企業(yè)出海-海外數(shù)據(jù)合規(guī)概覽文章合集

企業(yè)出?！Ｍ鈹?shù)據(jù)合規(guī)概覽文章合集企業(yè)出海--海外數(shù)據(jù)合規(guī)概覽(新加坡篇)企業(yè)出海--海外數(shù)據(jù)合規(guī)概覽(巴西篇)企業(yè)出海--海外數(shù)據(jù)合規(guī)概覽(阿聯(lián)酋篇)為推進(jìn)開放型世界經(jīng)濟(jì)發(fā)展2013年我國提出共建"—帶—路倡議為推進(jìn)開放型世界經(jīng)濟(jì)發(fā)展2013年我國提出共建"—帶—路倡議，為企業(yè)"出海提供了豐富的機(jī)遇和廣闊的平臺1。近幾年來,中國企業(yè)出海的進(jìn)程逐漸加快。出海是一個(gè)復(fù)雜且具有挑戰(zhàn)性的過程,需充分考慮當(dāng)?shù)厥袌霏h(huán)境、法規(guī)要求及文化差異等各方面因素。在這一過程中伴隨著數(shù)字化轉(zhuǎn)型及數(shù)字經(jīng)濟(jì)的不斷發(fā)展企業(yè)通常會涉及在當(dāng)?shù)剡M(jìn)行數(shù)據(jù)處理以及跨境數(shù)據(jù)傳輸?shù)然顒?。?dāng)前世界各國和地區(qū)都在不斷加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)以及對于數(shù)據(jù)跨境流動的監(jiān)管,且各國和地區(qū)的數(shù)據(jù)保護(hù)法律體系和內(nèi)容也呈現(xiàn)出不同程度的多樣性和差異性在此背景下我們擬針對目前中國企業(yè)出海較為集中的國家和地區(qū)梳理其有關(guān)數(shù)據(jù)保護(hù)的法律法規(guī)基本體系和實(shí)踐以期有助于出海企業(yè)對相關(guān)國家和地區(qū)主要數(shù)據(jù)保護(hù)要求的了解提前應(yīng)對并防范潛在風(fēng)險(xiǎn)本文將主要針對新加坡的基本數(shù)據(jù)保護(hù)立法及執(zhí)法情況概述出海企業(yè)在新加坡數(shù)據(jù)處理活動中的注意要點(diǎn)新加坡個(gè)人數(shù)據(jù)保護(hù)立法概況早在2012年，新加坡就已發(fā)布《個(gè)人數(shù)據(jù)保護(hù)法案》(personalDataprotectionAct2012),用于規(guī)范個(gè)人數(shù)據(jù)的收集、使用、披露等行為，確員會(personalDataprotectioncommission，"PDPC")的職能1/z/2212261/index.shtml2.sg/Act/PDPA2012/Historical/20130102?DOCDate=20121203&alidDate=20130102助力企業(yè)出?！Ｍ鈹?shù)據(jù)合規(guī)概覽（新加坡篇）趙新華趙新華合伙人公司業(yè)務(wù)部王哲峰公司業(yè)務(wù)部徐虹宇律師助理公司業(yè)務(wù)部3在歷經(jīng)多次修訂后現(xiàn)行有效的《個(gè)人數(shù)據(jù)保護(hù)法案》(personalDataprotectionAct20122020RevisedEdition，"PDPA3)共分為10個(gè)部分其中第1、2部分主要涉及基本條款及PDPC的職能；第3至6部分主要涉及數(shù)據(jù)保護(hù)主要規(guī)則,包括:l.基于合理目的,且收集、使用或披露個(gè)人數(shù)據(jù)前進(jìn)行告知并獲取同意；2.允許個(gè)人訪問及更正其個(gè)人數(shù)據(jù)3.妥善管理個(gè)人數(shù)據(jù)(包括確保數(shù)據(jù)的準(zhǔn)確性)、保護(hù)個(gè)人數(shù)據(jù)(包括跨境傳輸個(gè)人數(shù)據(jù)時(shí)的保護(hù))以及在不再需要個(gè)人數(shù)據(jù)時(shí)不4.在數(shù)據(jù)泄漏時(shí)通知PDPC和受影響的個(gè)人；5.制定相關(guān)政策和制度以符合PDPA的要求4。較為特別的是,PDPA在第9部分及第9A部分規(guī)定了謝絕來電登記制度(DONotcallprovisions)。這些規(guī)定涉及建立新加坡全國的謝絕來電登記冊以及相關(guān)組織在向新加坡電話號碼發(fā)送某些營銷信息時(shí)的特定義務(wù)謝絕來電登記冊涵蓋電話呼叫、短信和傳真三個(gè)方面并由PDPC保存和維護(hù)用戶和訂閱者可以根據(jù)他們接收電話呼叫、短信或傳真營銷信息的偏好在一個(gè)或多個(gè)謝絕來電登記上注冊他們的新加坡電話號碼。相關(guān)組織在向新加坡電話號碼發(fā)送營銷信息前需檢查謝絕來電登記冊已確認(rèn)該等電話號碼是否列在謝絕來電登記冊中5為更好執(zhí)行PDPA包括PDPC在內(nèi)的新加坡相關(guān)主管機(jī)關(guān)發(fā)布了一系列條例以落實(shí)PDPA的相關(guān)規(guī)定包括:l《個(gè)人數(shù)據(jù)保護(hù)(謝絕來電登記處)條例》(personalDataprotection(DONotcallRegistry)Regulations2013)2.《個(gè)人數(shù)據(jù)保護(hù)(違法構(gòu)成)條例》(personalDataprotection(compositionofoffences)Regulations2021)4.《個(gè)人數(shù)據(jù)保護(hù)條例》(personalDataprotectionRegulations20214.《個(gè)人數(shù)據(jù)保護(hù)(上訴)條例》(personalDataprotection(Appeal)Regulations2021)5.《個(gè)人數(shù)據(jù)保護(hù)(數(shù)據(jù)泄露通知)條例》(personalDataprotection(NotificationofDataBreaches)Regulations202110)6.《個(gè)人數(shù)據(jù)保護(hù)(執(zhí)行)條例》(personalDataprotection(Enforcement)Regulations202111)3PERSONALDATAPROTECTIONACT2012,2020REVISEDEDITION,https://SSO..sg/Act/PDPA2012？validDate=202210014personaIDataprotectioncommission:ADVISORYGIDELINESONKEYCONCEPTSINTHEPERSONALDATAPROTECTIONACT5personaIDataprotectioncommission:ADISORYGUIDELINESONKEYCONCEPTSINTHEPERSONALDATAPROTECTIONACT6personalDataprotection(DONotcallRegistry)Regulations2013,personalDataprotection(DONotcalRegistry)Regulations20137personalDataprotection(compositionofoffences)Regulations2021,.sg/SLsupp/s702021/published/20210129?DOCDate=202101298personalDataprotectionRegulations2021,.sg/SLsupp/s632021/published/20210129?DOCDate=202101299personalDataprotection(Appeal)Regulations2021,.sg/SLsupp/s652021/published/20210129?DOCDate=2021012911personalDataprotection(Enforcement)Regulations2021,.sg/SLsupp/s62-2021/published/20210129?DOCDate=202101294同時(shí)為配合PDPA的實(shí)施其他主管機(jī)關(guān)也會發(fā)布相關(guān)通知包括:l新加坡通訊及新聞部(theMinisterforcommunicationsandInformation)制定的《個(gè)人數(shù)據(jù)保護(hù)(法定機(jī)構(gòu))通知》(personalDataprotection(statutoryBodies)Notification201332)；2.