2026年LGPD的结构

LGPD是巴西的主要数据保护法律，其核心条文自颁布以来保持了相当高的稳定性。发生变化的是围绕它建立起来的监管基础设施。

ANPD作为成熟监管机构

ANPD于2021年全面运营，在最初三年内建立程序能力、发布指导意见并开展磋商。到2024年，该机构已转入积极执法状态；到2025年，已对外国平台等多方开出首批重大行政罚款。2026年的ANPD姿态更接近其欧洲同行，而非早期的宽松时期。

2026年跨境数据传输法规

对外国发布商而言，最重要的监管进展是ANPD的国际传输法规——该法规于2025年末最终确定，并于2026年生效。该法规引入了充分性认定框架、ANPD批准的标准合同条款、约束性公司规则及认证机制，其功能与GDPR第五章机制高度类似。在此法规出台之前，跨境数据传输依据一套更为模糊的规则运作，发布商和广告科技供应商通常通过双边商业安排加以应对。2026年的制度在文件要求方面更为严格，但总体上更具可操作性。

适用范围

LGPD具有域外效力。任何在数据收集时处理位于巴西境内个人的个人数据的控制方，或处理从巴西收集的数据的控制方（无论处理发生在何处），均在适用范围之内。通过本地化网站或针对巴西IP购买程序化广告库存而服务巴西用户的外国发布商显然在其管辖范围之内，ANPD已在2025年的多起案件中援引了域外管辖条款。

LGPD下的个人数据定义

LGPD对个人数据的定义宽泛，与GDPR高度一致。个人数据是指与已识别或可识别的自然人相关的信息。ANPD一贯将Cookie、广告标识符、IP地址、设备指纹及行为画像视为个人数据，前提是这些信息能够直接或通过合理手段与特定个人相关联。

敏感个人数据

LGPD规定了范围较广的敏感类别：种族或民族来源、宗教信仰、政治观点、工会或政治组织成员资格、哲学或宗教信念、健康状况、性生活、基因数据，以及用于唯一识别的生物特征数据。处理敏感个人数据须满足更严格的同意要求，并对控制方施加额外义务。

对Cookie的影响

存储普通会话标识符的Cookie属于一般个人数据。若Cookie为LGPD敏感类别受众细分提供支持（如健康兴趣、宗教信仰、政治倾向），则构成对敏感个人数据的处理，需要走加强版同意流程，而非一般广告同意流程。运营与敏感类别重叠的受众细分的发布商应专门针对这一边界审查其同意流程。

2026年LGPD下的Cookie同意

LGPD允许多种合法处理依据，但对于非服务交付所严格必需的Cookie及类似技术，ANPD的指导意见与执法实践已统一以同意作为实际基准。

有效同意的五项要素

LGPD下的同意须满足：

• 自由——在无胁迫的情况下作出，且不与用户本有权享有的服务捆绑
• 知情——数据主体了解处理何种数据、由谁处理、出于何种目的、将产生何种后果
• 明确——通过清晰的主动行为表达，而非从沉默、预先勾选的选框或滚动视为同意中推断
• 具体——与明确标识的目的相关联，而非笼统的概括性同意
• 突出——在涉及敏感数据时，须对特定敏感处理事项单独进行明确同意

合规CMP的样式

为2026年巴西流量配置的CMP应呈现：

• 在任何非必要Cookie或追踪器触发之前显示醒目横幅，默认以葡萄牙语（Português）呈现给巴西用户
• Aceitar（接受）、Recusar（拒绝）与Personalizar（自定义）在视觉上具有同等显著性——ANPD已专门指出Recusar操作不够醒目的横幅设计
• 按目的提供精细化开关：分析、广告、个性化、跨境传输及任何敏感类别处理
• 针对敏感个人数据处理，提供单独标注的流程，需通过独立操作触发
• 提供持久且易于找到的机制，允许用户在初始选择后撤回同意
• 葡萄牙语版Aviso de Privacidade，完整披露控制方、处理方、目的、接收方、保留期限及权利信息

同意记录

控制方须保存同意证据——谁在何时、就何种目的、通过何种界面提供了同意。ANPD在多项执法行动中以同意记录不足为由提出指控，可导出的带时间戳日志是最低基准预期。

2026年跨境数据传输制度

这是2026年与2024年存在实质性差异的领域。ANPD的国际传输法规于年初生效，外国发布商仍在消化其实际影响。

新的传输机制

该法规提供了四条合法跨境传输的主要路径：

• ANPD发布的充分性决定，认可目标司法管辖区或行业提供充分保护
• ANPD批准的标准合同条款，功能类似于GDPR SCCs
• 跨国组织集团内部传输适用的约束性公司规则
• 针对不符合标准路径的传输，逐案进行的专项授权

