墨西哥LFPDPPP Cookie同意合规指南:2026年发布者必须采取的行动
墨西哥是拉丁美洲数据保护制度建立较早的国家之一。《私营主体持有个人数据联邦保护法》(LFPDPPP)是规范私营机构持有个人数据的联邦法律,于2010年正式生效,2011年颁布详细条例,2013年发布隐私通知的约束性参数。长期以来,该法律以墨西哥行政法风格加以诠释:通知内容规定详尽,技术实施则相对灵活。这一平衡正在转变。国家信息透明、获取与个人数据保护研究所(INAI)——即2024年改革前的监管机构——在数字追踪方面发布了越来越直接的指导意见,而围绕数据保护机构重组的政策讨论也使对在线发布者的审查日趋严格。对于处理墨西哥居民个人数据的任何企业而言,Cookie横幅合规已成为切实的执法问题,而非学术探讨。本指南将梳理LFPDPPP及其条例的具体要求、必要Cookie与非必要Cookie的划定标准,以及如何在实践中实现Cookie横幅合规。
法律框架
LFPDPPP处于分层框架的顶端。该法律本身定义了核心原则——合法性、同意、信息、质量、目的、忠实性、比例性、责任制——墨西哥立法者借鉴了欧洲数据保护传统。法律之下是《LFPDPPP条例》,填补了操作层面的细节;《隐私通知准则》(Lineamientos del Aviso de Privacidad)则规定了隐私通知的必要内容及形式。这三份文件共同构成了墨西哥统一隐私法典的等效体系,具有约束性法规的实际效力。
对于在线发布者而言,最关键的条款是该法律第8至11条规定的同意规则,以及规范同意请求方式的隐私通知要求。墨西哥的同意分级管理:在已给予适当通知的情况下,对普通个人数据的某些处理可采用默示同意;但对敏感数据以及法律特别要求的任何处理,则需要明示同意。Cookie横幅的解释问题在于:行为广告类Cookie适用哪种制度。
墨西哥法律对Cookie和在线标识符的处理方式
与欧盟《ePrivacy指令》不同,LFPDPPP未包含Cookie专项条款。该框架将可关联到可识别个人的在线标识符视为个人数据,同意义务来源于总体框架而非专门的Cookie规则。INAI指导意见已明确:
- 网站功能严格必要的第一方Cookie无需事先同意,但其存在须在隐私通知中披露。
- 分析类Cookie通常需要知情同意;若在收集任何数据之前隐私通知已清晰可及,则可接受默示同意。
- 广告和行为类Cookie需要明示同意,尤其是数据被共享给第三方或用于跨站追踪时。
- 获取敏感数据的Cookie——健康、性取向、宗教信仰、政治观点——无论类别如何,均需明示同意。
实际效果是:合规的墨西哥Cookie横幅至少需区分必要类、分析类和广告类,广告类需主动选择加入,分析类需清晰告知。
隐私通知作为合规基石
墨西哥隐私法以通知为中心,与欧洲传统有所不同。隐私通知——aviso de privacidad——不仅是透明度文件,更是构建同意的法律工具。《隐私通知准则》要求通知包含特定要素,任何Cookie横幅必须与基础通知保持一致,而非试图将所有内容压缩进弹出横幅。
通知必备要素
通知必须标明数据控制者身份、列出所收集的个人数据、描述处理目的、说明数据是否将转移给第三方、明确数据主体的权利(acceso、rectificación、cancelación、oposición——即所谓ARCO权利),并描述如何行使这些权利。对于在线发布者,Cookie横幅需作为进入完整通知的分层入口,而非其替代品。
短式、简化式、完整式
条例认可三种通知格式:完整式(integral)、简化式和短式。Cookie横幅通常呈现短式或简化式通知,并提供通往完整版的清晰路径。Cookie类别和同意切换开关位于这一分层结构之中。
INAI改革及后续走向
2024年底,墨西哥政府推进了一项改革,对联邦数据保护职能进行重组——自治的INAI正被纳入行政部门下的新机构安排。法律框架(LFPDPPP、条例、准则)继续有效,但监管连续性仍是悬而未决的问题。对于发布者而言,稳健的立场是:假定实质性标准保持不变,而执法力度在过渡期内尚不确定。无论监管架构如何最终稳定,按照INAI在改革前阐明的标准来构建——精细的分类、广告的明示选择加入、完整的ARCO权利支持、准确的aviso de privacidad——都是正确的策略。
实用合规检查清单
针对服务墨西哥流量的任何Cookie横幅,需回答六个具体问题。
1. 分类
横幅是否至少将Cookie区分为必要类、分析类和广告类,并对广告类要求主动选择加入?将所有非必要Cookie捆绑在单一“全部接受”选项下而不提供粒度选择,是最常见的缺陷。
2. 隐私通知关联
横幅是否链接至完整隐私通知,且该通知是否包含所有必要要素(控制者、数据、目的、转移情况、ARCO权利)?缺乏经过妥善起草的支撑通知,横幅只是单薄的合规表面。
3. 西班牙语(墨西哥)
横幅是否以西班牙语呈现,且在与欧洲西班牙语有差异之处是否采用墨西哥西班牙语惯例?正确的语言风格向用户和监管机构均传递出认真对待合规的信号。
4. 撤回路径
是否有持久性控件允许用户重新查看并修改其同意选择?撤回权是ARCO中“oposición”权利的组成部分,横幅必须予以支持。
5. 第三方转移披露
通知是否标明通过Cookie接收个人数据的第三方类别(广告网络、分析提供商、CDP),并提供足够详细的信息以便用户理解数据流向?
6. 日志记录
系统是否记录每项同意决定(含时间戳和横幅版本),以便在发生投诉时发布者能够证明该决定是在自由、知情的状态下作出的?
融入拉丁美洲整体格局
墨西哥是继巴西之后拉丁美洲第二大数字市场,其数据保护制度是该地区最具影响力的之一。当前进行中的改革辩论将影响多年的解释方向,但实质性标准保持稳定:以通知为中心、以ARCO权利为基础、广告须粒度同意、完整披露第三方转移。在拉丁美洲跨区域运营的发布者,一次性按照较高标准构建系统将获益良多——阿根廷的改革框架、巴西的LGPD、智利的改革法律以及哥伦比亚的待审议法案,均趋向类似的基线预期。一套支持墨西哥西班牙语、捕获类别级同意、清晰链接至完整aviso de privacidad并以审计级格式记录决定的CMP,能够通过同一基础设施同时处理墨西哥合规与区域合规。