新加坡內(nèi)政部(theMinisterforHomeAffairs)制定的《個(gè)人數(shù)據(jù)保護(hù)(指定執(zhí)法機(jī)構(gòu))通知》(personalDataprotection(prescribedLawEnforcementAgencies)Notification201443)；3.新加坡總理頒布的《個(gè)人數(shù)據(jù)保護(hù)(指定執(zhí)法機(jī)構(gòu))通知》(personalDataprotection(prescribedLawEnforcementAgency)Notification202014)；4.新加坡衛(wèi)生部(theMinisterforHealth)制定的《個(gè)人數(shù)據(jù)保護(hù)(指定醫(yī)療機(jī)構(gòu))通知》(personalDataprotection(prescribedHealthcareBodies)Notification201515)。此外PDPC亦會發(fā)布咨詢指南特定行業(yè)咨詢指南使用指引等相關(guān)指引，如《關(guān)于在數(shù)字環(huán)境中使用兒童個(gè)人數(shù)據(jù)的<個(gè)人數(shù)據(jù)保護(hù)法案>咨詢指南》(AdvisoryGuidelinesonthePDPAforchildren'spersonalDataintheDigital)以及《關(guān)于在人工智能推薦和決策系統(tǒng)中使用個(gè)人數(shù)據(jù)的咨詢指南》(EnvironmentAdvisoryGuidelinesonuseofpersonalDatainARecommendationandDecisionsystems17)等指引。但同時(shí),PDPC明確，相關(guān)指引僅屬于咨詢性質(zhì)不構(gòu)成法律意見，對PDPC或其他方不具有法律約束力18個(gè)人數(shù)據(jù)保護(hù)執(zhí)法概況2013年成立的PDPC是監(jiān)管和執(zhí)行PDPA的主要機(jī)構(gòu)如前所述PDPC會制定并發(fā)布咨詢指南以指導(dǎo)相關(guān)組織遵守PDPA此外PDPC也會審查有關(guān)組織的個(gè)人數(shù)據(jù)保護(hù)措施并在需要時(shí)發(fā)布決定或指令以確保有關(guān)組織遵守PDPA。PDPC亦會與相關(guān)行業(yè)監(jiān)管機(jī)構(gòu)合作以保證有關(guān)組織按照PDPA的規(guī)定處理或保護(hù)個(gè)人數(shù)據(jù)19。根據(jù)PDPA，若PDPC認(rèn)為某個(gè)組織違反了PDPA下的數(shù)據(jù)保護(hù)規(guī)定，則PDPC有權(quán)要求該組織采取其認(rèn)為合適的措施以確保組織遵守PDPA的規(guī)定。12personalDataprotection(statutoryBodies)Notifcation2013,.sg/SL/PDPA2012S149-2013?DOCDate=20180329#pr1personalDataprotection(prescribedLawEnforcementAgencies)Notifcation2014,.sg/SL/PDPA2012S368-2014?DOCDate=2014052114personalDataprotection(prescribedLawEnforcementAgency)Notifcation2020,.sg/SL/PDPA2012S272-2020?DOCDate=2020041415personalDataprotection(prescribedHealthcareBodies)Notifcation2015,.sg/SL/PDPA2012S90-2015?DOCDate=2015022716AdvisoryGuidelinesonthepDPAforchildren'spersonalDataintheDigital,.sg/guidelinesand-consultation/2024/03/advisoryguidelineson-thepdpaforchildrenspersonaldata-inthedigitalenvironment17AdvisoryGuidelinesonuseofpersonalDatainAlRecommendationandDecisionsystems,.sg/guidelinesand-consultation/2024/02/advisoryguidelinesusepersonal-datain-airecommendation-and-decisionsystems18IntroductiontotheGuidelines.sg/guidelinesandconsultation/2023/10/introductionthe-guidelines19.sg/whowe-are/aboutus5指令(Directions)203.遵守PDPC依據(jù)PDPA做出的指令經(jīng)濟(jì)處罰(Financial1.對于在新加坡的年?duì)I業(yè)額超過1000萬新元的組織機(jī)構(gòu)罰款不超過該組織機(jī)構(gòu)年?duì)I業(yè)額的10%2.對于在新加坡的年?duì)I業(yè)額超過2000萬新元的組織機(jī)構(gòu)罰款不超過該組織機(jī)構(gòu)年?duì)I業(yè)額的5%；3.對于個(gè)人罰款不超過20萬新元4.在其他任何情況下罰款不超過100萬新元此外不遵守PDPA的某些規(guī)定也可能構(gòu)成犯罪可能會被處以罰款或監(jiān)禁。例如依據(jù)PDPA個(gè)人未經(jīng)授權(quán)披露個(gè)人數(shù)據(jù)22、不當(dāng)使用個(gè)人數(shù)據(jù)23和未經(jīng)授權(quán)重新識別匿名化個(gè)人數(shù)據(jù)的行為24可能構(gòu)成犯罪，面臨2年以下監(jiān)禁和/或5000新元以下的罰款。包括咨詢通知(AdvisoryNotice)、指令(Directions)、經(jīng)濟(jì)處罰(Financialpenalty)、無進(jìn)一步行動(NOFurtherAction)、未違規(guī)(NotinBreach)、警告(warning)六類。我們梳理了上述六類執(zhí)行決定的分布數(shù)量見下圖。212224PERSONALDATAPROTECTIONACT，2012,Article48(I)PERSONALDATAPROTECTIONACT，2012,Article48(D)PERSONALDATAPROTECTIONACT，2012,Article48(EPERSONALDATAPROTECTIONACT，2012,Article48(F).sg/allcommissions-decisions?keyword=&industry=all&nature=all&decision=all&penalty=all&page=316同時(shí)目前PDPC官網(wǎng)列舉了訪問和更正(Accessandcorrection)、責(zé)任(Accountability)、準(zhǔn)確(Accuracy)、同意(consent)、數(shù)據(jù)泄漏通知(DataBreachNotification)、謝絕來電登記(DOnotcallprovisions)、告知(Notification)、保護(hù)(protection)、目的限制(purposeLimitation)、保存限制(Retentionlimitation)、傳輸限制(TransferLimitation)等11類個(gè)人數(shù)據(jù)相關(guān)義務(wù)(Relevantobligations)。其中暫未有執(zhí)行決定涉及訪問和更正、準(zhǔn)確及數(shù)據(jù)泄漏通知相關(guān)義務(wù)執(zhí)行決定涉及的其他相關(guān)義務(wù)分布情況請見下圖如前所述PDPC自2016年以來在其官網(wǎng)公布了136份涉及罰款的執(zhí)行決定各執(zhí)行決定涉及罰款金額的分布情況請見下圖7典型案例個(gè)人數(shù)據(jù)的跨境傳輸是數(shù)據(jù)保護(hù)的典型場景新加坡數(shù)據(jù)保護(hù)法律制度同樣強(qiáng)調(diào)對于個(gè)人數(shù)據(jù)跨境傳輸?shù)南拗芇DPC也曾針對相關(guān)機(jī)構(gòu)未履行個(gè)人數(shù)據(jù)傳輸限制義務(wù)而做出處罰。?基本事實(shí)S公司是一家總部位于加拿大的在線零售電子商務(wù)平臺公司，L公司是一家新加坡的在線零售商。L公司自2018年開始使用S公司的平臺銷售產(chǎn)品S公司則向L公司提供支付處理等服務(wù)。