2026年的实际做法

对大多数外国发布商而言，2026年的可行做法是与国际处理方签署ANPD批准的标准合同条款，在隐私声明中记录传输机制，仅在标准机制不适用时辅以基于同意的授权。这比2026年前的制度简单得多——此前常依赖逐次传输同意的逻辑，导致CMP极为繁琐。

迄今的充分性决定

截至2026年初，ANPD已就少数几个司法管辖区作出充分性决定，并预计将逐步扩展名单。截至2026年初，美国尚未列入充分性名单，这意味着向美国广告科技及分析供应商的数据传输需要合同条款或其他有效机制。

数据主体权利

LGPD在巴西法律框架内赋予了一套完善的权利：

• 处理确认权
• 访问已处理数据的权利
• 更正不完整、不准确或过时数据的权利
• 对不必要、过度或非法处理的数据进行匿名化、封锁或删除的权利
• 向其他服务提供商进行数据可携的权利
• 删除基于同意处理的数据的权利
• 获取与控制方共享数据的公私实体信息的权利
• 获取拒绝同意的可能性及拒绝后果信息的权利
• 撤回同意的权利
• 在正当权益依据不合规时反对相关处理的权利
• 对仅基于自动化处理作出的决定进行审查的权利

响应时限

控制方须在15天内响应数据主体请求（有正当理由时可延期）。这比GDPR的30天窗口更为严格，对于习惯欧洲节奏的外国发布商而言，这一差距在运营层面屡见不鲜。

2026年的处罚与执法立场

ANPD的执法活动在2024年至2025年间明显升级，2026年延续了这一趋势。

行政罚款

LGPD允许对控制方处以上一财年在巴西活动收入2%的行政罚款，每次违规上限为BRL 5000万。ANPD在2025年的多起案件中（包括针对外国平台）采用了中间幅度的罚款，该机构的处罚方法论于2024年公布，现已一致适用。

其他制裁

除罚款外，ANPD还可发出警告、要求纠正措施、部分或全部暂停处理活动，以及禁止特定处理操作。公告违规行为是例行附带制裁，在巴西市场具有声誉影响。

执法重点

ANPD在2025年及2026年初的执法行动集中于以下反复出现的问题：同意横幅模糊或缺失、缺乏葡萄牙语隐私声明、在新法规下未采用有效机制进行跨境数据传输、未能在15天窗口内响应数据主体请求。外国发布商在上述四类问题中均有被点名。

DPO要求

LGPD要求控制方任命数据保护官（Encarregado de Tratamento de Dados Pessoais）并公开其联系方式。大规模处理巴西数据的外国控制方需指定专职DPO，且其联系方式须在隐私声明中易于获取。ANPD已在多封执法函件中以DPO联系方式缺失或不可访问为由提出批评。

2026年巴西流量合规审查清单

• CMP横幅以葡萄牙语呈现，Aceitar、Recusar与Personalizar视觉上具有同等显著性
• 同意目的细化，且将任何敏感类别处理置于独立同意流程之后
• 葡萄牙语版隐私声明（Aviso de Privacidade）可用，完整披露控制方、处理方、目的、保留期限、权利及DPO联系方式
• 跨境数据传输依赖ANPD批准的标准合同条款、充分性决定、BCRs或专项授权——而非传统的逐次传输同意逻辑
• 同意日志带时间戳、可导出，并在处理期间加上可审计边际期间保留
• 数据主体请求工作流能够在15天内以葡萄牙语端到端完成响应
• DPO已指定，联系方式已在隐私声明中发布
• 供应商名单已就必要性进行审查，移除未使用或冗余供应商以缩减跨境传输范围
• 敏感类别受众细分须置于明确、单独获取的同意之后

2026年展望

巴西的隐私制度已从一部法律完善但执法有限的法规，演变为美洲地区要求最严苛的制度之一。2026年的跨境数据传输法规弥补了最关键的结构性缺口，ANPD的执法立场也已赶上法律的雄心。对于已运行GDPR级别同意体系的发布商而言，与LGPD合规的差距更多是运营层面而非架构层面：葡萄牙语CMP和声明、ANPD批准的传输机制、15天响应节奏、DPO指定，以及对更广泛敏感数据类别的审慎处理。如果优先推进，这一差距可在数周内弥合——而巴西是拉丁美洲最大的单一市场，因此优先推进通常能快速获得回报。那些在2024年将巴西视为轻量级市场的发布商正发现2026年的代价明显更高，而进一步拖延的发布商将发现2027年更为严峻。