合规2026年6月20日 | FlexyConsent

阿根廷数据保护改革：出版商Cookie同意合规指南

阿根廷是拉丁美洲数据保护制度较为完善的国家之一。Ley 25.326，即该国个人数据保护法，于2000年颁布，并于2003年获得欧盟委员会的充分性认定——这一地位在过去二十年间深刻影响了拉丁美洲的隐私法律发展。该制度目前正在进行现代化改革。一项由Agencia de Acceso a la Información Pública（AAIP）推动、自2023年起在国会讨论的改革法案，将使Ley 25.326与GDPR更加紧密接轨：明确的同意标准、更严格的跨境传输规定、对数据处理者的专项义务，以及实质性的行政罚款。对于在阿根廷运营或处理阿根廷居民个人数据的出版商而言，这次改革将重塑Cookie同意的获取、记录和证明方式。本指南总结了正在发生的变化及应对措施。

法律背景

Ley 25.326起草之时，行为广告尚未大规模兴起。其同意标准要求事先、明确且知情的授权，但AAIP在历史上的实际解释比欧洲监管机构的要求宽松许多。Cookies、跟踪像素和受众构建工具在阿根廷的运营处于相对宽松的解释环境之中，执法重点集中在明显违规案例，而非系统性的横幅设计问题。

这次改革在三个结构性方面改变了运营环境。首先，它收紧了同意的定义，与GDPR Article 4(11)的表述保持一致——自由给予、具体、知情且明确。其次，它采纳了明确的问责原则，要求数据控制者能够证明合规，而不仅仅是声称合规。第三，它将最高行政罚款提高到与组织营收相称的水平，这从实质上改变了国际平台的执法考量。

改革标准下什么构成有效同意

最近一版提交国会的改革文本，在重要方面与欧洲的同意理解相呼应。预先勾选的复选框不构成同意。持续使用网站不构成同意。将不相关目的的同意捆绑——例如，将接受服务条款视为行为广告的授权——不构成同意。AAIP在研讨会和咨询中已表明，其有意参照EDPB的指导意见来解释改革标准，这意味着阿根廷出版商应预见Cookie横幅执法将趋向与EDPB Cookie横幅工作组记录的六种常见失误相一致：缺少拒绝按钮、欺骗性链接设计、预先勾选类别、错误标记Cookies、缺少撤回机制，以及压迫式暗黑模式设计。

对于阿根廷的Cookie横幅而言，实际意义在于：能通过EU审查的设计，在改革后也能通过阿根廷的审查。相反，原先依据较宽松解释在阿根廷运行的横幅，可能需要在改革法规生效前进行实质性重新设计。

跨境数据传输

改革中最重要的变化之一是对国际数据传输的处理方式。根据最初颁布的Ley 25.326，向缺乏充分保护的国家传输数据，要么需要特定同意，要么需要合同保障，但相关规则较为简略，AAIP的执法能力也有限。改革引入了一套与GDPR Chapter V相对应的分层框架：向AAIP认定为充分保护水平的国家传输数据是被允许的；在缺乏充分性认定的情况下，传输需要经过批准的机制，如约束性公司规则、AAIP批准的标准合同条款或特定例外情形。

对于将阿根廷流量路由至美国、EU或亚洲广告技术供应商的出版商而言，实际影响是：Cookie同意记录现在还必须支持传输问责义务。CMP必须能够证明，针对任意特定访问者，哪些类别的供应商接收了其个人数据，以及依据何种传输机制。这与欧洲出版商为GDPR构建的问责架构相同，只是应用于阿根廷流量。

AAIP的角色

Agencia de Acceso a la Información Pública是阿根廷数据保护主管机构。该机构由Decreto 746/2017于2017年创立，统一负责数据保护和信息自由制度的监督。在现行法律下，其执法权力较为有限；改革将大幅强化这些权力。

调查权力

改革赋予AAIP强化的权力，可强制文件提交、开展检查，并在调查期间采取临时措施。对于在线出版商而言，这最可能以要求提供同意记录、供应商名单以及特定日期范围内的横幅代码快照的形式出现。

处罚制度

改革文本下的最高行政罚款与年度营收的一定比例挂钩，并设有较高的绝对上限。这是对现行固定金额制度的重大转变，使阿根廷与GDPR的分级罚款结构接轨。

与拉丁美洲同行的协调

AAIP是伊比利亚美洲数据保护网络的积极参与者。改革后的阿根廷指导意见预计将影响——并受到——巴西ANPD、墨西哥INAI、智利改革制度以及乌拉圭URCDP的影响。在该地区运营的出版商应预期在24至36个月内同意标准趋于一致。

出版商现在应采取的措施

改革正处于立法推进阶段，尚未生效。稳健的做法是立即按照更高标准构建，假设法规将在12至18个月内颁布实施。五项操作步骤可使过渡过程更易管理。

依据EDPB工作组标准审计现有横幅。如果横幅未能通过六种常见失误中的任何一项，那么在改革后的阿根廷标准生效后，同样会不合格。现在进行整改可避免日后返工。
添加西班牙语横幅和隐私政策版本。阿根廷西班牙语（es-AR）是主要的用户面向语言；确保CMP原生支持该语言，而不仅仅是通用西班牙语。
将供应商名单与传输机制相对应。对于每个接收阿根廷个人数据的广告技术、分析或营销供应商，记录传输机制：充分性认定、标准合同条款、约束性公司规则或例外情形。
配置具有地区粒度的同意记录。同意记录应记录访问者的来源国（在横幅显示时通过IP推断），以便AAIP调查时能提供经国家筛选的证据。
指定AAIP联络点。许多国际出版商在阿根廷运营时没有正式的当地代表；改革使指定监管机构联络点成为实际需要。

超越Cookie横幅

阿根廷改革的范围远不止Cookie同意。它全面修订了数据泄露通知时限，为敏感数据类别引入了专项保护，并对自动化决策制定了新义务。对于出版商而言，Cookie横幅是最显眼的合规界面，但绝非唯一。记录Cookie同意的CMP基础设施，也处于有利位置来记录其他同意决定——通讯同意、与零售媒体合作伙伴的数据共享同意、个性化功能的同意——而AAIP的问责要求适用于所有这些场景。

这次改革反映了一个更广泛的趋势：拉丁美洲正在向GDPR对齐的标准迈进，各国依据本地法律传统作出调整。那些现在就构建区域无关同意堆栈的出版商——能够记录细粒度的特定目的同意、支持多语言和日期格式、以审计级格式记录决策，并与传输文件集成——将通过同一运营管道处理阿根廷、巴西、墨西哥和智利的合规事务。为单一司法管辖区构建后再为下一个进行改装的成本，历史上一直高于从一开始就按地区标准构建的成本。