南美洲是中企出海的热门目的地之一。智利作为位于南美洲的重要投资地,在能源、矿业、信息技术、农业等领域吸引了诸多关注。智利新近更新了自身的个人信息保护法律体系,颇具特色,在一些关键领域也和全球其他主流司法管辖区域的监管思路存在相似之处。
《智利第19628法,关于个人私生活保护》(Ley 19628, Sobre Protección de la Vida Privada Ministerio Secretaría General de la Presidencia,以下简称“
《智利个保法》
”)是智利关于个人信息保护的法律,颁布于1999年8月28日。在欧盟General Data Protection Regulation (“
GDPR
”)出台后,又进行了数次修订。目前,智利刚刚于2024年12月13日通过了其个人信息保护法律(la Ley N° 21.719, que modifica, entre otras, la Ley N°19.628, y que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales,简称“
《新智利个保法》
”)。
《新智利个保法》将原《智利个保法》在结构和内容方面均进行了重大调整,以使其个人数据保护水平接近《欧盟通用数据保护条例》(以下简称“
GDPR
”)以及其他拉美个人数据保护先进国家的标准和水平。本文以《新智利个保法》为基础,并结合《中华人民共和国个人信息保护法》(以下简称“
《中国个保法》
”)、GDPR进行比较分析,以供参考和理解《新智利个保法》的监管思路。部分内容为便利比较,将简要介绍或引用原《智利个保法》的内容。
需注意的是,由于不同法律下对“个人信息”“个人数据”的称谓略有不同,本文分析过程中,对“个人信息”和“个人数据”这两个术语进行混用,不特别区分。此外,由于《中国个保法》规定决定个人信息处理目的和方式的主体为个人信息“处理者”,但GDPR将此类主体称为“数据控制者”(Data Controller),为便利理解和全文统一,本文使用数据“控制者”的表述指称类似于《中国个保法》下“个人信息处理者”以及GDPR下“Data Controller”的角色,而将受控制者的委托处理个人信息的主体称为“处理者”或者“受托方”。
《智利个保法》可以管辖智利境内的个人数据处理活动。《智利个保法》第一条第二款规定:“任何人(包括自然人和法人)都可以处理个人数据,前提是他们根据本法并出于智利法律法规允许的目的处理上述个人数据。在任何情况下,处理个人数据的人和相关处理行为都必须尊重数据主体的基本权利、以及本法赋予上述数据主体的相关权利的充分行使。”因此,在智利境内处理个人信息,应当遵守《智利个保法》的规定和要求。
同时,根据《新智利个保法》第一条之二(西班牙文:articulo 1 bis
[1]
, Ámbito de aplicación territorial),在下列情况下进行的个人数据处理活动应当遵守《新智利个保法》的规定:第一,当控制者或处理者在(智利)境内领土内设立或成立时;第二,当处理者独立于其设立或成立地点,代表在(智利)国内设立或成立的控制者进行个人数据处理时;第三,当控制者或处理者不在(智利)国内设立,但其个人数据处理操作旨在向位于智利的个人提供商品或服务,无论个人数据处理行为是否需要支付时;抑或监测位于(智利)国内的个人行为,包括其分析、追踪、用户画像或行为预测时;第四,若控制者不在智利境内,但是其签订的协议抑或国际义务的准据法指向智利法时。
可见,《新智利个保法》将并不仅限于适用于智利境内的活动。《新智利个保法》
具有域外适用的效力,无论是智利境内企业还是境外企业,无论其是数据控制者还是数据处理者,在收集和处理智利境内个人的个人数据或基于收集处理的个人数据向智利提供产品或服务,或者签订的相关协议准据法指向智利法时,应当遵守《新智利个保法》的相关规范和要求。
