数据保护官沙龙（DPO Salon）公益出品 巴西《通用数据保护法》 LEG Geralde Proteçãode Dados 译者（姓氏音序排名）： 崔丽莎、刘元兴、孟洁、魏铭、薛颖 审校：洪延青、吴迪、张松 2018 年 9 月 署名-非商业性使用-禁止演绎 2.5 中国大陆 1 / 20 译者序言 经过“DPO 沙龙” 热心同学的共同努力，巴西《通用数据保护法》（LEG Geralde Proteçãode Dados，缩写 LGPD）中文翻译终于出炉了。 该法于 2018 年 8 月 14 日经巴西总统米歇尔·特梅尔的签署，正式通过，并将于 2020 年 2 月 15 日正式生效。 LGPD 是一项综合性法律，就个人数据的收集、使用、处理和存储制定了详细的规则， 它将覆盖巴西所有的经营行业，影响全部私营和公共实体，且无论个人数据的处理是否发 生在数字和物理环境中。而在 LGPD 之前，巴西并没有一部关于个人数据保护的综合性立 法。因此随着 LGPD 的出台，巴西的个人数据保护要求显著增加，可预见受管辖企业需要 为此投入大量的合规成本。 就内容而言，LGPD 大量借鉴了欧盟《通用数据保护条例》（GDPR）的规定。不少 学者在做评论时，都认为 LGPD 很大程度上是 GDPR 的镜像（a“close mirror”）。例 如，其和 GDPR 一样，包括了显著的域外管辖效力（extraterritorial application）。再 如，LGPD 的处罚，也能高达全球收入的 2%。更多的内容，请参见全文翻译。 开展对 LGPD 的翻译，无外乎两个主要目的。首先，我国企业进军南美，因其人口数 量（2.1 亿）还是区域地位，巴西无论如何都是绕不过去的一个重要国家。因此，LGPD 非 常值得我出海企业的高度重视。 其次，为我国个人信息保护立法提供更多的参考。综合此前“DPO 沙龙”推出的印度 《2018 个人数据保护法（草案）》中文全文翻译，GDPR 俨然成为个人数据保护立法的 范式。算一笔账，欧盟区 5 亿人，印度 13 亿人，巴西 2 亿人，加起来 20 亿人，还不算其 他已经效仿欧盟 95 指令的国家和地区了。似乎新的立法不效仿 GDPR，就是违背了潮流 和趋势。但中国要做同样的选择吗？能不能根据自己的国情和经济发展提出新的模式？又 或者能不能在兼容并蓄时坚持自主创新？让我们拭目以待。 最后，在此衷心感谢参与此次翻译工作的译者（姓氏音序排名）：崔丽莎、刘元兴、 孟洁、魏铭、薛颖，以及进行审校的吴迪和张松。他们在脚踏实地从事个人数据保护工作 的同时，还放眼全球思考最新的动态、进展、趋势。 “DPO 沙龙”正是为像他们这样的一线工作者提供了互动交流的平台。在我看来，他 们是中国数据保护水平的“晴雨表”，他们在实践中碰到的问题、提出的解决方案、所做 的思考，无疑应当为各界所重视。目前，“DPO 沙龙”已经齐聚了超过 100 位有志于从 事数据保护工作的同仁，也已经举办了数期线上、线下的深度讨论。欢迎更多的人加入这 个社群！ 洪延青 2 / 20 2018 年 8 月 14 日第 13,709 号法律 为个人数据保护而提供，对 2014 年 4 月 23 日第 12,965 号法律（《巴西互联网 法》）的修订。 国会法令： 第一章 基本规定 第 1 条 本法就自然人及其他受公法或私法管辖的法律实体的个人数据处理行为做出规定， 包括以数字媒介处理的个人数据，目的是保护自由和隐私的基本权利以及自然人人格的自 由发展。 第 2 条 个人数据保护的规则建立在如下基础上： I. 尊重隐私； II. 知情并自由决定； III. 言论、信息、交流和意见的自由； IV. 亲密言行、荣誉和声誉的不可侵犯； V. 经济技术的开发与创新； VI. 自由倡议、自由竞争和消费者保护； 和 VII. 人权、自由发展人格、尊严和自然人行使公民身份。 第 3 条 不论法律实体总部所在国或数据所在国是在何处，本法适用于自然人或者受公法或 私法管辖的法律实体所进行的任何数据处理操作，但需要符合下列条件： I. 处理操作是在巴西境内进行； II. 以提供货物或服务为目的的处理活动，或者处理位于巴西境内的个人数据； III. 所处理的个人数据在巴西境内收集。 第 1 款 在巴西境内收集的数据视为数据主体被收集数据时处于巴西境内。 第 2 款 本法第 4 条 IV 项规定的数据处理活动系本条 I 项规定之例外情形。 第 4 条 本法不适用于个人数据的如下处理活动： I. 由自然人进行，仅用于私人的和非经济目的； II. 专门针对： a) 新闻和艺术之目的； 或 b) 本法第 7 和第 11 条适用情形下的学术目的； III. 仅为以下目的： a) 公共安全； b) 国防； 3 / 20 c) 国家安全； 或 d) 调查和起诉刑事犯罪； 或 IV. 源自境外且非通讯对象，未与巴西处理代理人对数据进行共享使用，或不属于与非源 出国进行国际数据传输的对象，因为源出国对个人数据提供了本法所建立的保护水平。 第 1 款 第 III 项规定的个人数据处理应适用于特别法律，这些法律应规定符合公共利益的 适当和严格的必要措施，并应遵守适用的法律程序、本法规定的一般保护原则和数据主体 权利。 