企業出海——海外數據合規概覽(墨西哥篇)
如您希望下載PDF版本,請點擊文末“閱讀原文”獲取。
前言
墨西哥是拉丁美洲第三大國,曾蘊育了瑪雅文明等古印第安文明[1]。近幾年,墨西哥正成為中國企業新的出海熱土之壹。根據中國海關總署公布的數據,2024年第壹季度中國對墨西哥的出口額為203億美元,累計比去年同期增長11.9%[2]。主要出口商品包括電子產品、機械設備和汽車零部件等[3]。
本文擬梳理墨西哥個人數據保護相關的法律法規,為中國企業出海墨西哥提供介紹和指引。
01
墨西哥個人數據保護的立法框架
《墨西哥憲法》第6條建立了個人數據保護方面的基本權利,規定政府機關獲取個人數據需滿足的原則和程序,包括建立相關審查機制、履行信息披露義務等[4]。
墨西哥聯邦立法機關於2010年7月頒布了《保護私有主體持有的個人數據聯邦法》(The Federal Law on the Protection of Personal Data Held by Private Parties,下稱“《私有主體數據保護法》”)。作為壹部聯邦法律,《私有主體數據保護法》在墨西哥全國範圍內適用與執行。該法共11章,包含了通用規定、個人數據保護原則、數據主體權利、對訪問權、更正權、刪除權以及反對權的行使、數據傳輸、主管部門、權利保護程序、合規核查程序、處罰程序、違反與處罰、非法處理個人數據的刑罰等。
2011年12月頒布的《保護私有主體持有的個人數據聯邦法的條例》(Regulations to the Federal Law on the Protection of Personal Data Held by Private Parties,下稱“《私有主體數據保護條例》”)進壹步明確了《私有主體數據保護法》中規定的原則、權利和義務的範圍,該條例共10章,包含通用規定、個人數據保護原則、處理個人數據的安全措施、個人數據傳輸、主管部門協同、約束性自我規範、個人數據主體的權利及行使、權利保護程序、檢查、實施制裁的程序等。
2017年1月頒布的《保護義務主體持有的個人數據聯邦法》(The General Law of Protection of Personal Data in the Possession of Obliged Subjects)為在聯邦、州和市壹級行政、立法和司法部門、自治機構、政黨、信托機構和公共基金的任何政府部門、實體、機關和機構保護個人數據制定了法律框架[5]。
02
墨西哥個人數據保護監管機構
1. 聯邦信息獲取和數據保護協會(The Federal Institute for Access to Information and Data Protection,下稱“INAI”)
INAI是墨西哥個人數據保護最主要的監管部門,其負責監督和核查《私有主體數據保護法》的遵守情況。INAI有權開展調查、審查和處罰數據控制者和數據處理者,對個人數據和個人隱私權進行保護,其主要職責包括但不限於[6]:
(a)
在行政系統範圍內解釋本法;
(b)
為履行本法規定義務的數據控制者提供技術支持;
(c)
根據本法的相關規定提出意見和建議;
(d)
根據數據的性質、處理目的以及數據控制者的技術和財政能力,傳播信息安全方面的國際最佳做法和標準;
(e)
根據本法規定的權利保護和核查程序進行聽證並做出裁決,並實施相應的處罰;
(f)
與其他國內和國際機構及監督部門合作,在數據保護領域提供協助;
(g)
向墨西哥國會提交年度活動報告;
(h)
參加本法領域的國際論壇;
(i)
在實行新的個人數據處理方式或對現有處理方式進行重大修改之前,開展對隱私影響的研究;
(j)
制定、促進和傳播保護第三方持有的個人數據領域的分析、研究和調研,並向負有義務的各方提供培訓。
此外,《私有主體數據保護法》構成任何其他部門在制定涉及個人數據處理的規定時所必須遵守的法律框架,並且需在INAI的合作下制定[7]。INAI如知悉有必要就某壹領域或活動中的個人數據處理發布或修改具體規定時,也可向其他部門提供草案[8]。
2. 經濟部(the Ministry of Economy)
經濟部負責就在墨西哥領土上從事商業活動的國內和國際公司之間的個人數據保護義務進行告知和教育,經濟部負責促進圍繞個人數據保護的最佳商業實踐,與INAI合作發布關於隱私聲明的指南[9],但是經濟部對個人數據保護無監管義務和處罰權力。
03
墨西哥個人數據保護法下的主要概念
1. 基本概念[10]
(a)
個人數據:有關已識別或可識別的自然人的任何信息。
(b)
敏感個人數據:涉及其數據所有者最私密領域的數據,或其不當使用可能引起歧視或給數據所有者帶來嚴重風險,包括但不限於可能揭示種族或民族血統、目前或未來的健康狀況、遺傳信息、宗教、哲學和道德信仰、政治觀點和性取向等方面的個人數據。
(c)
數據控制者(data controller):決定處理個人數據的個人或私有法人實體。
