2025年3月20日，墨西哥《联邦官方公报》晚刊发布了一项法令（简称“该法令”），颁布了《公共信息透明度和获取一般法》（简称“LGTAIP”）、《公共部门实体个人数据保护一般法》（简称“LGPDPPSO”）、《私人个人数据保护联邦法》（简称“LFPDPP”），并修订了《联邦公共行政组织法》（简称“LOAPF”）第37条第15款。该法令于2025年3月21日生效，旨在鉴于国家透明度、信息获取和个人数据保护局（简称“INAI”）及其州级对应机构的解散，统一透明度和数据保护法律。

LGTAIP 的主要变化

• 在联邦层面，反腐败和善治秘书处（“部”）下属的权力下放行政机构“人民透明度部”（Transparencia para el Pueblo）将取代国家统计局，成为负责保障公众信息获取权的机构。
• 在地方层面，专门负责信息获取和数据保护的宪法自治机构将被各州行政部门内的内部控制机构或同等机构取代，这些机构还将处理与市政当局或行政区的透明度事务。
• 获取公共信息的权利还将得到司法部门的监督和纪律机构、内部控制机构或相当于自治宪法机构的机构、联邦议会的内部监督办公室、国家选举机构（针对政党掌握的公共信息）、联邦劳工调解和登记中心、联邦调解和仲裁法院（针对工会掌握的信息）以及立法和司法部门和州一级自治宪法机构内的内部监督机构或相当于该机构的机构的保证。
• 新的《LGTAIP》明确要求义务实体记录其在行使权力、权限或职能时产生的每一项行为。
• 如果信息披露符合以下情况，则可能被归类为限制信息：
  • 如果该信息与尚未最终完成的行政或司法程序直接相关，则将造成比公众获取该信息的利益更大的损害；或者
  • 将危及联邦政府直接或间接开发、获取或运营的技术、能源、空间、卫星、电信或防御系统的运行或完整性，以及战略性、高优先级或与国防相关的设施、基础设施、项目、计划或服务的运行或完整性。
• 关于针对公务员或私人的投诉、举报或行政诉讼是否存在且尚未结案或尚未作出最终处罚的声明应被视为机密信息。
• 仅当涉及联邦公共资金的信息请求时，才可向人民透明度机构对担保机构做出的决定提出上诉。

• 与国家信息管理局不同，“人民透明度”组织无权在与透明度和信息获取相关的宪法争议中提出宪法挑战或采取行动。

LGPDPPSO 的主要变化

• 该部无权审查联邦实体监督机构就义务实体持有的个人数据保护所做出的决定。

• 该部无权对涉及义务实体所持有的个人数据保护的宪法争议提出宪法挑战或诉讼。

LFPDPPP 的主要变化

虽然新的 LFPDPPP 保留了先前法律框架下确立的几项核心原则，它引入了重大变化，重塑了该国的数据保护方式：

• 此前由国家税务总局掌握的权力已移交给该部，该部目前全面承担该领域的监督、调查、执法和公众宣传职能。
• LFPDPPP 的范围现在明确包括数据处理者，这意味着参与处理个人数据的任何人（无论他们是否确定此类处理的目的或手段）都直接受法律约束。
• “同意”、“个人数据”、“隐私声明”和“可公开访问的来源”等关键术语的定义已更新。处理敏感数据和财务数据仍然需要获得明确同意。此外，根据《隐私保护法》（LFDPPP）和其他适用法律规定，非法获取或源自非法来源的信息将不被视为可公开访问的来源。
• LFPDPPP 融合了数据最小化、目的限制和主动问责的原则，并明确了每个原则的含义。
• 任何参与处理个人数据的人员（包括员工和外部服务提供商）即使在与数据控制者的关系结束后也必须保持保密。为了履行这一义务，组织必须实施内部政策、提供培训计划并纳入适当的合同条款。
• 数据主体将保留其访问、更正、取消和反对的权利（“ARCO权利”）。更正不准确数据的权利和反对权也将扩展到产生重大影响的自动化决策流程。此外，撤销同意的程序已明确，以确保数据主体拥有更大的控制权。
• 该过渡制度规定，自《联邦数据保护法》（LFDPPP）生效之日起120个日历日内，设立专门处理数据保护事务的联邦法院。正在进行的宪法权利保护程序将暂停180天，而在该法生效前启动的程序将根据先前的法律框架（目前由该部管辖）进行审理。
• 过渡制度还规定，自法令生效之日起，所有诉讼、法律补救措施和现已不复存在的国家机构负责的程序都将暂停 90 个日历日，但通过国家透明平台提交的信息请求除外。

