巴西通用數(shù)據(jù)保護法-譯文-final

譯者(姓氏音序排名):2018年9月譯者序言該法于2018年8月14日經(jīng)巴西總統(tǒng)米歇爾特梅爾的簽署，正式通過，并將于2020年2月15日正式生效，《2018個人數(shù)據(jù)保護法(草案)》中文全文翻譯，GDPR儼然成為個人數(shù)據(jù)保護立法的范式。算一筆賬，歐盟區(qū)5億人，印度13億人，巴西2億人，加起來20億人，還不算其2018年8月14日第13,709號法律為個人數(shù)據(jù)保護而提供，對2014年4月23日第12,965號法律(《巴西互聯(lián)網(wǎng)法》)的修訂。第一章基本規(guī)定第1條本法就自然人及其他受公法或私法管轄的法律實體的個人數(shù)據(jù)處理行為做出規(guī)定，包括以數(shù)字媒介處理的個人數(shù)據(jù)，目的是保護自由和隱私的基本權利以及自然人人格的自第2條個人數(shù)據(jù)保護的規(guī)則建立在如下基礎上：I.尊重隱私；II.知情并自由決定；III.言論、信息、交流和意見的自由；IV.親密言行、榮譽和聲譽的不可侵犯；V.經(jīng)濟技術的開發(fā)與創(chuàng)新；VI.自由倡議、自由競爭和消費者保護；和VII.人權、自由發(fā)展人格、尊嚴和自然人行使公民身份。第3條不論法律實體總部所在國或數(shù)據(jù)所在國是在何處，本法適用于自然人或者受公法或私法管轄的法律實體所進行的任何數(shù)據(jù)處理操作，但需要符合下列條件：I.處理操作是在巴西境內(nèi)進行；II.以提供貨物或服務為目的的處理活動，或者處理位于巴西境內(nèi)的個人數(shù)據(jù)；III.所處理的個人數(shù)據(jù)在巴西境內(nèi)收集。第1款在巴西境內(nèi)收集的數(shù)據(jù)視為數(shù)據(jù)主體被收集數(shù)據(jù)時處于巴西境內(nèi)。第2款本法第4條IV項規(guī)定的數(shù)據(jù)處理活動系本條I項規(guī)定之例外情形。第4條本法不適用于個人數(shù)據(jù)的如下處理活動：I.由自然人進行，僅用于私人的和非經(jīng)濟目的；I.專門針對：a)新聞和藝術之目的；或b)本法第7和第11條適用情形下的學術目的；III.僅為以下目的：a)公共安全；d)調(diào)查和起訴刑事犯罪；或IV.源自境外且非通訊對象，未與巴西處理代理人對數(shù)據(jù)進行共享使用，或不屬于與非源出國進行國際數(shù)據(jù)傳輸?shù)膶ο?，因為源出國對個人數(shù)據(jù)提供了本法所建立的保護水平。第1款第II項規(guī)定的個人數(shù)據(jù)處理應適用于特別法律，這些法律應規(guī)定符合公共利益的適當和嚴格的必要措施，并應遵守適用的法律程序、本法規(guī)定的一般保護原則和數(shù)據(jù)主體權利。第2款除非經(jīng)過公法上的法律實體授權程序，以及國家機構被明確告知并應當遵守本條第4款規(guī)定的限制，本條第III項規(guī)定的數(shù)據(jù)處理活動為私法上的法律主體所禁止。第3款國家機構應就本條第IIⅡ項規(guī)定的例外情況發(fā)布技術意見或推薦方案，并要求責任主體提供有關數(shù)據(jù)保護影響評估。第4款在任何情況下，本條第IIⅡ項所述數(shù)據(jù)庫中的所有個人數(shù)據(jù)均不得由私法上的主體處理。第5條為本法之目的，定義如下：I.個人數(shù)據(jù)：與已識別或可識別的自然人有關的信息；II.個人敏感數(shù)據(jù)：關于種族或族裔、宗教信仰、政治觀點、工會或宗教、哲學或政治組織成員身份的個人數(shù)據(jù)，與自然人有關的健康或性生活數(shù)據(jù)、基因或生物數(shù)據(jù)；III.匿名數(shù)據(jù)：在數(shù)據(jù)處理中使用合理技術手段無法識別數(shù)據(jù)主體的數(shù)據(jù)；IV.數(shù)據(jù)庫：在一個或多個地方建立的、電子或物質(zhì)支持的、結構化的個人數(shù)據(jù)集合；V.數(shù)據(jù)主體：其個人數(shù)據(jù)是處理活動所指向之數(shù)據(jù)的自然人；VI.控制者：能夠就個人數(shù)據(jù)處理作出決定的自然人或者其他受公法或私法管轄的法律實VII.處理者：代表控制人處理個人數(shù)據(jù)的自然人或者其他受公法或私法管轄的法律實體；VIII.數(shù)據(jù)保護官：由控制者任命的自然人，作為控制者與數(shù)據(jù)主體和國家機構之間的溝通IX.處理代理人：控制者和處理者；X.一處理：對個人數(shù)據(jù)進行的任何操作，例如收集、生產(chǎn)、接收、分類、使用、訪問、復制、傳輸、分發(fā)、處理、歸檔、存儲、刪除、評估或控制信息、修改、通訊、轉(zhuǎn)移、XI.