2024年8月14日,巴西將慶祝《一般資料保護法》(LGPD)頒布六週年。該法標誌著巴西在隱私和個人資料保護方面取得了長足進步。 LGPD於2018年8月14日獲得批准,並於2020年9月生效,相關制裁措施自2021年8月起開始實施。
巴西《一般資料保護法》(LGPD)將個人資料定義為任何能夠識別或使人識別自然人或法人的信息,例如姓名、巴西個人納稅人登記號(CPF)、巴西身分證號碼(RG)、電子郵件地址和其他資料。 LGPD 的主要目的是確保這些資料得到安全透明的使用,防止濫用,並保障公民的合法權益和安全。
2021年5月,在《巴西通用資料保護法》(LGPD)頒布兩年後,巴西聯邦最高法院(STF)承認個人資料保護是一項基本權利。 2022年2月,通過第115/22號憲法修正案,這項承認被納入聯邦憲法。雖然私人權利、隱私權和通訊保密權早已寫入1988年聯邦憲法,但個人資料保護直到最近才被寫入憲法。諸如《巴西網路權利法案》(Marco Civil da Internet)和《資訊取得法》(Lei de Acesso à Informação)等法律是促成LGPD制定的重要先導。
法律頒布後,各公司需要調整以適應新法規,並採取特定措施。這包括制定隱私權政策和程序、培訓員工以及實施資訊安全技術。 LGPD規定了違規行為的罰款和製裁措施,理論上這促使公司遵守法律。
然而,巴西部分地區尚未完全遵守《巴西通用資料保護法》(LGPD)。 LGPD Brasil入口網站的一項調查顯示,儘管該法具有強制性,但全國僅有16%的公司遵守該法。這表明,雖然人們對該法已有一定的了解,但這種了解主要集中在大型城市中心,因此有必要將這種知識普及到全國其他地區。
來自FGV律師事務所的律師兼數位法律專家盧卡斯·馬爾多納多·D·拉蒂尼指出,適應巴西通用資料保護法(LGPD)的最大困難之一在於缺乏對該法律及其對公司營運影響的了解。許多組織仍然沒有意識到該法律適用於其業務領域。這位律師指出,該法涵蓋金融、教育、零售等各行業的公司。所有公司都需要進行調整,否則將面臨懲罰。
他表示,資料保護條款分散在各項法律中,導致這些權利的解釋和適用十分困難。 「《通用資料保護法》(LGPD)推動的統一化,使巴西的監管框架更加清晰明確、協調一致。此外,我們還成立了國家資料保護局(ANPD),以確保法律的監督和執行,」他評論道。如今,ANPD負責發布決議和指南,幫助資料處理主體理解並履行義務。
在科技日新月異的未來,我們可以期待些什麼?
儘管監管框架自實施以來取得了長足進步,但國家資料保護局 (ANPD) 仍需解決幾個問題,以確保其應用繼續有效。
其中一個重點議題是國際資料傳輸的監管。 2022年,巴西國家資料保護局(ANPD)啟動了一項公眾諮詢,旨在製定個人資料向巴西境外傳輸的指導方針。 《巴西通用資料保護法》(LGPD)要求此類資料傳輸必須以確保其他國家/地區獲得充分資料保護的方式進行。為此,ANPD需要製定明確的規則,包括其認為資料保護等級與巴西法律相符的國家。
另一點是人工智慧(AI)的監管。迄今為止,巴西法律尚未明確規定人工智慧在資料保護方面的應用。國家資料保護局(ANPD)正在參與第2338/2023號法案的討論,該法案旨在建立人工智慧的法律框架,目前正在聯邦參議院進行審議。
律師強調,企業必須建立必要的技術和管理安全措施來保護個人數據,這一點至關重要。這些措施可能包括最低安全標準、加密技術、防火牆和存取控制策略。實施這些措施有助於預防資料外洩等安全事件,並確保資訊免受未經授權的存取。
