简短定义
LGPD(Lei Geral de Proteção de Dados,通用数据保护法)是巴西个人数据保护的核心法律,由 Lei nº 13.709/2018 制定,2020 年 8 月正式生效。它对应欧盟 GDPR 的巴西版本,监管机构是 ANPD(Autoridade Nacional de Proteção de Dados,国家数据保护局)。
LGPD 适用范围
无论企业位于哪里,只要满足以下任一条件就适用 LGPD:
- 在巴西境内处理个人数据
- 处理的目的与巴西境内提供商品或服务相关
- 处理的是巴西境内的数据主体的数据
中国跨境电商收集巴西用户信息 → 适用 LGPD。
LGPD 的 10 种合法处理基础
- 数据主体的同意(Consentimento)
- 履行法定义务(Cumprimento de obrigação legal)
- 公共行政(Execução de políticas públicas)
- 研究(Estudos por órgão de pesquisa)
- 合同执行(Execução de contrato)
- 法律行为(Exercício regular de direitos)
- 生命保护(Proteção da vida)
- 健康保护(Tutela da saúde)
- 合法利益(Legítimo interesse)
- 信用保护(Proteção do crédito)
数据主体的 9 项权利
- 确认数据处理(Confirmação)
- 访问数据(Acesso)
- 修正数据(Correção)
- 匿名化、阻断或删除不必要数据
- 数据可携带(Portabilidade)
- 删除数据(Eliminação)
- 知道数据共享对象
- 了解不同意的后果
- 撤回同意
违规处罚
- 警告:要求整改
- 单次罚款:每次违规最高 R$ 5000 万(约 ¥6500 万)或营业额的 2%
- 每日罚款:累计也有 R$ 5000 万上限
- 公开违规事实:影响品牌声誉
- 暂停 / 禁止数据处理:业务中断
必备合规要素
- 隐私政策:必须公开,告知用户数据用途
- 同意管理:明确收集与撤回机制
- DPO(Encarregado):数据保护官,处理大量数据的企业必备
- 数据保留期:明确各类数据的保存时长
- 泄露通知:72 小时内通知 ANPD 和受影响用户
- 跨境传输合规:传出巴西需满足额外条件
对中国跨境业务的影响
- 收集巴西消费者地址、电话、CPF 必须有合法基础
- 中国总部访问巴西用户数据 = 跨境传输,需特殊合规
- 数据存储应优先选择巴西境内云服务(如腾讯云 São Paulo)
- 所有 CPF 查询调用必须声明使用目的
相关 TF NFE 解决方案
相关名词