企业出海——海外数据合规概览（墨西哥篇） - 金杜律师事务所

标签：公司与并购-跨境投资和并购，数字经济，电信、传媒、娱乐与高科技-数据及隐私权保护

前言

墨西哥是拉丁美洲第三大国，曾蕴育了玛雅文明等古印第安文明[1]。近几年，墨西哥正成为中国企业新的出海热土之一。根据中国海关总署公布的数据，2024年第一季度中国对墨西哥的出口额为203亿美元，累计比去年同期增长11.9%[2]。主要出口商品包括电子产品、机械设备和汽车零部件等[3]。

本文拟梳理墨西哥个人数据保护相关的法律法规，为中国企业出海墨西哥提供介绍和指引。

一、墨西哥个人数据保护的立法框架

《墨西哥宪法》第6条建立了个人数据保护方面的基本权利，规定政府机关获取个人数据需满足的原则和程序，包括建立相关审查机制、履行信息披露义务等[4]。

墨西哥联邦立法机关于2010年7月颁布了《保护私有主体持有的个人数据联邦法》（The Federal Law on the Protection of Personal Data Held by Private Parties，下称“《私有主体数据保护法》”）。作为一部联邦法律，《私有主体数据保护法》在墨西哥全国范围内适用与执行。该法共11章，包含了通用规定、个人数据保护原则、数据主体权利、对访问权、更正权、删除权以及反对权的行使、数据传输、主管部门、权利保护程序、合规核查程序、处罚程序、违反与处罚、非法处理个人数据的刑罚等。

2011年12月颁布的《保护私有主体持有的个人数据联邦法的条例》（Regulations to the Federal Law on the Protection of Personal Data Held by Private Parties，下称“《私有主体数据保护条例》”）进一步明确了《私有主体数据保护法》中规定的原则、权利和义务的范围，该条例共10章，包含通用规定、个人数据保护原则、处理个人数据的安全措施、个人数据传输、主管部门协同、约束性自我规范、个人数据主体的权利及行使、权利保护程序、检查、实施制裁的程序等。

2017年1月颁布的《保护义务主体持有的个人数据联邦法》（The General Law of Protection of Personal Data in the Possession of Obliged Subjects）为在联邦、州和市一级行政、立法和司法部门、自治机构、政党、信托机构和公共基金的任何政府部门、实体、机关和机构保护个人数据制定了法律框架[5]。

二、墨西哥个人数据保护监管机构

（一）联邦信息获取和数据保护协会（The Federal Institute for Access to Information and Data Protection，下称“INAI”）

INAI是墨西哥个人数据保护最主要的监管部门，其负责监督和核查《私有主体数据保护法》的遵守情况。INAI有权开展调查、审查和处罚数据控制者和数据处理者，对个人数据和个人隐私权进行保护，其主要职责包括但不限于[6]：

（a）在行政系统范围内解释本法；

（b）为履行本法规定义务的数据控制者提供技术支持；

（c）根据本法的相关规定提出意见和建议；

（d）根据数据的性质、处理目的以及数据控制者的技术和财政能力，传播信息安全方面的国际最佳做法和标准；

（e）根据本法规定的权利保护和核查程序进行听证并做出裁决，并实施相应的处罚；

（f）与其他国内和国际机构及监督部门合作，在数据保护领域提供协助；

（g）向墨西哥国会提交年度活动报告；

（h）参加本法领域的国际论坛；

（i）在实行新的个人数据处理方式或对现有处理方式进行重大修改之前，开展对隐私影响的研究；

（j）制定、促进和传播保护第三方持有的个人数据领域的分析、研究和调研，并向负有义务的各方提供培训。

此外，《私有主体数据保护法》构成任何其他部门在制定涉及个人数据处理的规定时所必须遵守的法律框架，并且需在INAI的合作下制定[7]。INAI如知悉有必要就某一领域或活动中的个人数据处理发布或修改具体规定时，也可向其他部门提供草案[8]。

（二）经济部（the Ministry of Economy）

经济部负责就在墨西哥领土上从事商业活动的国内和国际公司之间的个人数据保护义务进行告知和教育，经济部负责促进围绕个人数据保护的最佳商业实践，与INAI合作发布关于隐私声明的指南[9]，但是经济部对个人数据保护无监管义务和处罚权力。

三、墨西哥个人数据保护法下的主要概念

（一）基本概念[10]

（a）个人数据：有关已识别或可识别的自然人的任何信息。

（b）敏感个人数据：涉及其数据所有者最私密领域的数据，或其不当使用可能引起歧视或给数据所有者带来严重风险，包括但不限于可能揭示种族或民族血统、目前或未来的健康状况、遗传信息、宗教、哲学和道德信仰、政治观点和性取向等方面的个人数据。

