巴西通用數據法生效,淺析未來可能的改變
2020/09/19
巴西通用資料保護法(LGPD),其主要目的是為了保障公共和私人企業收集個人資訊的安全與透明性。在經過數次延遲後於本週五(18日)生效。
但即使生效,LGPD對違規行為的處罰也只會在2021年8月生效,這是為了給企業適應新規則有充足的時間。
如今,在這個個人數據充斥互聯網的時代,監管是一個非常重要的里程碑:個人信息可以以最快的速度到達任何地方。
而這些個人信息可能會被用於政府的社會方案中,甚至還包括查找犯罪嫌疑人的電子系統。
關於通用數據保護法的問題引起了許多疑問,但對此產生興趣的大多數是那些需要遵守規則的公司。然而,對普通公民而言,這會發生什麼變化呢?
G1報社以用戶的角度詢問了專家,以下是關於新法律最為重要的一些問題:
★ 什麼是個人信息?
★ 什麼是通用數據保護法(LGPD)?
★ 為什麼會創立這樣的法律?
★ 這項法律會帶來什麼樣的變化?
★ 如果我的個人數據洩漏了怎麼辦?
★ 什麼是國家數據保護局(ANPD)?
★ 通用數據保護法會有例外的情況嗎?
★ 用戶有哪些義務呢?
★ 企業是否已經準備就緒?
什麼是個人信息?
要瞭解新法的用處,就需要定義它的內容:新法所指的個人信息是人們在網上產生的所有信息(無論是否在線)。比如訪問網站、在健身房註冊以及其他情況時留下的痕跡。
在註冊的時候,會涉及到個人信息 — 這是能識別一個人是誰的信息。
專家補充說:“所有這些信息都可以識別我們是誰,而且每個人都有自己不同的習慣。”
專家還解釋,存在另一個特別的分類,我們稱之為敏感信息。例如,他們包括政治或色情甚至健康方面的資訊。而這些信息需要被更多的保護。
什麼是通用數據保護法(LGPD)?
“通用數據保護法(LGPD)是一項旨在保護公民和消費者關於如何處理個人信息權利的一項法律。”巴西消費者協會的專家和律師西蒙(Barbara Simão)說。
“現今,各公司、單位機構甚至第三行業(非政府組織,慈善實體)都需要處理個人數據”。
律師提到的處理,是對信息的操縱處理。這涉及到數據的收集、傳輸、使用或交叉對比。
這些信息可以用於許多事情:比如,公司通過建立數據庫來傳播廣告,並且利用數據差異使產品傳播更具個性化。
而這些數據還可以引導政府制定長遠計畫,因此,通用數據保護法也適用於公共機構。
他還補充說:“之前我們曾給某些領域制定了一些規則,現在我們有通用保護法,來認證那些應該受到保護的個人信息。”
為什麼會創建這樣的法律?
因為個人信息的使用正在迅速增加,同時也出現了信息被盜的風險,這可能會對個人帶來損失。
一個值得注意的問題就是,關於個人健康的數據被認為是敏感資訊。
想像一下,一家藥店創建了一個花名單,其中包含著你購買藥物的信息,並將這份信息傳遞給保險,而保險可能會因此看到你患病的證據,繼而收取更多昂貴的費用。
在新的法律監管下,這樣的信息交流就會得到規範。
很多地區開始對有關活動的規範進行了討論。在這樣的情況下,就誕生了通用數據保護法。
“法律並沒有禁止,而是安全地規範了個人數據的處理,同時還保護了隱私”。克魯茲(Francisco Brito Cruz)補充道。
這項法律會帶來什麼變化?
對於很多企業而言,LGPD的有效性意味著要適應一系列的新規則,但它也創造了更多的法律保障,簡化了對複雜事物的理解。
而對於公民而言,看似有一點變化,但立法機構對這種權利進行了組織和引導。
“這使得人們對交流的信息有了實際掌控權。”西蒙說
律師表示,很多巴西人可能都經歷過這樣的情況:在藥店買藥時,收銀員要求出示稅卡(CPF)的號碼來換取折扣,但卻沒有明確透露所對應的折扣是什麼。
這也使得企業需要征得使用者同意才可以收集某些信息
比如,這就是一些網站為什麼會顯示要求接受Cookie(儲存存在使用者本地終端上的數據包)的視窗的原因。
這些數據包是有網站發送的小檔用於儲存在你電腦流覽器上,它會告訴那些企業關於你的使用信息。
公民們也有權力要求更正信息,告訴公司能夠擁有的數據,甚至要求刪除這些數據。
這些需求的管道還沒有完全確定,但這將取決於國家數據保護局(ANPD)。
如果我的信息被洩露了怎麼辦?
