一、核心法律与监管依据
阿根廷网络数据安全相关规制体系涵盖法律、法令、行政决定、决议等多重层级,企业出海需重点遵循以下核心依据:
法律:《个人数据保护法》(第 25,326 号法律)、《计算机相关犯罪法》(第 26,388 号法律)、《欧洲委员会网络犯罪公约(布达佩斯公约)》(第 27,411 号法律)、《保密法》(第 24,766 号法律)、《个人数据自动处理保护公约修订议定书批准法》(第 27,699 号法律)、《消费者保护法》(第 24,240 号法律)
关键法令:第 1558/2001 号法令(规范《个人数据保护法》)、第 577/2017 号法令(设立网络安全委员会)、第 50/2019 号法令(明确关键信息通信基础设施保护责任)
核心监管机构:国家计算机应急响应中心(CERT.ar)、公共信息获取局、国家数据保护局、中央银行(BCRA)、国家证券委员会(CNV)、国家药品、食品和医疗技术局(ANMAT)等行业监管机构
二、禁止性网络行为及法律责任
(一)主要禁止行为及刑事 / 行政责任
1.黑客攻击(未授权访问):违反《阿根廷刑法典》(ACC)第 153 条,未经授权或超授权访问受限计算机系统 / 数据,处 15 天至 6 个月监禁;若侵害公共机构、公共服务或金融服务提供商的系统 / 数据,处 1 个月至 1 年监禁;公职人员滥用职权实施的,额外处以两倍刑期的从业禁令;擅自披露或发布获取的电子通信内容,刑罚相应加重。
2.拒绝服务攻击(DDoS):无专门规制,适用 ACC 第 153 条及第 197 条,中断或阻碍通信服务的,处 6 个月至 2 年监禁。
3.钓鱼诈骗:通过计算机操纵技术实施欺诈,违反 ACC 第 173 条第 16 款,处 1 个月至 6 年监禁。
4.恶意软件相关行为:制作、销售、传播或植入勒索软件、间谍软件等破坏性程序,违反 ACC 第 183 条,处 15 天至 1 年监禁。
5.身份盗窃 / 欺诈:无专门罪名,但相关立法提案拟将通过网络冒用他人 / 企业身份的行为定为犯罪,最高可处 6 年监禁(冒用未成年人身份或公职人员履职中实施的加重处罚),目前可通过欺诈、数据保护相关条款追责。
6.其他危害行为:故意向第三方提供个人数据文件中的虚假信息,违反 ACC 第 117 条之二,处 6 个月至 3 年监禁;造成第三方损害的,刑罚加重 50%;公职人员实施的,额外处以两倍刑期的公职禁令。
(二)处罚补充说明
上述罪名仅对在阿根廷境内实施或产生直接 / 间接影响的行为具有管辖权,无治外法权。
针对个人数据保护违规,可处以警告、暂停业务、最高 10 万阿根廷比索的罚款,情节严重的可关闭数据档案 / 数据库。
消费者权益相关违规(如未告知产品 / 服务 cybersecurity 风险),可能面临罚款、没收货物、暂停服务、取消国家合同资格等处罚。
三、企业核心合规义务
(一)安全措施要求
1.公共部门及承包商:需遵守第 641/2021 号行政决定,核心要求包括:制定符合风险评估的信息安全政策;建立信息安全组织架构;对信息资产按机密性、完整性、可用性分类并实施分级访问控制;采用加密技术保护数据存储与传输;落实物理与环境安全措施;在采购合同中纳入供应商信息安全合规条款;制定危机连续性管理程序;开展员工信息安全培训。
2.私营部门:无强制性安全措施立法,但需遵循《个人数据保护法》相关建议,包括实施数据保护安全措施、制定事件管理程序;部分行业(金融、医疗)有专项规制。
(二)安全事件上报义务
1.上报触发条件:涉及公共部门及相关承包商的,发生可能影响信息系统 / 数据、核心服务或违反法规的安全事件;涉及个人数据的,发生可能影响数据主体基本权利的泄露事件;涉及消费者合同的,发生对消费者安全产生影响的事件。