SG公司是s公司在亞太地區(qū)的數(shù)據(jù)子處理商(subprocessor),其主要通過平臺收集客戶個(gè)人數(shù)據(jù)(包括L公司的客戶個(gè)人數(shù)據(jù))并將數(shù)據(jù)從新加坡傳輸至加拿大的S公司用于購買處理和平臺處理2019年7月l日，S公司與L公司間的服務(wù)協(xié)議被轉(zhuǎn)讓給了SG公司在2020年6月至9月期間,兩家位于菲律賓的S公司的服務(wù)承包商非法訪問并竊取了S公司系統(tǒng)中存儲的通過平臺收集的用于購買處理和平臺處理的客戶個(gè)人數(shù)據(jù)受影響的客戶個(gè)人數(shù)據(jù)包括姓名電子郵件地址賬單地址郵寄地址電話號碼銀行識別號碼IP地址、顧客支付卡的最后四位數(shù)字以及23，928人的購買歷史?數(shù)據(jù)處理關(guān)系分析PDPC認(rèn)為對于s公司與L公司服務(wù)協(xié)議轉(zhuǎn)移之前的數(shù)據(jù)處理關(guān)系:S公司既是受委托處理(onbehalfof)的一方,同時(shí)也是數(shù)據(jù)控制者(controller)。S公司主要基于兩類目的處理電商平臺客戶的個(gè)人數(shù)據(jù):(1)購買處理，S公司作為平臺商家(包括L公司)的數(shù)據(jù)中介基于完成支付、物流等目的處理客戶個(gè)人數(shù)據(jù)；(2)平臺處理，S公司基于自身的商業(yè)或管理目的通過平臺直接收集客戶的個(gè)人數(shù)據(jù),此時(shí)S公司為獨(dú)立個(gè)人數(shù)據(jù)控制者27。圖示如下8對于s公司與L公司服務(wù)協(xié)議轉(zhuǎn)移之后的數(shù)據(jù)處理關(guān)系：SG公司既是受委托處理的數(shù)據(jù)中介(DataIntermediaryPDPA將數(shù)據(jù)中介定義為,代表(onbehalfof)另一組織處理個(gè)人數(shù)據(jù)的組織)同時(shí)也是數(shù)據(jù)控制者SG公司收集客戶個(gè)人數(shù)據(jù)后會繼續(xù)向S公司傳輸,在此數(shù)據(jù)鏈路下：⑴對于購買處理，SG公司成為了S公司的數(shù)據(jù)中介,并作為S公司的數(shù)據(jù)中介處理個(gè)人數(shù)據(jù)。(2)對于平臺處理，SG公司成為通過平臺收集的客戶個(gè)人數(shù)據(jù)的數(shù)據(jù)控制者并繼續(xù)將客戶個(gè)人數(shù)據(jù)傳輸給S公司28。圖示如下?處罰決定及分析結(jié)合咨詢指南的內(nèi)容,PDPC認(rèn)為當(dāng)一個(gè)組織聘用一個(gè)數(shù)據(jù)中介代表其處理個(gè)人數(shù)據(jù)并用于該組織的目的時(shí)該組織有責(zé)任就任何個(gè)人數(shù)據(jù)的跨境傳輸遵守傳輸限制義務(wù)不論個(gè)人數(shù)據(jù)是由該組織轉(zhuǎn)移給海外的數(shù)據(jù)中介還是由新加坡的數(shù)據(jù)中介作為代表該組織處理個(gè)人數(shù)據(jù)的一部分而將個(gè)人數(shù)據(jù)傳輸?shù)胶Ｍ?9。因此盡管L公司與SG公司均不應(yīng)對發(fā)生在S公司的數(shù)據(jù)安全事件負(fù)有直接責(zé)任但兩家公司均受到PDPA的約束PDPA第26(1)條規(guī)定,除非符合PDPA規(guī)定的要求以確保向外國或地區(qū)轉(zhuǎn)移的個(gè)人數(shù)據(jù)獲得與PDPA下的保護(hù)相當(dāng)?shù)谋Ｗo(hù)標(biāo)準(zhǔn)("傳輸限制義務(wù)"),否則組織不得將任何個(gè)人數(shù)據(jù)轉(zhuǎn)移到新加坡以外的國家或地區(qū)。具體而言向新加坡以外的國家或地區(qū)轉(zhuǎn)移個(gè)人數(shù)據(jù)的組織必須采取適當(dāng)措施確保個(gè)人數(shù)據(jù)的接收方受到法律強(qiáng)制執(zhí)行的義務(wù)向被轉(zhuǎn)移的個(gè)人數(shù)據(jù)提供至少與PDPA下的保護(hù)相當(dāng)?shù)谋Ｗo(hù)標(biāo)準(zhǔn)。此種法律強(qiáng)制執(zhí)行的義務(wù)可以通過合同或約束性企業(yè)規(guī)則(BindingcorporateRules)對接收方產(chǎn)生效力。PDPC認(rèn)為，就購買處理之目的而言S公司是L公司的數(shù)據(jù)中介，而SG公司是s公司的子處理者(subprocessor)。L公司作為客戶個(gè)人數(shù)據(jù)的控制者傳輸限制義務(wù)要求其在將客戶個(gè)人數(shù)據(jù)傳輸至S公司處理之前確保S公司提供的個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)與PDPA下的(最終)傳輸客戶個(gè)人數(shù)據(jù)的傳輸限制義務(wù)就平臺處理之目的而言,SG公司是數(shù)據(jù)控制者，S公司是數(shù)據(jù)中介SG公司應(yīng)遵守傳輸限制義務(wù)確保S公司提供的個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)與PDPA下的保護(hù)標(biāo)準(zhǔn)相當(dāng)30。BreachoftheTransferLimitationobligationbyshopifycommercesingaporeandsupernova,caseNO.DP2103-B8147/DP2206-B99354personalDataprotectioncommission:ADVISORYGUIDELINESONKEYCONCEPTSINTHEPERSONALDATAPROTECTIONACTBreachoftheTransferLimitationobligationbyshopifycommercesingaporeandsupernova,caseNO.DP2103-B8147/DP2206-B9935,p89由于L公司及SG公司均未能通過合同或約束性公司規(guī)則方式履行傳輸限制義務(wù)PDPC對兩家公司分別做出指令要求其在六個(gè)月內(nèi)建立合規(guī)流程以確保滿足傳輸限制義務(wù)的要求。PDPA關(guān)于數(shù)據(jù)跨境傳輸?shù)囊?guī)定主要規(guī)定在第26條(Transferofpersonadataoutsidesingapore)。根據(jù)該條除非相關(guān)組織根據(jù)PDPA相關(guān)要求確保接收方對傳輸?shù)膫€(gè)人數(shù)據(jù)提供至少與PDPA相當(dāng)?shù)谋Ｗo(hù),否則不得將任何個(gè)人數(shù)據(jù)傳輸?shù)叫录悠乱酝獾膰一虻貐^(qū)。PDPA將相關(guān)組織定義為包括任何個(gè)人公司協(xié)會或團(tuán)體無論是法人還是非法人無論是否根據(jù)新加坡法律成立或受其認(rèn)可或其住所地位于新加坡或在新加坡設(shè)有辦事處或營業(yè)場所《個(gè)人數(shù)據(jù)保護(hù)條例》(personalDataprotectionRegulations2021)進(jìn)一步明確相關(guān)組織可以通過以下方式履行傳輸限制義務(wù)：(1)接收方受到與PDPA同等保護(hù)水平的法律管轄；(2)與接收方簽訂數(shù)據(jù)處理協(xié)議該數(shù)據(jù)處理協(xié)議應(yīng)約定接收方履行與PDPA同等的保護(hù)義務(wù)；(4)取得個(gè)人關(guān)于數(shù)據(jù)跨境的同意或視為同意；通常情況下,企業(yè)將新加坡的個(gè)人數(shù)據(jù)傳輸出境需遵循上述傳輸限制義務(wù)實(shí)踐中我們觀察到,不少中國企業(yè)傾向在新加坡部署云服務(wù)器,用于集中管理海外數(shù)據(jù)。在此情形下我們建議該等企業(yè):?確認(rèn)新加坡當(dāng)?shù)刂黧w相關(guān)的數(shù)據(jù)處理關(guān)系企業(yè)需明確新加坡當(dāng)?shù)刂黧w的數(shù)據(jù)處理是否涉及數(shù)據(jù)中介,涉及數(shù)據(jù)中介的處理活動目的時(shí)該組織有責(zé)任就任何個(gè)人數(shù)據(jù)的跨境傳輸遵守傳輸限制義務(wù)32。?確認(rèn)是否存在數(shù)據(jù)過境的情形。部分企業(yè)會將云服務(wù)器設(shè)置在新加坡若企業(yè)將第三國數(shù)據(jù)存儲在新加坡且不進(jìn)行任何實(shí)質(zhì)性加工、處理33,再將該等數(shù)據(jù)傳輸至其他國家時(shí)該等傳輸屬于數(shù)據(jù)過境傳輸(Dataintransit),并不需要履行前述傳輸限制義務(wù)34?