海外数据合规概览——墨西哥篇
墨西哥,作为拉丁美洲的第三大国,孕育了诸如玛雅文明等古代印第安文明。近年来,墨西哥逐渐成为中国企业的新兴海外投资热点。
据中国海关总署发布的数据,2024年第一季度,中国对墨西哥的出口额达到203亿美元,同比增长了11.9%。出口的主要商品涵盖了电子产品、机械设备以及汽车零部件等。
本篇文章旨在对中国企业在墨西哥开展业务时所面临的个人数据保护相关法律和法规进行梳理,提供必要的介绍和指导。
01
墨西哥个人数据保护的立法框架
《墨西哥宪法》第6条确立了个人数据保护的基本权利,明确了政府机构在获取个人数据时必须遵循的原则和程序,这些程序包括建立相应的审查机制和履行信息公布的责任。
墨西哥联邦立法机构在2010年7月颁布了《保护私有主体持有的个人数据联邦法》(以下简称“《私有主体数据保护法》”),该法律作为联邦层面的立法,在墨西哥全国范围内具有适用性和执行力。《私有主体数据保护法》共分为11章,内容涵盖了通用条款、个人数据保护的基本原则、数据主体的权利、对访问权、更正权、删除权以及反对权的行使、数据传输、主管部门、权利保护程序、合规核查程序、处罚程序、违规行为的处罚以及非法处理个人数据的刑事处罚等方面。
随后在2011年12月,墨西哥颁布了《保护私有主体持有的个人数据联邦法的条例》(以下简称“《私有主体数据保护条例》”),该条例进一步细化了《私有主体数据保护法》中所规定的原则、权利和义务的细节。《私有主体数据保护条例》共包含10章,详细阐述了通用条款、个人数据保护原则、处理个人数据的安全措施、个人数据传输、主管部门的协同工作、约束性自我规范、个人数据主体的权利及其行使、权利保护程序、检查程序以及实施制裁的程序等内容。
到了2017年1月,墨西哥又颁布了《保护义务主体持有的个人数据联邦法》(以下简称“《个人数据保护义务法》”),为在联邦、州和市一级的行政、立法和司法部门、自治机构、政党、信托机构和公共基金等所有政府部门、实体、机关和机构,提供了保护个人数据的法律框架。
02
墨西哥个人数据保护监管机构
联邦信息获取和数据保护协会(The Federal Institute for Access to Information and Data Protection,下称“INAI”)
INAI,作为墨西哥个人数据保护的核心监管机构,主要负责监督和确保《私有主体数据保护法》得到妥善执行。该机构拥有调查、审查以及对数据控制者和处理者进行处罚的权力,致力于维护个人数据和个人隐私权的安全。INAI的主要职能包括但不限于:
(a)在行政体系内对本法进行解释;
(b)为履行本法定义务的数据控制者提供技术支持;
(c)根据本法规定提出意见和建议;
(d)根据数据特性、处理目的以及数据控制者的技术和财务能力,推广信息安全方面的国际最佳实践和标准;
(e)依据本法规定的权利保护和核查程序,举行听证会并作出裁决,同时执行相应的处罚;
(f)与国内外其他机构及监管部门合作,为数据保护领域提供支持;
(g)向墨西哥国会提交年度工作报告;
(h)参与本法领域的国际论坛;
(i)在实施新的个人数据处理方法或对现有方法进行重大变更之前,进行隐私影响评估;
(j)制定、推广和传播关于保护第三方持有的个人数据的分析、研究和调查,并为相关责任方提供培训。
此外,《私有主体数据保护法》构成了其他部门在制定涉及个人数据处理的规定时必须遵循的法律框架,并且这些规定需在INAI的协作下制定。INAI在意识到有必要针对某一领域或活动中个人数据处理发布或修改具体规定时,也会向其他部门提供相应的草案。
经济部(the Ministry of Economy)
经济部致力于向在墨西哥境内开展商业活动的国内外公司普及和教育有关个人数据保护的责任。此外,经济部推动最佳商业实践,以保护个人数据,并与INAI合作发布有关隐私声明的指导文件。然而,经济部并不承担监管个人数据保护的职责,也没有执行处罚的权力。
03
墨西哥个人数据保护法下的主要概念
基本概念
(a)个人数据:指与已识别或可识别的自然人相关的任何信息。
(b)敏感个人数据:涉及数据主体最私密领域的信息,或不当使用可能导致歧视或给数据主体带来严重风险的数据。这些数据包括但不限于种族或民族血统、当前或未来的健康状况、遗传信息、宗教信仰、哲学和道德信念、政治观点以及性取向等方面的个人数据。