(d)
數據處理者(data processor):代表數據控制者單獨或與他人共同處理個人數據的個人或法人實體。
(e)
數據所有者(data owner):個人數據所對應的自然人。
(f)
ARCO權利(the rights of access, rectification, cancellation and objection):訪問、更正、刪除和反對處理個人數據的權利。
2. 適用地域範圍
《私有主體數據保護法》和《私有主體數據保護條例》適用於在如下地域範圍內進行的個人數據處理活動[11]:
(a)
在位於墨西哥的數據控制者的處所(Establishment)中進行;
(b)
由數據處理者代表在墨西哥設立的數據控制者處理,且不論數據處理者的地理位置;
(c)
數據控制者不在墨西哥設立,但由於簽訂合同或根據國際法而受墨西哥法律管轄;以及
(d)
數據控制者不在墨西哥設立,但使用位於墨西哥的媒介(除非這種媒介僅用於不涉及數據處理的中轉目的)。在此情況下,數據控制者應指定壹名代表或實施其認為適當的機制,以確保其能夠有效遵守墨西哥個人數據的處理義務。
對於個人數據控制者,處所是指其主要營業地或用於從事活動的場所所在地或者其住所。對於法人數據控制者,處所是指其業務主要管理機構所在地;如在墨西哥沒有主要管理機構所在地時,處所是指其指定所在地或允許實際從事數據處理活動的任何穩定場所[12]。
3. 隱私聲明(privacy notice)
數據控制者有義務通過隱私聲明(可以通過物理的、電子的或其他任何形式)告知數據所有者收集的個人數據以及理由[13]。隱私聲明必須包含如下內容[14]:
(a)
數據控制者的身份和住所;
(b)
數據處理目的;
(c)
數據控制者向數據所有者提供的限制數據使用或公開的選項和手段;
(d)
依照本法規定行使ARCO權利的方式;
(e)
擬進行的數據傳輸活動;
(f)
數據控制者將隱私聲明變更通知數據所有者的程序和手段;
(g)
必須明確聲明其處理的敏感個人數據。
此外,INAI於2013年1月發布了《隱私聲明指南》(Guidelines on Privacy Notices),對隱私聲明的制定進行了詳細和具體的指導[15]。
04
墨西哥個人數據保護法下的主要合規義務
1. 個人數據處理的基本原則
《私有主體數據保護法》規定的個人數據處理基本原則包括合法性、同意、告知、質量、目的、誠信、比例以及可問責原則[16]。
(a)
合法性原則(Principle of Legitimacy)
要求數據控制者確保數據處理行為遵循墨西哥以及國際性的法律法規要求[17]。
(b)
同意原則(Principle of Consent)
除非另有規定,數據控制者在處理個人數據時必須取得數據所有者的同意。數據所有者可以隨時撤回同意但撤回行為不產生回溯效力,數據控制者須在隱私聲明中明確撤回同意的機制和程序[18]。
數據控制者必須取得數據所有者明確同意的場景包括[19]:
-
任何法律要求;
-
取得財務或財產數據;
-
取得敏感個人數據;
-
數據控制者要求數據主體證明其同意時;
-
數據主體和數據控制者有此約定。
但在以下個人數據處理場景下,同意原則可以不予適用[20]:
-
任何法律規定可以不取得同意;
-
數據包含在公開來源中;
-
個人數據經過去關聯化(dissociation)處理(去關聯化是指使個人數據無法與數據所有者建立聯系,也無法通過其結構、內容或分類進行識別的程序[21]);
-
其目的是履行數據所有者與數據控制者之間法律關系下的義務;
-
出現可能對個人人身或財產造成傷害的緊急情況;
-
對於醫療護理、預防、診斷、健康服務提供、醫療或保健服務管理至關重要,且數據所有者無法按照《通用健康法》(General Health Law)和其他適用法律規定的條件表示同意,且上述數據處理工作由負有職業保密責任或同等義務的人員執行;或者
-
有關主管部門發布決議。
(c)
告知原則(Principle of Information)
數據控制者必須通過隱私聲明,告知數據主體即將對其個人數據進行的處理活動以及特征[22]。數據控制者承擔已按照法律法規出具隱私聲明的證明責任[23]。如涉及市場營銷、廣告或商業勘探目的的,必須在隱私聲明中明確[24]。
(d)
質量原則(Principle of Quality)
數據處理者須保證其處理的個人數據是準確、完整、相關、正確以及最新的。由數據主體直接提供的數據默認符合質量原則(除非數據主體或數據控制者提出反對)[25]。
(e)
目的原則(Principle of Purpose)
個人數據處理僅可以按照隱私聲明中載明的目的進行,如果數據控制者的數據處理目的未包含在隱私聲明中,則其必須再次取得數據所有者的同意[26]。
(f)
可問責原則(Principle of Accountability)