對于非過境數(shù)據(jù)企業(yè)在出境該等個(gè)人數(shù)據(jù)前需履行前述傳輸限制義務(wù)否則即便個(gè)人數(shù)據(jù)已離開新加坡存儲在第三國企業(yè)亦可能因第三國的數(shù)據(jù)安全事件而受到PDPC的處罰。總體觀察新加坡數(shù)據(jù)保護(hù)制度在立法和執(zhí)法層面均已較為完善,PDPC在其官網(wǎng)中發(fā)布的各項(xiàng)指引對企業(yè)的數(shù)據(jù)處理活動具有較為明確的指導(dǎo)作用但同時(shí)從前述梳理中不難看出新加坡的數(shù)據(jù)執(zhí)法也較為全面,企業(yè)應(yīng)特別注意新加坡的數(shù)據(jù)處理風(fēng)險(xiǎn)避免因數(shù)據(jù)處理不當(dāng)而導(dǎo)致處罰感謝實(shí)習(xí)生葉影對本文做出的貢獻(xiàn)。wwwkwmwwwkwmcom巴西是享譽(yù)世界的"足球王國"同時(shí)也是南美洲面積最大和人口最多的國家巴西全國GDP一直位居南美洲第一1。巴西是享譽(yù)世界的"足球王國"同時(shí)也是南美洲面積最大和人口最多的國家巴西全國GDP一直位居南美洲第一1。巴西是中國第九大貿(mào)易伙伴國(最大的葡語國家貿(mào)易伙伴)也是中國在拉美地區(qū)的第一大貿(mào)易伙伴中國則是巴西第一大貿(mào)易伙伴國據(jù)中國海關(guān)統(tǒng)計(jì)2023年中巴雙邊貿(mào)易額為1815.3億美元同比增長6.1%。中國企業(yè)對巴西的投資主要涉及能源礦產(chǎn)、農(nóng)業(yè)、基礎(chǔ)設(shè)施制造業(yè)等行業(yè)目前,巴西對于個(gè)人數(shù)據(jù)保護(hù)的立法日趨完善中國企業(yè)在巴西開展個(gè)人數(shù)據(jù)處理活動時(shí)應(yīng)特別注意巴西個(gè)人數(shù)據(jù)保護(hù)法律的相關(guān)要求。本文將主要針對巴西的基本數(shù)據(jù)保護(hù)立法及執(zhí)法情況概述出海企業(yè)在巴西數(shù)據(jù)處理活動中的注意要點(diǎn)、巴西個(gè)人數(shù)據(jù)保護(hù)立法概覽巴西《通用數(shù)據(jù)保護(hù)法》(LeiGeraldedeDadospessoais"LGPD")是巴西第一部關(guān)于數(shù)據(jù)保護(hù)的綜合性法律其為公司和個(gè)人收集、使用、處理和存儲數(shù)據(jù)提供了全面的法律框架LGPD已分階段生效:護(hù)局(AutoridadeNacionadedeDados("ANPD和國家保護(hù)個(gè)人數(shù)據(jù)和隱私委員會(conselhoNacionaldedeDadospessoaisedaprivacidade"CNPD")；1/detail/news/LNews10617978/企業(yè)出?！Ｍ鈹?shù)據(jù)合規(guī)概覽（巴西篇）趙新華趙新華合伙人公司業(yè)務(wù)部盧忠誠國際合伙人(金杜橫琴聯(lián)營所)一帶一路國際法律業(yè)務(wù)部王哲峰公司業(yè)務(wù)部徐虹宇律師助理公司業(yè)務(wù)部?2020年9月18日LGPD的其余條款生效,但涉及適用行政LGPD共十章包含基本條款個(gè)人數(shù)據(jù)的處理、個(gè)人數(shù)據(jù)所有者權(quán)利、公共機(jī)構(gòu)對個(gè)人數(shù)據(jù)的處理國際數(shù)據(jù)傳輸、個(gè)人數(shù)據(jù)處理代理人、數(shù)據(jù)安全及良好實(shí)踐、國家數(shù)據(jù)保護(hù)局及國家保護(hù)個(gè)人數(shù)據(jù)和隱私委員會等內(nèi)容。西互聯(lián)網(wǎng)法案》)對服務(wù)提供商、網(wǎng)絡(luò)和應(yīng)用程序提供商提出了有關(guān)個(gè)人數(shù)據(jù)處理的要求以及其他義務(wù)并明確了互聯(lián)網(wǎng)用戶的相關(guān)權(quán)利4二、巴西個(gè)人數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)巴西國家數(shù)據(jù)保護(hù)局(ANPD)是監(jiān)管和執(zhí)行LGPD的主要機(jī)構(gòu)根據(jù)LGPDANPD是具有特殊性質(zhì)的獨(dú)立機(jī)構(gòu),其具有技術(shù)和決策自主權(quán)擁有自己的資產(chǎn)ANPD由理事會(最高領(lǐng)導(dǎo)機(jī)構(gòu))、國家個(gè)人數(shù)據(jù)保護(hù)和隱私委員會(CNPD)、以及執(zhí)行LGPD規(guī)定所需的行政單位和專門單位等部門組成ANPD的主要職責(zé)包括:?制定國家個(gè)人數(shù)據(jù)保護(hù)和隱私政策的指導(dǎo)方針；?在數(shù)據(jù)處理違法的情況下,通過保障對抗充分辯護(hù)和上訴權(quán)利的行政程序進(jìn)行監(jiān)督并實(shí)施制裁；?促進(jìn)采納有助于數(shù)據(jù)主體控制其個(gè)人數(shù)據(jù)的服務(wù)和產(chǎn)品標(biāo)準(zhǔn)?協(xié)調(diào)具有相關(guān)數(shù)據(jù)保護(hù)職責(zé)的其他機(jī)構(gòu)和實(shí)體8ANPD定期發(fā)布相關(guān)法規(guī)以落實(shí)LGPD的執(zhí)行,包括:l3·709,del4deagostode2018,LeiGeraldedeDadospessoais(LGPD),paraagentesdetratamentodepequenoporte(alteradapelaCD/ANPDN°15,DE24DEAbrilDE2024))Aprova0RegulamentodedeIncidentede10)3.br/anpd/ptbr/acessoainformacao/perguntasfrequentes2013-anpd5DAREpoeLICAFEDERATVADOBRASILDE19886Lei55-A7Lei55C9.br/anpd/ptbr/documentosepublicacoes/regulamentacoesdaanpd/resolucaocd-anpd-no-2de27-dejaneirode202210.br/en/web/dou//resolucaocd/anpdn15-de-24-deabrilde-2024-556243024(HipótesesLegais(HipótesesLegaisdeTratamentodeDadospessoaisLegítimoInteresse14)Dadospessoaiseprivacidade15)deMaioDE2023-Edita0EnunciadosobreoTratamentodeDadospessoaisdeeAdolescentes11)值得注意的是ANPD會在其官網(wǎng)中定期發(fā)布相關(guān)指南及技術(shù)文件12,以向數(shù)據(jù)處理者提關(guān)于個(gè)人數(shù)據(jù)保護(hù)的指引。目前ANPD已發(fā)布的相關(guān)指南包括:(Guiaorientativo(GuiaorientativoparadosAgentesdeTratamentodeDados?《出于法定利益處理個(gè)人數(shù)據(jù)的法律假設(shè)指南》已發(fā)布的技術(shù)文件包括:?技術(shù)說明19/2023/CGF/ANPD號監(jiān)控活動(NotaTécnicam°19/2023/CGF/ANPDAtividadedeMonitoramento)?技術(shù)說明16/2023/CGTP/ANPD號關(guān)于巴西人工智能立法項(xiàng)目的法律影響建議重點(diǎn)關(guān)注2338/2023號議案(NotaTécnicaBrasilc,omfoconopLn°2338/20231)?技術(shù)說明6/2023/CGF/ANPD號-總檢查協(xié)調(diào)部關(guān)于TikTOK社交網(wǎng)絡(luò)在兒童和青少年注冊平臺時(shí)處理其個(gè)人數(shù)據(jù)的技術(shù)表態(tài)(NotaTécnican°6/2023/CGF/ANPD-técnicada-GeraldeacercadotratamentosdedadospessoaisdeeadolescentespelaredesocialTikTOKnomomentoemqueelessecadastramnaLGPD定義了一系列涉及個(gè)人數(shù)據(jù)保護(hù)的概念該等概念與中國《個(gè)人信息保護(hù)法》或歐盟《通用數(shù)據(jù)保護(hù)條例》(GeneralDataprotectionRegulation)具有一定類似性,但也存在一定差異。