巴西通用數(shù)據(jù)保護(hù)法-譯文-final

譯者(姓氏音序排名):2018年9月譯者序言該法于2018年8月14日經(jīng)巴西總統(tǒng)米歇爾特梅爾的簽署，正式通過，并將于2020年2月15日正式生效，《2018個人數(shù)據(jù)保護(hù)法(草案)》中文全文翻譯，GDPR儼然成為個人數(shù)據(jù)保護(hù)立法的范式。算一筆賬，歐盟區(qū)5億人，印度13億人，巴西2億人，加起來20億人，還不算其2018年8月14日第13,709號法律為個人數(shù)據(jù)保護(hù)而提供，對2014年4月23日第12,965號法律(《巴西互聯(lián)網(wǎng)法》)的修訂。第一章基本規(guī)定第1條本法就自然人及其他受公法或私法管轄的法律實體的個人數(shù)據(jù)處理行為做出規(guī)定，包括以數(shù)字媒介處理的個人數(shù)據(jù)，目的是保護(hù)自由和隱私的基本權(quán)利以及自然人人格的自第2條個人數(shù)據(jù)保護(hù)的規(guī)則建立在如下基礎(chǔ)上：I.尊重隱私；II.知情并自由決定；III.言論、信息、交流和意見的自由；IV.親密言行、榮譽和聲譽的不可侵犯；V.經(jīng)濟技術(shù)的開發(fā)與創(chuàng)新；VI.自由倡議、自由競爭和消費者保護(hù)；和VII.人權(quán)、自由發(fā)展人格、尊嚴(yán)和自然人行使公民身份。第3條不論法律實體總部所在國或數(shù)據(jù)所在國是在何處，本法適用于自然人或者受公法或私法管轄的法律實體所進(jìn)行的任何數(shù)據(jù)處理操作，但需要符合下列條件：I.處理操作是在巴西境內(nèi)進(jìn)行；II.以提供貨物或服務(wù)為目的的處理活動，或者處理位于巴西境內(nèi)的個人數(shù)據(jù)；III.所處理的個人數(shù)據(jù)在巴西境內(nèi)收集。第1款在巴西境內(nèi)收集的數(shù)據(jù)視為數(shù)據(jù)主體被收集數(shù)據(jù)時處于巴西境內(nèi)。第2款本法第4條IV項規(guī)定的數(shù)據(jù)處理活動系本條I項規(guī)定之例外情形。第4條本法不適用于個人數(shù)據(jù)的如下處理活動：I.由自然人進(jìn)行，僅用于私人的和非經(jīng)濟目的；I.專門針對：a)新聞和藝術(shù)之目的；或b)本法第7和第11條適用情形下的學(xué)術(shù)目的；III.僅為以下目的：a)公共安全；d)調(diào)查和起訴刑事犯罪；或IV.源自境外且非通訊對象，未與巴西處理代理人對數(shù)據(jù)進(jìn)行共享使用，或不屬于與非源出國進(jìn)行國際數(shù)據(jù)傳輸?shù)膶ο?，因為源出國對個人數(shù)據(jù)提供了本法所建立的保護(hù)水平。第1款第II項規(guī)定的個人數(shù)據(jù)處理應(yīng)適用于特別法律，這些法律應(yīng)規(guī)定符合公共利益的適當(dāng)和嚴(yán)格的必要措施，并應(yīng)遵守適用的法律程序、本法規(guī)定的一般保護(hù)原則和數(shù)據(jù)主體權(quán)利。第2款除非經(jīng)過公法上的法律實體授權(quán)程序，以及國家機構(gòu)被明確告知并應(yīng)當(dāng)遵守本條第4款規(guī)定的限制，本條第III項規(guī)定的數(shù)據(jù)處理活動為私法上的法律主體所禁止。第3款國家機構(gòu)應(yīng)就本條第IIⅡ項規(guī)定的例外情況發(fā)布技術(shù)意見或推薦方案，并要求責(zé)任主體提供有關(guān)數(shù)據(jù)保護(hù)影響評估。第4款在任何情況下，本條第IIⅡ項所述數(shù)據(jù)庫中的所有個人數(shù)據(jù)均不得由私法上的主體處理。第5條為本法之目的，定義如下：I.個人數(shù)據(jù)：與已識別或可識別的自然人有關(guān)的信息；II.個人敏感數(shù)據(jù)：關(guān)于種族或族裔、宗教信仰、政治觀點、工會或宗教、哲學(xué)或政治組織成員身份的個人數(shù)據(jù)，與自然人有關(guān)的健康或性生活數(shù)據(jù)、基因或生物數(shù)據(jù)；III.匿名數(shù)據(jù)：在數(shù)據(jù)處理中使用合理技術(shù)手段無法識別數(shù)據(jù)主體的數(shù)據(jù)；IV.數(shù)據(jù)庫：在一個或多個地方建立的、電子或物質(zhì)支持的、結(jié)構(gòu)化的個人數(shù)據(jù)集合；V.數(shù)據(jù)主體：其個人數(shù)據(jù)是處理活動所指向之?dāng)?shù)據(jù)的自然人；VI.控制者：能夠就個人數(shù)據(jù)處理作出決定的自然人或者其他受公法或私法管轄的法律實VII.處理者：代表控制人處理個人數(shù)據(jù)的自然人或者其他受公法或私法管轄的法律實體；VIII.數(shù)據(jù)保護(hù)官：由控制者任命的自然人，作為控制者與數(shù)據(jù)主體和國家機構(gòu)之間的溝通IX.處理代理人：控制者和處理者；X.一處理：對個人數(shù)據(jù)進(jìn)行的任何操作，例如收集、生產(chǎn)、接收、分類、使用、訪問、復(fù)制、傳輸、分發(fā)、處理、歸檔、存儲、刪除、評估或控制信息、修改、通訊、轉(zhuǎn)移、XI.匿名化：通過處理時使用合理和現(xiàn)有的技術(shù)手段，使數(shù)據(jù)失去與個人直接或間接關(guān)聯(lián)XII.同意：數(shù)據(jù)主體同意為特定目的處理其個人數(shù)據(jù)自由、知情和明確的聲明；XIII.