2026年LGPD嘅結構

LGPD係巴西嘅主要數據保護法律，其核心條文自頒布以嚟一直都好穩定。改變咗嘅係圍繞佢建立起嚟嘅監管基礎設施。

ANPD作為成熟嘅監管機構

ANPD係2021年全面運營，最初三年建立程序能力、發布指導意見同開展磋商。到2024年，該機構已經轉入積極執法狀態；到2025年，已經對外國平台等多方開出咗首批重大行政罰款。2026年嘅ANPD姿態更接近佢嘅歐洲同行，唔似早期咁寬鬆。

2026年跨境數據傳輸法規

對外國發布商嚟講，最重要嘅監管進展係ANPD嘅國際傳輸法規——呢個法規係2025年末最終確定，2026年生效嘅。該法規引入咗充分性認定框架、ANPD批准嘅標準合同條款、具約束力公司規則同認證機制，功能同GDPR第五章機制差唔多。喺呢個法規出嚟之前，跨境數據傳輸依據一套更模糊嘅規則運作，發布商同廣告科技供應商通常透過雙邊商業安排嚟應對。2026年嘅制度喺文件要求方面更嚴格，但總體上更具可操作性。

適用範圍

LGPD具有域外效力。任何喺數據收集時處理位於巴西境內個人嘅個人數據嘅控制方，或者處理從巴西收集嘅數據嘅控制方（唔管處理係喺邊度發生），都係適用範圍之內嘅。透過本地化網站或針對巴西IP購買程序化廣告庫存嚟服務巴西用戶嘅外國發布商明顯係喺管轄範圍之內嘅，ANPD已經喺2025年幾宗案件度援引咗域外管轄條款。

LGPD下個人數據嘅定義

LGPD對個人數據嘅定義好寬泛，同GDPR高度一致。個人數據係指與已識別或可識別嘅自然人相關嘅信息。ANPD一貫將Cookie、廣告標識符、IP地址、設備指紋同行為畫像視作個人數據，前提係呢啲信息能夠直接或透過合理手段同特定個人相關聯。

敏感個人數據

LGPD規定咗範圍幾廣嘅敏感類別：種族或民族來源、宗教信仰、政治觀點、工會或政治組織成員資格、哲學或宗教信念、健康狀況、性生活、基因數據，以及用於唯一識別嘅生物特徵數據。處理敏感個人數據要滿足更嚴格嘅同意要求，仲對控制方有額外義務。

對Cookie嘅影響

儲存普通會話標識符嘅Cookie屬於一般個人數據。如果Cookie係為LGPD敏感類別受眾細分提供支持嘅（例如健康興趣、宗教信仰、政治傾向），就係喺處理敏感個人數據，需要走加強版同意流程，唔係一般廣告同意流程。運營同敏感類別重疊嘅受眾細分嘅發布商應該專門針對呢個邊界審查佢哋嘅同意流程。

2026年LGPD下嘅Cookie同意

LGPD允許多種合法處理依據，但係對於非服務交付所嚴格必需嘅Cookie同類似技術，ANPD嘅指導意見同執法實踐已經統一以同意作為實際基準。

有效同意嘅五項要素

LGPD下嘅同意須滿足：

• 自由——喺冇脅迫嘅情況下作出，且唔與用戶本有權享有嘅服務捆綁
• 知情——數據主體了解處理乜嘢數據、由邊個處理、出於乜嘢目的、會有乜嘢後果
• 明確——透過清晰嘅主動行為表達，唔係從沉默、預先剔選嘅選框或滾動視作同意度推斷出嚟
• 具體——同明確標識嘅目的相關聯，唔係籠統嘅概括性同意
• 突出——喺涉及敏感數據時，須對特定敏感處理事項單獨進行明確同意

合規CMP嘅樣式

為2026年巴西流量配置嘅CMP應該呈現：

• 喺任何非必要Cookie或追蹤器觸發之前顯示醒目橫幅，默認以葡萄牙語（Português）呈現畀巴西用戶
• Aceitar（接受）、Recusar（拒絕）同Personalizar（自定義）喺視覺上一樣顯眼——ANPD已經專門指出Recusar操作唔夠醒目嘅橫幅設計
• 按目的提供精細化開關：分析、廣告、個性化、跨境傳輸同任何敏感類別處理
• 針對敏感個人數據處理，提供單獨標注嘅流程，需要透過獨立操作觸發
• 提供持久且容易搵到嘅機制，允許用戶喺初始選擇之後撤回同意
• 葡萄牙語版Aviso de Privacidade，完整披露控制方、處理方、目的、接收方、保留期限同權利信息

同意記錄

控制方須保存同意證據——邊個喺幾時、就乜嘢目的、透過乜嘢界面提供咗同意。ANPD喺幾項執法行動度以同意記錄唔足為由提出咗批評，可導出嘅帶時間戳日誌係最低基準嘅預期。

2026年跨境數據傳輸制度

呢個係2026年同2024年存在實質性差異嘅領域。ANPD嘅國際傳輸法規喺年初生效，外國發布商仍然喺消化佢嘅實際影響。

新嘅傳輸機制

該法規提供咗四條合法跨境傳輸嘅主要路徑：

• ANPD發布嘅充分性決定，認可目標司法管轄區或行業提供充分保護
• ANPD批准嘅標準合同條款，功能類似於GDPR SCCs
• 跨國組織集團內部傳輸適用嘅具約束力公司規則
• 針對唔符合標準路徑嘅傳輸，逐案進行嘅專項授權