值得特别注意的是,在《新智利个保法》中,明确规定如果签订协议时,协议的准据法指向智利法,那么如果协议相关的活动涉及个人数据处理活动,则与协议相关的个人数据处理活动应当遵守《新智利个保法》的要求。这一域外适用场景相对特殊,在《中国个保法》、GDPR中都没有类似的要求,属于较为新颖的适用范围。这也使得拟出海智利的中国企业,或者拟签署与智利业务有关协议的中国企业,注意审阅和评估协议约定的适用法律,是否必须是智利法,或者各方是否确实有充分动力和意愿主动选择智利法,因为如果选择智利法作为适用法律,则会导致签署协议约定的各方与协议有关的个人数据处理活动需要遵守《新智利个保法》的具体合规义务。
《智利个保法》中并未明确处理个人数据的基本原则。
但是,为提高智利个人数据保护水平、完善智利个人数据保护法律体系,《新智利个保法》第三条(articulo 3, principios)明确了处理个人数据的六大基本原则,具体包括如下:
(1)合法性与公正性原则:即个人数据控制者必须确保其处理个人数据的行为是合法的。
(2)目的(限制)原则:即要求个人数据必须仅在告知权利主体的特定目的范围内进行收集和处理。
(3)比例原则:即《中国个保法》第七条规定的最小必要原则,在处理个人数据时,仅可以处理为实现处理目的所必需的个人数据。
(4)质量原则:即要求个人数据处理过程中,必须准确、完整,并及时根据实际情况进行更新。
(5)安全原则:即要求个人数据处理过程中,必须采取适当的安全措施,以保护个人数据免受未授权访问或安全事件的影响。
(6)保密原则:即要求控制者应当采取合理措施对个人数据予以保密,除非权利主体已经将相关个人数据公开。
对比《中国个保法》和GDPR,《新智利个保法》所规定的处理个人数据的原则,与《中国个保法》和GDPR其实有诸多相似之处,有利于各类企业在对比和参照之中降低理解智利个人数据保护法律的门槛,并在一定程度上适用企业现有的个人信息保护合规体系来涵盖《新智利个保法》中的要求。
《智利个保
法》中并未对个人数据进行分类。
但是,为了对不同类型、敏感程度的个人数据进行保护,《新智利个保法》将个人数据分为:
一般个人数据、敏感个人数据和特别类别个人数据。
-
一般个人数据:根据《新智利个保法》第2条第f款规定,个人数据是指任何与已识别或可识别的个人相关或关联的信息。所谓自然人的可识别性是指其身份可以直接或间接确定,特别是通过一个或多个识别符,例如姓名、身份证号、身体特征、心理特征、遗传特征、经济、文化或社会身份等分析。同时,在确定可识别性时,应当考虑个人数据在处理时可以合理使用的所有的客观措施和因素。
-
敏感个人数据:根据《新智利个保法》第2条第g款规定,敏感个人数据是指适用于涉及人的身体或道德特征、私生活或亲密关系的事实或情况的个人数据,这些数据揭示了个人的民族或种族、出身、政治、工会或工会归属、社会经济状况、意识形态、哲学信念或宗教信仰、与健康有关的数据、人类基因、生物识别数据以及与个人的性生活、性取向和性别认同有关的信息。
-
特别类别个人数据:除上述两种类别的个人数据外,在《新智利个保法》第16条之四、第16条之五、第16条之六,对于儿童个人数据、历史、统计、科学和研究的个人数据以及地理区位相关个人数据的数据处理活动提出了特别要求。因此,对于该等特别类别个人数据,应当参考相关法条进行处理。
对于数据控制者可以依据什么来处理个人信息,《智利个保法》采取了“合法性基础”+“例外”的立法方式来描述处理依据。
这一点与《中国个保法》在形式上略有不同,但起到的实质效果比较近似。
但是,《新智利个保法》推翻了《智利个保法》规定的合法性基础,并在第12条、第13条中规定了“同意”以及“其他合法性基础”,具体包括如下:
