观韬解读│数海灯塔：企业出海数据合规实务要点Q&A（巴西篇）

作者：王渝伟 余扬

巴西作为拉丁美洲第一大经济体，在全球经济格局中占据重要地位。依托得天独厚的资源禀赋与广阔的内需市场，巴西与中国长期保持互利共赢的经贸合作关系，中国已连续 17 年成为巴西最大贸易伙伴，2025 年双边贸易额达 1710 亿美元，在全球贸易承压背景下实现逆势增长，充分彰显了双边合作的强大韧性。[1]

近年来，伴随全球科技革命加速演进与巴西产业结构深度调整，数字经济跃升为巴西经济增长的核心引擎。巴西接连出台专项顶层政策，加码数字基础设施建设与产业数字化转型，当前全国核心城市实现 5G 网络全覆盖，光纤渗透率、移动网络普及率持续走高，电商、云计算、人工智能等赛道快速扩容，数据要素成为企业生产运营的核心支撑，市场数字化需求持续释放。在此背景下，中巴合作实现全面升级，从传统大宗商品贸易，逐步延伸至数字经济、能源转型、人工智能等新兴领域，合作模式从商品互通升级为技术共享、产业共建，两国经贸联系愈发紧密。[2]华为云为巴西本地提供云计算与数据处理服务[3]，比亚迪在巴投建生产基地推进本土化运营[4]，大批中资企业深耕本土市场，以务实行动为中巴经贸合作持续注入新动能。

与此同时，巴西于2018年颁布《个人数据保护通用法》（Lei Geral de Proteção de Dados，下称“LGPD”），并于2020年9月正式生效，标志着巴西建立起统一、全面的个人数据保护法律框架。近年来，巴西国家数据保护局（ANPD）持续加强执法，并于2024年发布了境外数据传输、DPO职责等重要配套法规，为巴西数据保护体系注入了新的活力。对于期望进入巴西市场的中国企业而言，充分了解并遵守当地数据合规要求已成为不可回避的义务。

本篇将以Q&A的形式，对巴西数据保护的核心规则进行系统梳理，帮助中国出海企业快速把握LGPD合规要点。 

Q1: 巴西主要的数据保护法律法规有哪些？

巴西的数据保护法律体系以《个人数据保护通用法》（LGPD）为核心，辅以ANPD发布的各项配套法规。目前已发布并具有代表性的主要条例包括：

（1）《个人数据保护通用法》（LGPD）：于2018年8月14日颁布，2020年9月18日生效，行政处罚条款于2021年8月1日起适用。LGPD是巴西首部对个人数据处理进行全面规范的综合性立法，整合了巴西原先分散在多个法律与行业规范中的数据保护相关规定。[5]

（2）《境外个人数据传输条例》（Resolução CD/ANPD No. 19/2024）：由ANPD于2024年8月23日发布，对LGPD第33条所要求的境外传输机制进行了具体化，包括充分性认定程序、标准合同条款（SCCs）内容等。[6]

（3）《数据保护官员工作条例》（Resolução CD/ANPD No. 18/2024）：由ANPD于2024年7月16日发布，对数据保护官（DPO）的任命、职责、履职等进行了详细规定。[7]

（4）《安全事件通报条例》（Resolução CD/ANPD No. 15/2024）：由ANPD于2024年4月24日发布，对涉及个人数据的安全事件通报义务、通报标准、程序要求及后续处置措施进行了详细规定。[8]

（5）《小微企业及初创企业适用规则条例》（Resolução CD/ANPD No. 2/2022）：由ANPD于2022年1月27日发布，对小微企业及初创企业适用LGPD的差异化合规要求作出规定，在保障数据主体权利的前提下，对数据保护官任命、数据处理记录及安全措施等义务进行适度简化。[9]

（6）《行政执法与制裁适用条例》（Resolução CD/ANPD No. 1/2021）：由ANPD于2021年10月28日发布，对LGPD框架下个人数据保护的行政执法程序、监督机制及行政处罚适用标准作出系统规定，是LGPD执法体系的重要实施性规范。[10]