阻止：通過保護(hù)個人數(shù)據(jù)或數(shù)據(jù)庫而暫時中止任何數(shù)據(jù)處理操作活動；XIV.刪除：排除存儲在數(shù)據(jù)庫中的數(shù)據(jù)或數(shù)據(jù)集，無論使用何種處理程序；XV.數(shù)據(jù)跨境傳輸：將個人數(shù)據(jù)傳輸?shù)酵鈬蛟搰鶎俚膰H組織；XVI.數(shù)據(jù)共享使用：公共機構(gòu)和實體之間履行其法律職權(quán)，或與私人實體之間基于特定授權(quán)，或為這些公共實體允許的或私人實體之間的一種或多種數(shù)據(jù)處理類型，進(jìn)行個人數(shù)據(jù)的通訊、傳播、跨境傳輸、互聯(lián)或個人數(shù)據(jù)庫的共享處理；XVII.數(shù)據(jù)保護(hù)影響評估：來自控制者的文件，其中包含可能對公民自由和基本權(quán)利構(gòu)成風(fēng)險的個人數(shù)據(jù)處理流程說明，以及降低風(fēng)險的措施、保障和機制；XVIII.研究機構(gòu)：根據(jù)巴西法律合法組建的、直接或間接的公共行政機構(gòu)或非營利性的私法法律實體，在巴西境內(nèi)設(shè)有總部和，受巴西法律管轄，在其機構(gòu)使命或章程目標(biāo)中包括了對歷史、科學(xué)、技術(shù)或統(tǒng)計進(jìn)行基礎(chǔ)或應(yīng)用研究的目的；XIX.國家機構(gòu)：負(fù)責(zé)監(jiān)督、實施和執(zhí)行本法的間接公共行政機構(gòu)。第6條個人數(shù)據(jù)處理活動應(yīng)遵循誠信和以下原則：I.目的：為合法、具體、明確且數(shù)據(jù)主體已經(jīng)知情的目的處理數(shù)據(jù)，不得以不符合這些目的的方式進(jìn)一步處理；II.適當(dāng)性：根據(jù)處理的場景，處理活動與已告知數(shù)據(jù)主體的目的相兼容；III.必要性：將處理限制在實現(xiàn)其目的所需的最低限度，涵蓋與數(shù)據(jù)處理目的相關(guān)的、成比例的和非過量的數(shù)據(jù)；IV.免費訪問：保證數(shù)據(jù)主體可以就數(shù)據(jù)處理的形式和持續(xù)時間及其完整的個人數(shù)據(jù)獲得便利和免費的咨詢；V.數(shù)據(jù)質(zhì)量：根據(jù)需要和為實現(xiàn)處理目的，向數(shù)據(jù)主體保證數(shù)據(jù)準(zhǔn)確性、清晰度、相關(guān)性和數(shù)據(jù)更新；VI.透明度：保證數(shù)據(jù)主體能夠就數(shù)據(jù)處理和相應(yīng)的處理代理人獲得清晰、準(zhǔn)確和易得的信息，且遵守商業(yè)和企業(yè)機密；VII.安全：使用能夠保護(hù)個人數(shù)據(jù)免受未經(jīng)授權(quán)的訪問以及意外或非法破壞、丟失、篡改、傳輸或傳播的技術(shù)和管理措施；VIII.預(yù)防：采取措施防止因處理個人數(shù)據(jù)而發(fā)生損害；IX.不歧視：不能出于歧視，非法或濫用目的處理數(shù)據(jù)；X.問責(zé)制：代理人應(yīng)證明其采取了有效且符合個人數(shù)據(jù)保護(hù)的法律規(guī)范措施，包括此類措施的有效性。第二章個人數(shù)據(jù)的處理第一節(jié)處理個人數(shù)據(jù)的要求第7條.個人數(shù)據(jù)只能在以下情況下被處理：I.經(jīng)數(shù)據(jù)主體同意；II.控制者為遵守法律或監(jiān)管義務(wù)；III.根據(jù)本法第四章的規(guī)定，公共行政部門處理和共享使用為履行法律法規(guī)所要求的，或者基于合同、協(xié)議或者類似文件所必需的數(shù)據(jù)；IV.研究機構(gòu)為開展研究，并盡可能確保對個人數(shù)據(jù)進(jìn)行匿名化；V.應(yīng)數(shù)據(jù)主體的要求，當(dāng)履行以該數(shù)據(jù)主體為一方當(dāng)事人的協(xié)議或者與該協(xié)議相關(guān)的初步程序為必需時；VI.為定期行使司法、行政或仲裁程序中的權(quán)利(最后一點是根據(jù)1996年9月23日第9,307號法律(《巴西仲裁法》)做出的規(guī)定);VII.為保護(hù)數(shù)據(jù)主體或第三方的生命或人身安全；VIII.為保護(hù)健康，按醫(yī)護(hù)人員或醫(yī)療機構(gòu)執(zhí)行的程序；IX.為滿足控制者或第三方合法利益所必需的，但根據(jù)數(shù)據(jù)主體普適性的基本權(quán)利和自由X.為了保護(hù)信用，包括所適用的法律中關(guān)于信用的規(guī)定。第1款在適用本條前述第IⅡ項和第III項情況時，除了本法第四條規(guī)定的情形外，數(shù)據(jù)主體應(yīng)當(dāng)被告知在哪些情況下對其數(shù)據(jù)進(jìn)行的處理是被允許的。第2款本法第23條第I項和第1款所規(guī)定的信息提供方式可由監(jiān)管機構(gòu)詳細(xì)規(guī)定。第3款對公開可訪問的個人數(shù)據(jù)的處理，須考慮其目的、善意和公共利益，以證明數(shù)據(jù)處第4款在保護(hù)數(shù)據(jù)主體的權(quán)利和本法規(guī)定的原則被遵守的前提下，數(shù)據(jù)主體宣稱要求公開數(shù)據(jù)的，本條前款所規(guī)定的同意要求被免除。