8 月 23 日,巴西国家数据保护局(ANPD)发布 CD/ANPD 第 19 号决议,批准了《数据跨境传输条例》(Regulamento de Transferência Internacional de Dados,以下简称《条例》)和标准合同条款(cláusulas-padrão contratuais,SCCs)。该《条例》对数据跨境传输作出了详细规定,以规范将个人数据传输至巴西境外的行为。标准合同条款(SCCs)则为数据传输方与境外数据接收方之间传输个人数据提供了一个合法机制。
下文将为您介绍巴西《数据跨境传输条例》和标准合同条款(SCCs)的主要内容。
1.《条例》的适用范围
存在下列情形之一的,数据跨境传输行为需同时遵守巴西《通用数据保护法》(Lei Geral de Proteção de Dados Pessoais,以下简称 LGPD)和《条例》:
《条例》还特别说明,境外的数据处理主体直接向巴西境内个人收集数据的行为(international data collection)不属于数据跨境传输,因此不受《条例》规制,不过,我们在此希望提醒读者,此类数据收集行为仍需遵守 LGPD 的规定。
2.数据跨境传输的原则
《条例》规定,数据跨境传输行为应根据 LDPG 和《条例》要求进行,并遵循以下原则:
3.数据跨境传输的机制
《条例》规定,数据跨境传输可以依据以下任一机制进行:
4.标准合同条款(SCCs)
巴西境内或境外的企业作为数据传输方向巴西境外的其他企业传输巴西用户个人数据时,均可采用 SCCs 作为数据跨境传输机制,仅需注意必须完全采用 ANPD 提供的 SCCs 文本(SCCs 文本见 CD/ANPD 第 19 号决议《附件二》),不得对其进行任何修改,也不得以直接或间接的方式排除或修改 SCCs 的规定、或者作出与 SCCs 相抵触的约定。《条例》还规定,ANPD 可以认定其他国家或国际组织提供的 SCCs 与 ANPD 提供的 SCCs 具有等效性,被认定为具有等效性的 SCCs 也可以作为向境外传输巴西个人数据的机制。
《条例》要求需实施一定的透明度措施,即数据控制者必须在其网站上以葡萄牙语文本披露以下信息,可以发布在特定页面上、也可以集成在现有隐私政策中,所用语言必须简单、清晰、准确、易于理解:
ANPD 提供的 SCCs 主要包括以下内容:
值得注意的是,与欧盟 SCCs 区分“控制者-控制者”“控制者-处理者”等多种场景并采取模块化条款的做法相比,巴西提供的 SCCs 中双方义务仅基于其作为数据传输方或接收方的角色而规定。同时,双方可以根据自身情况就披露相关信息、回应数据主体权利请求、以及报告安全事件的责任进行分配,但若双方同时为数据控制者,则双方均需承担这些责任。
5.约束性公司规则(BCRs)
BCRs 适用于同一集团内部的数据跨境传输活动。经 ANPD 批准的 BCRs 可以作为集团内部将个人数据从巴西传输至巴西境外的机制。
《条例》要求 BCRs 必须包括以下内容:
出海巴西的企业应当对《条例》的相关规定给予足够的关注,以使数据跨境传输活动符合巴西监管要求。总体而言,企业需确保存在一个合法的跨境传输机制,并遵守跨境传输的要求。
如采用 SCCs 作为数据跨境传输机制,则需在 2025 年 8 月 23 日之前将 ANPD 发布的 SCCs 文本纳入合同。还应注意的是,《条例》中特别规定了使用 SCCs 作为传输机制时,应实施一定的透明度措施,企业需按照要求披露相关信息。