巴西一般資料私隱法與歐盟通用數據保護條例的分別
巴西一般資料私隱法 Lei Geral de Proteção de Dados (LGPD)將於2020年8月16日生效,並以歐盟通用數據保護條例 (GDPR)作為藍本。由此可見,巴西一般私隱法與歐盟通用數據保護條例有其相似之處。以下將比較兩者的相似和差別。
1. 跨境範圍
巴西一般資料私隱法及歐盟通用數據保護條例的適用範圍相似,不論位於巴西境內外的企業,只要商家處理位於巴西的使用者或歐盟成員的個人資料,便適用於這項新法案。歐盟通用數據保護條例更明確指明不在歐盟國家建立的機構亦計算在內,而巴西一般資料私隱法則沒有明確指明。
2. 個人私隱保護專員
巴西一般資料私隱法及歐盟通用數據保護條例表明企業及機構需聘請個人私隱保護專員(DPO)以監督其數據處理活動。巴西一般資料私隱法第41條表示只要該機構處理巴西人民的數據資料便需僱用個人私隱保護專員。而歐盟通用數據保護條例第37條則列出何時需僱用個人私隱保護專員:包括(1) 你是公共機構或人物、(2)你的數據處理過程涉及大規模,定期和有組織的監視、(3)你的數據處理過程包括大規模處理與刑事訴訟和犯罪相關的資料。由此可見,巴西一般資料私隱法在規定個人私隱保護專員方面比歐盟通用數據保護條例更為嚴格。
3. 通報機制
巴西一般資料私隱法及歐盟通用數據保護條例同樣要求組織向本地數據保護機構報告數據洩露的情況,但在這兩項法律之間,具體程度存在差異。歐盟通用數據保護條例列明機構必須在發現數據洩露後72小時內進行通報。而巴西一般資料私隱法則沒有明確時間規定。
4. 罰則
根據巴西一般資料私隱法第52條規定,罰款可高達上一財政年度收入最高百分之二的總計預算,每次違規的罰款上限為5000萬雷亞爾,約1290萬美元。而歐盟通用數據保護條例第83條的最高罰款額比巴西一般資料私隱法高,要求嚴重違反歐盟通用數據保護條例的機構最高支付2000萬歐元或佔年度收入的百分之四,以較高者為準。可見巴西一般資料私隱法的罰則比歐盟通用數據保護條例輕。