關(guān)鍵概念：處理代理人(Agentesdetratamento)處理代理人是對個(gè)人數(shù)據(jù)進(jìn)行收集、使用、共享或其他活動的主體19。LGPD規(guī)定了兩種具有不同功能和責(zé)任的處理代理人：控制者(controlador)和操作者(operador)。.br/en/web/dou//enunciadocd/anpd-n-1de-22-de-maio-de-202348530693412daANPD,.br/anpd/ptbr/documentospublicacoes/publicacoes13.br/anpd/ptbr/documentosepublicacoes/guia_agentes_de_tratamento_e_encarregado___defeso_eleitoral.pdf14.br/anpd/ptbr/documentosepublicacoes/guia_legitimo_interesse.pdf15.br/anpd/ptbr/documentospublicacoes/glossarioanpd-protecaodedadospessoaisprivacidade.pdf16.br/anpd/ptbr/documentose-publicacoes/versao_publica_sei_4161316_nota_tecnica_19.pdf17.br/anpd/ptbr/assuntos/noticias/Nota_Tecnica_16ANPDIA.pdf18.br/anpd/ptbr/documentosepublicacoes/tiktoknota_tecnica_6_versao_publica_ret.pdf控制者是負(fù)責(zé)就個(gè)人數(shù)據(jù)的處理做出主要決定20,并定義個(gè)人數(shù)據(jù)處理目的和基本要素的一種處理代理人?？刂普哓?fù)責(zé)遵守LGPD為數(shù)據(jù)所有者創(chuàng)建的權(quán)利如果控制者不遵守這些權(quán)利數(shù)據(jù)所有者可以向ANPD提出投訴21。操作者是代表控制者22并依據(jù)控制者的指示及法律規(guī)定處理數(shù)據(jù)的一種處理代理人23。實(shí)踐中,明確相關(guān)主體是否構(gòu)成處理代理人構(gòu)成何種處理代理人(控制者還是操作者)將是企業(yè)明確自身是否需要承擔(dān)個(gè)人數(shù)據(jù)保護(hù)責(zé)任以及承擔(dān)何種責(zé)任的前置性問題ANPD發(fā)布的《個(gè)人數(shù)據(jù)處理代理人和數(shù)據(jù)控制者定義指南》對企業(yè)如何解決前述問題提供了具有實(shí)操意義的指引,例如A公司決定向客戶發(fā)送廣告以促進(jìn)其相關(guān)產(chǎn)品的銷售。為此，A公司聘請了一家廣告公司(B公司)由其設(shè)計(jì)帶有人們使用產(chǎn)品照片的營銷活動。A公司提供廣告活動的所有標(biāo)準(zhǔn)如目標(biāo)受眾并確定攝影模特的外貌標(biāo)準(zhǔn)。B公司通過挑選攝影模特并存儲其照片來處理個(gè)人數(shù)據(jù)，為A公司提供服務(wù)。B公司完成服務(wù)后，B公司員工將廣告發(fā)送給A公司客戶發(fā)送電子郵件,是依B公司指令行事不屬于處理代理人的范疇24?！秱€(gè)人信息保護(hù)法》下均存在類似負(fù)責(zé)人的概念(例如,歐盟《通用數(shù)據(jù)保護(hù)條例》項(xiàng)下的Dataprotectionoffcer和中國《個(gè)人信息保護(hù)法》項(xiàng)下的個(gè)人信息保護(hù)負(fù)責(zé)人)。20LeiArt.5NPDA:HowtoprotecyourpersonalData22Lei23NPDA:HowtoprotecyourpersonalData24Guiaorientativo但與歐盟及中國數(shù)據(jù)保護(hù)法僅在特定情況下要求公司指定負(fù)責(zé)人的規(guī)定不同的是LGPD要求所有控制者均應(yīng)指定負(fù)責(zé)人(除非符合其他法定豁免情形)并公開披露負(fù)責(zé)人的身份和聯(lián)系信息負(fù)責(zé)人應(yīng)接收數(shù)據(jù)所有人的投訴接收ANPD的通知并指導(dǎo)控制者對個(gè)人數(shù)據(jù)的保護(hù)LGPD第七條及第十一條分別明確了處理個(gè)人數(shù)據(jù)及敏感個(gè)人數(shù)據(jù)的合法性基礎(chǔ),包括取得數(shù)據(jù)所有人同意(consentimento)等。與歐盟《通用數(shù)據(jù)保護(hù)條例》類似，LGPD同樣明確了可以基于為履行控制者法定利益(InteressesLegítimos)所必需作為處人數(shù)據(jù)(不包括敏感個(gè)人數(shù)據(jù))的合法性基礎(chǔ)前提是該等法定利益不會侵犯需保護(hù)的數(shù)據(jù)所有者的基本權(quán)利和自由27。ANPD曾發(fā)布《出于法定利益處理個(gè)人數(shù)據(jù)的法律假設(shè)指南》，該指南提供了關(guān)于法定利益的解釋和實(shí)際應(yīng)用的指導(dǎo),明確了相關(guān)定義及解釋參數(shù)并介紹了平衡測試模型包括三方面測試事項(xiàng):1)目的；2)必要性；以及3)平衡和保障措施28。與歐盟《通用數(shù)據(jù)保護(hù)條例》項(xiàng)下的DataprotectionImpactAssessment和中國《個(gè)人信息保護(hù)法》項(xiàng)下的個(gè)人信息保護(hù)影響評估類似ANPD可以要求控制者依據(jù)LGPD的規(guī)定在遵守商業(yè)和工業(yè)秘密的情況下,就其數(shù)據(jù)處理涉及的個(gè)人數(shù)據(jù)(包括敏感個(gè)人數(shù)數(shù)據(jù)保護(hù)影響評估報(bào)告必須至少說明所收集的數(shù)據(jù)類型、用于收集和確保信息安全的方法以及控制者對所采取的保障措施和風(fēng)險(xiǎn)緩解機(jī)制等的分析29。LGPD規(guī)定個(gè)人數(shù)據(jù)的跨境傳輸需符合如下標(biāo)準(zhǔn)之一:?傳輸?shù)綄€(gè)人數(shù)據(jù)有充分保護(hù)的國家或國際組織；?控制者對遵守LGPD規(guī)定的原則、數(shù)據(jù)主體權(quán)利和數(shù)據(jù)保護(hù)制度的充分保證包括跨境傳輸?shù)木唧w合同條款、標(biāo)準(zhǔn)合球性企業(yè)規(guī)范定期發(fā)布的資質(zhì)或行為準(zhǔn)則等；款范本》(pessoaisedomodelodecláusulascontratuais)草案31,征求公眾意見LGPD中關(guān)于個(gè)人數(shù)據(jù)跨境傳輸?shù)囊?guī)則將進(jìn)一步落地26LeiGeraldeprotep3odepadospesoaisArt.4127Lei28HipótesesLegaisdeTratamentodeDadospessoaisLegítimolnteresse29Lei3830Lei33.br/participamaisbrasil/regulamentode-transferenciasinternacionaisdedados-pessoaise-modelo-de-clausulaspadraocontratuais個(gè)人數(shù)據(jù)安全事件的通知根據(jù)LGPD的規(guī)定,控制者必須向ANPD和數(shù)據(jù)所有人報(bào)告可能對所有人造成相關(guān)風(fēng)險(xiǎn)或損害的安全事件。報(bào)告的內(nèi)容至少包括:1)受影響的個(gè)人數(shù)據(jù)的性質(zhì)；2)有關(guān)數(shù)據(jù)主體的信息；3)用于保護(hù)數(shù)據(jù)的技術(shù)和安全措施；以及4)與事件有關(guān)的風(fēng)險(xiǎn)等內(nèi)容32。