此外，巴西在金融、医疗健康、电信等行业领域还设有配套的数据保护监管规则，由相应行业监管机构负责实施。企业在开展相关业务时，应结合具体行业要求进行合规评估。

Q2: 巴西的数据监管机构是什么？

巴西的数据保护监管机构是全国数据保护局（Autoridade Nacional de Proteção de Dados，下称“ANPD”）。ANPD于2020年正式成立，是巴西联邦层面负责制定和执行数据保护政策、监管LGPD实施情况并对违规行为实施处罚的法定机构。

ANPD的主要职能包括：（1）制定、解释和实施LGPD；（2）制定配套法规、指南和技术标准；（3）调查和处罚违规行为；（4）开展公众教育，推广数据保护知识。

巴西采取由ANPD统一负责的数据保护监管体系。在实践中，尽管各州或其他公共机构在特定领域可能涉及相关监管，但数据保护领域的规则制定与执法仍以ANPD为核心。

巴西还存在多项行业监管机构对各自领域开展并行监管，如巴西中央银行（BACEN）、证券交易委员会（CVM）、卫生监管局（ANVISA）等，当企业的数据处理活动涉及金融信息、健康信息等领域时，尚需同时关注相应的行业监管要求。

Q3: 如何判断LGPD是否适用于企业？

根据LGPD第3条的规定，以下任一情形即可触发法律的适用：

（1）数据处理行为在巴西境内进行。

（2）处理活动旨在向位于巴西的个人提供商品或服务，或处理位于巴西境内的个人的数据。

（3）正在处理的个人数据的收集行为发生在巴西境内（即数据主体在巴西境内时被收集）。

同时，LGPD对适用范围作出一定的限制：对于出于个人或家庭用途且不具有经济目的的数据处理，以及以新闻报道、艺术表达或学术研究为目的的处理活动，原则上不适用该法；涉及国家安全、国防、公共安全以及刑事调查、起诉与执行等公共权力行使的情形，也被排除在适用范围之外。此外，在跨境数据处理方面，如果境外数据处理活动未与巴西境内主体发生数据共享或国际传输，且相关国家的数据保护水平与LGPD相当，则通常不适用本法。

Q4: 与个人数据保护相关的定义有哪些？

根据LGPD第5条的定义，以下是几个核心概念：

个人数据（Dado Pessoal）：指与已识别或可识别的自然人相关的任何信息。巴西的定义与GDPR基本一致，采用宽泛解释，能够识别某一个人的任何信息均纳入保护范围。

敏感个人数据（Dado Pessoal Sensível）：指涉及种族或民族出身、宗教信仰、政治观点、工会或宗教、哲学或政治组织的隶属或成员身份、健康或性生活数据、基因或生物识别数据的个人数据。敏感数据的处理受到LGPD第11条的特别限制，需在更为有限的合法性基础上进行。

匿名化数据（Dado Anonimizado）：指经过合理技术手段处理后已无法识别数据主体的数据。匿名数据不属于LGPD的保护范围，但如果匿名可被还原，将重新纳入保护范围。

控制者（Controlador）：指决定个人数据处理目的和方式的自然人或法人实体，无论是公共还是私人性质。

处理者（Operador）：处理者是根据控制者指示进行个人数据处理的自然人或法人实体。

数据主体（Titular）：指其个人数据被处理的自然人。

Q5: 针对个人数据保护人员的任命有哪些要求？

根据LGPD第41条及ANPD发布的《数据保护官职责指引》，巴西的数据保护官制度具有以下特点：

任命主体：数据控制者必须任命DPO，而处理者任命DPO被明确规定为自愿行为，这与GDPR上控制者和处理者均可能被要求任命存在区别。

小型处理主体豁免：小型数据处理主体无强制任命义务，但必须与数据主体建立沟通渠道。不过，任命DPO将被视为良好的合规实践。

具体要求：

• DPO的任命必须通过一份具有日期和签名的正式文件完成。

• DPO可以是自然人或法人实体，可以是内部人员或外部人员。

• DPO的身份和联系方式必须公开披露，首选在公司网站上公布，若控制者无网站，则需通过其他可用的通信方式披露。

• DPO可身兼其他职务，但不得与履行DPO职责存在利益冲突，控制者有义务防止并处理此类冲突。

• LGPD未规定明确的资质要求，但ANPD将任命时的专业性、数据保护的实际能力作为监管考量因素。

DPO的主要职责包括：接受数据主体的投诉并沟通，提供澄清和采取措施；与国家机构沟通并采取措施；指导组织的员工和承包商在保护个人数据方面采取措施。

Q6: 数据处理的合法性基础有哪些？

LGPD在这一领域明显区别于GDPR，根据LGPD第7条（普通个人数据）和第11条（敏感个人数据），共设定十项合法性基础，均具有平等法律地位：

（1）同意（Consentimento）：数据主体自由、理性、明确、无受胁迫的意思表示。对于敏感数据的处理需要明确同意（具体列明处理目的）。同意可随时撤回，且撤回不影响撤回前基于同意的处理的合法性。