(1)获得权利主体同意,即获得权利主体的对于处理其个人数据的明确同意,该规定与《中国个保法》一致;
(2)当处理涉及经济、金融、银行或商业性质的个人数据,并且符合《智利个保法》第III章的规定时,包括与权利主体社会经济状况相关的个人数据;
(3)当处理活动是执行或履行法律义务所必需,或法律规定要求处理个人数据;
(4)当数据处理是为了权利主体与控制者之间的合同的订立或履行,或为了响应权利主体请求而采取的合同前措施的执行时;
(5)当处理是为了满足控制者或第三方的合法利益,前提是不会影响权利主体的权利和自由;
(6)当数据处理是为了在法院或公共机构提出、行使或辩护某项权利所必需时。
上述合法性基础与《中国个保法》和GDPR的内容具有相似性,包含了例如“同意”、“履行自然人作为签约一方的合同之必要”、“法律法规规定义务”等合法性基础。但是,鉴于智利个人数据保护法律体系的发展,其合法性基础也具备一定特殊性,包括以下几点:
第一,对撤回“同意”方式进行了特殊规定。“同意”是各国个人信息保护法律规定的最重要的合法性基础之一。允许提供“同意”的同时,各国法律一般都允许权利主体对其给出的“同意”进行撤回。结合《智利个保法》第4条以及《新智利个保法》第12条,权利主体对于已经提供的同意,也可以撤回,即权利主体有权撤回处理其个人数据的同意,撤回的方式应当使用与授予同意时类似或等效的方式撤回,且该等撤回不能溯及既往。同时,《新智利个保法》允许权利主体通过口头、书面、电子等任意方式作出其同意,只要获得同意的“告知”行为符合法律法规的规定。但是实践操作中对于“口头告知”事项如何操作仍有待相关法律的实践观察。
第二,“符合《智利个保法》第三章的处理个人数据行为的规定”的合法性基础是指:为促进社会发展以及满足金融活动要求,在部分场景下的个人数据处理行为无需获得个人的同意可直接进行处理,例如:被拒绝的本票、汇票中载录的个人数据的合理使用;在购买房屋时,银行、公共机构等主体之间必要的个人数据处理行为等。这一合法性基础系《智利个保法》第三章中豁免获取个人同意场景的延续和运用,有利于增强《智利个保法》和《新智利个保法》之间的顺利过渡和一致适用。
第三,《新智利个保法》明确了在争议解决过程中处理必要的个人数据的合法性基础,该等事项对于智利本国争议解决过程中的个人数据处理事项提供了便捷的合法通道。对于争议解决过程中的个人数据处理事项,《中国个保法》并未明确规定,在实践层面往往出现不具备处理个人数据合法性基础而直接处理个人数据的行为。
《智利个保法》对于权利主体拥有的个人信息权利进行了基本规定,散见于不同章节的条款中。《新智利个保法》在第一章中对个人拥有的个人信息权利进行了详细规定。权利主体拥有的权利是“个人的、不可转让的、不可剥夺的,不能受到任何行为或协议的限制的”;相关权利具体包括:
(1)访问权:即权利主体可以请求访问有关已收集个人数据的数据集及其处理的具体情况。
(2)更正权:即如果个人数据是不正确或过时的,权利主体可以对此进行更正。
(3)删除权:在《智利个保法》中被称为取消权,即权利主体可以请求在个人数据不再需要进行处理时,处理其个人数据的实体删除其个人数据。
(4)反对权:即权利主体可以反对相关实体处理其个人数据,只要该等处理行为并非法律法规要求的。
(5)数据可携带权:即在技术可行的情况下,权利主体可以要求处理其个人数据的实体转移其个人数据或相关个人数据副本到其他实体。
(6)反对自动化决策权:即权利主体可以反对在完全基于自动化过程的决策中使用其个人数据,例如征信评分、绩效评估等场景。
另外,《新智利个保法》在第一章第四条规定了,对于逝者的个人信息,其继承人有权进行处理,但是,如果逝者在生前明确禁止处理其个人数据或者法律另有规定的,继承人将无法访问死者的个人数据,也无法请求相关实体更正或删除。