(c)数据控制者(data controller):指决定个人数据处理方式的个人或私有法人实体。
(d)数据处理者(data processor):指代表数据控制者单独或与他人共同处理个人数据的个人或法人实体。
(e)数据所有者(data owner):指个人数据所对应的自然人。
(f)ARCO权利(the rights of access, rectification, cancellation and objection):指个人有权访问、更正、删除和反对处理其个人数据的权利。
适用地域范围
《私有主体数据保护法》与《私有主体数据保护条例》适用于以下地理范围内进行的个人数据处理活动:
(a)在墨西哥境内数据控制者的场所(Establishment)内进行的处理;
(b)由数据处理者代表在墨西哥设立的数据控制者进行的处理,无论数据处理者位于何处;
(c)数据控制者虽未在墨西哥设立,但因合同签订或国际法规定而受墨西哥法律管辖的处理;
(d)数据控制者虽未在墨西哥设立,但使用墨西哥境内的媒介进行处理,除非该媒介仅用于不涉及数据处理的传输目的。在此情况下,数据控制者应指定一名代表或采取其认为适当的措施,以确保能够有效遵守墨西哥个人数据处理的相关义务。
对于个人数据控制者而言,场所指的是其主要营业地、从事活动的地点或其居住地。对于法人数据控制者,场所则是指其主要管理机构所在地;若在墨西哥没有主要管理机构,则场所指的是其指定的地点或任何实际进行数据处理活动的稳定场所。
隐私声明(privacy notice)
数据控制者有责任通过隐私声明(无论是以纸质、电子或其他任何方式)向数据主体明确告知所收集的个人数据及其收集理由。隐私声明应包含以下信息:
(a)数据控制者的身份及地址;
(b)数据处理的目的;
(c)数据控制者为数据主体提供的限制数据使用或公开的选项和方法;
(d)根据本法规行使ARCO权利的程序;
(e)计划进行的数据传输活动;
(f)数据控制者变更隐私声明时通知数据主体的流程和方式;
(g)必须明确指出其处理的敏感个人数据。
此外,墨西哥国家信息保护局(INAI)于2013年1月发布了《隐私声明指南》(Guidelines on Privacy Notices),为隐私声明的制定提供了详尽和具体的指导。
04
墨西哥个人数据保护法下的主要合规义务
个人数据处理的基本原则
《私有主体数据保护法》确立了处理个人数据的基本原则,涵盖了合法性、同意、告知、质量、目的、诚信、比例以及可问责性。以下是这些原则的详细说明:
1、合法性原则(Principle of Legitimacy)
数据控制者必须确保其数据处理活动遵守墨西哥法律及国际法规。
2、同意原则(Principle of Consent)
除非法律另有规定,数据控制者在处理个人数据前必须获得数据所有者的明确同意。数据所有者有权随时撤销同意,但此撤销不具有追溯效力。数据控制者应在隐私声明中明确说明撤销同意的流程和机制。
数据控制者必须获得数据所有者明确同意的情形包括:
-
法律要求;
-
获取财务或财产信息;
-
获取敏感个人数据;
-
数据控制者要求数据主体证明其同意时;
-
数据主体与数据控制者之间有此类约定。
-
然而,在以下情况下,同意原则可能不适用:
-
法律规定可以不获取同意;
-
数据来源于公开渠道;
-
数据经过去关联化处理,无法与数据所有者建立联系;
-
为履行数据所有者与数据控制者之间的法律义务;
-
紧急情况下可能对个人的人身或财产安全构成威胁;
-
对于医疗护理、预防、诊断、健康服务提供、医疗或保健服务管理至关重要,且数据所有者无法根据《通用健康法》和其他适用法律的规定条件表示同意,且上述数据处理工作由负有职业保密责任或同等义务的人员执行;
-
有关主管部门发布决议。
3、告知原则(Principle of Information)
数据控制者必须通过隐私声明向数据主体明确告知即将进行的个人数据处理活动及其特点。数据控制者负责证明已依法提供隐私声明。若涉及市场营销、广告或商业勘探目的,必须在隐私声明中明确指出。
4、质量原则(Principle of Quality)
数据处理者应确保处理的个人数据是准确、完整、相关、正确且最新的。数据主体直接提供的数据默认满足质量原则,除非数据主体或数据控制者提出异议。