數據控制者有義務保護並負責處理由其保管或持有的個人數據,或由其傳輸給數據處理者的個人數據,無論數據處理者是否位於墨西哥境內[27]。《私有主體數據保護條例》還提供了數據控制者遵循可問責原則可參考的具體措施[28]。
2. 雲計算中的個人數據處理活動
《私有主體數據保護條例》單獨對涉及個人數據處理活動的雲計算提供者作出要求。按照其規定,雲計算(Cloud Computing)是指按需對外提供計算機服務的模式,包括在動態共享的資源上使用虛擬程序,以靈活的方式提供基礎設施、平臺或軟件[29]。只有在雲計算提供者符合以下條件時,數據控制者方可使用此類服務[30]:
(a)
制定並使用與《私有主體數據保護法》和《私有主體數據保護條例》規定的適用原則和義務類似的政策來保護個人數據;
(b)
將涉及所提供服務信息的分包合同透明化;
(c)
提供服務時,避免附加授權或允許其取得所提供服務相關信息的所有權的條件;
(d)
對所提供服務涉及的個人數據保密;
(e)
至少有以下機制:
與外國對手的軍事、內部安全或情報機構進行聯合研究,或得到其支持,或與其有聯系;
披露其隱私政策或所提供服務條件的變更;
允許數據控制者限制其提供服務的個人數據處理類型;
建立並維護適當的安全措施,以保護其提供服務所涉及的個人數據;
壹旦向數據控制者提供了服務,確保對個人數據的掌控(suppression,指能夠根據數據控制者制定的安全措施,消除、刪除或銷毀個人數據[31]),並且數據控制者可以恢復;以及
夠阻止那些沒有訪問權的人訪問個人數據,或能夠在主管部門提出要求時通知數據控制者。
3. 個人數據跨境傳輸
當數據控制者擬向除數據處理者之外的境外第三方傳輸個人數據時,必須通過隱私聲明向數據所有者告知傳輸目的,並包含數據所有者是否同意跨境傳輸的條款。境外接收方需承擔與數據控制者相同的義務[32]。
但在下列場景中,跨境(或境內)傳輸可以不取得數據所有者的同意[33]:
(a)
根據墨西哥的法律或加入的條約進行的傳輸;
(b)
出於醫療診斷或預防、健康服務提供、醫療或健康服務管理的目的進行的傳輸;
(c)
傳輸給受數據控制者控制的控股公司、子公司或附屬公司,或按相同內部程序和政策經營的與數據控制者屬於同壹集團的母公司或任何公司;
(d)
根據為數據所有者的利益在數據控制者與第三方之間已簽訂或將簽訂的合同而進行的傳輸;
(e)
為維護公共利益或司法管理而需要進行的或依法要求的傳輸;
(f)
為在司法程序中承認、行使或捍衛權利而需要進行的傳輸;
(g)
為維護或履行數據控制者與數據所有者之間的法律關系而需要進行的傳輸。
4. 處罰
如果INAI發現任何疑似違反個人數據保護的行為,其會先向可能的違法主體發出通知並給予15天的時間,以允許可能的違法主體提供證據與正式的抗辯。經INAI分析證據和其他因素後,將自開啟處罰程序之日起50天內作出最終的決定[34]。處罰類型包括[35]:
(a)
警告並要求數據控制者按照數據所有者的要求開展數據處理活動;
(b)
罰款,根據違法程度的不同,罰款區間分別為(i)墨西哥城最低工資100至160,000天的罰款;(ii)墨西哥城最低工資200至320,000天的罰款;(iii)如果重復出現違法行為,額外再加當前墨西哥城最低工資100至320,000天的罰款。
此外,《私有主體數據保護法》還規定了違法處理個人數據的刑事責任[36]:
(a)
任何授權主體為牟利處理個人數據而造成安全漏洞,影響其所保管的數據庫的,將被判處三個月至三年監禁;
(b)
任何主體以獲取非法利益為目的,利用數據所有者或經授權傳輸數據的主體的錯誤,以欺騙方式處理個人數據,將被判處六個月至五年監禁;
(c)
涉及敏感個人數據的,刑事責任將會加倍。
結語
墨西哥較早建立了個人數據保護立法體系,因此經過了超過十年的實踐,INAI也積累了大量的監管經驗。我們建議出海墨西哥的中國企業對墨西哥個人數據保護相關的法律法規加以重視,如計劃或正在墨西哥開展個人信息處理活動的,企業應及時確保對墨西哥相關數據法律法規的遵守,並搭建相應的合規體系。
向下滑動閱覽
本文作者
趙新華
合夥人
公司業務部
atticus.zhao@cn.kwm.com
業務領域:公司並購、外商直接投資、公司重組、數據及隱私保護
趙新華律師擁有十多年的法律從業經驗,曾為多家知名國內外企業提供法律服務,包括股權或資產收購、轉讓、公司重組、設立合資公司、特許經營、數據及隱私保護等,涉及的行業包括汽車、人工智能、物聯網、高科技、零售、教育、現代農業、工業制造、船舶和醫藥等。趙新華律師對智能汽車、車聯網領域的法律問題有著深入的研究,並為國內外眾多客戶提供並購、市場準入及合規方面的法律服務。
王哲峰
顧問
公司業務部
司馬丹旎
律師
公司業務部
感謝實習生萬晴對本文作出的貢獻。
轉載聲明:好文共賞,如需轉載,請直接在公眾號後臺或下方留言區留言獲取授權。
封面圖源:畫作·林子豪
請先 登錄後發表評論 ~