匿名化：通過處理時使用合理和現(xiàn)有的技術手段，使數(shù)據(jù)失去與個人直接或間接關聯(lián)XII.同意：數(shù)據(jù)主體同意為特定目的處理其個人數(shù)據(jù)自由、知情和明確的聲明；XIII.阻止：通過保護個人數(shù)據(jù)或數(shù)據(jù)庫而暫時中止任何數(shù)據(jù)處理操作活動；XIV.刪除：排除存儲在數(shù)據(jù)庫中的數(shù)據(jù)或數(shù)據(jù)集，無論使用何種處理程序；XV.數(shù)據(jù)跨境傳輸：將個人數(shù)據(jù)傳輸?shù)酵鈬蛟搰鶎俚膰H組織；XVI.數(shù)據(jù)共享使用：公共機構和實體之間履行其法律職權，或與私人實體之間基于特定授權，或為這些公共實體允許的或私人實體之間的一種或多種數(shù)據(jù)處理類型，進行個人數(shù)據(jù)的通訊、傳播、跨境傳輸、互聯(lián)或個人數(shù)據(jù)庫的共享處理；XVII.數(shù)據(jù)保護影響評估：來自控制者的文件，其中包含可能對公民自由和基本權利構成風險的個人數(shù)據(jù)處理流程說明，以及降低風險的措施、保障和機制；XVIII.研究機構：根據(jù)巴西法律合法組建的、直接或間接的公共行政機構或非營利性的私法法律實體，在巴西境內(nèi)設有總部和，受巴西法律管轄，在其機構使命或章程目標中包括了對歷史、科學、技術或統(tǒng)計進行基礎或應用研究的目的；XIX.國家機構：負責監(jiān)督、實施和執(zhí)行本法的間接公共行政機構。第6條個人數(shù)據(jù)處理活動應遵循誠信和以下原則：I.目的：為合法、具體、明確且數(shù)據(jù)主體已經(jīng)知情的目的處理數(shù)據(jù)，不得以不符合這些目的的方式進一步處理；II.適當性：根據(jù)處理的場景，處理活動與已告知數(shù)據(jù)主體的目的相兼容；III.必要性：將處理限制在實現(xiàn)其目的所需的最低限度，涵蓋與數(shù)據(jù)處理目的相關的、成比例的和非過量的數(shù)據(jù)；IV.免費訪問：保證數(shù)據(jù)主體可以就數(shù)據(jù)處理的形式和持續(xù)時間及其完整的個人數(shù)據(jù)獲得便利和免費的咨詢；V.數(shù)據(jù)質(zhì)量：根據(jù)需要和為實現(xiàn)處理目的，向數(shù)據(jù)主體保證數(shù)據(jù)準確性、清晰度、相關性和數(shù)據(jù)更新；VI.透明度：保證數(shù)據(jù)主體能夠就數(shù)據(jù)處理和相應的處理代理人獲得清晰、準確和易得的信息，且遵守商業(yè)和企業(yè)機密；VII.安全：使用能夠保護個人數(shù)據(jù)免受未經(jīng)授權的訪問以及意外或非法破壞、丟失、篡改、傳輸或傳播的技術和管理措施；VIII.預防：采取措施防止因處理個人數(shù)據(jù)而發(fā)生損害；IX.不歧視：不能出于歧視，非法或濫用目的處理數(shù)據(jù)；X.問責制：代理人應證明其采取了有效且符合個人數(shù)據(jù)保護的法律規(guī)范措施，包括此類措施的有效性。第二章個人數(shù)據(jù)的處理第一節(jié)處理個人數(shù)據(jù)的要求第7條.個人數(shù)據(jù)只能在以下情況下被處理：I.經(jīng)數(shù)據(jù)主體同意；II.控制者為遵守法律或監(jiān)管義務；III.根據(jù)本法第四章的規(guī)定，公共行政部門處理和共享使用為履行法律法規(guī)所要求的，或者基于合同、協(xié)議或者類似文件所必需的數(shù)據(jù)；IV.研究機構為開展研究，并盡可能確保對個人數(shù)據(jù)進行匿名化；V.應數(shù)據(jù)主體的要求，當履行以該數(shù)據(jù)主體為一方當事人的協(xié)議或者與該協(xié)議相關的初步程序為必需時；VI.為定期行使司法、行政或仲裁程序中的權利(最后一點是根據(jù)1996年9月23日第9,307號法律(《巴西仲裁法》)做出的規(guī)定);VII.為保護數(shù)據(jù)主體或第三方的生命或人身安全；VIII.為保護健康，按醫(yī)護人員或醫(yī)療機構執(zhí)行的程序；IX.為滿足控制者或第三方合法利益所必需的，但根據(jù)數(shù)據(jù)主體普適性的基本權利和自由X.為了保護信用，包括所適用的法律中關于信用的規(guī)定。第1款在適用本條前述第IⅡ項和第III項情況時，除了本法第四條規(guī)定的情形外，數(shù)據(jù)主體應當被告知在哪些情況下對其數(shù)據(jù)進行的處理是被允許的。第2款本法第23條第I項和第1款所規(guī)定的信息提供方式可由監(jiān)管機構詳細規(guī)定。