ANPD于2024年發(fā)布了《安全事件報(bào)告條例》,該條例進(jìn)一步明確,如果安全事件嚴(yán)重影響數(shù)據(jù)主體的利益和基本權(quán)利,并至少涉及以下標(biāo)準(zhǔn)之一則可能對數(shù)據(jù)主體造成相關(guān)風(fēng)險(xiǎn)或損害:1)敏感個(gè)人數(shù)據(jù)；2)兒童、青少年或老年人的數(shù)據(jù)；3)財(cái)務(wù)數(shù)據(jù)；4)系統(tǒng)中的認(rèn)證數(shù)據(jù)；5)受法律、司法或?qū)I(yè)秘密保護(hù)的數(shù)據(jù)；6)大規(guī)模數(shù)據(jù)?！栋踩录?bào)告條例》要求控制者必須在知悉安全事件的3個(gè)工作日內(nèi)向ANPD報(bào)告安全事件33。根據(jù)LGPD數(shù)據(jù)處理代理人(即控制者或操作者)如果違反法律規(guī)定可能面臨如下行政處罰34:?刪除或封存與違法行為相關(guān)的個(gè)人數(shù)據(jù)；?暫停運(yùn)行違法行為所涉數(shù)據(jù)庫；?暫停違法行為所涉?zhèn)€人數(shù)據(jù)處理活動；?部分或全部禁止開展與數(shù)據(jù)處理相關(guān)的活動其中罰款的最高額為該私法人實(shí)體、集團(tuán)或聯(lián)合企業(yè)在巴西上一財(cái)政年度營業(yè)額的2%(不含稅)，每次違規(guī)罰款總額不超過5000萬雷亞爾35(約合人民幣7000萬元)。此外，巴西《刑法典》(códigopenal)規(guī)定:侵入他人計(jì)算機(jī)設(shè)備,在未經(jīng)設(shè)備使用者明示或默示授權(quán)的情況下獲取、篡改或破壞數(shù)據(jù)的可能面臨一至四年監(jiān)禁并處罰金值得注意的是,2023年7月，ANPD首次對違反LGPD的行為做出行政處罰案涉公司被認(rèn)定實(shí)施了包括處理個(gè)人數(shù)據(jù)缺乏有效的法律基礎(chǔ)、未任命負(fù)責(zé)人等違法行為構(gòu)成對LGPD第7條及第41條的違反被處以總額為14,400雷亞爾(約合人民幣198,94元)的罰款37。32Lei4833CD/ANPDN°15D,E24DEABRILDE202434Lei5235Lei5236códigopenaArt.154-A37.br/anpd/ptbr/assuntos/noticias/anpdaplicaaprimeira-multa-pordescumprimentoalgpd總體觀察近些年以來巴西已經(jīng)成為中國企業(yè)出海擴(kuò)張的重要戰(zhàn)略區(qū)。巴西高度重視個(gè)人數(shù)據(jù)保護(hù)并將個(gè)人數(shù)據(jù)保護(hù)權(quán)利寫入憲法同時(shí)ANPD在其官網(wǎng)中發(fā)布的各項(xiàng)指引及技術(shù)標(biāo)準(zhǔn)也有力的推動了LGPD的落地和實(shí)施LGPD對違反行為也有著較嚴(yán)厲的處罰我們建議出海巴西的中國企業(yè)應(yīng)高度重視遵守LGPD相關(guān)規(guī)定及時(shí)建立適用于巴西當(dāng)?shù)氐膫€(gè)人數(shù)據(jù)的合規(guī)體系以避免相關(guān)合規(guī)風(fēng)險(xiǎn)wwwkwmcomwwwkwmcom阿拉伯聯(lián)合酋長國("阿聯(lián)酋")位于阿拉伯半島東南端地處海灣進(jìn)入印阿拉伯聯(lián)合酋長國("阿聯(lián)酋")位于阿拉伯半島東南端地處海灣進(jìn)入印度洋的海上交通要沖是中東重要的貿(mào)易樞紐也是中國共建"—帶—路的重要合作伙伴之一。目前超過6000家中國企業(yè)在阿聯(lián)酋開拓當(dāng)?shù)睾偷貐^(qū)業(yè)務(wù),阿聯(lián)酋已連續(xù)多年成為中國在阿拉伯地區(qū)第一大出口目的國和第二大貿(mào)易伙伴1。2023年中國對阿聯(lián)酋投資流量逾17億美元同比增長16.48%，占中國對阿拉伯國家投資總額的60%阿聯(lián)酋屬于聯(lián)邦制國家由阿布扎比、迪拜沙迦阿治曼烏姆蓋萬、哈伊馬角和富查伊拉7個(gè)酋長國組成首都為阿布扎比聯(lián)邦內(nèi)各酋長國既施行聯(lián)邦政府制定的法律又施行根據(jù)《阿聯(lián)酋聯(lián)邦憲法》授權(quán)所制定的當(dāng)?shù)胤煞ㄒ?guī)聯(lián)邦法律的效力高于各酋長國的法律因此各酋長國的部分民商事領(lǐng)域活動受到聯(lián)邦法律和當(dāng)?shù)胤傻碾p重約束。區(qū)法律中的個(gè)人信息保護(hù)立法概況以期為中國企業(yè)出海阿聯(lián)酋提供數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)防范思路1/dl/gbdqzn/upload/alianqiu.pdf.2人民網(wǎng):/n/2024/0516/c100240237226.html.企業(yè)出海——海外數(shù)據(jù)合規(guī)概覽（阿聯(lián)酋篇）趙新華趙新華合伙人公司業(yè)務(wù)部王哲峰顧問公司業(yè)務(wù)部米華林律師助理公司業(yè)務(wù)部、阿聯(lián)酋數(shù)據(jù)保護(hù)立法概況2021年9月20日阿聯(lián)酋公布其首部聯(lián)邦層面的個(gè)人信息保護(hù)統(tǒng)一立法，即《個(gè)人數(shù)據(jù)保護(hù)法》(FederalDecreeLawNO.45of2021ontheprotectionofpersonalDataprotection"《個(gè)人數(shù)據(jù)保護(hù)法》")。該法于2022年1月2日生效?！秱€(gè)人數(shù)據(jù)保護(hù)法》適用于位于阿聯(lián)酋的任何數(shù)據(jù)控制者(datacontroller)或處理者(dataprocessor即受托處理者)所進(jìn)行的所有個(gè)人數(shù)據(jù)處理活動(無論其處理的個(gè)人數(shù)據(jù)的數(shù)據(jù)主體位于何處)以及位于阿聯(lián)酋境外處理阿聯(lián)酋境內(nèi)數(shù)據(jù)主體個(gè)人數(shù)據(jù)的任何數(shù)據(jù)控制者或數(shù)據(jù)處理者的個(gè)人數(shù)據(jù)處理活動4值得注意的是,《個(gè)人數(shù)據(jù)保護(hù)法》不適用于位于有數(shù)據(jù)保護(hù)相關(guān)立法的阿聯(lián)酋自由區(qū)(freezones)的組織,也不適用于受與健康數(shù)據(jù)、銀行和信貸數(shù)據(jù)有關(guān)的具體數(shù)據(jù)保護(hù)法約束的組織5阿聯(lián)酋自由區(qū)是阿聯(lián)酋境內(nèi)的若干特殊經(jīng)濟(jì)貿(mào)易區(qū),享有更優(yōu)惠的海關(guān)、稅務(wù)、保護(hù)法律分別為迪拜國際金融中心(DubaiInternationalFinancialcenter"DHCC")。商業(yè)政策在迪拜有兩大自由區(qū)擁有自己的數(shù)據(jù)"DIFC")和迪拜健康城(DubaiHealthcarecity，《個(gè)人數(shù)據(jù)保護(hù)法》的體例與歐盟《通用數(shù)據(jù)保護(hù)條例》("GDPR")相似囊括了合法性基礎(chǔ)、數(shù)據(jù)主體的權(quán)利、數(shù)據(jù)控制者和數(shù)據(jù)處理者的義務(wù)、數(shù)據(jù)保護(hù)執(zhí)法機(jī)構(gòu)職權(quán)等主要內(nèi)容包括:?合法性基礎(chǔ)處理個(gè)人數(shù)據(jù)原則上需獲取個(gè)人明示同意,除非具備《個(gè)人數(shù)據(jù)保護(hù)法》?數(shù)據(jù)跨境傳輸允許個(gè)人數(shù)據(jù)跨境流動前提是(1)目的地國家或地區(qū)具備不低于阿聯(lián)酋個(gè)人信息保護(hù)水平的立法與政策，或與阿聯(lián)酋之間存在數(shù)據(jù)傳輸協(xié)定；(2)若不具備適當(dāng)?shù)膫€(gè)人信息保護(hù)水平需滿足若干豁免條件之一包括個(gè)人數(shù)據(jù)跨境傳輸雙方之間簽署數(shù)據(jù)跨境傳輸協(xié)議獲得數(shù)據(jù)主體的明確同意為向司法機(jī)關(guān)履行義務(wù)或確定權(quán)利所必須為達(dá)成或履行合同所必須、為國際司法合作所必須、保護(hù)公共利益所必須8?