第 2 款 除非经过公法上的法律实体授权程序，以及国家机构被明确告知并应当遵守本条第 4 款规定的限制，本条第 III 项规定的数据处理活动为私法上的法律主体所禁止。 第 3 款 国家机构应就本条第 III 项规定的例外情况发布技术意见或推荐方案，并要求责任 主体提供有关数据保护影响评估。 第 4 款 在任何情况下，本条第 III 项所述数据库中的所有个人数据均不得由私法上的主体 处理。 第 5 条 为本法之目的，定义如下： I. 个人数据：与已识别或可识别的自然人有关的信息； II. 个人敏感数据：关于种族或族裔、宗教信仰、政治观点、工会或宗教、哲学或政治组 织成员身份的个人数据，与自然人有关的健康或性生活数据、基因或生物数据； III. 匿名数据：在数据处理中使用合理技术手段无法识别数据主体的数据； IV. 数据库：在一个或多个地方建立的、电子或物质支持的、结构化的个人数据集合； V. 数据主体：其个人数据是处理活动所指向之数据的自然人； VI. 控制者：能够就个人数据处理作出决定的自然人或者其他受公法或私法管辖的法律实 体； VII. 处理者：代表控制人处理个人数据的自然人或者其他受公法或私法管辖的法律实体； VIII.数据保护官：由控制者任命的自然人，作为控制者与数据主体和国家机构之间的沟通 渠道； IX. 处理代理人：控制者和处理者； X. 处理：对个人数据进行的任何操作，例如收集、生产、接收、分类、使用、访问、复 制、传输、分发、处理、归档、存储、删除、评估或控制信息、修改、通讯、转移、 传播或提取； XI. 匿名化：通过处理时使用合理和现有的技术手段，使数据失去与个人直接或间接关联 的可能性； XII. 同意：数据主体同意为特定目的处理其个人数据自由、知情和明确的声明； XIII.阻止：通过保护个人数据或数据库而暂时中止任何数据处理操作活动； XIV. 删除：排除存储在数据库中的数据或数据集，无论使用何种处理程序； XV. 数据跨境传输：将个人数据传输到外国或该国所属的国际组织； XVI. 数据共享使用：公共机构和实体之间履行其法律职权，或与私人实体之间基于特定授 权，或为这些公共实体允许的或私人实体之间的一种或多种数据处理类型，进行个人 数据的通讯、传播、跨境传输、互联或个人数据库的共享处理； 4 / 20 XVII.数据保护影响评估：来自控制者的文件，其中包含可能对公民自由和基本权利构成风 险的个人数据处理流程说明，以及降低风险的措施、保障和机制； XVIII. 研究机构：根据巴西法律合法组建的、直接或间接的公共行政机构或非营利性的 私法法律实体，在巴西境内设有总部和，受巴西法律管辖，在其机构使命或章程目标 中包括了对历史、科学、技术或统计进行基础或应用研究的目的； XIX. 国家机构：负责监督、实施和执行本法的间接公共行政机构。 第 6 条 个人数据处理活动应遵循诚信和以下原则： I. 目的：为合法、具体、明确且数据主体已经知情的目的处理数据，不得以不符合这些 目的的方式进一步处理； II. 适当性：根据处理的场景，处理活动与已告知数据主体的目的相兼容； III. 必要性：将处理限制在实现其目的所需的最低限度，涵盖与数据处理目的相关的、成 比例的和非过量的数据； IV. 免费访问：保证数据主体可以就数据处理的形式和持续时间及其完整的个人数据获得 便利和免费的咨询； V. 数据质量：根据需要和为实现处理目的，向数据主体保证数据准确性、清晰度、相关 性和数据更新； VI. 透明度：保证数据主体能够就数据处理和相应的处理代理人获得清晰、准确和易得的 信息，且遵守商业和企业机密； VII. 安全：使用能够保护个人数据免受未经授权的访问以及意外或非法破坏、丢失、篡改、 传输或传播的技术和管理措施； VIII.预防：采取措施防止因处理个人数据而发生损害； IX. 不歧视：不能出于歧视，非法或滥用目的处理数据； X. 问责制：代理人应证明其采取了有效且符合个人数据保护的法律规范措施，包括此类 措施的有效性。 第二章 个人数据的处理 第一节 处理个人数据的要求 第 7 条．个人数据只能在以下情况下被处理： I. 经数据主体同意； II. 控制者为遵守法律或监管义务； III. 根据本法第四章的规定，公共行政部门处理和共享使用为履行法律法规所要求的，或 者基于合同、协议或者类似文件所必需的数据； IV. 研究机构为开展研究，并尽可能确保对个人数据进行匿名化； V. 应数据主体的要求，当履行以该数据主体为一方当事人的协议或者与该协议相关的初 步程序为必需时； 5 / 20 VI. 为定期行使司法、行政或仲裁程序中的权利 （最后一点是根据 1996 年 9 月 23 日第 9,307 号法律(《巴西仲裁法》)做出的规定）； VII. 为保护数据主体或第三方的生命或人身安全； VIII.为保护健康，按医护人员或医疗机构执行的程序； IX. 为满足控制者或第三方合法利益所必需的，但根据数据主体普适性的基本权利和自由 要求保护个人数据的情况除外； X. 为了保护信用，包括所适用的法律中关于信用的规定。 第 1 款 在适用本条前述第 II 项和第 III 项情况时，除了本法第四条规定的情形外，数据 主体应当被告知在哪些情况下对其数据进行的处理是被允许的。 第 2 款 本法第 23 条第 I 项和第 1 款所规定的信息提供方式可由监管机构详细规定。 第 3 款 对公开可访问的