第3款對公開可訪問的個人數(shù)據(jù)的處理，須考慮其目的、善意和公共利益，以證明數(shù)據(jù)處第4款在保護數(shù)據(jù)主體的權利和本法規(guī)定的原則被遵守的前提下，數(shù)據(jù)主體宣稱要求公開數(shù)據(jù)的，本條前款所規(guī)定的同意要求被免除。第5款已經(jīng)獲得本條前述第I項中所提及的同意的數(shù)據(jù)控制者需要與其他數(shù)據(jù)控制者溝通或共享個人數(shù)據(jù)時，必須獲得數(shù)據(jù)主體為此目的給予的特別同意，除非屬于本法規(guī)定可免第6款對同意要求的任何豁免并不免除數(shù)據(jù)處理代理人根據(jù)本法規(guī)定的其他義務，特別是遵守一般原則和對數(shù)據(jù)主體權利的保障。第8條本法第七條第I項所規(guī)定的同意，應當以書面方式或者其他能夠證明數(shù)據(jù)主體表現(xiàn)第1款如果同意是以書面形式提供的，它應區(qū)分于其他合同條款，并單獨、重點顯示。第2款控制者有責任證明已依照本法取得同意。第3款如果同意有瑕疵，禁止處理個人數(shù)據(jù)。第4款同意應為了特定目的而做出。為處理個人數(shù)據(jù)獲取的一般授權應為無效。第5款只要不做出根據(jù)本法第18條第VI項規(guī)定的刪除請求，同意可以通過便捷和免費的流程，隨時被數(shù)據(jù)主體明確表示撤回，這是對基于先前同意而做處理的矯正。第6款如果本法第9條第I、Ⅱ、II或者V項所涉及的信息發(fā)生變更，數(shù)據(jù)控制者應當通知數(shù)據(jù)主體，尤其應告知其所變更的內(nèi)容。在這種情況下，數(shù)據(jù)主體的同意是必須的，如果數(shù)據(jù)主體不同意該等變更，其可以撤回同意。第9條為遵守免費訪問原則，數(shù)據(jù)主體享有促使控制者使其有權訪問其正在被處理的數(shù)據(jù)，這些信息應當被清晰、充分和明顯地提供，此外條例還應對提供方式的其他特點予以規(guī)定：I.數(shù)據(jù)處理的特定目的；II.數(shù)據(jù)處理的形式和持續(xù)時間，以遵守商業(yè)和行業(yè)秘密；V.關于數(shù)據(jù)控制者對數(shù)據(jù)共享使用及其目的的信息；VI.數(shù)據(jù)處理代理人的責任；和VII.數(shù)據(jù)主體的權利，尤其是本法第十八條明確規(guī)定的權利；第1款當必須獲得同意的情況下，如果提供給數(shù)據(jù)主體的信息包含誤導性或不良內(nèi)容或事先未以透明、清晰和明確的形式予以呈現(xiàn)的，同意應被視為無效。第2款當必須獲得同意的情況下，如果個人數(shù)據(jù)處理的目的與最初的授權同意不相符，則控制者應事先通知數(shù)據(jù)主體目的的變更。如果數(shù)據(jù)主體不同意該等變更的，其可以撤回同第3款當處理個人數(shù)據(jù)是提供產(chǎn)品或服務或行使權利的條件時，數(shù)據(jù)主體應被重點告知這一事實以及他們可以行使本法第18條所列數(shù)據(jù)主體的權利。第10條控制者的合法利益可能僅是基于合法目的處理個人數(shù)據(jù)的原因之一，根據(jù)具體情I.支持和促進控制者的活動；和I.根據(jù)本法規(guī)定，為滿足數(shù)據(jù)主體的合法期待、基本權利和自由，保護數(shù)據(jù)主體常規(guī)性行使其權利或提供有利于她/他的服務。第1款當數(shù)據(jù)處理是基于數(shù)據(jù)控制者的合法利益時，只可能處理為期待目的所嚴格要求的第2款控制者應采取措施，確?；谄浜戏ɡ嫠M行的數(shù)據(jù)處理的透明度。第3款受商業(yè)和行業(yè)機密約束，當處理數(shù)據(jù)的基礎是其合法利益時，監(jiān)管機構可以要求控制者提供個人數(shù)據(jù)保護影響評估報告。第二節(jié)第11條個人敏感數(shù)據(jù)只能基于以下情況被處理：I.當數(shù)據(jù)主體或其法定授權代表為特定目的而特別且重點地對處理表示同意時；II.在數(shù)據(jù)主體沒有給予同意的情況下，以下條件必不可少：a)控制者遵守法律或監(jiān)管義務；b)公共行政機構為執(zhí)行法律法規(guī)中的公共政策而共享處理所必需的數(shù)據(jù)；c)研究機構開展研究，并盡可能確保對個人敏感數(shù)據(jù)進行匿名化；d)定期行使包括協(xié)議、訴訟，行政程序或仲裁程序中的權利(最后一點是根據(jù)1996年9月23日第9,307號法律(《巴西仲裁法》)做出的規(guī)定);e)保護數(shù)據(jù)主體或第三方的生命或人身安全；f)按醫(yī)護人員或醫(yī)療機構執(zhí)行的程序保護健康；或者g)除數(shù)據(jù)主體普適性的基本權利和自由需要保護個人數(shù)據(jù)的情況外，為遵守本法第9條第1款除非特定法律另有規(guī)定，本條款適用于任何個人數(shù)據(jù)的處理，該處理會泄露個人敏感數(shù)據(jù)并由此可能對數(shù)據(jù)主體造成損害。