第5款已經(jīng)獲得本條前述第I項中所提及的同意的數(shù)據(jù)控制者需要與其他數(shù)據(jù)控制者溝通或共享個人數(shù)據(jù)時，必須獲得數(shù)據(jù)主體為此目的給予的特別同意，除非屬于本法規(guī)定可免第6款對同意要求的任何豁免并不免除數(shù)據(jù)處理代理人根據(jù)本法規(guī)定的其他義務(wù)，特別是遵守一般原則和對數(shù)據(jù)主體權(quán)利的保障。第8條本法第七條第I項所規(guī)定的同意，應(yīng)當(dāng)以書面方式或者其他能夠證明數(shù)據(jù)主體表現(xiàn)第1款如果同意是以書面形式提供的，它應(yīng)區(qū)分于其他合同條款，并單獨、重點顯示。第2款控制者有責(zé)任證明已依照本法取得同意。第3款如果同意有瑕疵，禁止處理個人數(shù)據(jù)。第4款同意應(yīng)為了特定目的而做出。為處理個人數(shù)據(jù)獲取的一般授權(quán)應(yīng)為無效。第5款只要不做出根據(jù)本法第18條第VI項規(guī)定的刪除請求，同意可以通過便捷和免費的流程，隨時被數(shù)據(jù)主體明確表示撤回，這是對基于先前同意而做處理的矯正。第6款如果本法第9條第I、Ⅱ、II或者V項所涉及的信息發(fā)生變更，數(shù)據(jù)控制者應(yīng)當(dāng)通知數(shù)據(jù)主體，尤其應(yīng)告知其所變更的內(nèi)容。在這種情況下，數(shù)據(jù)主體的同意是必須的，如果數(shù)據(jù)主體不同意該等變更，其可以撤回同意。第9條為遵守免費訪問原則，數(shù)據(jù)主體享有促使控制者使其有權(quán)訪問其正在被處理的數(shù)據(jù)，這些信息應(yīng)當(dāng)被清晰、充分和明顯地提供，此外條例還應(yīng)對提供方式的其他特點予以規(guī)定：I.數(shù)據(jù)處理的特定目的；II.數(shù)據(jù)處理的形式和持續(xù)時間，以遵守商業(yè)和行業(yè)秘密；V.關(guān)于數(shù)據(jù)控制者對數(shù)據(jù)共享使用及其目的的信息；VI.數(shù)據(jù)處理代理人的責(zé)任；和VII.數(shù)據(jù)主體的權(quán)利，尤其是本法第十八條明確規(guī)定的權(quán)利；第1款當(dāng)必須獲得同意的情況下，如果提供給數(shù)據(jù)主體的信息包含誤導(dǎo)性或不良內(nèi)容或事先未以透明、清晰和明確的形式予以呈現(xiàn)的，同意應(yīng)被視為無效。第2款當(dāng)必須獲得同意的情況下，如果個人數(shù)據(jù)處理的目的與最初的授權(quán)同意不相符，則控制者應(yīng)事先通知數(shù)據(jù)主體目的的變更。如果數(shù)據(jù)主體不同意該等變更的，其可以撤回同第3款當(dāng)處理個人數(shù)據(jù)是提供產(chǎn)品或服務(wù)或行使權(quán)利的條件時，數(shù)據(jù)主體應(yīng)被重點告知這一事實以及他們可以行使本法第18條所列數(shù)據(jù)主體的權(quán)利。第10條控制者的合法利益可能僅是基于合法目的處理個人數(shù)據(jù)的原因之一，根據(jù)具體情I.支持和促進(jìn)控制者的活動；和I.根據(jù)本法規(guī)定，為滿足數(shù)據(jù)主體的合法期待、基本權(quán)利和自由，保護(hù)數(shù)據(jù)主體常規(guī)性行使其權(quán)利或提供有利于她/他的服務(wù)。第1款當(dāng)數(shù)據(jù)處理是基于數(shù)據(jù)控制者的合法利益時，只可能處理為期待目的所嚴(yán)格要求的第2款控制者應(yīng)采取措施，確保基于其合法利益所進(jìn)行的數(shù)據(jù)處理的透明度。第3款受商業(yè)和行業(yè)機密約束，當(dāng)處理數(shù)據(jù)的基礎(chǔ)是其合法利益時，監(jiān)管機構(gòu)可以要求控制者提供個人數(shù)據(jù)保護(hù)影響評估報告。第二節(jié)第11條個人敏感數(shù)據(jù)只能基于以下情況被處理：I.當(dāng)數(shù)據(jù)主體或其法定授權(quán)代表為特定目的而特別且重點地對處理表示同意時；II.在數(shù)據(jù)主體沒有給予同意的情況下，以下條件必不可少：a)控制者遵守法律或監(jiān)管義務(wù)；b)公共行政機構(gòu)為執(zhí)行法律法規(guī)中的公共政策而共享處理所必需的數(shù)據(jù)；c)研究機構(gòu)開展研究，并盡可能確保對個人敏感數(shù)據(jù)進(jìn)行匿名化；d)定期行使包括協(xié)議、訴訟，行政程序或仲裁程序中的權(quán)利(最后一點是根據(jù)1996年9月23日第9,307號法律(《巴西仲裁法》)做出的規(guī)定);e)保護(hù)數(shù)據(jù)主體或第三方的生命或人身安全；f)按醫(yī)護(hù)人員或醫(yī)療機構(gòu)執(zhí)行的程序保護(hù)健康；或者g)除數(shù)據(jù)主體普適性的基本權(quán)利和自由需要保護(hù)個人數(shù)據(jù)的情況外，為遵守本法第9條第1款除非特定法律另有規(guī)定，本條款適用于任何個人數(shù)據(jù)的處理，該處理會泄露個人敏感數(shù)據(jù)并由此可能對數(shù)據(jù)主體造成損害。第2款根據(jù)本法第23條第I項的規(guī)定，機構(gòu)和公共機構(gòu)適用本條第Ⅱ項“a”和“b”規(guī)定時，所謂的放棄同意應(yīng)當(dāng)予以公開。第3款各政府機構(gòu)在其職權(quán)范圍內(nèi)協(xié)商后，為獲取經(jīng)濟利益，數(shù)據(jù)控制者間進(jìn)行交流或者共享個人敏感數(shù)據(jù)可能會被禁止或被各國家機構(gòu)監(jiān)管。