（c）数据控制者（data controller）：决定处理个人数据的个人或私有法人实体。

（d）数据处理者（data processor）：代表数据控制者单独或与他人共同处理个人数据的个人或法人实体。

（e）数据所有者（data owner）：个人数据所对应的自然人。

（f）ARCO权利（the rights of access, rectification, cancellation and objection）：访问、更正、删除和反对处理个人数据的权利。

（二）适用地域范围

《私有主体数据保护法》和《私有主体数据保护条例》适用于在如下地域范围内进行的个人数据处理活动[11]：

（a）在位于墨西哥的数据控制者的处所（Establishment）中进行；

（b）由数据处理者代表在墨西哥设立的数据控制者处理，且不论数据处理者的地理位置；

（c）数据控制者不在墨西哥设立，但由于签订合同或根据国际法而受墨西哥法律管辖；以及

（d）数据控制者不在墨西哥设立，但使用位于墨西哥的媒介（除非这种媒介仅用于不涉及数据处理的中转目的）。在此情况下，数据控制者应指定一名代表或实施其认为适当的机制，以确保其能够有效遵守墨西哥个人数据的处理义务。

对于个人数据控制者，处所是指其主要营业地或用于从事活动的场所所在地或者其住所。对于法人数据控制者，处所是指其业务主要管理机构所在地；如在墨西哥没有主要管理机构所在地时，处所是指其指定所在地或允许实际从事数据处理活动的任何稳定场所[12]。

（三）隐私声明（privacy notice）

数据控制者有义务通过隐私声明（可以通过物理的、电子的或其他任何形式）告知数据所有者收集的个人数据以及理由[13]。隐私声明必须包含如下内容[14]：

（a）数据控制者的身份和住所；

（b）数据处理目的；

（c）数据控制者向数据所有者提供的限制数据使用或公开的选项和手段；

（d）依照本法规定行使ARCO权利的方式；

（e）拟进行的数据传输活动；

（f）数据控制者将隐私声明变更通知数据所有者的程序和手段；

（g）必须明确声明其处理的敏感个人数据。

此外，INAI于2013年1月发布了《隐私声明指南》（Guidelines on Privacy Notices），对隐私声明的制定进行了详细和具体的指导[15]。

四、墨西哥个人数据保护法下的主要合规义务

（一）个人数据处理的基本原则

《私有主体数据保护法》规定的个人数据处理基本原则包括合法性、同意、告知、质量、目的、诚信、比例以及可问责原则[16]。

1. 合法性原则（Principle of Legitimacy）

要求数据控制者确保数据处理行为遵循墨西哥以及国际性的法律法规要求[17]。

2. 同意原则（Principle of Consent）

除非另有规定，数据控制者在处理个人数据时必须取得数据所有者的同意。数据所有者可以随时撤回同意但撤回行为不产生回溯效力，数据控制者须在隐私声明中明确撤回同意的机制和程序[18]。

数据控制者必须取得数据所有者明确同意的场景包括[19]：

任何法律要求；
取得财务或财产数据；
取得敏感个人数据；
数据控制者要求数据主体证明其同意时；
数据主体和数据控制者有此约定。

但在以下个人数据处理场景下，同意原则可以不予适用[20]：

任何法律规定可以不取得同意；
数据包含在公开来源中；
个人数据经过去关联化（dissociation）处理（去关联化是指使个人数据无法与数据所有者建立联系，也无法通过其结构、内容或分类进行识别的程序[21]）；
其目的是履行数据所有者与数据控制者之间法律关系下的义务；
出现可能对个人人身或财产造成伤害的紧急情况；
对于医疗护理、预防、诊断、健康服务提供、医疗或保健服务管理至关重要，且数据所有者无法按照《通用健康法》（General Health Law）和其他适用法律规定的条件表示同意，且上述数据处理工作由负有职业保密责任或同等义务的人员执行；或者
有关主管部门发布决议。

3. 告知原则（Principle of Information）

数据控制者必须通过隐私声明，告知数据主体即将对其个人数据进行的处理活动以及特征[22]。数据控制者承担已按照法律法规出具隐私声明的证明责任[23]。如涉及市场营销、广告或商业勘探目的的，必须在隐私声明中明确[24]。