第2款根據(jù)本法第23條第I項的規(guī)定，機構和公共機構適用本條第Ⅱ項“a”和“b”規(guī)定時，所謂的放棄同意應當予以公開。第3款各政府機構在其職權范圍內(nèi)協(xié)商后，為獲取經(jīng)濟利益，數(shù)據(jù)控制者間進行交流或者共享個人敏感數(shù)據(jù)可能會被禁止或被各國家機構監(jiān)管。第4款為獲取經(jīng)濟利益，數(shù)據(jù)控制者間進行交流或共享與健康相關的個人敏感數(shù)據(jù)是被禁止的，數(shù)據(jù)主體同意的情況下的數(shù)據(jù)攜帶除外。第12條除非使用獨有的方式，對提交數(shù)據(jù)進行匿名化的過程可逆轉(zhuǎn)或者通過合理的努力使之能夠達到逆轉(zhuǎn)，對于本法而言，匿名數(shù)據(jù)不應被視為個人數(shù)據(jù)。第1款確定合理的內(nèi)容必須考慮客觀因素，例如根據(jù)現(xiàn)有技術以及獨有方法使匿名化過程第2款就本法而言，用于形成自然人行為畫像的數(shù)據(jù)，如果可被識別，也可被視為個人數(shù)第3款在與巴西個人數(shù)據(jù)保護委員會協(xié)商后，國家機構可以提出用于匿名化過程的標準和技術，并對其安全性進行驗證。第13條在進行公共衛(wèi)生研究時，研究實體可訪問個人數(shù)據(jù)庫，該數(shù)據(jù)庫應僅在實體內(nèi)進行處理，嚴格用于進行調(diào)查研究，并應按照特定法規(guī)規(guī)定的安全做法保存在受控和安全的環(huán)境中，并盡可能包括數(shù)據(jù)的匿名化或假名化，以及考慮與調(diào)查研究相關的適當?shù)赖聵藴?。?款對調(diào)查研究的任何部分或結果的公開，如本條首句條款所述，在任何情況下均不得第2款研究實體應對本條首句條款中所述的信息安全負責，在任何情況下都不得將數(shù)據(jù)傳第3款對本條所述數(shù)據(jù)的訪問，應成為國家主管部門及環(huán)境衛(wèi)生主管部門在其職權范圍內(nèi)第4款為實施本條款，假名化是一種使數(shù)據(jù)不再直接或間接與個人相關聯(lián)的處理方式，除非通過使用由信息控制者在受控和安全的環(huán)境中單獨保存的附加信息與個人相關聯(lián)。兒童和青少年個人數(shù)據(jù)的處理第14條根據(jù)本條和相關立法，應以符合兒童和青少年最佳利益的方式，處理屬于其個人第1款兒童個人數(shù)據(jù)的處理，應在至少其一位父母或法定監(jiān)護人的特定和明確同意下進行。第2款在處理本條第1款所述的數(shù)據(jù)時，數(shù)據(jù)控制者應公布其所收集的數(shù)據(jù)類型，使用方式和行使本法第18條所述權利的相關程序信息。第3款當必需采集數(shù)據(jù)以與兒童的父母或法定監(jiān)護人聯(lián)系時，對數(shù)據(jù)進行單次使用且不予儲存，或為保護兒童的目的，兒童的個人數(shù)據(jù)，可在未經(jīng)本條第1款所述的同意下進行采集，且未經(jīng)本條第1款規(guī)定的同意在任何情況下均不得將數(shù)據(jù)傳輸給第三方。第4款數(shù)據(jù)控制者不得對本條第1款所述的數(shù)據(jù)主體參與的游戲、互聯(lián)網(wǎng)應用或其他活動提供超出活動所必需的個人信息。第5款數(shù)據(jù)控制者應盡一切合理努力，充分考慮現(xiàn)有技術，核實本條第1款中所述的同意第6款對本條所述數(shù)據(jù)處理的相關信息，應以簡單、清晰和易于理解的方式提供，并考慮使用者的身體運動、感知、感官、智力和心理特征，適時使用視聽資源，以向兒童父母或法定監(jiān)護人提供必要的、適合兒童理解的信息。第15條個人數(shù)據(jù)處理應在以下情況終止：I.經(jīng)核實目的已經(jīng)實現(xiàn)，或數(shù)據(jù)不再與實現(xiàn)預期的特定目的必要或相關；III.不違反公共利益的前提下，經(jīng)數(shù)據(jù)主體溝通，包括其行使本法第8條第5款所規(guī)定的撤銷同意的權利；或IV.當違反本法規(guī)定時，由監(jiān)管機構做出決定。第16條個人數(shù)據(jù)應在終止處理后，在活動和技術可行的范圍內(nèi)予以刪除，或授權存儲用于I.數(shù)據(jù)控制者遵守法律或監(jiān)管義務；II.由研究實體進行研究，盡可能確保個人數(shù)據(jù)的匿名化；III.以遵守本法規(guī)定的數(shù)據(jù)處理要求為前提，轉(zhuǎn)讓數(shù)據(jù)給第三方，;或IV.由數(shù)據(jù)控制者獨占使用，禁止第三方訪問，并且數(shù)據(jù)已匿名化。第三章數(shù)據(jù)主體的權利第17條確保所有自然人對其個人數(shù)據(jù)的所有權，根據(jù)本法條款保障自然人的自由、私密和隱私的基本權利。