第4款為獲取經(jīng)濟利益，數(shù)據(jù)控制者間進(jìn)行交流或共享與健康相關(guān)的個人敏感數(shù)據(jù)是被禁止的，數(shù)據(jù)主體同意的情況下的數(shù)據(jù)攜帶除外。第12條除非使用獨有的方式，對提交數(shù)據(jù)進(jìn)行匿名化的過程可逆轉(zhuǎn)或者通過合理的努力使之能夠達(dá)到逆轉(zhuǎn)，對于本法而言，匿名數(shù)據(jù)不應(yīng)被視為個人數(shù)據(jù)。第1款確定合理的內(nèi)容必須考慮客觀因素，例如根據(jù)現(xiàn)有技術(shù)以及獨有方法使匿名化過程第2款就本法而言，用于形成自然人行為畫像的數(shù)據(jù)，如果可被識別，也可被視為個人數(shù)第3款在與巴西個人數(shù)據(jù)保護(hù)委員會協(xié)商后，國家機構(gòu)可以提出用于匿名化過程的標(biāo)準(zhǔn)和技術(shù)，并對其安全性進(jìn)行驗證。第13條在進(jìn)行公共衛(wèi)生研究時，研究實體可訪問個人數(shù)據(jù)庫，該數(shù)據(jù)庫應(yīng)僅在實體內(nèi)進(jìn)行處理，嚴(yán)格用于進(jìn)行調(diào)查研究，并應(yīng)按照特定法規(guī)規(guī)定的安全做法保存在受控和安全的環(huán)境中，并盡可能包括數(shù)據(jù)的匿名化或假名化，以及考慮與調(diào)查研究相關(guān)的適當(dāng)?shù)赖聵?biāo)準(zhǔn)。第1款對調(diào)查研究的任何部分或結(jié)果的公開，如本條首句條款所述，在任何情況下均不得第2款研究實體應(yīng)對本條首句條款中所述的信息安全負(fù)責(zé)，在任何情況下都不得將數(shù)據(jù)傳第3款對本條所述數(shù)據(jù)的訪問，應(yīng)成為國家主管部門及環(huán)境衛(wèi)生主管部門在其職權(quán)范圍內(nèi)第4款為實施本條款，假名化是一種使數(shù)據(jù)不再直接或間接與個人相關(guān)聯(lián)的處理方式，除非通過使用由信息控制者在受控和安全的環(huán)境中單獨保存的附加信息與個人相關(guān)聯(lián)。兒童和青少年個人數(shù)據(jù)的處理第14條根據(jù)本條和相關(guān)立法，應(yīng)以符合兒童和青少年最佳利益的方式，處理屬于其個人第1款兒童個人數(shù)據(jù)的處理，應(yīng)在至少其一位父母或法定監(jiān)護(hù)人的特定和明確同意下進(jìn)行。第2款在處理本條第1款所述的數(shù)據(jù)時，數(shù)據(jù)控制者應(yīng)公布其所收集的數(shù)據(jù)類型，使用方式和行使本法第18條所述權(quán)利的相關(guān)程序信息。第3款當(dāng)必需采集數(shù)據(jù)以與兒童的父母或法定監(jiān)護(hù)人聯(lián)系時，對數(shù)據(jù)進(jìn)行單次使用且不予儲存，或為保護(hù)兒童的目的，兒童的個人數(shù)據(jù)，可在未經(jīng)本條第1款所述的同意下進(jìn)行采集，且未經(jīng)本條第1款規(guī)定的同意在任何情況下均不得將數(shù)據(jù)傳輸給第三方。第4款數(shù)據(jù)控制者不得對本條第1款所述的數(shù)據(jù)主體參與的游戲、互聯(lián)網(wǎng)應(yīng)用或其他活動提供超出活動所必需的個人信息。第5款數(shù)據(jù)控制者應(yīng)盡一切合理努力，充分考慮現(xiàn)有技術(shù)，核實本條第1款中所述的同意第6款對本條所述數(shù)據(jù)處理的相關(guān)信息，應(yīng)以簡單、清晰和易于理解的方式提供，并考慮使用者的身體運動、感知、感官、智力和心理特征，適時使用視聽資源，以向兒童父母或法定監(jiān)護(hù)人提供必要的、適合兒童理解的信息。第15條個人數(shù)據(jù)處理應(yīng)在以下情況終止：I.經(jīng)核實目的已經(jīng)實現(xiàn)，或數(shù)據(jù)不再與實現(xiàn)預(yù)期的特定目的必要或相關(guān)；III.不違反公共利益的前提下，經(jīng)數(shù)據(jù)主體溝通，包括其行使本法第8條第5款所規(guī)定的撤銷同意的權(quán)利；或IV.當(dāng)違反本法規(guī)定時，由監(jiān)管機構(gòu)做出決定。第16條個人數(shù)據(jù)應(yīng)在終止處理后，在活動和技術(shù)可行的范圍內(nèi)予以刪除，或授權(quán)存儲用于I.數(shù)據(jù)控制者遵守法律或監(jiān)管義務(wù)；II.由研究實體進(jìn)行研究，盡可能確保個人數(shù)據(jù)的匿名化；III.以遵守本法規(guī)定的數(shù)據(jù)處理要求為前提，轉(zhuǎn)讓數(shù)據(jù)給第三方，;或IV.由數(shù)據(jù)控制者獨占使用，禁止第三方訪問，并且數(shù)據(jù)已匿名化。第三章數(shù)據(jù)主體的權(quán)利第17條確保所有自然人對其個人數(shù)據(jù)的所有權(quán)，根據(jù)本法條款保障自然人的自由、私密和隱私的基本權(quán)利。第18條關(guān)于控制者正在處理的數(shù)據(jù)，個人數(shù)據(jù)主體有權(quán)在任何時候通過以下方式從控制I.確認(rèn)處理的存在；II.訪問數(shù)據(jù)；III.更正不完整、不準(zhǔn)確或過時的數(shù)據(jù)；IV.