（2）履行法律义务（Obrigação Legal）：为履行法律或法规规定的义务而进行的数据处理。

（3）公共行政机关执行职能（Políticas Públicas）：主要针对公共机关在公共政策执行过程中的数据处理。

（4）科学研究或统计等学术目的（Pesquisa / Estudo）：为学术研究、统计或历史存档等目的进行的数据处理，尽可能对数据进行匿名化处理。

（5）履行合同义务（Contrato）：为履行与数据主体订立的合同所必须的数据处理。

（6）在司法、行政或仲裁程序中行使权利（Direitos em Processos）：为在法律程序中行使或抵御权利所必须的数据处理。

（7）保护生命利益（Proteção à Vida）：为保护数据主体或第三方的生命或身体安全而进行的数据处理。

（8）健康保护（Tutela da Saúde）：主要针对由健康权威机构开展的区域性数据处理。

（9）合法利益（Interesse Legítimo）：当处理是为了实现控制者或第三方的合法利益且不受损数据主体的基本权利和自由时，可适用合法利益基础。需要注意，合法利益不能用于敏感个人数据的处理，ANPD可以就该基础要求控制者开展数据保护影响评估。

（10）信用保护（Proteção ao Crédito）：这是LGPD特有的合法性基础，允许为了信用分析、欺诈预防等信用保护目的进行数据处理。

Q7: 与数据收集、处理相关的义务有哪些？

LGPD对数据控制者和处理者均设定了概括性义务。根据LGPD第37条至第40条，主要包括：

（1）记录保存：控制者和处理者应当保存个人数据的处理记录，尤其是基于合法利益处理数据的。

（2）透明度与告知：必须向数据主体明确、清晰地告知数据处理的目的、法律依据、控制者身份、数据共享情况、数据主体权利等信息。

（3）安全保障：采取技术性和管理性措施保护个人数据安全，防止未经授权的访问以及意外或非法的数据破坏、丢失、篡改、传输等。

（4）数据泄漏通报：发生可能对数据主体造成相关风险或损害的安全事件时，应在国家机构（ANPD）规定的合理时间内向ANPD及受影响的数据主体报告。

（5）数据保护影响评估（DPIA）义务：当ANPD要求，或当处理基于合法利益，或处理敏感数据时，控制者可能需要开展DPIA。

（6）对处理者的监督义务：需与处理者订立协议，指示其处理数据，并验证处理者是否符合其指示及相关法律规定。

Q8: 对于数据跨境传输的规定？

数据跨境传输是LGPD的重要监管领域。根据LGPD第33条及2024年8月ANPD发布的《境外个人数据传输条例》的规定，将个人数据传输至巴西境外必须符合以下条件之一：

（1）充分性认定：ANPD将对特定国家或国际组织作出充分性认定，认为其提供相当水平的数据保护。该决议设立了认定程序，但截至其发布时，ANPD尚未公布任何认定结果。

（2）标准合同条款（SCCs）：ANPD批准了标准合同条款模板，其第二部分包含了20项强制性核心条款。各方不得修改其内容，并应于2025年8月23日前完成合同过渡。SCCs可作为独立合同或嵌入到更广泛的合同中使用。

