GDPR与LGPD对比:欧盟与巴西隐私法比较(2026年)
欧盟GDPR与巴西的LGPD(第13.709/2018号法律)虽共享基础性原则,但在三个关键结构性方面存在差异:LGPD提供10项合法依据,而GDPR仅有6项;LGPD的罚款上限以企业在巴西境内的营业额为基准,而非全球营业额;此外,LGPD的全部执法工作由单一国家级机构负责,而非分散在30多个数据保护机构之间。
欧盟《通用数据保护条例》(GDPR)与巴西的《通用数据保护法》(Lei Geral de Proteção de Dados,LGPD,第13,709/2018号法律),是当今世界最具影响力的两大数据保护框架。LGPD直接受GDPR启发而制定,两部法律共享相同的基本架构。然而,两者在若干重要方面仍存在实质性差异:合法依据、处罚结构、执法模式、泄露通知时限,以及DPO要求均有所不同。
本文将全面比较这两套框架之间所有重大的结构性差异,包括具有变革意义的2026年1月双向充分性认定,该认定如今已使欧盟与巴西之间可以实现数据自由流动。
快速解答:GDPR与LGPD概览
GDPR适用于整个欧洲经济区。LGPD则适用于与巴西相关联的所有数据处理活动。两部法律均遵循相同的核心原则(目的限制、数据最小化、透明度、问责制),并且均要求设立数据保护官、赋予数据主体权利、规定泄露通知义务,以及对国际传输实施管控。
两者的主要差异在于:LGPD提供更多合法依据(10项对6项);罚款上限以巴西境内营业额为基准,而非全球营业额;执法由单一国家级机构负责,而非30多个数据保护机构;此外,LGPD历来对DPO独立性的规定不如GDPR详尽。截至2026年1月,两套制度已正式相互承认为提供充分保护,这是两部法律生效以来最重大的一次发展。
两套制度概览
| 特征 | GDPR | LGPD |
|---|---|---|
| 管辖范围 | 欧盟/欧洲经济区(27个成员国+挪威、冰岛、列支敦士登) | 巴西 |
| 颁布日期 | 2016年4月14日 | 2018年8月14日 |
| 生效日期 | 2018年5月25日 | 2020年9月18日(罚款条款:2021年8月1日) |
| 执法机构 | 30多个国家级数据保护机构+欧洲数据保护委员会(EDPB) | ANPD(单一联邦机构) |
| 合法依据 | 6项(第6条) | 10项(第7条) |
| 最高罚款 | 2000万欧元或全球营业额4% | 巴西境内营业额2%,每项违规行为上限为5000万雷亚尔 |
| 数据泄露通知 | 72小时内通知数据保护机构 | ANPD建议2个工作日内通知(具有约束力的规则尚待出台) |
| 是否要求DPO | 附条件要求(公共机构、高风险/大规模处理) | 所有控制者均须设立(依据第2/2022号决议对中小企业设有有限豁免) |
| 相互充分性认定 | 有:欧盟第2026/179号实施决定,2026年1月27日 | 有:ANPD第CD/ANPD 32号决议,2026年1月26日 |
共同基因与结构相似性
LGPD在制定过程中有意借鉴了GDPR的基础架构。巴西立法者研究了GDPR,并吸收了其核心构成要素:数据主体权利、控制者/处理者角色划分、处理的合法依据、敏感数据特殊类别、国际传输限制,以及专门的监管机构。
两部法律均对个人数据作出宽泛界定,涵盖与已识别或可识别自然人相关的任何信息。两者均承认存在一类需要更高保护的敏感数据。两部法律均要求控制者实施适当的技术和组织安全措施,对高风险处理活动开展影响评估,并记录其处理活动。
由此产生的实际效果是:符合GDPR要求的合规体系,为实现LGPD合规奠定了坚实基础。但两者之间的差距仍具有实质意义,仅凭GDPR合规体系并不等同于已实现LGPD合规。
适用范围与适用性
GDPR在设计上即具有域外适用效力,适用于任何处理欧洲经济区内个人个人数据的组织,无论该组织设立于何处。一家总部位于美国、向欧盟居民销售商品的电子商务公司须适用GDPR。
LGPD适用于在巴西境内开展的任何处理活动,旨在向巴西境内个人提供商品或服务的处理活动,以及涉及在巴西境内收集的个人数据的处理活动。与GDPR相同,LGPD并不要求组织在巴西境内设有实体存在。