個(gè)人數(shù)據(jù)保護(hù)影響評估使用新技術(shù)處理個(gè)人數(shù)據(jù)可能對數(shù)據(jù)主體的隱私和保密性造成較高風(fēng)險(xiǎn)時(shí),必須開展個(gè)人數(shù)據(jù)保護(hù)影響評估適用情形包括(1)對個(gè)人數(shù)據(jù)進(jìn)行自動化處理產(chǎn)生法律后果或?qū)?shù)據(jù)主體產(chǎn)生嚴(yán)重影響；(2)處理大規(guī)模的敏感個(gè)人數(shù)據(jù)?任命數(shù)據(jù)保護(hù)官開展高風(fēng)險(xiǎn)數(shù)據(jù)處理活動的數(shù)據(jù)控制者或數(shù)據(jù)處理者應(yīng)任命數(shù)據(jù)保護(hù)官(dataprotectionoffcer),其中高風(fēng)險(xiǎn)數(shù)據(jù)處理活動包括(1)使用新技術(shù)或處理大量個(gè)人數(shù)據(jù),可能對數(shù)據(jù)主體的隱私和保密性帶來高風(fēng)險(xiǎn)；(2)涉及系統(tǒng)性和廣泛地處理敏感個(gè)人數(shù)據(jù)；(3)處理大量敏感個(gè)人數(shù)據(jù)10。3FederalDecreeLawNO.45of2021ontheprotectionofpersonalDataprotection,.ae/en/legislations/1972.4FederalDecreeLawNO.45of2021ontheprotectionofpersonalDataprotection,Article()1.5FederalDecreeLawNO.45of2021ontheprotectionofpersonalDataprotection,Article()2.6FederalDecreeLawNO.45of2021ontheprotectionofpersonalDataprotection,Article(4.7FederalDecreeLawNO.45of2021ontheprotectionofpersonalDataprotection,Article(13)toArticle(18).9Decree-LawNO.45of2021ontheprotectionofpersonalDataprotection,Article(21).10Decree-LawNO.45of2021ontheprotectionofpersonalDataprotection,Article(10)andArticle(11).20?數(shù)據(jù)保護(hù)機(jī)構(gòu):阿聯(lián)酋設(shè)立數(shù)據(jù)保護(hù)辦公室(Dataoffice)作為政府層面的個(gè)人數(shù)據(jù)保護(hù)機(jī)構(gòu),主要負(fù)責(zé)起草和監(jiān)督實(shí)施個(gè)人數(shù)據(jù)保護(hù)相關(guān)政策法規(guī)、接收數(shù)據(jù)主體的投訴、對涉嫌違反《個(gè)人數(shù)據(jù)保護(hù)法》的行為開展調(diào)查11?！秱€(gè)人數(shù)據(jù)保護(hù)法》并未規(guī)定違反該法的法律責(zé)任而是說明將由《個(gè)人數(shù)據(jù)保護(hù)法》的實(shí)施細(xì)則具體規(guī)定12。根據(jù)阿聯(lián)酋的立法計(jì)劃，《個(gè)人數(shù)據(jù)保護(hù)法》的實(shí)施細(xì)則應(yīng)于《個(gè)人數(shù)據(jù)保護(hù)法》發(fā)布后6個(gè)月內(nèi)公布(即不晚于2022年3月19日)但目前阿聯(lián)酋尚未發(fā)布該等實(shí)施細(xì)則整體而言，《個(gè)人數(shù)據(jù)保護(hù)法》與歐盟GDPR、中國《個(gè)人信息保護(hù)法》有著相似的原則與要求阿聯(lián)酋《個(gè)人數(shù)據(jù)保護(hù)法》其中一個(gè)特別之處在于對于個(gè)人數(shù)據(jù)跨境傳輸若以數(shù)據(jù)主體的明確同意作為合法性基礎(chǔ)向缺乏足夠保護(hù)水平的國家跨境傳輸個(gè)人數(shù)據(jù)則要求數(shù)據(jù)跨境傳輸應(yīng)當(dāng)不與阿聯(lián)酋的公共和安全利益相沖突14除了阿聯(lián)酋《個(gè)人數(shù)據(jù)保護(hù)法》提供了統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)規(guī)范阿聯(lián)酋的其他法律與法令中也散見一些個(gè)人數(shù)據(jù)保護(hù)的相關(guān)要求主要分為三類(1)消費(fèi)者保護(hù)《消費(fèi)者保護(hù)法》(TheFederalLawNO.15of2020onconsumerprotection)：其中提到消費(fèi)者權(quán)益包括消費(fèi)者隱私與消費(fèi)者數(shù)據(jù)安全,消費(fèi)者數(shù)據(jù)原則上不得被用于營銷結(jié)合《個(gè)人數(shù)據(jù)保護(hù)法》阿聯(lián)酋消費(fèi)者的個(gè)人數(shù)據(jù)只有經(jīng)數(shù)據(jù)主體明確同意下才可被用于營銷17。(2)醫(yī)療與健康數(shù)據(jù)保護(hù)《關(guān)于在衛(wèi)生領(lǐng)域使用信息和通信技術(shù)(ICT)的法律》(FederalLawNO2.of2019concerningtheuseofInformationandcommunicationTechnology(ICT)inHealthFields18)：該法規(guī)定了醫(yī)療保健服務(wù)提供商醫(yī)療保險(xiǎn)提供商、醫(yī)療保健信息技術(shù)提供商以及阿聯(lián)酋境內(nèi)(包括自由區(qū))的醫(yī)療保健部門直接和/或間接服務(wù)提供商(例如外包云服務(wù))等各類實(shí)體在醫(yī)療健康數(shù)據(jù)方面的數(shù)據(jù)合規(guī)義務(wù),涵蓋收集、處理、跨境傳輸、存儲等數(shù)據(jù)處理全流程(3)在線隱私保護(hù)阿聯(lián)酋電信和數(shù)字政府監(jiān)管局公布的《網(wǎng)絡(luò)訪問管理政策》(InternetAccessManagement(IAM)policy)：根據(jù)此政策對于冒充、欺詐和網(wǎng)絡(luò)釣魚和/或侵犯隱私的在線內(nèi)容可以向阿聯(lián)酋的電信服務(wù)商(Etisalat、DU)報(bào)告并予以刪除。。DecreebyLawNO.(44)of2021ontheEstablishmentoftheuAEDataoffce.15TheFederalLawNO.15of2020onconsumerprotection,.ae/en/legislations/1455.17FederalDecreeLawNO.45of2021ontheprotectionofpersonalDataprotection,Article(18FederalLawNO.2of2019concerningtheuseofInformationandcommunicationTechnology(ICT)inHealthFiel.ae/en/legislations/1209.19InternetAccessManagement(IAM)policy,https://u.ae//media/Documents2022/IAMengupdated.pdf.20InternetAccessManagement(IAM)policy,Article21《打擊謠言和網(wǎng)絡(luò)犯罪法》(FederalDecreeLawNO.34of2021oncombattingRumoursandcybercrimes21)：提供全面的法律框架,旨在通過使用信息技術(shù)、網(wǎng)絡(luò)和社交平臺提高防范網(wǎng)上犯罪的水平。其中專門規(guī)定了侵犯隱私構(gòu)成犯罪的刑事責(zé)任,根據(jù)情節(jié)處以最低6個(gè)月監(jiān)禁和/或最低15萬迪拉姆(約合4.1萬美元)、最高50萬迪拉姆(約合13.6萬美元)的處罰22。、迪拜特殊經(jīng)濟(jì)區(qū)的數(shù)據(jù)保護(hù)立法概況迪拜酋長國("迪拜")是世界矚目的快速發(fā)展經(jīng)濟(jì)體也是阿聯(lián)酋第二大酋長國擁有多元的經(jīng)濟(jì)體制、豐富的跨行業(yè)投資機(jī)會、積極的政府政策和蓬勃的基礎(chǔ)設(shè)施建設(shè)已成為各類投資者的理想投資目的地之一23。阿聯(lián)酋的《個(gè)人數(shù)據(jù)保護(hù)法》等聯(lián)邦法律和法令并不適用于制定了數(shù)據(jù)保護(hù)法律的自由區(qū)。