匿名化、阻止或刪除不符合本法規(guī)定的、不必要的或多余的數(shù)據(jù)；V.遵守商業(yè)和工業(yè)秘密，通過明確的請求，根據(jù)監(jiān)管機構(gòu)的規(guī)定，將數(shù)據(jù)攜帶到另一個服務(wù)或產(chǎn)品提供商；VI.刪除經(jīng)數(shù)據(jù)主體同意處理的個人數(shù)據(jù)，本法第16條所規(guī)定的情況除外；VII.獲取與控制者共享數(shù)據(jù)的公共和私人實體的信息；VIII.獲取與拒絕同意的可能性和拒絕后果的信息；IX.撤銷本法第8條第5款中規(guī)定的同意。第1款個人數(shù)據(jù)主體有權(quán)向國家機關(guān)對數(shù)據(jù)控制者提出有關(guān)其數(shù)據(jù)的請求。第2款如果不符合本法的規(guī)定，數(shù)據(jù)主體可以反對基于放棄同意的情況之一進(jìn)行的處理。第3款本條規(guī)定的權(quán)利，應(yīng)通過數(shù)據(jù)主體或其合法設(shè)立的代理人向數(shù)據(jù)處理代理人明確要求行使。第4款如果無法立即采取本條第3款中提到的措施，控制者應(yīng)向其數(shù)據(jù)主體發(fā)送答復(fù)：I.一告知其不是數(shù)據(jù)處理代理人，并盡可能指出代理人；或II.說明妨礙立即采取措施的事實或法律原因。第5款本條第3款所述的請求應(yīng)在不計數(shù)據(jù)主體的成本下滿足，在法規(guī)規(guī)定的條款下和期限內(nèi)履行。第6款負(fù)責(zé)人應(yīng)立即通知與其實施共享信息的數(shù)據(jù)處理代理人糾正、刪除、匿名化或阻隔數(shù)據(jù)，以便他們可以重復(fù)同樣的程序。第7款本條第V項中提到的個人數(shù)據(jù)的攜帶不包括控制者已經(jīng)匿名化的數(shù)據(jù)。第8款本條第1款所述的權(quán)利也可以請求消費者保護(hù)組織保護(hù)。第19條根據(jù)數(shù)據(jù)主體的要求，確認(rèn)個人數(shù)據(jù)的存在或訪問個人數(shù)據(jù)：II.在遵守商業(yè)和工業(yè)機密的前提下，在數(shù)據(jù)主體要求之日起十五(15)天內(nèi)提供一份清第1款個人數(shù)據(jù)應(yīng)以有利于行使訪問權(quán)的形式存儲。第2款數(shù)據(jù)主體可自行決定信息和數(shù)據(jù)的提供：I.通過針對此目的以安全、適合的電子方式；或第3款基于數(shù)據(jù)主體的同意或基于合同，在遵守商業(yè)和工業(yè)機密的前提下，數(shù)據(jù)主體可以按照國家機關(guān)的規(guī)定，要求提供其個人數(shù)據(jù)的完整電子副本，以使其能夠進(jìn)行后續(xù)使用的格式，包括為了其他數(shù)據(jù)處理行動的目的。第4款國家機關(guān)可以規(guī)定不同于第I項、IⅡ項和本條中具體規(guī)定的時間限制。第20條數(shù)據(jù)主體有權(quán)要求由自然人審查僅基于影響其利益的個人數(shù)據(jù)的自動處理所做出的決策，包括旨在確定其個人、職業(yè)、消費者或信用檔案，或性格方面的決策。第1款控制者應(yīng)在被要求時，提供關(guān)于自動化決策標(biāo)準(zhǔn)和程序所涉的明確和充分的數(shù)據(jù)，第2款在遵守商業(yè)和工業(yè)保密的情況下，若未提供本條第1款所述數(shù)據(jù)，國家機關(guān)可以進(jìn)行審計，以核實個人數(shù)據(jù)自動處理中是否存在歧視。第21條對于與數(shù)據(jù)主體經(jīng)常行使權(quán)利有關(guān)的個人數(shù)據(jù)，不得以損害其利益的方式來使用。第22條對數(shù)據(jù)主體的權(quán)利和利益保護(hù)，可依照相關(guān)立法的規(guī)定，單獨或集體在法院行使。政府部門對個人數(shù)據(jù)的處理規(guī)則第23條2011年11月18日第12,527號法律(《巴西數(shù)據(jù)訪問法》)第1條中規(guī)定，受公法管轄的法人機構(gòu)對個人數(shù)據(jù)的處理，應(yīng)為實現(xiàn)公共目的及公共利益，為遵照法律規(guī)定或I.通過行使職權(quán)，對個人數(shù)據(jù)處理情況進(jìn)行溝通，提供與法律基礎(chǔ)、目的、程序和實踐相關(guān)的清晰且實時更新的數(shù)據(jù)，用以最易于訪問的方式進(jìn)行這些活動，最好是在其網(wǎng)站上III.根據(jù)本法第39條，進(jìn)行個人數(shù)據(jù)處理時任命一名官員。第1款政府機關(guān)可規(guī)定有關(guān)數(shù)據(jù)處理活動的公開形式。第2款本法條款未將本條中提到的法人機構(gòu)，從2011年11月18日12,527號法律(《巴西數(shù)據(jù)訪問法》)規(guī)定的設(shè)立當(dāng)局中免除。第3款行使數(shù)據(jù)主體的時限和程序權(quán)利，應(yīng)遵守相關(guān)法律規(guī)定，特別是1997年11月12日第9,507號法律(《巴西人身保護(hù)數(shù)據(jù)法案》),1999年1月29日第9,784號法律(《聯(lián)邦行政訴訟法》》,和2011年11月18日第12,527號法(《巴西數(shù)據(jù)訪問法》)的規(guī)定。第4款代表政府行使公證和登記服務(wù)的私營機構(gòu)，應(yīng)按照本法規(guī)定，與本條提及的法人機構(gòu)享有同等待遇。