如您希望下载PDF版本，请点击文末“阅读原文”获取。

（a）

在行政系统范围内解释本法；

（b）

为履行本法规定义务的数据控制者提供技术支持；

（c）

根据本法的相关规定提出意见和建议；

（d）

根据数据的性质、处理目的以及数据控制者的技术和财政能力，传播信息安全方面的国际最佳做法和标准；

（e）

根据本法规定的权利保护和核查程序进行听证并做出裁决，并实施相应的处罚；

（f）

与其他国内和国际机构及监督部门合作，在数据保护领域提供协助；

（g）

向墨西哥国会提交年度活动报告；

（h）

参加本法领域的国际论坛；

（i）

在实行新的个人数据处理方式或对现有处理方式进行重大修改之前，开展对隐私影响的研究；

（j）

制定、促进和传播保护第三方持有的个人数据领域的分析、研究和调研，并向负有义务的各方提供培训。

（a）

个人数据：有关已识别或可识别的自然人的任何信息。

（b）

敏感个人数据：涉及其数据所有者最私密领域的数据，或其不当使用可能引起歧视或给数据所有者带来严重风险，包括但不限于可能揭示种族或民族血统、目前或未来的健康状况、遗传信息、宗教、哲学和道德信仰、政治观点和性取向等方面的个人数据。

（c）

数据控制者（data controller）：决定处理个人数据的个人或私有法人实体。

（d）

数据处理者（data processor）：代表数据控制者单独或与他人共同处理个人数据的个人或法人实体。

（e）

数据所有者（data owner）：个人数据所对应的自然人。

（f）

ARCO权利（the rights of access, rectification, cancellation and objection）：访问、更正、删除和反对处理个人数据的权利。

（a）

在位于墨西哥的数据控制者的处所（Establishment）中进行；

（b）

由数据处理者代表在墨西哥设立的数据控制者处理，且不论数据处理者的地理位置；

（c）

数据控制者不在墨西哥设立，但由于签订合同或根据国际法而受墨西哥法律管辖；以及

（d）

数据控制者不在墨西哥设立，但使用位于墨西哥的媒介（除非这种媒介仅用于不涉及数据处理的中转目的）。在此情况下，数据控制者应指定一名代表或实施其认为适当的机制，以确保其能够有效遵守墨西哥个人数据的处理义务。

对于个人数据控制者，处所是指其主要营业地或用于从事活动的场所所在地或者其住所。对于法人数据控制者，处所是指其业务主要管理机构所在地；如在墨西哥没有主要管理机构所在地时，处所是指其指定所在地或允许实际从事数据处理活动的任何稳定场所[12]。

（a）

数据控制者的身份和住所；

（b）

数据处理目的；

（c）

数据控制者向数据所有者提供的限制数据使用或公开的选项和手段；

（d）

依照本法规定行使ARCO权利的方式；

（e）

拟进行的数据传输活动；

（f）

数据控制者将隐私声明变更通知数据所有者的程序和手段；

（g）

必须明确声明其处理的敏感个人数据。

（a）

合法性原则（Principle of Legitimacy）

要求数据控制者确保数据处理行为遵循墨西哥以及国际性的法律法规要求[17]。

（b）

同意原则（Principle of Consent）

除非另有规定，数据控制者在处理个人数据时必须取得数据所有者的同意。数据所有者可以随时撤回同意但撤回行为不产生回溯效力，数据控制者须在隐私声明中明确撤回同意的机制和程序[18]。

