如您希望下載PDF版本，請點擊文末“閱讀原文”獲取。

（a）

在行政系統範圍內解釋本法；

（b）

為履行本法規定義務的數據控制者提供技術支持；

（c）

根據本法的相關規定提出意見和建議；

（d）

根據數據的性質、處理目的以及數據控制者的技術和財政能力，傳播信息安全方面的國際最佳做法和標準；

（e）

根據本法規定的權利保護和核查程序進行聽證並做出裁決，並實施相應的處罰；

（f）

與其他國內和國際機構及監督部門合作，在數據保護領域提供協助；

（g）

向墨西哥國會提交年度活動報告；

（h）

參加本法領域的國際論壇；

（i）

在實行新的個人數據處理方式或對現有處理方式進行重大修改之前，開展對隱私影響的研究；

（j）

制定、促進和傳播保護第三方持有的個人數據領域的分析、研究和調研，並向負有義務的各方提供培訓。

（a）

個人數據：有關已識別或可識別的自然人的任何信息。

（b）

敏感個人數據：涉及其數據所有者最私密領域的數據，或其不當使用可能引起歧視或給數據所有者帶來嚴重風險，包括但不限於可能揭示種族或民族血統、目前或未來的健康狀況、遺傳信息、宗教、哲學和道德信仰、政治觀點和性取向等方面的個人數據。

（c）

數據控制者（data controller）：決定處理個人數據的個人或私有法人實體。

（d）

數據處理者（data processor）：代表數據控制者單獨或與他人共同處理個人數據的個人或法人實體。

（e）

數據所有者（data owner）：個人數據所對應的自然人。

（f）

ARCO權利（the rights of access, rectification, cancellation and objection）：訪問、更正、刪除和反對處理個人數據的權利。

（a）

在位於墨西哥的數據控制者的處所（Establishment）中進行；

（b）

由數據處理者代表在墨西哥設立的數據控制者處理，且不論數據處理者的地理位置；

（c）

數據控制者不在墨西哥設立，但由於簽訂合同或根據國際法而受墨西哥法律管轄；以及

（d）

數據控制者不在墨西哥設立，但使用位於墨西哥的媒介（除非這種媒介僅用於不涉及數據處理的中轉目的）。在此情況下，數據控制者應指定壹名代表或實施其認為適當的機制，以確保其能夠有效遵守墨西哥個人數據的處理義務。

對於個人數據控制者，處所是指其主要營業地或用於從事活動的場所所在地或者其住所。對於法人數據控制者，處所是指其業務主要管理機構所在地；如在墨西哥沒有主要管理機構所在地時，處所是指其指定所在地或允許實際從事數據處理活動的任何穩定場所[12]。

（a）

數據控制者的身份和住所；

（b）

數據處理目的；

（c）

數據控制者向數據所有者提供的限制數據使用或公開的選項和手段；

（d）

依照本法規定行使ARCO權利的方式；

（e）

擬進行的數據傳輸活動；

（f）

數據控制者將隱私聲明變更通知數據所有者的程序和手段；

（g）

必須明確聲明其處理的敏感個人數據。

（a）

合法性原則（Principle of Legitimacy）

要求數據控制者確保數據處理行為遵循墨西哥以及國際性的法律法規要求[17]。

（b）

同意原則（Principle of Consent）

除非另有規定，數據控制者在處理個人數據時必須取得數據所有者的同意。數據所有者可以隨時撤回同意但撤回行為不產生回溯效力，數據控制者須在隱私聲明中明確撤回同意的機制和程序[18]。