在巴西,個人信息被人用於犯罪活動的情況越來越多。而這樣的發生,很多時候是因為數據在互聯網上被洩露了。
信息洩露一般都是因為一些公司受到駭客的攻擊,繼而犯罪分子能夠進入保存客戶信息的雲端儲存空間。
這些被洩露的數據可能會被入侵者自己使用或者轉賣給別人。
通用數據保護法其中一個宗旨是保護數據。因此,存在一些處理這種事件的方法。
具體的規定將取決於國家數據保護局(ANPD),該機構會指導企業採取技術上的保護措施。
“當公司發現了一些問題,就必須馬上去解決問題,瞭解問題的嚴重性,並通知國家數據保護局和相關人員。” 西蒙說道。
當這種事件發生後,將由有關機構來決定企業所做的行為是否正確。同時,還有法律規定,可以對企業和個人進行調解。
如果國家數據保護局認為有必要對企業進行制裁,則也有法律規定了一些標準和限制。罰款只能達到公司營業額的2%,或最高5000萬黑奧。
儘管通用數據保護法已經生效,對違規行為的處罰也只會在2021年8月生效,這是為了給企業適應新規則的時間。
而這些罰款將捐給 “權利捍衛基金”(FDD),該基金的宗旨是修復對消費者、環境、資產和其他方面有損害的專案資助。
換言之,這筆錢沒有流向涉及信息洩露的人員。但是,如果公民認為受到損失,那他可以尋找消費者保護機構或司法機構來賠償損失。
在這種情況下,只有在證明洩露與受到的損失有關聯的情況下,才有權獲得賠償。
警告、封鎖數據或刪除信息也是一種可能措施。
什麼是國家數據保護局(ANPD)?
國家數據保護局(ANPD)是負責檢查和編輯通用數據保護法的機構。
“通用數據保護法帶來的每一項權利都需要有更明確的監管。我們談論的是數據收集的活動,但處理數據的方式與其他活動有著截然不同”,克魯茲解釋道。
國家數據保護局將明確規定這些活動的規則和權利。
專家指出,以銀行業為例,就需要用不同於科技公司的方式來對待數據。
“有些領域可能需要更多注意,或者可能存在連法律都沒有妥善解決的情況。國家數據保護局將需要詳細說明這一切。”專家補充道。
雖然政府已公佈了委員會的職位分構和機構的功能,但它的運作取決於在聯邦公報所公佈的首席執行官的任命。
“確定的職位分構的法令已經公佈,但這並不意味著已經決定何時成立國家數據保護局。這仍然是一個很大的未知數”,多尼達(Danilo Doneda)說。
通用數據保護法會有例外的情況嗎?
是的,在某些情況下通用數據保護法的規則不能完全適用。
處理關於公共或國家安全的數據就屬於這種情況。
“比如,訪問犯罪嫌疑人的數據涉及刑事調查,如果必須徵得他的同意是沒有意義的,”多尼達解釋。
“對於這些關於安全的案件,通用數據保護法提出將發佈專門的數據保護條例,這是必要的,但所要求的條件不一樣。”他補充道。
衛生緊急事件也算在例外之間。
“以今年疫情為例。某些國家當局檢查了某些航班上的人的信息。這並不取決於乘客是否同意,因為它有一個公共衛生檢查的目的。” 西蒙解釋道。
公司不一定一直要征得他們的同意。比如,當公司需要履行法律義務或合同制定時。
其中一個有爭議的例外情況就是信用保護,這與白名單有關。
“有一個同意支持白名單的機構是很有必要的,因為它將由公民決定分享什麼。” 律師說。
多尼達解釋,以上提到信用保護是因為它不需要經過同意。
“就像黑名單的登記,公民就沒有選擇權。他不可以要求進入,也不能要求離開,否則黑名單也將毫無價值。” 他說。
用戶會有哪些義務?
通用數據保護法還未明確公民的義務,但西蒙律師表示,人們應該在參與的過程中注意和遵守法律。
“重要的是應檢查那些使用條約,以避免受到欺騙。其次,人們要瞭解這些規則,在發現個人權利受到侵犯後,要尋求補救。”他說道。
多尼達教授指出,雖然沒有司法職責,但這是一個加強信息保護的機會。
企業是否已經準備就緒了呢?
“這是我們第一次有相關法律,因此我們沒有歷史來作為參考,有很多公司都回來諮詢這方面的信息。”多尼達教授說。
所以,雖然它們都曾有所準備,但還是很難讓所有的企業都適應。而這,就是為什麼你會收到應用程式和網站上的隱私政策通知的原因。
通用數據保護法曾被多次推遲,直到參議院撤銷了新的延期,而這延期已包含在和其他問題組成的政府臨時措施中。
正如專家們所指出的那樣,國家數據保護局的建立對規則的解釋非常重要。而處罰只有到2021年8月才會生效。
編輯 / 王小明
【巴西華人資訊網】