数据控制者必须取得数据所有者明确同意的场景包括[19]：

• 任何法律要求；

• 取得财务或财产数据；

• 取得敏感个人数据；

• 数据控制者要求数据主体证明其同意时；

• 数据主体和数据控制者有此约定。

但在以下个人数据处理场景下，同意原则可以不予适用[20]：

• 任何法律规定可以不取得同意；

• 数据包含在公开来源中；

• 个人数据经过去关联化（dissociation）处理（去关联化是指使个人数据无法与数据所有者建立联系，也无法通过其结构、内容或分类进行识别的程序[21]）；

• 其目的是履行数据所有者与数据控制者之间法律关系下的义务；

• 出现可能对个人人身或财产造成伤害的紧急情况；

• 对于医疗护理、预防、诊断、健康服务提供、医疗或保健服务管理至关重要，且数据所有者无法按照《通用健康法》（General Health Law）和其他适用法律规定的条件表示同意，且上述数据处理工作由负有职业保密责任或同等义务的人员执行；或者

• 有关主管部门发布决议。

（c）

告知原则（Principle of Information）

数据控制者必须通过隐私声明，告知数据主体即将对其个人数据进行的处理活动以及特征[22]。数据控制者承担已按照法律法规出具隐私声明的证明责任[23]。如涉及市场营销、广告或商业勘探目的的，必须在隐私声明中明确[24]。

（d）

质量原则（Principle of Quality）

数据处理者须保证其处理的个人数据是准确、完整、相关、正确以及最新的。由数据主体直接提供的数据默认符合质量原则（除非数据主体或数据控制者提出反对）[25]。

（e）

目的原则（Principle of Purpose）

个人数据处理仅可以按照隐私声明中载明的目的进行，如果数据控制者的数据处理目的未包含在隐私声明中，则其必须再次取得数据所有者的同意[26]。

（f）

可问责原则（Principle of Accountability）

数据控制者有义务保护并负责处理由其保管或持有的个人数据，或由其传输给数据处理者的个人数据，无论数据处理者是否位于墨西哥境内[27]。《私有主体数据保护条例》还提供了数据控制者遵循可问责原则可参考的具体措施[28]。

（a）

制定并使用与《私有主体数据保护法》和《私有主体数据保护条例》规定的适用原则和义务类似的政策来保护个人数据；

（b）

将涉及所提供服务信息的分包合同透明化；

（c）

提供服务时，避免附加授权或允许其取得所提供服务相关信息的所有权的条件；

（d）

对所提供服务涉及的个人数据保密；

（e）

至少有以下机制：

（a）

根据墨西哥的法律或加入的条约进行的传输；

（b）

出于医疗诊断或预防、健康服务提供、医疗或健康服务管理的目的进行的传输；

（c）

传输给受数据控制者控制的控股公司、子公司或附属公司，或按相同内部程序和政策经营的与数据控制者属于同一集团的母公司或任何公司；

（d）

根据为数据所有者的利益在数据控制者与第三方之间已签订或将签订的合同而进行的传输；

（e）

为维护公共利益或司法管理而需要进行的或依法要求的传输；

（f）

为在司法程序中承认、行使或捍卫权利而需要进行的传输；

（g）

为维护或履行数据控制者与数据所有者之间的法律关系而需要进行的传输。

（a）

警告并要求数据控制者按照数据所有者的要求开展数据处理活动；

（b）

罚款，根据违法程度的不同，罚款区间分别为（i）墨西哥城最低工资100至160,000天的罚款；（ii）墨西哥城最低工资200至320,000天的罚款；（iii）如果重复出现违法行为，额外再加当前墨西哥城最低工资100至320,000天的罚款。

（a）

任何授权主体为牟利处理个人数据而造成安全漏洞，影响其所保管的数据库的，将被判处三个月至三年监禁；

（b）

任何主体以获取非法利益为目的，利用数据所有者或经授权传输数据的主体的错误，以欺骗方式处理个人数据，将被判处六个月至五年监禁；

（c）

涉及敏感个人数据的，刑事责任将会加倍。

墨西哥较早建立了个人数据保护立法体系，因此经过了超过十年的实践，INAI也积累了大量的监管经验。我们建议出海墨西哥的中国企业对墨西哥个人数据保护相关的法律法规加以重视，如计划或正在墨西哥开展个人信息处理活动的，企业应及时确保对墨西哥相关数据法律法规的遵守，并搭建相应的合规体系。