2.上报对象及时限:公共部门及承包商需在知晓事件后 48 小时内上报 CERT.ar;个人数据安全事件需通知国家数据保护局;消费者相关事件需通知主管部门及消费者。
3.上报内容:事件描述、已采取的应对措施、受影响服务 / 信息的预计恢复时间、事件性质及 mitigation 措施等。
(三)个人数据保护特殊要求
禁止向未达到 “充分保护水平” 的国家 / 地区转移个人数据,已认可的国家 / 地区包括欧盟成员国、英国、乌拉圭、新西兰等 11 个司法管辖区。
数据跨境转移例外情形:国际司法合作、医疗 / 流行病学研究(去标识化后)、金融市场交易、国际条约框架下的转移、情报机构反恐 / 反有组织犯罪合作、数据主体明示同意。
四、特定行业专项要求
(一)金融服务行业
中央银行(BCRA)规制:适用于金融机构、支付服务提供商等,要求制定网络事件响应测试计划、建立事件管理规范、落实风险缓解与系统恢复措施、建立监控评估机制。
国家证券委员会(CNV)规制:适用于资本市场相关机构及虚拟资产服务提供商,要求制定信息安全政策实施计划、落实网络弹性措施、将信息安全纳入 IT 资产管理、开展年度外部审计、建立内部网络风险管理程序、实施员工培训、搭建关键系统恢复基础设施。
(二)医疗服务行业
国家药品、食品和医疗技术局(ANMAT):需遵守第 9703/22 号规制,建立信息安全政策,符合公共部门最低安全要求。
卫生部规制: telemedicine 服务需采用符合 cybersecurity 协议的技术,确保信息机密性、完整性、可用性,具备风险评估与审计流程,音视频传输需使用最新加密标准。
补充要求:需遵守医疗数据管理相关标准,各省可能有专项实施细则。
(三)电信服务行业
核心依据:《信息通信技术法》(第 27.078 号)要求电信设备需经权威机构认证,保障用户个人数据安全,禁止超授权使用数据。
国家通信管理局(ENACOM):需遵守防范网络诈骗、钓鱼等风险的相关标准。
五、安全事件处理与责任追究
(一)民事责任
因安全事件造成他人损害的,受害人可依据《阿根廷民商法典》主张损害赔偿,需证明实际损害及因果关系。
合同框架下的事件,可主张违约责任;个人数据相关事件,可依据《个人数据保护法》提起民事赔偿诉讼;消费者相关事件,可向监管机构或法院提起维权主张。
(二)企业管理层责任
董事及高级管理人员需履行 “谨慎商人” 义务,对公司 cybersecurity 事务尽到忠实与勤勉责任,未制定安全政策、未开展员工培训或存在管理失职的,需对公司、股东及第三方承担连带赔偿责任。
免责途径:对责任认定决议提起诉讼,或向作出认定的董事会提交书面异议。
(三)典型处罚案例
2021 年,某超市公司遭遇网络攻击后,未披露数据泄露详情、未上报事件且未说明防范措施,被公共信息获取局依据《个人数据保护法》处以 29 万阿根廷比索罚款。
六、防范措施与风险保障
(一)允许的防护措施
信标(Beacons)、蜜罐(Honeypots)、Sinkholes(黑洞路由):无专门规制,可依据 “合理防害” 原则使用。
员工通信监控:无明确禁止或允许规定,司法实践倾向 “平衡原则”,需向员工出具书面通知,明确监控范围,不得侵犯员工合法权益。
(二)保险保障
允许投保网络安全险,保险公司经国家保险监管局批准可提供相关保单。
保险覆盖范围:包括数字信息恢复、业务中断损失、被盗资产赔付等直接损失,以及第三方损害赔偿、法律费用等间接损失;无禁止使用保险支付赎金的规定。
(三)技术进出口
无针对 cybersecurity 防护技术(如加密软硬件)的进出口限制。
免责声明
法律及程序可能发生变更。本文仅提供一般性信息,不构成法律建议。若您在海外遭遇法律纠纷,请立即联系我们咨询专业涉外律师。