• LFPDPPP 以人权为基础，并纳入了个人利益原则，该原则要求以对数据主体最有利的方式解释数据保护规则。

实施挑战和法律风险

LFPDPPP 纳入了公共部门数据保护框架的多项规定。虽然这一协调旨在增强一致性，但也给私营部门带来了重大的合规挑战，包括：

• LFPDPPP 的有效实施在很大程度上取决于技术标准和补充监管指南的发布，预计这些标准和指南将解决投诉处理程序、数据互操作机制和一般合规框架等关键问题。

• LFPDPPP仍未对个人数据的国际转移建立明确的标准或具体机制，导致企业缺乏关于如何确保跨境数据流动合法性的明确指导，从而给跨国经营带来了不确定性。

• 过渡制度仅规定了宪法权利保护程序的专门法院。由于这项权力目前源于次级立法，而非自治的宪法机构，因此无效程序可能被解读为一种替代性救济措施。

• 默示同意的重申扩大了可以推定数据主体授权的场景，可能会削弱透明度并使个人数据保护权利的执行变得更加困难。

• LFPDPPP 允许在更广泛的情况下无需同意处理个人数据，包括基于一般法律规定或非约束性授权的情况。这可能会对同意要求的界限和例外情况造成不确定性。

• 简化的隐私声明不再要求告知数据主体所收集的个人数据类别，也不再要求告知他们ARCO权利或隐私实践的变更。这可能会损害个人就其信息的使用做出明智决定的能力。

• 私营实体被施加了新的合规义务（例如，根据要求向该部提供信息），而机构监督机制似乎被削弱，因为该部不再需要向国会报告——这引发了对问责制的潜在担忧。

• 尽管在涉及敏感或大规模数据的情况下，隐私影响评估已被证明是有用的，但 LFPDPPP 并不要求对涉及高风险的处理活动进行隐私影响评估。

• 严格的期限和正式要求仍然存在，这可能会继续限制数据主体行使其权利的机制的可及性和有效性。

• 《土地征用法》显著扩大了不合规行政处罚的范围。然而，在相关监管规定出台之前，此类处罚的标准、范围和比例在实践中仍存在很大的不确定性。

• 第六条第二款规定，数据控制者必须优先保护数据主体的利益。该条款措辞含糊不清，可能导致不同的法律解释，并增加数据控制者的义务。

• 将“同意”定义为“知情的”意愿表达可能会与其他情况下（例如医疗保健领域）使用的“知情同意”概念产生混淆，因为该术语包含额外的具体要求。

总体而言，虽然这项改革代表了墨西哥数据保护格局的结构性转变，但其成功实施将取决于明确的补充法规、实用指南和谨慎的解释——特别是对于处理敏感数据、大规模处理或国际数据传输的公司而言。

LGTAIP与该国数据保护法有重叠部分，欢迎阅读《墨西哥数据保护法 - 合规性满足》，您也可以联系揽阁信息，获取更多信息。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• 什么是数据保护和数据隐私？如何有效保护？
• CipherTrust Transparent Encryption对于数据保护和隐私合规的重要性
• 解读数据泄露的真相：防患于未然
• 从防御到进攻：2025 年 CISO 的由内而外的数据安全策略
• 加密物料清单 (CBOM)：保护软件供应链的关键
• 如何有效解决针对 AWS S3 数据的非勒索软件攻击