第18條關于控制者正在處理的數(shù)據(jù)，個人數(shù)據(jù)主體有權在任何時候通過以下方式從控制I.確認處理的存在；II.訪問數(shù)據(jù)；III.更正不完整、不準確或過時的數(shù)據(jù)；IV.匿名化、阻止或刪除不符合本法規(guī)定的、不必要的或多余的數(shù)據(jù)；V.遵守商業(yè)和工業(yè)秘密，通過明確的請求，根據(jù)監(jiān)管機構的規(guī)定，將數(shù)據(jù)攜帶到另一個服務或產(chǎn)品提供商；VI.刪除經(jīng)數(shù)據(jù)主體同意處理的個人數(shù)據(jù)，本法第16條所規(guī)定的情況除外；VII.獲取與控制者共享數(shù)據(jù)的公共和私人實體的信息；VIII.獲取與拒絕同意的可能性和拒絕后果的信息；IX.撤銷本法第8條第5款中規(guī)定的同意。第1款個人數(shù)據(jù)主體有權向國家機關對數(shù)據(jù)控制者提出有關其數(shù)據(jù)的請求。第2款如果不符合本法的規(guī)定，數(shù)據(jù)主體可以反對基于放棄同意的情況之一進行的處理。第3款本條規(guī)定的權利，應通過數(shù)據(jù)主體或其合法設立的代理人向數(shù)據(jù)處理代理人明確要求行使。第4款如果無法立即采取本條第3款中提到的措施，控制者應向其數(shù)據(jù)主體發(fā)送答復：I.一告知其不是數(shù)據(jù)處理代理人，并盡可能指出代理人；或II.說明妨礙立即采取措施的事實或法律原因。第5款本條第3款所述的請求應在不計數(shù)據(jù)主體的成本下滿足，在法規(guī)規(guī)定的條款下和期限內(nèi)履行。第6款負責人應立即通知與其實施共享信息的數(shù)據(jù)處理代理人糾正、刪除、匿名化或阻隔數(shù)據(jù)，以便他們可以重復同樣的程序。第7款本條第V項中提到的個人數(shù)據(jù)的攜帶不包括控制者已經(jīng)匿名化的數(shù)據(jù)。第8款本條第1款所述的權利也可以請求消費者保護組織保護。第19條根據(jù)數(shù)據(jù)主體的要求，確認個人數(shù)據(jù)的存在或訪問個人數(shù)據(jù)：II.在遵守商業(yè)和工業(yè)機密的前提下，在數(shù)據(jù)主體要求之日起十五(15)天內(nèi)提供一份清第1款個人數(shù)據(jù)應以有利于行使訪問權的形式存儲。第2款數(shù)據(jù)主體可自行決定信息和數(shù)據(jù)的提供：I.通過針對此目的以安全、適合的電子方式；或第3款基于數(shù)據(jù)主體的同意或基于合同，在遵守商業(yè)和工業(yè)機密的前提下，數(shù)據(jù)主體可以按照國家機關的規(guī)定，要求提供其個人數(shù)據(jù)的完整電子副本，以使其能夠進行后續(xù)使用的格式，包括為了其他數(shù)據(jù)處理行動的目的。第4款國家機關可以規(guī)定不同于第I項、IⅡ項和本條中具體規(guī)定的時間限制。第20條數(shù)據(jù)主體有權要求由自然人審查僅基于影響其利益的個人數(shù)據(jù)的自動處理所做出的決策，包括旨在確定其個人、職業(yè)、消費者或信用檔案，或性格方面的決策。第1款控制者應在被要求時，提供關于自動化決策標準和程序所涉的明確和充分的數(shù)據(jù)，第2款在遵守商業(yè)和工業(yè)保密的情況下，若未提供本條第1款所述數(shù)據(jù)，國家機關可以進行審計，以核實個人數(shù)據(jù)自動處理中是否存在歧視。第21條對于與數(shù)據(jù)主體經(jīng)常行使權利有關的個人數(shù)據(jù)，不得以損害其利益的方式來使用。第22條對數(shù)據(jù)主體的權利和利益保護，可依照相關立法的規(guī)定，單獨或集體在法院行使。政府部門對個人數(shù)據(jù)的處理規(guī)則第23條2011年11月18日第12,527號法律(《巴西數(shù)據(jù)訪問法》)第1條中規(guī)定，受公法管轄的法人機構對個人數(shù)據(jù)的處理，應為實現(xiàn)公共目的及公共利益，為遵照法律規(guī)定或I.通過行使職權，對個人數(shù)據(jù)處理情況進行溝通，提供與法律基礎、目的、程序和實踐相關的清晰且實時更新的數(shù)據(jù)，用以最易于訪問的方式進行這些活動，最好是在其網(wǎng)站上III.根據(jù)本法第39條，進行個人數(shù)據(jù)處理時任命一名官員。第1款政府機關可規(guī)定有關數(shù)據(jù)處理活動的公開形式。第2款本法條款未將本條中提到的法人機構，從2011年11月18日12,527號法律(《巴西數(shù)據(jù)訪問法》)規(guī)定的設立當局中免除。