可见,类似于《中国个保法》和GDPR,《新智利个保法》亦规定了体系化的个人数据权利,甚至包含了较为先进的数据可携带权、对于逝者的个人数据处理事项的规范。鉴于《智利个保法》中对于权利主体的个人数据权利规定较为零散且间接,对于该等权利保护水位的提高以及未来行业实践情况,仍有待观察。总而言之,《新智利个保法》在保护权利主体的个人数据基本权利事项上,相比于《智利个保法》,取得了显著的进展。
《智利个保法》规定了数据控制者的基本义务,但是并未进行体系化规定。
《新智利个保法》在第二章中规定了个人数据控制者处理个人数据的基本义务,具体包括如下:
(1)保密义务:控制者必须对权利主体的个人数据进行保密,除非权利主体已将相关个人数据公开。另外,该等义务在双方关系结束后仍然有效。
(2)信息公开与透明义务:控制者应持续公开其处理个人数据相关的隐私政策或相关文件材料,并公开其处理个人数据的相应情况。
(3)设计和默认保护义务:控制者应当在个人数据处理前和处理过程中采取适当的组织和技术措施,并确保在默认情况下,控制者或其受托方仅可以处理特定、严格和必要的个人数据。
(4)采取安全措施的义务:控制者应当采取必要措施以确保遵循《新智利个保法》规定的安全原则,从而保障个人数据处理系统的机密性、完整性、可用性和灵活性。
(5)报告安全措施漏洞的义务:控制者有义务向监管机构报告因安全措施的漏洞而导致的个人数据的毁损、泄露、丢失或篡改,以及未授权的访问等事项。
(6)进行个人数据保护影响评估的义务:在法律规定的情况下,控制者有义务进行影响评估。该等评估旨在对风险进行分析,识别风险并确定需要采取的相应措施,评估可能对权利主体的个人数据权利造成的损害,以消除或最小化相关处理个人数据的风险。
根据《新智利个保法》第15条之三的规定,在以下情况下,应当进行个人数据保护影响评估:
(1)自动化处理个人数据,对数据主体的个人方面进行系统和详尽的评估,并对他们产生重大法律影响。
(3)监视或监控公共通道区域的相应系统来处理个人数据的情况。
(4)并非基于“同意”的情况下,处理敏感个人数据和特别类别个人数据。
上述对于数据控制者的义务和《中国个保法》以及GDPR中的部分规定具备相似性;但是,《中国个保法》中对于数据分类分级、个人信息保护负责人设立等事项,《新智利个保法》未进行明确规定。鉴于《新智利个保法》未来的实践情况未知,对于例如“采取安全措施的义务”是否包含数据分类分级、设立数据保护官等事项,仍有待观察。
《智利个保法》在不同章节中间接规定了关于委托处理个人数据的基本要求,《新智利个保法》第二章第15条之二对该等要求进行了系统化规定,具体包括如下:
-
目的限制要求:控制者可以直接处理个人数据,也可以通过第三方进行处理。在通过第三方进行处理的情况下,第三方应当根据委托方的委托和指示进行个人数据处理,不得将相关个人数据用于与控制者约定的内容所不同的目的,也不得在控制者未明确和具体授权的情况下进行个人数据传输。
-
合同签订要求:控制者应当与第三方针对数据处理事项签订数据处理协议,协议中应当明确委托目的、委托时间、个人数据处理目的、处理类型、相关权利主体类别,以及各方的权利和义务。同时,上述条款对转委托事项进行了规定:即除非获得控制者的书面授权,受托方不得将部分或全部个人数据处理事项转交给其他第三方进行处理。
-
受托方通报安全事件的义务:如果受托方的安全措施出现漏洞或发生安全事件,受托方有义务将相关安全事件报告控制者以供控制者采取相应措施保护个人数据。
-
数据删除或返还要求:即要求受托方在完成个人数据处理后,应当结合实际情况将相关个人数据删除或返还给数据控制者。
《新智利个保法》的规定与《中国个保法》的规定基本类似,但是《新智利个保法》对于委托处理协议中的具体内容、转委托事项以及安全事件报送通知等事项进行规定,比《中国个保法》更为细致和明确。同时《中国个保法》中规定了控制者应当对受托方数据处理事项进行监督,但是在《新智利个保法》中并未予以明确。