數據控制者必須取得數據所有者明確同意的場景包括[19]：

• 任何法律要求；

• 取得財務或財產數據；

• 取得敏感個人數據；

• 數據控制者要求數據主體證明其同意時；

• 數據主體和數據控制者有此約定。

但在以下個人數據處理場景下，同意原則可以不予適用[20]：

• 任何法律規定可以不取得同意；

• 數據包含在公開來源中；

• 個人數據經過去關聯化（dissociation）處理（去關聯化是指使個人數據無法與數據所有者建立聯系，也無法通過其結構、內容或分類進行識別的程序[21]）；

• 其目的是履行數據所有者與數據控制者之間法律關系下的義務；

• 出現可能對個人人身或財產造成傷害的緊急情況；

• 對於醫療護理、預防、診斷、健康服務提供、醫療或保健服務管理至關重要，且數據所有者無法按照《通用健康法》（General Health Law）和其他適用法律規定的條件表示同意，且上述數據處理工作由負有職業保密責任或同等義務的人員執行；或者

• 有關主管部門發布決議。

（c）

告知原則（Principle of Information）

數據控制者必須通過隱私聲明，告知數據主體即將對其個人數據進行的處理活動以及特征[22]。數據控制者承擔已按照法律法規出具隱私聲明的證明責任[23]。如涉及市場營銷、廣告或商業勘探目的的，必須在隱私聲明中明確[24]。

（d）

質量原則（Principle of Quality）

數據處理者須保證其處理的個人數據是準確、完整、相關、正確以及最新的。由數據主體直接提供的數據默認符合質量原則（除非數據主體或數據控制者提出反對）[25]。

（e）

目的原則（Principle of Purpose）

個人數據處理僅可以按照隱私聲明中載明的目的進行，如果數據控制者的數據處理目的未包含在隱私聲明中，則其必須再次取得數據所有者的同意[26]。

（f）

可問責原則（Principle of Accountability）

數據控制者有義務保護並負責處理由其保管或持有的個人數據，或由其傳輸給數據處理者的個人數據，無論數據處理者是否位於墨西哥境內[27]。《私有主體數據保護條例》還提供了數據控制者遵循可問責原則可參考的具體措施[28]。

（a）

制定並使用與《私有主體數據保護法》和《私有主體數據保護條例》規定的適用原則和義務類似的政策來保護個人數據；

（b）

將涉及所提供服務信息的分包合同透明化；

（c）

提供服務時，避免附加授權或允許其取得所提供服務相關信息的所有權的條件；

（d）

對所提供服務涉及的個人數據保密；

（e）

至少有以下機制：

（a）

根據墨西哥的法律或加入的條約進行的傳輸；

（b）

出於醫療診斷或預防、健康服務提供、醫療或健康服務管理的目的進行的傳輸；

（c）

傳輸給受數據控制者控制的控股公司、子公司或附屬公司，或按相同內部程序和政策經營的與數據控制者屬於同壹集團的母公司或任何公司；

（d）

根據為數據所有者的利益在數據控制者與第三方之間已簽訂或將簽訂的合同而進行的傳輸；

（e）

為維護公共利益或司法管理而需要進行的或依法要求的傳輸；

（f）

為在司法程序中承認、行使或捍衛權利而需要進行的傳輸；

（g）

為維護或履行數據控制者與數據所有者之間的法律關系而需要進行的傳輸。

（a）

警告並要求數據控制者按照數據所有者的要求開展數據處理活動；

（b）

罰款，根據違法程度的不同，罰款區間分別為（i）墨西哥城最低工資100至160,000天的罰款；（ii）墨西哥城最低工資200至320,000天的罰款；（iii）如果重復出現違法行為，額外再加當前墨西哥城最低工資100至320,000天的罰款。

（a）

任何授權主體為牟利處理個人數據而造成安全漏洞，影響其所保管的數據庫的，將被判處三個月至三年監禁；

（b）

任何主體以獲取非法利益為目的，利用數據所有者或經授權傳輸數據的主體的錯誤，以欺騙方式處理個人數據，將被判處六個月至五年監禁；

（c）

涉及敏感個人數據的，刑事責任將會加倍。

墨西哥較早建立了個人數據保護立法體系，因此經過了超過十年的實踐，INAI也積累了大量的監管經驗。我們建議出海墨西哥的中國企業對墨西哥個人數據保護相關的法律法規加以重視，如計劃或正在墨西哥開展個人信息處理活動的，企業應及時確保對墨西哥相關數據法律法規的遵守，並搭建相應的合規體系。