盡管GDPR和LGPD都要求組織（數(shù)據(jù)控制者）向當(dāng)?shù)財(cái)?shù)據(jù)保護(hù)當(dāng)局通報(bào)數(shù)據(jù)泄露情況，但兩者對(duì)具體程度的要求差別很大。GDPR要求更為明確：“組織必須在發(fā)現(xiàn)個(gè)人數(shù)據(jù)泄漏后72小時(shí)內(nèi)通報(bào)該數(shù)據(jù)泄露情況（盡管不同組織已經(jīng)在測(cè)試這個(gè)截止時(shí)間）”。

LGPD并沒(méi)有規(guī)定任何確定的截止時(shí)間，其中第48條僅規(guī)定“數(shù)據(jù)控制者必須在國(guó)家當(dāng)局規(guī)定的合理時(shí)間期限內(nèi)，向國(guó)家當(dāng)局和數(shù)據(jù)主體通報(bào)可能對(duì)數(shù)據(jù)主體帶來(lái)風(fēng)險(xiǎn)或相關(guān)損害的安全事件的發(fā)生。”由于巴西國(guó)家數(shù)據(jù)管理局目前尚未成立，因此對(duì)于什么是“合理時(shí)間期限”暫無(wú)指導(dǎo)。

罰款

與GDPR相比，LGPD規(guī)定的罰款則要輕得多。LGPD第52條規(guī)定違規(guī)的最高罰款是“巴西私有法律實(shí)體、團(tuán)體或企業(yè)集團(tuán)上一財(cái)年的稅收收入（不含稅）的2%，最高不超過(guò)5000萬(wàn)雷亞爾”（合算約1100萬(wàn)歐元）。對(duì)于不那么嚴(yán)重的違規(guī)行為，LGPD的罰款與GDPR相一致，但1100萬(wàn)歐元將不會(huì)影響到世界上最大的數(shù)據(jù)處理方。

本新聞?dòng)蓮V東省WTO/TBT通報(bào)咨詢(xún)研究中心摘錄/編輯/整理并翻譯，轉(zhuǎn)載請(qǐng)注明來(lái)源。

更多詳情請(qǐng)見(jiàn)：https://gdpr.eu/gdpr-vs-lgpd/

關(guān)注“廣東技術(shù)性貿(mào)易措施”，獲取更多服務(wù)。