4. 质量原则（Principle of Quality）

数据处理者须保证其处理的个人数据是准确、完整、相关、正确以及最新的。由数据主体直接提供的数据默认符合质量原则（除非数据主体或数据控制者提出反对）[25]。

5. 目的原则（Principle of Purpose）

个人数据处理仅可以按照隐私声明中载明的目的进行，如果数据控制者的数据处理目的未包含在隐私声明中，则其必须再次取得数据所有者的同意[26]。

6. 可问责原则（Principle of Accountability）

数据控制者有义务保护并负责处理由其保管或持有的个人数据，或由其传输给数据处理者的个人数据，无论数据处理者是否位于墨西哥境内[27]。《私有主体数据保护条例》还提供了数据控制者遵循可问责原则可参考的具体措施[28]。

（二）云计算中的个人数据处理活动

《私有主体数据保护条例》单独对涉及个人数据处理活动的云计算提供者作出要求。按照其规定，云计算（Cloud Computing）是指按需对外提供计算机服务的模式，包括在动态共享的资源上使用虚拟程序，以灵活的方式提供基础设施、平台或软件[29]。只有在云计算提供者符合以下条件时，数据控制者方可使用此类服务[30]：

（a）制定并使用与《私有主体数据保护法》和《私有主体数据保护条例》规定的适用原则和义务类似的政策来保护个人数据；

（b）将涉及所提供服务信息的分包合同透明化；

（c）提供服务时，避免附加授权或允许其取得所提供服务相关信息的所有权的条件；

（d）对所提供服务涉及的个人数据保密；

（e）至少有以下机制：

披露其隐私政策或所提供服务条件的变更；
允许数据控制者限制其提供服务的个人数据处理类型；
建立并维护适当的安全措施，以保护其提供服务所涉及的个人数据；
一旦向数据控制者提供了服务，确保对个人数据的掌控（suppression，指能够根据数据控制者制定的安全措施，消除、删除或销毁个人数据[31]），并且数据控制者可以恢复；以及
能够阻止那些没有访问权的人访问个人数据，或能够在主管部门提出要求时通知数据控制者。

（三）个人数据跨境传输

当数据控制者拟向除数据处理者之外的境外第三方传输个人数据时，必须通过隐私声明向数据所有者告知传输目的，并包含数据所有者是否同意跨境传输的条款。境外接收方需承担与数据控制者相同的义务[32]。

但在下列场景中，跨境（或境内）传输可以不取得数据所有者的同意[33]：

（a）根据墨西哥的法律或加入的条约进行的传输；

（b）出于医疗诊断或预防、健康服务提供、医疗或健康服务管理的目的进行的传输；

（c）传输给受数据控制者控制的控股公司、子公司或附属公司，或按相同内部程序和政策经营的与数据控制者属于同一集团的母公司或任何公司；

（d）根据为数据所有者的利益在数据控制者与第三方之间已签订或将签订的合同而进行的传输；

（e）为维护公共利益或司法管理而需要进行的或依法要求的传输；

（f）为在司法程序中承认、行使或捍卫权利而需要进行的传输；

（g）为维护或履行数据控制者与数据所有者之间的法律关系而需要进行的传输。

（四）处罚

如果INAI发现任何疑似违反个人数据保护的行为，其会先向可能的违法主体发出通知并给予15天的时间，以允许可能的违法主体提供证据与正式的抗辩。经INAI分析证据和其他因素后，将自开启处罚程序之日起50天内作出最终的决定[34]。处罚类型包括[35]：

（a）警告并要求数据控制者按照数据所有者的要求开展数据处理活动；

（b）罚款，根据违法程度的不同，罚款区间分别为（i）墨西哥城最低工资100至160,000天的罚款；（ii）墨西哥城最低工资200至320,000天的罚款；（iii）如果重复出现违法行为，额外再加当前墨西哥城最低工资100至320,000天的罚款。

此外，《私有主体数据保护法》还规定了违法处理个人数据的刑事责任[36]：

（a）任何授权主体为牟利处理个人数据而造成安全漏洞，影响其所保管的数据库的，将被判处三个月至三年监禁；

（b）任何主体以获取非法利益为目的，利用数据所有者或经授权传输数据的主体的错误，以欺骗方式处理个人数据，将被判处六个月至五年监禁；

（c）涉及敏感个人数据的，刑事责任将会加倍。

结语

墨西哥较早建立了个人数据保护立法体系，因此经过了超过十年的实践，INAI也积累了大量的监管经验。我们建议出海墨西哥的中国企业对墨西哥个人数据保护相关的法律法规加以重视，如计划或正在墨西哥开展个人信息处理活动的，企业应及时确保对墨西哥相关数据法律法规的遵守，并搭建相应的合规体系。

感谢实习生万晴对本文的贡献。

扫码订阅“金杜律师事务所”，了解更多业务资讯