第5款公證和登記機關(guān)應(yīng)按照本條所述目的，以電子方式為公共行政機構(gòu)提供數(shù)據(jù)訪問。第24條在競爭市場中運作的上市公司和混合資本公司，受制于《聯(lián)邦憲法》第173條規(guī)定，應(yīng)與本法所規(guī)定的私營機構(gòu)享有同等待遇。獨立條款：上市公司和混合資本公司在執(zhí)行公共政策時，在其執(zhí)行范圍內(nèi)，將依照本章的規(guī)定與公權(quán)力機構(gòu)享有同等待遇。第25條數(shù)據(jù)應(yīng)以共享使用的結(jié)構(gòu)和操作格式保存，為執(zhí)行公共政策，提供公共服務(wù)，使公共生活去中心化，利于一般公眾對數(shù)據(jù)的傳播和訪問。第26條為遵守本法第6條規(guī)定的個人數(shù)據(jù)保護(hù)原則，共享使用個人數(shù)據(jù)的政府部門應(yīng)滿足執(zhí)行公共政策的特定目的以及公共機構(gòu)的法律權(quán)威。第1款禁止公共機構(gòu)向私營機構(gòu)轉(zhuǎn)讓其可以訪問的數(shù)據(jù)庫中包含的個人數(shù)據(jù)，但以下情況除外：I.因公共活動的去中心化需要轉(zhuǎn)移，在具體特定目的下，為遵守2011年11月18日第12,527號法律(《巴西數(shù)據(jù)訪問法》)規(guī)定；III.在數(shù)據(jù)可公開訪問的情況下，遵守本法的規(guī)定。第2款本條第1款所述的合同和協(xié)議應(yīng)與國家機構(gòu)溝通。第27條受到公法與私法管轄的法律實體的個人數(shù)據(jù)的交流或共享，應(yīng)當(dāng)告知國家機構(gòu)，并獲得數(shù)據(jù)主體的同意，但下列情況除外：I.本法規(guī)定的無需同意的情況下；II.當(dāng)數(shù)據(jù)共享時，將會依據(jù)本法第23條第I項公開的情況下；或III.包含在本法第26條第1款所載的例外情況中。第28條(被否決)第29條國家機構(gòu)可隨時要求各政府機構(gòu)進(jìn)行個人數(shù)據(jù)處理活動，提供關(guān)于數(shù)據(jù)范圍和性質(zhì)以及數(shù)據(jù)處理其他細(xì)節(jié)的具體報告，并可發(fā)表補充技術(shù)意見，以確保遵守本法規(guī)定。第30條國家機構(gòu)可以為個人數(shù)據(jù)的交流和共享活動制定補充規(guī)范。第二節(jié)責(zé)任第31條公共機構(gòu)處理個人數(shù)據(jù)違反本法規(guī)定的，國家機構(gòu)可發(fā)布采用適當(dāng)措施以制止違第32條國家機構(gòu)可要求其代理人發(fā)表個人數(shù)據(jù)保護(hù)影響報告，并建議采用公共機構(gòu)處理第五章第33條符合下列條件的，才允許數(shù)據(jù)進(jìn)行跨境傳輸：I.第三國或國際組織提供的個人數(shù)據(jù)保護(hù)水平達(dá)到了本法規(guī)定的充分性程度。II.當(dāng)控制者提供和證明符合本法規(guī)定的原則、數(shù)據(jù)主體權(quán)利和數(shù)據(jù)保護(hù)制度的保證文件d)定期發(fā)布的印章、證書和行為準(zhǔn)則；III.根據(jù)國際法律文書，政府情報，調(diào)查和警察機構(gòu)之間的國際法律合作需要轉(zhuǎn)移；IV.傳輸是為了保護(hù)數(shù)據(jù)主體或第三方的生命或身體安全之必要的；VI.通過國際合作協(xié)議承諾傳輸?shù)?；VII.傳輸是執(zhí)行本法第23條第I項提到的公共政策或法定公共服務(wù)職責(zé)之必要的；VIII.在數(shù)據(jù)主體事先獲知有關(guān)跨境傳輸?shù)男畔?，可清楚地區(qū)別于其他目的的前提下，明確IX.在必要的情況下，需滿足本法第7條第II,V和VI項的規(guī)定；獨立條款：為了達(dá)到本條第I項的目的，2011年11月18日第12,527號法(《獲取信息法》)第1條獨立條款中提及的公法法律實體，在其法律職責(zé)和活動范圍內(nèi)，可以申請國家機構(gòu)評估第三國或國際組織的個人數(shù)據(jù)保護(hù)水平。第34條國家機構(gòu)評估本法第33條提及的第三國或國際組織的數(shù)據(jù)保護(hù)水平時，將考慮以I.數(shù)據(jù)接收國或國際組織現(xiàn)行法律的一般和部門規(guī)則；II.數(shù)據(jù)的性質(zhì)；III.與本法規(guī)定的個人數(shù)據(jù)保護(hù)一般原則以及數(shù)據(jù)主體權(quán)利相符；IV.采取本法所規(guī)定的安全措施；V.具有尊重個人數(shù)據(jù)保護(hù)權(quán)的法律和制度保障；和VI.與數(shù)據(jù)傳輸有關(guān)的其他情況。第35條本法第33條第IⅡ項所述的合同標(biāo)準(zhǔn)條款內(nèi)容，以及用以傳輸?shù)木唧w合同條款、全球性的公司規(guī)則、印章、證書和行為準(zhǔn)則的認(rèn)證，由國家機構(gòu)執(zhí)行。第1款為了認(rèn)證本條規(guī)定，應(yīng)當(dāng)考慮符合本法權(quán)利、保障和原則的傳輸?shù)囊?、場景和最低保障。?款在分析提交國家機構(gòu)批準(zhǔn)的合同條款，文件或全球性公司規(guī)則時，必要時可能需要補充信息或進(jìn)行必要的核查。第3款國家機構(gòu)可指定認(rèn)證機構(gòu)完成本條規(guī)定的內(nèi)容，且在規(guī)定的范圍內(nèi)繼續(xù)監(jiān)督。