巴西《通用數(shù)據(jù)保護法》（Lei Geral de Prote??o de Dados，簡稱LGPD）于2018年8月14日正式通過，并將于2020年2月15日正式生效。LGPD為巴西的法律框架帶來了迫需闡述的說明，被稱為巴西版的“歐盟《通用數(shù)據(jù)保護條例》（GDPR）”。LGPD試圖通過替換某些法規(guī)和補充其他法規(guī)，整合目前管理線上和線下個人數(shù)據(jù)的40多個不同的法令和法規(guī)。這種對以前互不相同、時?；ハ嗝艿姆ㄒ?guī)的整合，為LGPD與巴西獲得啟發(fā)的GDPR之間的相同點之一。

另一個相同點則是LGPD適用于處理巴西境內(nèi)自然人的個人數(shù)據(jù)的任何企業(yè)或組織，不管該企業(yè)或組織本身可能位于何處。因此，在巴西有任何顧客或客戶的公司應該開始著手LGPD合規(guī)，如果已經(jīng)完成GDPR合規(guī)，則代表完成了LGPD合規(guī)所需的大部分工作。

GDPR與LGPD之間的相同點：

除了其域外管轄效力以外，LGPD和GDPR在數(shù)據(jù)保護方面，就以下若干基本問題達成一致。

1.個人數(shù)據(jù)

盡管LGPD對“個人數(shù)據(jù)”沒有唯一定義，但LGPD原文中能看到GDPR對“個人數(shù)據(jù)”定義的影子。LGPD在不同地方表明，個人數(shù)據(jù)可以指任何單獨或與其他數(shù)據(jù)相結合的數(shù)據(jù)，能識別一個自然人或對其進行特定處理。雖然該定義可能會隨著巴西即將實施LDPG而得以闡明，但LGPD對哪些數(shù)據(jù)屬于個人數(shù)據(jù)的理解更為廣泛，甚至比GDPR還要廣泛。

2.數(shù)據(jù)主體權利

LGPD第18條是LGPD中對于已做好GDPR合規(guī)的企業(yè)來說看似熟悉的另一部分，闡明了數(shù)據(jù)主體所擁有的的九項基本權利，包括：

（1）有權確認存在數(shù)據(jù)處理；

（2）有權訪問數(shù)據(jù)；

（3）有權糾正不完整、不準確或過時的數(shù)據(jù)；

（4）有權匿名、攔截或刪除不必要或過多的數(shù)據(jù)或未按照LGPD處理的數(shù)據(jù)；

（5）有權通過明示請求將數(shù)據(jù)轉移至另一個服務或產(chǎn)品的提供者；

（6）有權刪除經(jīng)數(shù)據(jù)主體準許處理后的個人數(shù)據(jù)；

（7）有權知曉數(shù)據(jù)控制者與之共享數(shù)據(jù)的公共或私人實體；

（8）有權知曉拒絕準許的可能性及拒絕后果；

（9）有權撤回準許。

雖然GDPR以賦予數(shù)據(jù)主體八項基本權利而眾所周知，但它們本質上與LGPD提到的權利相同。LGPD似乎將“有權知曉數(shù)據(jù)控制者與之共享數(shù)據(jù)的公共或私人實體”從GDPR更通用的“知情權”中分離出來，使之更清晰明了。

LGPD與GDPR之間的區(qū)別

盡管LGPD和GDPR的目標相似，而且GDPR對巴西立法者有著明顯影響，但這兩者之間仍有值得注意的關鍵區(qū)別。

1.數(shù)據(jù)保護官

兩項立法都要求企業(yè)或組織設立一名數(shù)據(jù)保護官（DPO）。然而，盡管GDPR概述了何時需要數(shù)據(jù)保護人員（DPO），而LGPD第41條僅作簡要表述：“數(shù)據(jù)控制者需任命一名人員負責數(shù)據(jù)處理”，這意味著處理巴西人民數(shù)據(jù)的任何組織都需要聘用一名數(shù)據(jù)保護官（DPO）。這是另一個可能會得到進一步闡明的領域，但這是LGPD比GDPR少數(shù)更嚴格的領域之一。

2.數(shù)據(jù)處理的合法性依據(jù)

LGPD和GDPR之間最顯著的區(qū)別，可能為對滿足數(shù)據(jù)處理的法律依據(jù)資格的規(guī)定。GDPR規(guī)定了六項數(shù)據(jù)處理的合法性依據(jù)，數(shù)據(jù)控制者必須選擇其一作為使用數(shù)據(jù)主體信息的理由。但是，LGPD在其第7條中列出了十項，分別是：

（1）獲得數(shù)據(jù)主體的同意；

（2）為遵守數(shù)據(jù)控制者的法律或監(jiān)管義務；

（3）為執(zhí)行法律或法規(guī)規(guī)定的，或以合同、協(xié)議或類似法律文件為依據(jù)的公開政策；

（4）為在由研究實體開展的研究中，其研究將盡可能確保個人數(shù)據(jù)的匿名化；

（5）為應數(shù)據(jù)主體要求，執(zhí)行與數(shù)據(jù)主體為其中一方的合同有關的合同或預備程序；

（6）為行使司法、行政或仲裁程序中的權利；

（7）為保護數(shù)據(jù)主體或第三方的生命或人身安全；

（8）為在由衛(wèi)生專業(yè)人員和衛(wèi)生實體開展的過程中保護健康；

（9）為實現(xiàn)數(shù)據(jù)控制者或第三方的合法權益，除了在數(shù)據(jù)主體的基本權利和自由（需要個人數(shù)據(jù)保護的）更為重要情況下；

（10）為保護信用（指信用評分）。

3.通報數(shù)據(jù)泄露

盡管GDPR和LGPD都要求組織（數(shù)據(jù)控制者）向當?shù)財?shù)據(jù)保護當局通報數(shù)據(jù)泄露情況，但兩者對具體程度的要求差別很大。GDPR要求更為明確：“組織必須在發(fā)現(xiàn)個人數(shù)據(jù)泄漏后72小時內(nèi)通報該數(shù)據(jù)泄露情況（盡管不同組織已經(jīng)在測試這個截止時間）”。

LGPD并沒有規(guī)定任何確定的截止時間，其中第48條僅規(guī)定“數(shù)據(jù)控制者必須在國家當局規(guī)定的合理時間期限內(nèi)，向國家當局和數(shù)據(jù)主體通報可能對數(shù)據(jù)主體帶來風險或相關損害的安全事件的發(fā)生?！庇捎诎臀鲊覕?shù)據(jù)管理局目前尚未成立，因此對于什么是“合理時間期限”暫無指導。

罰款

與GDPR相比，LGPD規(guī)定的罰款則要輕得多。LGPD第52條規(guī)定違規(guī)的最高罰款是“巴西私有法律實體、團體或企業(yè)集團上一財年的稅收收入（不含稅）的2%，最高不超過5000萬雷亞爾”（合算約1100萬歐元）。對于不那么嚴重的違規(guī)行為，LGPD的罰款與GDPR相一致，但1100萬歐元將不會影響到世界上最大的數(shù)據(jù)處理方。

本新聞由廣東省WTO/TBT通報咨詢研究中心摘錄/編輯/整理并翻譯，轉載請注明來源。

更多詳情請見：https://gdpr.eu/gdpr-vs-lgpd/

關注“廣東技術性貿(mào)易措施”，獲取更多服務。