经过智利议会多年的讨论,修改关于隐私保护的第19628号法律的法案即将在智利《国家公报》上公布,并将成为正式法律,开始进入为期两年的生效倒计时。这是智利近期最受期待的法规之一,因为它的实施将带来彻底的文化变革。
智利现行法律可追溯到1999年。在这部法律的指导下,智利经历了一个彻底的数字化转型过程,首先是互联网和信息技术的兴起、移动电话的普及和渗透、电子商务的发展、第一批金融科技公司的出现、社交网络和人工智能的发展。
然而,除了对其内容影响甚微的小幅修订外,该法一直未作改动,不足以充分解决数字经济和技术颠覆浪潮下隐私与处理之间的矛盾。
此外,25年来,一直没有体系化的国家政策来促进数据保护,将其作为发展的支柱。法律的结构性缺陷(这是一部“没有牙齿”的法律)助长了宽容和“自由放任”的文化(传播这样一种思想,即个人数据只是负责任组织的另一种资产,几乎可以对其做任何事情),而不是促进数据保护文化的形成。
有了这项深受欧盟《通用数据保护条例》启发的新法律,我们将在很短的时间内从“一无所有”变为“无所不能”。真正的法律大爆炸。
关于控制个人数据的个人或组织在遵守新法律时将面临的挑战,已经有了很多论述。越来越多的人意识到,要遵守这一新的法律范式,必须实施新的流程、原则和措施。
然而,人们较少关注如何将该法纳入由新的个人数据法批准之前的规则和机构组成的现有法律体系。这一点令人震惊,因为法律体系各部分之间的协调是促进法律确定性的关键所在,它保证了受监管主体明确、事先已知、客观和现实的标准、准则和指令,使其能够充分面对高度复杂的监管实施过程。
由于这25年的数据保护“干旱”,不同的部门当局承担起了“数据保护机构”的角色。
例如,智利金融市场委员会(Comisión para el Mercado Financiero)在其法定权力范围内制定了与个人数据处理有关的规则,其中最明显的是适用于属于其监管范围内的公司的国际数据传输规则,或者是其在《金融科技法》(Ley Fintech)创建的开放式金融体系背景下可能发布的规则。
我们看到,立法议程没有遵循“逻辑路径”:
- 在新的个人数据法之前,我们已经有了《网络安全框架法》(与个人数据世界有多个连接点),并有自己的国家网络安全局。
- 我们的立法者早在设立个人数据机构的新《个人数据保护法》的立法程序完成之前,就提出了规范情报系统使用的法案,将这方面的权限赋予了个人数据机构。
- 《金融科技法》于2023年初颁布,其中多处引用了第19628号法律,对后者所特有的内容(如同意)进行了规范。
这就意味着,过去5年中通过的、以某种方式对隐私和个人数据管理产生影响的法律文本,并没有完全形成一个连贯协调的法律体系。一个简单的例子就是如何规范同意。
新《个人数据保护法》第12条规定,数据主体的同意必须通过口头、书面声明,或通过同等的电子手段表达,或通过明确表明数据主体意愿的肯定行为,事先、明确地给予。而《金融技术法》第23条在客户同意通过开放式金融系统提供某些服务必须满足的要求中补充规定,同意必须是明确的。
数据主体反映其意愿的肯定行为是否符合“明确”同意的标准?如果答案为“否”,哪一部法律将优先:是默示废除《金融科技法》的规则,因为它早于新的个人数据法所载的规则,还是《金融科技法》的特殊性优先于《个人数据法》所载的一般规则?
《消费者保护法》第3条(a)项明确规定,在消费者行为中,沉默不构成接受。在消费者事务领域,“证据确凿的沉默”已被禁止。在消费者关系领域,当要求同意处理消费者的个人数据时,是否可以理解为通过“明确表明所有者意愿的肯定行为”来表示同意,还是说这种机制看起来像是一种间接沉默,与《消费者保护法》所载的法律标准相去甚远?
当关于个人数据的新法律全面生效时,将至少有四个主管机构负责审理与此问题有关的事项:数据保护局、金融市场委员会、国家网络安全局,最终还有国家消费者保护局,但不影响其他部门主管机构。它们的标准、指导方针和做法是否相互一致?普通法院在审理针对行政决定提出的上诉时将发挥什么作用?
这些实体必须协调行动。否则,受监管方不仅会面临实施复杂标准的困难,还会受到不统一标准或法规的影响,从而影响法律的确定性,阻碍采用数据保护文化的进程,设置人为的进入壁垒,从而影响数字经济的发展,阻碍创新并关闭市场。