第4款國家機構(gòu)可審查認(rèn)證機構(gòu)實施的行為，如果不符合本法規(guī)定的，可予以調(diào)整或撤銷。第5款通過分析處理者采取的技術(shù)和組織措施是否與本法第46條第1款和第2款的規(guī)定相符，來分析保證遵守數(shù)據(jù)保護(hù)一般原則和數(shù)據(jù)主體權(quán)利的充分性。第36條當(dāng)保證文件內(nèi)容變化，足以遵守本法第33條第II項涉及的數(shù)據(jù)保護(hù)一般原則和數(shù)據(jù)主體權(quán)利的，應(yīng)通知國家機構(gòu)。第六章個人數(shù)據(jù)處理代理人第一節(jié)控制者和處理者第37條控制者和處理者應(yīng)當(dāng)保存?zhèn)€人數(shù)據(jù)的處理記錄，尤其是基于合法利益處理數(shù)據(jù)的。第38條如規(guī)則所規(guī)定的那樣，國家機構(gòu)可要求控制者在適當(dāng)考慮貿(mào)易和工業(yè)機密的情況下，準(zhǔn)備數(shù)據(jù)保護(hù)影響評估，包括與其數(shù)據(jù)處理操作有關(guān)的敏感數(shù)據(jù)。獨立條款：在符合本條規(guī)定的前提下，報告應(yīng)至少包含所收集數(shù)據(jù)類型的描述，用于收集和確保數(shù)據(jù)安全的方法以及控制者有關(guān)安全保障和風(fēng)險緩解機制的措施。第39條處理者應(yīng)當(dāng)按照控制者的指示進(jìn)行數(shù)據(jù)處理，控制者應(yīng)驗證是否符合自身指令和第40條國家機構(gòu)可以為數(shù)據(jù)可攜性、自由訪問和安全性以及記錄保存時間的實現(xiàn)提供可操作性標(biāo)準(zhǔn)，標(biāo)準(zhǔn)需特別考慮必要性和透明度。第二節(jié)第41條控制者應(yīng)任命數(shù)據(jù)保護(hù)官。第1款數(shù)據(jù)保護(hù)官的身份和聯(lián)系信息應(yīng)當(dāng)公開、明確、客觀地披露，最好在控制者的網(wǎng)站第2款數(shù)據(jù)保護(hù)官的職責(zé)包括：I.接受數(shù)據(jù)主體的投訴并溝通，提供澄清和采取措施；II.與國家機構(gòu)溝通并采取措施；III.指導(dǎo)組織的員工和承包商在保護(hù)個人數(shù)據(jù)方面采取措施；和IV.執(zhí)行控制者決定的或補充規(guī)則中規(guī)定的其他職責(zé)。第3款國家機構(gòu)可以根據(jù)企業(yè)的性質(zhì)和規(guī)?；蛱幚頂?shù)據(jù)的數(shù)量，制定有關(guān)數(shù)據(jù)保護(hù)官角色和職責(zé)的補充規(guī)則，包括數(shù)據(jù)保護(hù)官的豁免任命情況。第三節(jié)責(zé)任和損害賠償?shù)?2條控制者或者處理者因違反數(shù)據(jù)保護(hù)法規(guī)定，處理個人數(shù)據(jù)造成他人財產(chǎn)、精神、第1款為確保實際賠償數(shù)據(jù)主體：I.—如果處理者未能遵守數(shù)據(jù)保護(hù)法的義務(wù)或者未遵守控制者的合法指示，應(yīng)對其造成的損害承擔(dān)連帶責(zé)任，在這種情況下，處理者視同控制者，但本法第43條規(guī)定的情況II.控制者直接參與了造成數(shù)據(jù)主體受到損害的處理行為，應(yīng)承擔(dān)連帶責(zé)任，但本法第43第2款在民事訴訟中，法官可實施有利于數(shù)據(jù)主體的舉證責(zé)任倒置，前提是法官認(rèn)為指控的情況可能存在，數(shù)據(jù)主體沒有舉證費用或舉證負(fù)擔(dān)過重。第3款集體損害賠償訴訟，其目的是要求根據(jù)本條前言的規(guī)定承擔(dān)責(zé)任，可依照有關(guān)法律第4款任何已向數(shù)據(jù)主體承擔(dān)了損害賠償責(zé)任的責(zé)任人，均有權(quán)按照參與損害事件的程度，第43條處理代理人能證明以下事項的，無需承擔(dān)責(zé)任：I.沒有處理分配給他們的個人數(shù)據(jù)；II.雖然處理了分配他們的個人數(shù)據(jù)，但未違反數(shù)據(jù)保護(hù)法；或者III.該損害僅是由數(shù)據(jù)主體或第三方造成的。第44條當(dāng)個人數(shù)據(jù)處理行為不遵守法律，或者沒有提供數(shù)據(jù)主體期待的安全措施，考慮III.處理個人數(shù)據(jù)時可使用的技術(shù)。獨立條款：控制者或處理者因未采取本法第46條規(guī)定的數(shù)據(jù)安全措施造成損害的，應(yīng)承擔(dān)第45條在消費者關(guān)系范圍內(nèi)侵犯數(shù)據(jù)主體的權(quán)利，仍適用相關(guān)法律規(guī)定的責(zé)任規(guī)則。第46條數(shù)據(jù)處理代理人應(yīng)采取安全、技術(shù)和行政措施，以保護(hù)個人數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問以及意外或非法的破壞、丟失、篡改、交流，或者其他任何類型的不當(dāng)或非法處理。第1款在考慮被處理信息類型、處理行為自身特點和當(dāng)前技術(shù)狀況(尤其是在處理個人敏感數(shù)據(jù)時)以及本法第6條首句所規(guī)定原則的情況下，國家機構(gòu)可規(guī)定使本條規(guī)定適用的第2款從產(chǎn)品或服務(wù)的設(shè)計階段到落地階段的整個流程，應(yīng)執(zhí)行本條所規(guī)定措施。