（3）具有约束力的企业规则（BCRs）：对于跨国企业集团内部的数据传输，可向ANPD申请批准使用约束性关联方内部数据保护政策。

（4）定制条款：企业尚可就特定传输场景向ANPD申请批准使用定制合同条款。

（5）特定例外情形：如数据主体的生命保护、数据主体明确同意（且已充分告知跨境风险）或ANPD特别授权等。

Q9: 违反规定可能会面临什么样的处罚？

根据LGPD第52条的规定，违反数据保护规定可能面临以下处罚种类：

（1）警告：并指明整改期限。常用于初次轻微违规行为。

（2）罚款：最高可达企业上一财政年度在巴西境内收入总额2%的罚款，单次罚款最高不超过5000万雷亚尔（约合1004万美元）。

（3）每日罚款：在规定期限内未纠正违规的，可按日处罚，但总额不超过上述罚款上限。

（4）数据处理的公开公告：指令控制者就违规处理行为及其后果对外公开公告。

（5）冻结数据：暂停处理违规所涉数据，直至整改合规。

（6）删除数据：强制删除非法处理的个人数据。

（7）暂停数据处理活动：全部或部分暂停数据处理活动，最长6个月、可延长直至正式处罚作出。

（8）禁止数据处理活动：全部或部分禁止数据处理活动，可能导致企业在巴西市场相关业务难以继续开展。

自2023年以来，ANPD逐步进入实质执法阶段，在2023至2025年内累计罚款超过9800万雷亚尔（约2000万美元）[11]，监管力度逐渐强化。

Q10: 巴西 LGPD 与欧盟 GDPR 的主要区别？

LGPD很大程度上借鉴了欧盟GDPR的立法理念和构架，但结合巴西法律体系和实践内容，在多个方面存在显著差异。以下从几个核心维度进行对比：

综上所述，巴西 LGPD 虽在总体架构与理念上深受GDPR影响，但在多个关键制度上呈现出差异性。具体而言，LGPD在合法性基础上采取十项并列结构，并引入“信用保护”等本土化基础；在跨境数据传输方面，虽已建立充分性认定、标准合同条款及约束性公司规则等机制，但整体制度仍处于发展阶段，实践中以SCCs为主要合规路径；LGPD的许多关键义务，如数据泄露通知的具体时限、必须进行数据保护影响评估的情形等，并未在法律中直接明确规定，而是授权ANPD通过后续规则来细化。因此，中国企业进入巴西市场时，不宜简单沿用GDPR合规框架，而应重点关注LGPD的特殊制度安排，以及ANPD近年来逐步加强的执法趋势。

[1] 外交部，中国同巴西的关系，https://www.fmprc.gov.cn/web/gjhdq_676201/gj_676203/nmz_680924/1206_680974/sbgx_680978/，最后访问于：2026/04/24。

[2] 外交部，中华人民共和国和巴西联邦共和国关于强化携手构建更公正世界和更可持续星球的中巴命运共同体，共同维护多边主义的联合声明，

https://www.mfa.gov.cn/zyxw/202505/t20250513_11622149.shtml，最后访问于：2026/04/24。

[3] HUAWEI CLOUD，Huawei Cloud Announces Plan to Accelerate Development of Brazil's Industry AI Pioneers，https://www.huaweicloud.com/intl/en-us/news/20251107093213331.html，最后访问于：2026/4/29。

[4] 新华网，行走拉美手记丨中巴合作实现绿色梦想——走进比亚迪巴西卡马萨里大型生产基地综合体，https://www.news.cn/20251224/3d6edf5587f549f18dbb4fe7660b8bde/c.html，最后访问于：2026/04/24。

[5]《个人数据保护通用法》（Lei Geral de Proteção de Dados，简称LGPD），即第13,709/2018号法，于2018年8月14日颁布，2020年9月18日正式生效，2021年8月1日起适用行政处罚条款。

[6] 根据LGPD第33条及ANPD于2024年8月23日发布的Resolução CD/ANPD No. 19/2024（《境外数据传输条例》）的规定。

[7] 根据LGPD第41条及 ANPD于2024年7月发布的《数据保护官职责指引》（Resolução CD/ANPD No. 18/2024）。

[8] 根据LGPD第48条及ANPD于2024年4月发布的《安全事件通报条例》（Resolução CD/ANPD No. 15/2024）。

[9] 根据LGPD及ANPD于2022年1月发布的《小微企业及初创企业适用规则条例》（Resolução CD/ANPD No. 2/2022）。

[10] 根据LGPD及ANPD于2021年10月发布的《行政执法与制裁适用条例》（Resolução CD/ANPD No. 1/2021）。

[11] ComplianceHub，Breaches and Fines under Brazil’s Lei Geral de Proteção de Dados (LGPD)，https://compliancehub.wiki/breaches-and-fines-under-brazils-lei-geral-de-protecao-de-dados-lgpd-2/?utm_source=chatgpt.com。