第3款行使數(shù)據(jù)主體的時限和程序權利，應遵守相關法律規(guī)定，特別是1997年11月12日第9,507號法律(《巴西人身保護數(shù)據(jù)法案》),1999年1月29日第9,784號法律(《聯(lián)邦行政訴訟法》》,和2011年11月18日第12,527號法(《巴西數(shù)據(jù)訪問法》)的規(guī)定。第4款代表政府行使公證和登記服務的私營機構，應按照本法規(guī)定，與本條提及的法人機構享有同等待遇。第5款公證和登記機關應按照本條所述目的，以電子方式為公共行政機構提供數(shù)據(jù)訪問。第24條在競爭市場中運作的上市公司和混合資本公司，受制于《聯(lián)邦憲法》第173條規(guī)定，應與本法所規(guī)定的私營機構享有同等待遇。獨立條款：上市公司和混合資本公司在執(zhí)行公共政策時，在其執(zhí)行范圍內(nèi)，將依照本章的規(guī)定與公權力機構享有同等待遇。第25條數(shù)據(jù)應以共享使用的結構和操作格式保存，為執(zhí)行公共政策，提供公共服務，使公共生活去中心化，利于一般公眾對數(shù)據(jù)的傳播和訪問。第26條為遵守本法第6條規(guī)定的個人數(shù)據(jù)保護原則，共享使用個人數(shù)據(jù)的政府部門應滿足執(zhí)行公共政策的特定目的以及公共機構的法律權威。第1款禁止公共機構向私營機構轉(zhuǎn)讓其可以訪問的數(shù)據(jù)庫中包含的個人數(shù)據(jù)，但以下情況除外：I.因公共活動的去中心化需要轉(zhuǎn)移，在具體特定目的下，為遵守2011年11月18日第12,527號法律(《巴西數(shù)據(jù)訪問法》)規(guī)定；III.在數(shù)據(jù)可公開訪問的情況下，遵守本法的規(guī)定。第2款本條第1款所述的合同和協(xié)議應與國家機構溝通。第27條受到公法與私法管轄的法律實體的個人數(shù)據(jù)的交流或共享，應當告知國家機構，并獲得數(shù)據(jù)主體的同意，但下列情況除外：I.本法規(guī)定的無需同意的情況下；II.當數(shù)據(jù)共享時，將會依據(jù)本法第23條第I項公開的情況下；或III.包含在本法第26條第1款所載的例外情況中。第28條(被否決)第29條國家機構可隨時要求各政府機構進行個人數(shù)據(jù)處理活動，提供關于數(shù)據(jù)范圍和性質(zhì)以及數(shù)據(jù)處理其他細節(jié)的具體報告，并可發(fā)表補充技術意見，以確保遵守本法規(guī)定。第30條國家機構可以為個人數(shù)據(jù)的交流和共享活動制定補充規(guī)范。第二節(jié)責任第31條公共機構處理個人數(shù)據(jù)違反本法規(guī)定的，國家機構可發(fā)布采用適當措施以制止違第32條國家機構可要求其代理人發(fā)表個人數(shù)據(jù)保護影響報告，并建議采用公共機構處理第五章第33條符合下列條件的，才允許數(shù)據(jù)進行跨境傳輸：I.第三國或國際組織提供的個人數(shù)據(jù)保護水平達到了本法規(guī)定的充分性程度。II.當控制者提供和證明符合本法規(guī)定的原則、數(shù)據(jù)主體權利和數(shù)據(jù)保護制度的保證文件d)定期發(fā)布的印章、證書和行為準則；III.根據(jù)國際法律文書，政府情報，調(diào)查和警察機構之間的國際法律合作需要轉(zhuǎn)移；IV.傳輸是為了保護數(shù)據(jù)主體或第三方的生命或身體安全之必要的；VI.通過國際合作協(xié)議承諾傳輸?shù)模籚II.傳輸是執(zhí)行本法第23條第I項提到的公共政策或法定公共服務職責之必要的；VIII.在數(shù)據(jù)主體事先獲知有關跨境傳輸?shù)男畔ⅲ汕宄貐^(qū)別于其他目的的前提下，明確IX.在必要的情況下，需滿足本法第7條第II,V和VI項的規(guī)定；獨立條款：為了達到本條第I項的目的，2011年11月18日第12,527號法(《獲取信息法》)第1條獨立條款中提及的公法法律實體，在其法律職責和活動范圍內(nèi)，可以申請國家機構評估第三國或國際組織的個人數(shù)據(jù)保護水平。第34條國家機構評估本法第33條提及的第三國或國際組織的數(shù)據(jù)保護水平時，將考慮以I.數(shù)據(jù)接收國或國際組織現(xiàn)行法律的一般和部門規(guī)則；II.數(shù)據(jù)的性質(zhì)；III.與本法規(guī)定的個人數(shù)據(jù)保護一般原則以及數(shù)據(jù)主體權利相符；IV.采取本法所規(guī)定的安全措施；V.具有尊重個人數(shù)據(jù)保護權的法律和制度保障；和VI.與數(shù)據(jù)傳輸有關的其他情況。第35條本法第33條第IⅡ項所述的合同標準條款內(nèi)容，以及用以傳輸?shù)木唧w合同條款、全球性的公司規(guī)則、印章、證書和行為準則的認證，由國家機構執(zhí)行。