LGPD同时适用于营利性组织和非营利组织。例外情形包括纯粹个人或家庭处理、新闻或艺术目的、出于公共利益开展的学术研究,以及公共安全、国防和刑事侦查活动。一项值得注意的差异是:LGPD适用于政府数据处理活动,但对公共实体豁免了金钱罚款。政府机构可能受到警告、强制公开违规行为,以及处理暂停令等处罚,但不适用于适用于私营企业的5000万雷亚尔金钱罚款。
术语对照
| GDPR术语 | LGPD对应术语 |
|---|---|
| 数据主体 | Titular(数据主体) |
| 个人数据 | Dados pessoais(个人数据) |
| 特殊类别/敏感数据 | Dados pessoais sensíveis(敏感个人数据,第5条第2款) |
| 控制者 | Controlador(控制者) |
| 处理者 | Operador(处理者) |
| 数据保护官 | Encarregado(数据保护负责人) |
| 监管机构/数据保护机构 | ANPD(国家数据保护局) |
LGPD对敏感个人数据的定义与GDPR的特殊类别高度相似,但明确将哲学信仰(与宗教信仰并列)纳入其中,并将儿童和青少年数据作为一类需要特殊对待的独立敏感类别,相关规定见于LGPD第14条。
处理的合法依据:六项对十项
这是两套框架之间最为重大的结构性差异。
GDPR在第6条项下提供六项合法依据:同意、合同履行、法定义务、切身利益、公共任务,以及合法利益。
LGPD在第7条项下提供十项合法依据,保留了GDPR全部六项依据,并新增了以下四项:
| 合法依据 | GDPR | LGPD |
|---|---|---|
| 同意 | 有(第6(1)(a)条) | 有(第7条第1款) |
| 合同履行 | 有(第6(1)(b)条) | 有(第7条第5款) |
| 法定或监管义务 | 有(第6(1)(c)条) | 有(第7条第2款) |
| 切身利益 | 有(第6(1)(d)条) | 由健康保护和生命保护依据涵盖 |
| 公共利益/公共任务 | 有(第6(1)(e)条) | 有(第7条第3款) |
| 合法利益 | 有(第6(1)(f)条) | 有(第7条第9款) |
| 科研机构开展的研究 | 归入公共利益范畴 | 有,作为独立依据(第7条第4款) |
| 在司法、行政或仲裁程序中行使权利 | 归入法定义务范畴 | 有,作为独立依据(第7条第6款) |
| 健康或生命保护 | 归入切身利益范畴 | 有,作为独立依据(第7条第8款) |
| 信用保护 | 并非独立依据 | 有,为LGPD所特有(第7条第10款) |
信用保护依据为巴西法律所特有,体现了信用评分和金融数据系统在巴西市场中的经济重要性。金融机构为进行信用核查而处理客户数据时,可以直接援引这一依据。
健康保护依据涵盖由医疗卫生专业人员、医疗卫生服务机构或卫生主管部门实施的相关程序。其运作方式与GDPR的切身利益例外类似,但明确限定于医疗卫生领域,而非任何危及生命的紧急情况。
对于敏感个人数据,GDPR要求取得明确同意,或者符合第9(2)条所列狭义例外情形之一。LGPD第11条则允许在为履行法定义务、执行公共政策、开展研究、行使权利、健康保护、生命保护或预防欺诈所不可或缺的情况下,无需取得同意即可处理敏感数据。
数据主体权利对比
两套框架均赋予个人对其个人数据的全面权利,且在很大程度上相互重合。
| 权利 | GDPR | LGPD |
|---|---|---|
| 确认处理情况的权利 | 有(第15条) | 有(第18条第1款) |
| 数据访问权 | 有(第15条) | 有(第18条第2款) |
| 更正权 | 有(第16条) | 有(第18条第3款) |
| 擦除权/删除权 | 有,即“被遗忘权”(第17条) | 有(第18条第6款) |
| 数据可携权 | 有(第20条) | 有(第18条第5款) |
| 限制处理权 | 有(第18条) | 无直接对应规定 |
| 反对处理权 | 有(第21条) | 有(第18条第4款:匿名化、阻断或删除) |
| 自动化决策复核权 | 有,人工复核权(第22条) | 有(第20条),但未明确要求人工复核 |
| 关于数据共享情况的知情权 | 包含于访问权之中 | 明确规定为独立权利(第18条第7款) |
| 撤回同意权 | 有(第7(3)条) | 有(第18条第9款) |
| 向主管机构申诉的权利 | 有 | 有(第18条第1款) |