2026年嘅實際做法

對大多數外國發布商嚟講，2026年嘅可行做法係同國際處理方簽署ANPD批准嘅標準合同條款，喺隱私聲明度記錄傳輸機制，只係喺標準機制唔適用時先輔以基於同意嘅授權。呢個比2026年前嘅制度簡單好多——以前常常依賴逐次傳輸同意嘅邏輯，導致CMP非常繁瑣。

迄今嘅充分性決定

截至2026年初，ANPD已經就少數幾個司法管轄區作出咗充分性決定，預計會逐步擴展名單。截至2026年初，美國仲係唔喺充分性名單度，呢個意味著向美國廣告科技同分析供應商嘅數據傳輸需要合同條款或其他有效機制。

數據主體權利

LGPD喺巴西法律框架內賦予咗一套完善嘅權利：

• 處理確認權
• 訪問已處理數據嘅權利
• 更正唔完整、唔準確或過時數據嘅權利
• 對唔必要、過度或非法處理嘅數據進行匿名化、封鎖或刪除嘅權利
• 向其他服務提供商進行數據可攜嘅權利
• 刪除基於同意處理嘅數據嘅權利
• 獲取與控制方共享數據嘅公私實體信息嘅權利
• 獲取拒絕同意嘅可能性同拒絕後果信息嘅權利
• 撤回同意嘅權利
• 喺正當權益依據唔合規時反對相關處理嘅權利
• 對僅基於自動化處理作出嘅決定進行審查嘅權利

響應時限

控制方須喺15日內響應數據主體請求（有正當理由時可以延期）。呢個比GDPR嘅30日窗口更嚴格，對於習慣歐洲節奏嘅外國發布商嚟講，呢個差距喺運營層面屢見不鮮。

2026年嘅處罰同執法立場

ANPD嘅執法活動喺2024年到2025年間明顯升級，2026年延續咗呢個趨勢。

行政罰款

LGPD允許對控制方處以上一財年喺巴西活動收入2%嘅行政罰款，每次違規上限為BRL 5000萬。ANPD喺2025年幾宗案件度（包括針對外國平台嘅）採用咗中間幅度嘅罰款，該機構嘅處罰方法論係2024年公布嘅，而家已經一致適用。

其他制裁

除咗罰款，ANPD仲可以發出警告、要求糾正措施、部分或全部暫停處理活動，以及禁止特定處理操作。公告違規行為係例行附帶制裁，喺巴西市場有聲譽方面嘅影響。

執法重點

ANPD喺2025年同2026年初嘅執法行動集中喺以下反復出現嘅問題：同意橫幅模糊或缺失、缺乏葡萄牙語隱私聲明、喺新法規下冇採用有效機制進行跨境數據傳輸、唔能夠喺15日窗口內響應數據主體請求。外國發布商喺上述四類問題度均有被點名。

DPO要求

LGPD要求控制方任命數據保護官（Encarregado de Tratamento de Dados Pessoais）同公開佢嘅聯繫方式。大規模處理巴西數據嘅外國控制方需要指定專職DPO，且佢嘅聯繫方式須喺隱私聲明度容易獲取。ANPD已經喺幾封執法函件度以DPO聯繫方式缺失或唔可訪問為由提出咗批評。

2026年巴西流量合規審查清單

• CMP橫幅以葡萄牙語呈現，Aceitar、Recusar同Personalizar喺視覺上一樣顯眼
• 同意目的細化，且將任何敏感類別處理置於獨立同意流程之後
• 葡萄牙語版隱私聲明（Aviso de Privacidade）可用，完整披露控制方、處理方、目的、保留期限、權利同DPO聯繫方式
• 跨境數據傳輸依賴ANPD批准嘅標準合同條款、充分性決定、BCRs或專項授權——唔係傳統嘅逐次傳輸同意邏輯
• 同意日誌帶時間戳、可導出，並喺處理期間加上可審計邊際期間保留
• 數據主體請求工作流能夠喺15日內以葡萄牙語端到端完成響應
• DPO已指定，聯繫方式已喺隱私聲明度發布
• 供應商名單已就必要性進行審查，移除未使用或冗餘嘅供應商以縮減跨境傳輸範圍
• 敏感類別受眾細分須置於明確、單獨獲取嘅同意之後

2026年展望

巴西嘅隱私制度已經由一部法律完善但執法有限嘅法規，演變成咗美洲地區要求最嚴苛嘅制度之一。2026年嘅跨境數據傳輸法規彌補咗最關鍵嘅結構性缺口，ANPD嘅執法立場亦已經追上咗法律嘅雄心。對於已經運行GDPR級別同意體系嘅發布商嚟講，同LGPD合規嘅差距更多係運營層面而唔係架構層面：葡萄牙語CMP同聲明、ANPD批准嘅傳輸機制、15日響應節奏、DPO指定，以及對更廣泛敏感數據類別嘅審慎處理。如果優先推進，呢個差距可以喺幾個禮拜內彌合——而巴西係拉丁美洲最大嘅單一市場，所以優先推進通常能快速獲得回報。嗰啲喺2024年將巴西視作輕量級市場嘅發布商正在發現2026年嘅代價明顯更高，而進一步拖延嘅發布商將發現2027年更加嚴峻。