第1款為了認證本條規(guī)定，應當考慮符合本法權利、保障和原則的傳輸?shù)囊?、場景和最低保障。?款在分析提交國家機構批準的合同條款，文件或全球性公司規(guī)則時，必要時可能需要補充信息或進行必要的核查。第3款國家機構可指定認證機構完成本條規(guī)定的內(nèi)容，且在規(guī)定的范圍內(nèi)繼續(xù)監(jiān)督。第4款國家機構可審查認證機構實施的行為，如果不符合本法規(guī)定的，可予以調(diào)整或撤銷。第5款通過分析處理者采取的技術和組織措施是否與本法第46條第1款和第2款的規(guī)定相符，來分析保證遵守數(shù)據(jù)保護一般原則和數(shù)據(jù)主體權利的充分性。第36條當保證文件內(nèi)容變化，足以遵守本法第33條第II項涉及的數(shù)據(jù)保護一般原則和數(shù)據(jù)主體權利的，應通知國家機構。第六章個人數(shù)據(jù)處理代理人第一節(jié)控制者和處理者第37條控制者和處理者應當保存?zhèn)€人數(shù)據(jù)的處理記錄，尤其是基于合法利益處理數(shù)據(jù)的。第38條如規(guī)則所規(guī)定的那樣，國家機構可要求控制者在適當考慮貿(mào)易和工業(yè)機密的情況下，準備數(shù)據(jù)保護影響評估，包括與其數(shù)據(jù)處理操作有關的敏感數(shù)據(jù)。獨立條款：在符合本條規(guī)定的前提下，報告應至少包含所收集數(shù)據(jù)類型的描述，用于收集和確保數(shù)據(jù)安全的方法以及控制者有關安全保障和風險緩解機制的措施。第39條處理者應當按照控制者的指示進行數(shù)據(jù)處理，控制者應驗證是否符合自身指令和第40條國家機構可以為數(shù)據(jù)可攜性、自由訪問和安全性以及記錄保存時間的實現(xiàn)提供可操作性標準，標準需特別考慮必要性和透明度。第二節(jié)第41條控制者應任命數(shù)據(jù)保護官。第1款數(shù)據(jù)保護官的身份和聯(lián)系信息應當公開、明確、客觀地披露，最好在控制者的網(wǎng)站第2款數(shù)據(jù)保護官的職責包括：I.接受數(shù)據(jù)主體的投訴并溝通，提供澄清和采取措施；II.與國家機構溝通并采取措施；III.指導組織的員工和承包商在保護個人數(shù)據(jù)方面采取措施；和IV.執(zhí)行控制者決定的或補充規(guī)則中規(guī)定的其他職責。第3款國家機構可以根據(jù)企業(yè)的性質(zhì)和規(guī)?；蛱幚頂?shù)據(jù)的數(shù)量，制定有關數(shù)據(jù)保護官角色和職責的補充規(guī)則，包括數(shù)據(jù)保護官的豁免任命情況。第三節(jié)責任和損害賠償?shù)?2條控制者或者處理者因違反數(shù)據(jù)保護法規(guī)定，處理個人數(shù)據(jù)造成他人財產(chǎn)、精神、第1款為確保實際賠償數(shù)據(jù)主體：I.—如果處理者未能遵守數(shù)據(jù)保護法的義務或者未遵守控制者的合法指示，應對其造成的損害承擔連帶責任，在這種情況下，處理者視同控制者，但本法第43條規(guī)定的情況II.控制者直接參與了造成數(shù)據(jù)主體受到損害的處理行為，應承擔連帶責任，但本法第43第2款在民事訴訟中，法官可實施有利于數(shù)據(jù)主體的舉證責任倒置，前提是法官認為指控的情況可能存在，數(shù)據(jù)主體沒有舉證費用或舉證負擔過重。第3款集體損害賠償訴訟，其目的是要求根據(jù)本條前言的規(guī)定承擔責任，可依照有關法律第4款任何已向數(shù)據(jù)主體承擔了損害賠償責任的責任人，均有權按照參與損害事件的程度，第43條處理代理人能證明以下事項的，無需承擔責任：I.沒有處理分配給他們的個人數(shù)據(jù)；II.雖然處理了分配他們的個人數(shù)據(jù)，但未違反數(shù)據(jù)保護法；或者III.該損害僅是由數(shù)據(jù)主體或第三方造成的。第44條當個人數(shù)據(jù)處理行為不遵守法律，或者沒有提供數(shù)據(jù)主體期待的安全措施，考慮III.處理個人數(shù)據(jù)時可使用的技術。獨立條款：控制者或處理者因未采取本法第46條規(guī)定的數(shù)據(jù)安全措施造成損害的，應承擔第45條在消費者關系范圍內(nèi)侵犯數(shù)據(jù)主體的權利，仍適用相關法律規(guī)定的責任規(guī)則。第46條數(shù)據(jù)處理代理人應采取安全、技術和行政措施，以保護個人數(shù)據(jù)免遭未經(jīng)授權的訪問以及意外或非法的破壞、丟失、篡改、交流，或者其他任何類型的不當或非法處理。第1款在考慮被處理信息類型、處理行為自身特點和當前技術狀況(尤其是在處理個人敏感數(shù)據(jù)時)以及本法第6條首句所規(guī)定原則的情況下，國家機構可規(guī)定使本條規(guī)定適用的第2款從產(chǎn)品或服務的設計階段到落地階段的整個流程，應執(zhí)行本條所規(guī)定措施。