5、目的原则(Principle of Purpose)
个人数据的处理仅限于隐私声明中明确的目的。若数据控制者的目的未包含在隐私声明中,则必须重新获得数据所有者的同意。
6、可问责原则(Principle of Accountability)
数据控制者有责任保护并负责处理其保管或持有的个人数据,无论数据处理者是否位于墨西哥境内。《私有主体数据保护条例》还提供了数据控制者遵循可问责原则时可参考的具体措施。
云计算中的个人数据处理活动
《私有主体数据保护条例》特别针对涉及个人数据处理的云计算服务提供者设定了具体要求。
根据该条例,云计算(Cloud Computing)定义为一种按需提供计算服务的模式,它涵盖了在动态共享资源上使用虚拟化技术,灵活地提供基础设施、平台或软件服务。数据控制者在使用云计算服务之前,必须确保服务提供者满足以下条件:
(a)制定并执行与《私有主体数据保护法》及本条例所规定的原则和义务相一致的政策,以保护个人数据安全;
(b)确保涉及服务信息的分包合同内容透明化;
(c)在提供服务时,不得附加任何授权或要求取得所提供服务相关信息所有权的条件;
(d)对服务中涉及的个人数据进行保密处理;
(e)至少应具备以下机制:
-
公布隐私政策或服务条款变更;
-
允许数据控制者限制其服务中个人数据的处理类型;
-
建立并维护适当的安全措施,确保服务涉及的个人数据安全;
-
在提供服务后,确保数据控制者能够根据既定安全措施对个人数据进行消除、删除或销毁,并保证数据控制者能够恢复数据;
-
能够阻止未经授权的个人访问个人数据,或在主管部门要求时及时通知数据控制者。
个人数据跨境传输
当数据控制者计划将个人数据传输给除数据处理者以外的境外第三方时,必须通过隐私声明向数据主体明确传输的目的,并应包含数据主体是否同意跨境传输的相关条款。境外接收方须承担与数据控制者同等的义务。
然而,在特定情况下,跨境(或境内)数据传输可无需数据主体的同意即可进行,这些情况包括:
(a)依据墨西哥法律或参与的国际条约所进行的传输;
(b)出于医疗诊断、预防、健康服务提供、医疗或健康服务管理目的的传输;
(c)传输给数据控制者所控制的控股公司、子公司或附属公司,或与数据控制者同属一个集团、遵循相同内部程序和政策的母公司或其他公司;
(d)基于数据控制者与第三方之间已签订或即将签订的合同,且该合同是为了数据主体的利益而进行的传输;
(e)出于维护公共利益或司法管理的需要,或依法要求的传输;
(f)为在司法程序中承认、行使或捍卫权利所必需的传输;
(g)为维护或履行数据控制者与数据主体之间的法律关系所必需的传输。
处罚
若INAI察觉到任何可能违反个人数据保护规定的行为,它将首先向潜在的违规方发出通知,并给予15天期限,以便违规方提供证据和正式辩解。
INAI在分析证据及其他相关因素后,将在启动处罚程序之日起的50天内作出最终裁决。处罚措施包括:
(a)发出警告,并要求数据控制者依照数据所有者的指示进行数据处理;
(b)处以罚款,根据违规的严重程度,罚款金额分为三个等级:(i)相当于墨西哥城最低工资的100至160,000天的罚款;(ii)相当于墨西哥城最低工资的200至320,000天的罚款;(iii)若违规行为重复发生,将额外处以当前墨西哥城最低工资的100至320,000天的罚款。
此外,《私有主体数据保护法》还规定了处理个人数据时违反规定的刑事责任:
(a)任何授权主体若为牟利而处理个人数据导致安全漏洞,影响其管理的数据库,将面临三个月至三年的监禁;
(b)任何主体若以非法利益为目的,利用数据所有者或授权传输数据的主体的失误,以欺骗手段处理个人数据,将被判处六个月至五年的监禁;
(c)涉及敏感个人数据的案件,刑事责任将加倍。
墨西哥较早地建立了个人数据保护的立法体系,因此,在超过十年的实践中,INAI积累了丰富的监管经验。
我们建议,计划或正在墨西哥开展个人信息处理活动的中国企业,应对墨西哥个人数据保护相关的法律法规给予高度重视,并及时确保遵守墨西哥的相关数据法律法规,同时建立相应的合规体系。
注:数据来源于:
《全球法规法》:http://policy.mofcom.gov.cn/page/list/nations.html
《墨西哥宪法》:https://www.wipo.int/wipolex/en/text/483548
《私有主体数据保护法》