有两点差异值得注意。第一,LGPD并未规定与GDPR第18条相当的明确限制处理权。数据主体可以请求匿名化、阻断或删除,但没有一种机制可以在争议解决期间单纯暂停处理。
第二,LGPD第20条赋予个人请求复核自动化决策的权利,但与GDPR第22条不同,该条并未明确要求进行人工复核。ANPD 2025至2026年监管议程包含就自动化决策权利发布具有约束力的指南,但截至2026年5月,该指南尚未最终定稿。
在回应时限方面,LGPD要求就数据主体的访问请求在15天内作出详细回应。GDPR则给予控制者30天的时间(对于复杂请求可延长至三个月)。LGPD更短的回应期限,给处理大量请求的组织带来了更为紧迫的运营压力。
监管机构:ANPD与欧盟各国数据保护机构
两者在执法架构上的结构性差异十分显著。
在GDPR之下,执法工作分散在30多个国家级数据保护机构之间,由欧洲数据保护委员会(EDPB)负责协调。对于涉及多个欧盟成员国的跨境处理活动,“一站式”机制会在控制者欧盟设立地所在国指定一家牵头数据保护机构,其他数据保护机构则作为“相关机构”参与。这一机制促成了爱尔兰数据保护委员会(该机构就欧盟事务对Meta、谷歌和苹果实施监管)以及法国CNIL开出的多起标志性罚款。
LGPD由单一联邦机构ANPD负责执法。ANPD成立于2020年,并于2025年2月升格为完全独立的联邦监管机构,获得职能、技术、决策、行政及财务方面的自主权。这种独立性使ANPD得以免受政治压力的干扰,其机构地位如今已与巴西中央银行和竞争主管机构(CADE)相当。
与欧洲最为活跃的数据保护机构相比,ANPD的执法能力仍处于发展阶段。其首批重大执法行动出现在2023年和2024年。截至2025年,ANPD累计开出的罚款和制裁措施总额约为9800万雷亚尔(约合2000万美元)。
处罚力度对比
两套处罚制度在规模和计算方式上均存在差异。
| 执法维度 | GDPR | LGPD |
|---|---|---|
| 最高罚款 | 2000万欧元或全球年营业额4%(以较高者为准) | 企业巴西境内营业额的2%,每项违规行为上限为5000万雷亚尔(约合1000万美元) |
| 营业额计算基准 | 全球年营业额 | 仅限巴西境内营业额(含集团或企业集团口径) |
| 按日计罚 | 部分成员国司法辖区可适用 | 有(须受5000万雷亚尔累计上限约束) |
| 非金钱制裁 | 警告、处理禁令、数据删除令 | 警告、公开披露、数据阻断/删除、处理暂停 |
| 政府实体 | 在大多数成员国须承担罚款 | 豁免金钱罚款 |
| 私人诉权 | 因成员国而异 | 有,依据消费者保护法及民事责任规定 |
对大型跨国企业而言,GDPR以全球营业额4%为计算基准,导致其潜在风险敞口大幅提高。一家全球营业额达100亿美元的企业,其面临的GDPR最高罚款可达4亿美元;而同一家企业在LGPD下的最高罚款,无论其全球业务规模如何,均封顶于约1000万美元。
LGPD还将处理暂停纳入制裁手段之一,即便未伴随高额金钱罚款,该手段在运营层面也具有重大影响。ANPD在其针对Meta的案件中即行使了这一权力:2024年7月,ANPD责令Meta立即暂停使用巴西用户的个人数据训练AI,并以每日5万雷亚尔的罚款作为不合规的执行手段。该暂停措施在Meta同意接受受监督的合规方案后,于2024年8月底解除。ANPD认定,Meta以合法利益作为AI训练的法律依据缺乏充分理由,在处理细节方面缺乏透明度,且未能保护未成年人的数据。
DPO与Encarregado(数据保护负责人)要求
两部法律均要求设立数据保护官(LGPD称之为encarregado,即数据保护负责人),但两者的具体要求存在实质性差异。
在GDPR之下,仅以下情形须强制任命DPO:公共机构和团体;核心活动涉及对个人进行大规模定期和系统监控的组织;以及大规模处理特殊类别数据或犯罪定罪数据的组织(第37条)。GDPR明确规定,DPO须具备数据保护法方面的专业知识,须保持独立运作,须直接向高级管理层汇报,且不得因履行其职责而被解雇或处罚。