第47條處理代理人或其他參與其中一個處理階段的任何人有義務(wù)按照本法規(guī)定保障個人數(shù)據(jù)安全，即使處理行為結(jié)束后也是如此。第48條當(dāng)發(fā)生可能對數(shù)據(jù)主體造成風(fēng)險或相關(guān)損害的安全事故時，控制者應(yīng)該通知國家第1款通知應(yīng)在國家機構(gòu)規(guī)定的合理時間內(nèi)做出，并至少應(yīng)包含：I.受影響的個人數(shù)據(jù)類型描述；III.在商業(yè)保密規(guī)制約束下，指明用于個人數(shù)據(jù)保護(hù)的技術(shù)和安全措施；IV.事故相關(guān)風(fēng)險；V.如果不能立即通知，說明遲延原因；和VI.為消除或減少損害影響，已經(jīng)采取或?qū)⒁扇〉拇胧?。?款國家機構(gòu)應(yīng)核實事故的嚴(yán)重性，并在對保護(hù)數(shù)據(jù)主體權(quán)利有必要時，命令控制者采取措施，例如：I.在通訊媒體上廣泛披露該事故；和II.采取措施消除或減少事故影響。第3款在判斷事故的嚴(yán)重程度時，應(yīng)該在服務(wù)范圍和技術(shù)水平內(nèi)，就將受影響個人數(shù)據(jù)進(jìn)行加密處理所采取的適當(dāng)技術(shù)措施，向未獲得授權(quán)訪問它們的第三方作最終說明分析。第49條個人數(shù)據(jù)處理系統(tǒng)設(shè)計應(yīng)滿足安全要求、良好實踐和治理慣例標(biāo)準(zhǔn)，本法規(guī)定的一般原則和其他監(jiān)管規(guī)則。第二節(jié)良好實踐和治理第50條控制者和處理者，在其個人數(shù)據(jù)處理權(quán)限范圍內(nèi)，無論是自身單獨還是以組成協(xié)會的形式，都可以制定規(guī)定組織條件、操作制度、數(shù)據(jù)主體投訴和請愿等程序、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、參與數(shù)據(jù)處理的各方主體的具體義務(wù)責(zé)任、教育宣傳活動、內(nèi)部監(jiān)督和風(fēng)險緩解機制以及與個人數(shù)據(jù)處理相關(guān)的其他方面的良好實踐和治理慣例規(guī)則。第1款在建立良好實踐慣例規(guī)則時，控制者和處理者應(yīng)考慮有關(guān)個人數(shù)據(jù)及其處理行為的類型、目的、風(fēng)險可能性和嚴(yán)重性以及個人數(shù)據(jù)處理所帶來的益處。第2款當(dāng)適用本法第6條第VII和VIII項所規(guī)定原則時，依據(jù)其數(shù)據(jù)處理規(guī)劃、規(guī)模和數(shù)量，以及被處理數(shù)據(jù)的敏感性和給數(shù)據(jù)主體造成損害的可能性和嚴(yán)重性，控制者可以：I.執(zhí)行隱私治理計劃，該計劃至少可以：a)一展示其為廣泛遵守個人數(shù)據(jù)保護(hù)規(guī)則和良好實踐慣例而采取相應(yīng)內(nèi)部措施和政策承b)適用于其控制下的所有個人數(shù)據(jù)，不管其收集手段如何；c)與其數(shù)據(jù)處理規(guī)劃、規(guī)模和數(shù)量以及被處理數(shù)據(jù)的敏感性相匹配；d)在隱私影響和風(fēng)險系統(tǒng)評估基礎(chǔ)上，確立適當(dāng)?shù)恼吆捅Ｕ洗胧籩)確立“通過透明操作建立與數(shù)據(jù)主體的信任關(guān)系并確保數(shù)據(jù)主體參與機制”的目標(biāo)；f)融入總體數(shù)據(jù)治理規(guī)劃，以及建立和運行內(nèi)外部監(jiān)督機制；g)制定事故應(yīng)對和解決方案；和h)根據(jù)從持續(xù)監(jiān)測和定期評估中獲得的信息，不斷被更新；II.在適當(dāng)時展示其隱私治理計劃的有效性，特別是應(yīng)國家機構(gòu)或負(fù)責(zé)推動遵守與本法相銜接的良好實踐慣例或行為細(xì)則的其他機關(guān)的要求。第3款良好實踐和治理慣例規(guī)則應(yīng)定期公布和更新，并可由國家機構(gòu)予以認(rèn)可和公布。第51條國家機構(gòu)應(yīng)鼓勵采用有助于數(shù)據(jù)主體控制其個人數(shù)據(jù)的技術(shù)標(biāo)準(zhǔn)。行政處罰第52條違反本法規(guī)定的數(shù)據(jù)處理代理人，將由國家機構(gòu)對其執(zhí)行以下行政處罰，I.警告，并指明采取糾正措施的規(guī)定時間；II.上一財政年度巴西境內(nèi)私法人主體、集團或大型企業(yè)集團收入的最高百分之二(2%)的總計罰款，不含稅，單次罰款最高可達(dá)五千萬雷亞爾(R$50,000,000.00);III.每日罰款，但須符合第IⅡ項所述的最高罰款額規(guī)定；IV.違規(guī)行為一旦被正式查明并確認(rèn)其發(fā)生后，立即公布；V.凍結(jié)違規(guī)所涉?zhèn)€人數(shù)據(jù)，直至合規(guī)為止；VI.刪除違規(guī)所涉?zhèn)€人數(shù)據(jù)；VII.(被否決);IX.(被否決)。第1款行政處罰應(yīng)在抗辯行政程序之后適用。該抗辯行政程序，根據(jù)具體案件特點，并考慮到以下因素和標(biāo)準(zhǔn)，以漸進(jìn)、單次或累計的方式提供充足的抗辯機會：I.違規(guī)行為嚴(yán)重程度以及受影響個人數(shù)據(jù)類型；III.違規(guī)者已經(jīng)實現(xiàn)的或意圖實現(xiàn)的益處；VIH.根據(jù)本法