在迪拜,迪拜國際金融中心(DIFC)和迪拜健康城(DHCC)兩大自由區(qū)分別有各自的數(shù)據(jù)保護(hù)法規(guī)因此,迪拜境內(nèi)除了DIFC與DHCC以外均應(yīng)遵守阿聯(lián)酋統(tǒng)一的數(shù)據(jù)保護(hù)法律制度(1)《迪拜國際金融中心數(shù)據(jù)保護(hù)法》DIFC是位于迪拜首府的迪拜市的一片金融中心也是阿聯(lián)酋乃至中東地區(qū)金融、經(jīng)濟(jì)、貿(mào)易等商業(yè)活動最為活躍的區(qū)域之一。2020年7月1日起，《迪拜國際金融中心數(shù)據(jù)保護(hù)法》(TheDIFCDataprotectionLaw(DIFCLawNO.5of2020)，"《DIFC數(shù)據(jù)保護(hù)法》")生效?！禗IFC數(shù)據(jù)保護(hù)法》具有廣泛的適用范圍,一方面適用于在DIFC區(qū)域內(nèi)設(shè)立的數(shù)據(jù)控制者或數(shù)據(jù)處理者的個(gè)人數(shù)據(jù)處理活動(無論處理行為是否發(fā)生于DIFC區(qū)域內(nèi)24)；另一方面適用于在DIFC內(nèi)將個(gè)人數(shù)據(jù)處理活動作為其穩(wěn)定經(jīng)營的一部分的數(shù)據(jù)控制者或數(shù)據(jù)處理者而無論其設(shè)立地點(diǎn)25。?合法性基礎(chǔ)：數(shù)據(jù)控制者與數(shù)據(jù)處理者處理個(gè)人數(shù)據(jù)的合法性基礎(chǔ)原則上是取得個(gè)人同意除非具備其他合法性基礎(chǔ)等權(quán)利27。?數(shù)據(jù)控制者/處理者的義務(wù)數(shù)據(jù)控制者和數(shù)據(jù)處理者對數(shù)據(jù)主體負(fù)有一系列義務(wù)包括保障個(gè)人數(shù)據(jù)安全28、公開透明地處理個(gè)人數(shù)據(jù)29、保留個(gè)人數(shù)據(jù)處理活動的書面記錄30、發(fā)生數(shù)據(jù)泄露時(shí)通知數(shù)據(jù)主體等31。FederalDecreeLawNO.34of202loncombattingRumoursandcybercrimes,.ae/en/legislations/1526.24TheDIFCDataprotectionLaw(DIFCLawNO.5of2020),Article6.(3)(a).25TheDIFCDataprotectionLaw(DIFCLawNO.5of2020),Article6.(3)(b).26TheDIFCDataprotectionLaw(DIFCLawNO.5of2020),Article10.27TheDIFCDataprotectionLaw(DIFCLawNO.5of2020),Article32toArticle38.28TheDIFCDataprotectionLaw(DIFCLawNO.5of2020),Article14.29TheDIFCDataprotectionLaw(DIFCLawNO.5of2020),Article39.30TheDIFCDataprotectionLaw(DIFCLawNO.5of2020),Article15.31TheDIFCDataprotectionLaw(DIFCLawNO.5of2020),Article4122?透明度要求:通過電子方式發(fā)送營銷、通知等數(shù)據(jù)控制者和數(shù)據(jù)處理者應(yīng)當(dāng)避免引起數(shù)據(jù)主體誤解并不得以暗示數(shù)據(jù)主體將受到歧視的方式誘使數(shù)據(jù)主體同意32。?數(shù)據(jù)保護(hù)機(jī)構(gòu)：DIFC內(nèi)設(shè)立數(shù)據(jù)保護(hù)專員(dataprotectioncommissioner)負(fù)責(zé)監(jiān)督和實(shí)施《DIFC數(shù)據(jù)保護(hù)法》糾察數(shù)據(jù)控制者和數(shù)據(jù)處理者的違法行為并課以處罰33。?違法后果:針對違反不同條款的違法行為均有一固定且明確的行政罰款金額單項(xiàng)違法行為最高可罰款1000,00美元34。?行政處罰與民事賠償雙軌制:數(shù)據(jù)主體因違法行為遭受損害的除了要求數(shù)據(jù)保護(hù)專員施以行政處罰數(shù)據(jù)主體還可以向法院不同于GDPR或中國的《個(gè)人信息保護(hù)法》，《DIFC數(shù)據(jù)保護(hù)法》對每一具體條款的違反后果均具體化了處罰金額違反每一條款的罰款從25000美元至100,000美元不等。由于同一違法行為可本相對較高這意味著DIFC內(nèi)的企業(yè)更應(yīng)審慎地開展經(jīng)營活動自2020年《DIFC數(shù)據(jù)保護(hù)法》生效至今DIFC數(shù)據(jù)保護(hù)專員陸續(xù)發(fā)布了若干指南幫助數(shù)據(jù)控制者和數(shù)據(jù)處理者更好地理解自身的義務(wù)例如《數(shù)據(jù)保護(hù)法綜合指南》(comprehensiveGuidetoDataprotectionLaw,DIFCLawNO.5of2020andDP則綜合指南》(comprehensiveGuidetoNotificationofprocessingoperations)等。DIFC數(shù)據(jù)保護(hù)專員還提供了若干"合規(guī)自評估工具"，以在線問卷的方式幫助企業(yè)判斷自身是否合規(guī)、還需要履行哪些義務(wù)等。DIFC數(shù)據(jù)保護(hù)專員明確這些指南和評估工具僅供企業(yè)和個(gè)人參考不構(gòu)成對法律的解釋或法律意見書也不具備法律效力(2)《迪拜國際金融中心數(shù)據(jù)保護(hù)條例》7月1日起和《DIFC數(shù)據(jù)保護(hù)法》一并生效并于2023年9月1日進(jìn)行了修訂該條例細(xì)化了《DIFC數(shù)據(jù)保護(hù)法》中的若干條款的實(shí)施規(guī)則主要包括?雇員50人以下的企業(yè)無需遵守關(guān)于數(shù)據(jù)處理活動記錄的義務(wù)除非其開展了高風(fēng)險(xiǎn)數(shù)據(jù)處理活動37；?細(xì)化了數(shù)據(jù)控制者和數(shù)據(jù)處理者將自身的個(gè)人數(shù)據(jù)處理活動告知數(shù)據(jù)保護(hù)專員的規(guī)則38；32TheDIFCDataprotectionLaw(DIFCLawNO.5of2020),Article3933TheDIFCDataprotectionLaw(DIFCLawNO.5of2020),Article4334TheDIFCDataprotectionLaw(DIFCLawNO.5of2020),schedule2.35TheDIFCDataprotectionLaw(DIFCLawNO.5of2020),Article36DIFCDataprotectionRegulations，https://www.difc.ae/application/fles/6416/9354/3458/Data_protection_Regualtions_fnal.pdf.37DIFCDataprotectionRegulationsArticle2.2.38DIFCDataprotectionRegulationsArticle39DIFCDataprotectionRegulationsArticle840DIFCDataprotectionRegulationsArticle7.17.2,and8.123?細(xì)化了數(shù)據(jù)控制者和數(shù)據(jù)處理者通過電子方式發(fā)送通知和營銷時(shí)交互界面等通知與營銷活動的具體設(shè)計(jì)規(guī)則,目的是保護(hù)數(shù)據(jù)主體不至于產(chǎn)生誤解或被歧視41；?提出了自動化決策中自動化決策命令發(fā)送者、系統(tǒng)運(yùn)營者、技術(shù)提DHCC是位于迪拜市的綜合性醫(yī)療保健自由區(qū)由兩家大型醫(yī)院超過90家門診和診斷實(shí)驗(yàn)室超過1700名醫(yī)療資格的專業(yè)人才以及眾多的特色醫(yī)療保健和商業(yè)零售服務(wù)商構(gòu)成43。早在2008年迪拜就在DHCC開始實(shí)施《DHCC數(shù)據(jù)保護(hù)條例》。該條例后于2013年修訂新條例命名為《迪拜健康城健康數(shù)據(jù)保護(hù)條例》(DubaiHealthcarecityHealthDataprotectionRegulation,RegulationNumber7)of201344，"