《智利个保法》并未明确个人数据跨境传输的特殊要求。
为保护智利境内的个人数据,《新智利个保法》结合GDPR、拉美个人数据保护先进国家的经验,对本国个人数据跨境机制进行了系统化的规定,具体包括如下:
(1)充分性认定国(西班牙语:un país que proporcione niveles adecuados de protección de datos personales):若某一国家被智利个人数据保护局认定为充分性保护国家,则可以将智利境内个人数据传输给该国的个人、实体或公共或私人组织,但须遵守该国的个人数据保护法律制度和要求。
(2)标准合同或约束性公司准则:当执行传输的控制者与接收个人数据的控制者或第三方代理之间签署标准合同(西班牙文:cláusulas contractuales),或双方之间存在约束性公司准则(西班牙文:normas corporativas vinculantes),或满足个人数据保护局规定的其他跨境传输机制时。
(3)个人数据保护认证:当传输方和接收方均通过个人数据保护局进行的个人信息保护认证时。
当不满足上述跨境传输机制的任何一条,但是跨境传输确有必要时,个人数据可以基于下列理由进行跨境传输:
(1)当权利主体明确同意进行特定的国际数据传输时;
(2)当数据跨境传输行为涉及特定的银行、金融或股票市场时;
(3)当个人数据的传输对传输方和接收方之间签订或执行合同是必要的,或执行应权利主体要求采取的合同履行前的相应措施是必要的。
可见,《新智利个保法》对跨境传输机制进行了明确和系统的规定,包含了GDPR和《中国个保法》中常见的个人数据保护认证、充分性认定国、标准合同、约束性公司准则等机制。同时,为促进数据流通、满足数据跨境传输的必要,《新智利个保法》也对部分确有需要进行跨境传输个人数据的情况进行了豁免。该等机制一定程度上属于各国跨境传输机制的融合,体现了《新智利个保法》吸收各国优秀实践的思路。
根据《新智利个保法》第六章的规定,智利将创建个人数据保护局(西班牙文:
Agencia de Protección de Datos Personales),旨在引入保护智利公民个人数据相关监管机构,详细规范各实体在个人数据处理中的义务,以提高智利个人数据保护标准和水平。
个人数据保护局创立的目标和职能如下:
(1)寻求在数字经济中平衡人们的隐私与个人数据的自由流动,从而提高个人数据保护标准。
(2)鉴于个人数据局拥有监管、监督和制裁的权力,其可以负责确保有效的保护隐私和个人数据的权利。
(3)个人数据控制者,无论其是否在智利境内注册,如果受到《新智利个保法》的监管,需要遵守《新智利个保法》的合规义务,则必须在个人数据保护局指定一名代表,以确保和个人数据保护局进行沟通。
《智利个保法》第五章规定了在诉讼过程中,处理个人数据违反法律法规的基本责任,但是相关条款仅包含停止数据处理行为等几项相对基本的罚则,并未形成系统性罚则。
《新智利个保法》第七章对于违反《新智利个保法》的罚则进行了系统性的规定;
根据违反严重程度的不同,可以分为三类(第34条):
轻微违法、严重违法和特别严重违法。
同时,该章节对于上述三种严重程度进行了列举。
例如,未履行或部分履行信息和透明度义务属于轻微违法;
缺乏合法性基础收集和处理个人数据属于严重违法;
以欺诈方式收集和处理个人数据属于特别严重违法。
同时,《新智利个保法》第七章第35条规定了违法情形下适用的罚款金额,具体为:
若属于轻微违法,罚款最高额度为5,000 UTM;
若属于严重违法,罚款最高为10,000 UTM;
如果属于特别严重违法,罚款最高为20,000 UTM
[2]
。
除罚款外,《新智利个保法》在第七章中也明确了监管机构有权要求数据处理主体对违法后果进行修复、在特别严重违法的情况下要求停止个人数据处理活动等相关规定。
