近年来,中国企业对外投资活动日益活跃,投资范围遍布全球各地,投资领域也在不断拓宽。然而,企业在对外投资的过程中,常常会遇到对当地政策法规、营商环境及潜在风险缺乏深入了解的问题,这些因素都可能导致企业在对外投资中遭遇适应性问题。为了帮助企业更好地开拓多元化的国际市场,并更全面地了解各国各地区的数据隐私与保护状况,本期我们将重点关注并介绍智利的数据保护与隐私保护情况。
问
个人信息(PI)有什么类别或类型?
答
(1)个人数据(personal data):指与已识别或可识别的自然人有关的任何信息;
(2)敏感个人数据(sensitive personal data):指与个人的身体或道德特征、私人或亲密生活的事实或情况有关的信息,例如个人习惯、种族起源、意识形态和政治观点、信仰或宗教信仰、身体或心理健康状况;
(3)与经济、金融、银行或商业性质义务相关的个人数据。
另一方面,关于个人数据保护的法案将会增加其他类型的PI,例如地理位置数据、生物识别数据、健康数据、儿童和青少年的个人数据等。
问
在智利,负责数据保护的监管机构是什么?
答
目前,智利没有专门的数据保护机构,数据保护一般由法院监督和处理。
同时,也有一些机构有权进行个人数据保护:
(1)国家消费者服务机构(SERNAC)
直到一个专门的数据保护机构成立前,SERNAC是消费者关系中个人数据保护问题的控制机构。SERNAC没有制裁权力,尽管它可以行使其权力来监督、检查、调查、提起个人或集体诉讼,以及发布SERNAC官员在适用法规和法律时强制性的解释性通告(例如在审计时)。
(2)透明度委员会(The Council for Transparency)
在公共部门,透明度委员会负责确保国家行政机关遵守相关法律。该委员会已经发布了关于国家行政机关保护个人数据的建议、公共机构个人数据保护指南(2021年)以及第489/2022号决议,该决议批准了处理对透明度委员会行使ARCO(访问、更正、取消和反对)权利请求的程序。
(3)金融市场委员会(The Financial Market Commission,CMF)
金融市场委员会是金融领域的控制机构,对个人数据保护、信息安全和网络安全具有监督权力。因此,金融机构必须制定关于债务人信息安全和管理政策(PISMID),这必须遵循在个人数据处理方面的国际原则和最佳实践。此外,CMF还规定金融机构参与未来开放银行系统必须遵守的网络安全和个人数据保护标准。
最后,根据正在智利国会讨论的个人数据保护法案(Bill No. 11.144-07),未来智利数据保护机构将是一个独立的个人数据保护机构。
问
个人信息(PI)数据所有者及其数据处理服务提供商有哪些安全义务?
答
《隐私保护法》(Law No. 19,628 on Privacy Protection)并未对数据所有者和实体在处理个人信息(PI)时必须采取的任何安全措施进行规定。相反,该法提到,对于个人数据在其收集后存储的注册或基础设施的负责人应以尽职管理照料,承担因此造成的损害责任。然而,对于银行和其客户及其电汇数据,有强制加密的具体规定。
问
数据泄露时是否必须通知监管机构或个人?
答
目前在智利没有数据监管机构,因此《隐私保护法》并未对通知监管机构或个人有关安全泄露的义务进行规定。但是,金融机构必须向金融市场委员会通报运营事件,包括数据泄露。在公共部门,各州机构通过其服务负责人必须向政府网络安全事件应对团队(CSIRT)通报网络安全事件。
问
违反数据保护法会有什么后果?
答
在智利,因不当处理数据而导致的违反数据保护的行为最终可能导致罚款,罚款金额从 62,388 智利比索(约 78 美元)到 623,880 智利比索(约 780 美元)不等,或者从 623,880 智利比索(约 780 美元)到 3,119,400 智利比索(约 3,900 美元)不等。罚款通过简易程序确定。
根据一般规则,在处理个人数据时,因故意或非故意的不当行为造成的货币和非货币损失均应得到赔偿。在这些情况下,赔偿金额应由法官根据案情和事实确定。
另一方面,《个人数据保护法案》列出了轻微、严重和非常严重的违规行为,罚款金额可达623 880 000 智利比索(约合780 000美元)、根据违法行为的严重程度,罚款金额最高可达上一日历年销售、服务及其他业务活动年收入的4%,最高可达12.4776亿智利比索(约合156万美元)。
问
在数据处理过程中产生的损害行为,被侵权者是否有权获得金钱损害赔偿或补偿?这种补偿是否需要构成实际损害?
答
在数据处理过程中,对于数据处理者因故意或非故意的不当行为造成的货币和非货币损失,被侵权者均有权得到赔偿,即使相关数据已按照当事人的要求或在适用情况下按照法院的命令消除、修改或阻止。
同时,构成实际损害是有权获得金钱损害赔偿或补偿的必要条件。若被侵权者主张得到金钱赔偿或补偿,必须存在实际损害。
问
所有者可以限制对个人信息(PI)使用的目的吗?如果存在目的限制,这些限制如何适用?
答
个人数据必须仅用于其被收集的目的,并且这些目的必须经过智利法律体系的许可。在任何情况下,信息必须准确、更新,并真实地反映数据主体的真实情况。同时,对个人信息(PI)的使用不允许超出法律或智利法律体系范围之外的目的。
例外:
(1)当数据来自于公开来源时;
(2)对于涉及经济、金融、银行或商业性质的个人数据处理,必须遵守个人数据处理中的目的原则,该原则仅限于商业风险评估和信贷流程。这种数据的传递只能向为信贷流程建立的企业和参与商业风险评估的机构进行,并且仅限于此目的。
本文提供的法律解读仅供参考,是我司工作人员通过法律检索、整理并翻译的俄罗斯律师专家的建议。然而,这些解读不应被视为正式的法律意见或建议。对于本文所提供的信息或读者对其理解的差异,我司不承担任何责任。鉴于俄罗斯法律的动态变化,本文涉及的法律问题的准确性和适用性可能因特定情况的变化而发生改变。最后,未经我们律师事务所明确授权,任何对本文内容的复制、修改、再发表或其他形式的使用均不被允许。
关于我们
律意是一家创新型综合性跨境法律服务平台。基于创始团队在法律大数据及法律服务行业近20年的经验,拥有覆盖全球151个国家和地区的资深律师网络及各行业法律专家资源,已经为数十家跨境制造与消费类企业节约了50%的时间与经济成本。致力于为企业出海提供专业、完善、便捷的一站式法律服务。
联系电话:+86 21 31200806
地址:上海市静安区愚园路108号7层728
编辑/排版:Elina
code/s?__biz=Mzg5MTU3NzQ4Mg==&mid=2247486240&idx=1&sn=c480a802e8457429e65cb82c58cccaf2&chksm=cfca7ec5f8bdf7d3e6ecfd48aa0f914d54e1c865dc55aeab131449f67ec9edc66c5b1f2182fc#rd