第47條處理代理人或其他參與其中一個處理階段的任何人有義務按照本法規(guī)定保障個人數(shù)據(jù)安全，即使處理行為結束后也是如此。第48條當發(fā)生可能對數(shù)據(jù)主體造成風險或相關損害的安全事故時，控制者應該通知國家第1款通知應在國家機構規(guī)定的合理時間內(nèi)做出，并至少應包含：I.受影響的個人數(shù)據(jù)類型描述；III.在商業(yè)保密規(guī)制約束下，指明用于個人數(shù)據(jù)保護的技術和安全措施；IV.事故相關風險；V.如果不能立即通知，說明遲延原因；和VI.為消除或減少損害影響，已經(jīng)采取或?qū)⒁扇〉拇胧?。?款國家機構應核實事故的嚴重性，并在對保護數(shù)據(jù)主體權利有必要時，命令控制者采取措施，例如：I.在通訊媒體上廣泛披露該事故；和II.采取措施消除或減少事故影響。第3款在判斷事故的嚴重程度時，應該在服務范圍和技術水平內(nèi)，就將受影響個人數(shù)據(jù)進行加密處理所采取的適當技術措施，向未獲得授權訪問它們的第三方作最終說明分析。第49條個人數(shù)據(jù)處理系統(tǒng)設計應滿足安全要求、良好實踐和治理慣例標準，本法規(guī)定的一般原則和其他監(jiān)管規(guī)則。第二節(jié)良好實踐和治理第50條控制者和處理者，在其個人數(shù)據(jù)處理權限范圍內(nèi)，無論是自身單獨還是以組成協(xié)會的形式，都可以制定規(guī)定組織條件、操作制度、數(shù)據(jù)主體投訴和請愿等程序、安全規(guī)范、技術標準、參與數(shù)據(jù)處理的各方主體的具體義務責任、教育宣傳活動、內(nèi)部監(jiān)督和風險緩解機制以及與個人數(shù)據(jù)處理相關的其他方面的良好實踐和治理慣例規(guī)則。第1款在建立良好實踐慣例規(guī)則時，控制者和處理者應考慮有關個人數(shù)據(jù)及其處理行為的類型、目的、風險可能性和嚴重性以及個人數(shù)據(jù)處理所帶來的益處。第2款當適用本法第6條第VII和VIII項所規(guī)定原則時，依據(jù)其數(shù)據(jù)處理規(guī)劃、規(guī)模和數(shù)量，以及被處理數(shù)據(jù)的敏感性和給數(shù)據(jù)主體造成損害的可能性和嚴重性，控制者可以：I.執(zhí)行隱私治理計劃，該計劃至少可以：a)一展示其為廣泛遵守個人數(shù)據(jù)保護規(guī)則和良好實踐慣例而采取相應內(nèi)部措施和政策承b)適用于其控制下的所有個人數(shù)據(jù)，不管其收集手段如何；c)與其數(shù)據(jù)處理規(guī)劃、規(guī)模和數(shù)量以及被處理數(shù)據(jù)的敏感性相匹配；d)在隱私影響和風險系統(tǒng)評估基礎上，確立適當?shù)恼吆捅Ｕ洗胧?；e)確立“通過透明操作建立與數(shù)據(jù)主體的信任關系并確保數(shù)據(jù)主體參與機制”的目標；f)融入總體數(shù)據(jù)治理規(guī)劃，以及建立和運行內(nèi)外部監(jiān)督機制；g)制定事故應對和解決方案；和h)根據(jù)從持續(xù)監(jiān)測和定期評估中獲得的信息，不斷被更新；II.在適當時展示其隱私治理計劃的有效性，特別是應國家機構或負責推動遵守與本法相銜接的良好實踐慣例或行為細則的其他機關的要求。第3款良好實踐和治理慣例規(guī)則應定期公布和更新，并可由國家機構予以認可和公布。第51條國家機構應鼓勵采用有助于數(shù)據(jù)主體控制其個人數(shù)據(jù)的技術標準。行政處罰第52條違反本法規(guī)定的數(shù)據(jù)處理代理人，將由國家機構對其執(zhí)行以下行政處罰，I.警告，并指明采取糾正措施的規(guī)定時間；II.上一財政年度巴西境內(nèi)私法人主體、集團或大型企業(yè)集團收入的最高百分之二(2%)的總計罰款，不含稅，單次罰款最高可達五千萬雷亞爾(R$50,000,000.00);III.每日罰款，但須符合第IⅡ項所述的最高罰款額規(guī)定；IV.違規(guī)行為一旦被正式查明并確認其發(fā)生后，立即公布；V.凍結違規(guī)所涉?zhèn)€人數(shù)據(jù)，直至合規(guī)為止；VI.刪除違規(guī)所涉?zhèn)€人數(shù)據(jù)；VII.(被否決);IX.(被否決)。第1款行政處罰應在抗辯行政程序之后適用。該抗辯行政程序，根據(jù)具體案件特點，并考慮到以下因素和標準，以漸進、單次或累計的方式提供充足的抗辯機會：I.違規(guī)行為嚴重程度以及受影響個人數(shù)據(jù)類型；III.違規(guī)者已經(jīng)實現(xiàn)的或意圖實現(xiàn)的益處；VIH.根據(jù)本法