在LGPD之下,最初所有控制者,无论规模大小或处理范围如何,均须任命encarregado。ANPD其后颁布了第CD/ANPD 2/2022号决议,对小规模处理主体(小型企业、初创公司及个体经营者)豁免这一要求,除非其处理高风险数据。LGPD对encarregado资质的规定不如GDPR那样具体明确,独立性要求也相对宽松。encarregado须公开身份信息(须公布姓名和联系方式),但并不强制要求设立直接向董事会汇报的汇报关系。
存在一个实际的差距:一家既非公共机构、也不从事大规模系统监控的公司,可能无需按GDPR要求任命DPO,但如果该公司作为控制者处理巴西境内个人的个人数据,仍可能须依据LGPD任命encarregado(除非适用小型企业豁免)。
数据泄露通知
GDPR要求控制者在获悉某一对个人权利构成风险的个人数据泄露事件后,须在72小时内通知有管辖权的监管机构。如果泄露事件构成高风险,还须在不发生不合理迟延的情况下直接通知受影响的个人。
LGPD第48条要求控制者就可能造成重大风险或损害的安全事件,通知ANPD及受影响的数据主体。该法并未规定固定的通知时限。ANPD建议采用2个工作日的“合理期限”进行通知,但截至2026年5月,这仍属于指导性建议,而非具有法律约束力的强制期限。ANPD已表示计划将具有约束力的泄露通知规定纳入其监管议程,但相关规则制定工作仍在进行之中。
对于跨国组织而言,实际可行的做法是将GDPR的72小时期限作为内部统一标准。任何触发GDPR通知义务的泄露事件,只要涉及巴西数据主体,也应同步启动LGPD项下的通知流程。
数据保护影响评估
两部法律均规定了影响评估制度,但触发条件和合规架构有所不同。
GDPR依据第35条要求,只要处理活动可能对个人权利造成高风险,即须开展数据保护影响评估(DPIA)。以下三类情形始终须开展DPIA:涉及画像的系统性评估、大规模处理敏感数据,以及对公共场所进行大规模系统监控。控制者须以书面形式记录DPIA,在某些情形下,还须在开展处理前咨询监管机构意见。
LGPD第38条则采取被动应对的方式:ANPD可以在任何时候要求控制者编制个人数据保护影响报告(Relatório de Impacto à Proteção de Dados Pessoais,RIPD)。控制者在开展高风险处理之前,并不须主动开展RIPD。不过,ANPD 2025至2026年监管议程已将DPIA列为拟出台新的具有约束力规定的优先议题,在巴西境内运营的组织应现在就开始为高风险处理活动编制RIPD,而不应等到该要求成为强制性义务后再着手准备。
国际数据传输
2026年1月的双向充分性认定
2026年1月27日,欧盟委员会与巴西同步作出了相互的充分性认定。欧盟通过了第2026/179号实施决定,依据第45条认定巴西提供的数据保护水平与GDPR实质等同。巴西则通过2026年1月26日的ANPD第CD/ANPD 32号决议予以回应,依据LGPD认定欧盟为提供充分保护的司法辖区。
这一认定在两个方向上均产生了重大的实际影响:
从欧盟向巴西的数据传输,如今无需再采用标准合同条款、有约束力的公司规则,或者第46条项下的任何其他保障机制。该充分性认定同时涵盖公共部门和私营部门的传输行为,并按惯例将国家安全、国防和刑事侦查目的排除在外。
从巴西向欧盟的数据传输,可以依据ANPD的充分性认定进行,无需另行采取合同保障措施。
该认定须每四年接受一次正式审查。欧洲数据保护委员会在其第28/2025号意见中总体表示支持,但建议欧盟委员会继续监测巴西在DPIA落实情况、后续传输规则、透明度限制以及公共机构数据访问保障方面的实施情况。
第CD/ANPD 19/2024号决议与SCC框架
在充分性认定作出之前,规范巴西境外传输的关键框架是ANPD于2024年8月23日发布的第19/2024号决议。该决议确立了巴西用于国际数据传输的标准合同条款,并为企业纳入该条款设置了一年的宽限期。该宽限期已于2025年8月23日届满,此后从巴西向未获充分性认定的第三国传输数据,须采用标准合同条款或其他经批准的机制。
对于从巴西向欧盟组织的传输,ANPD于2026年1月作出的充分性认定,如今已取代了标准合同条款的要求。对于向其他司法辖区的传输,第19/2024号决议框架(标准合同条款、有约束力的公司规则,或特定合同条款)仍是必须采用的保障机制。
已针对欧盟至巴西数据流动签署巴西专用标准合同条款的组织,可考虑更新其传输文档,改为援引充分性认定这一依据。就该段传输而言,标准合同条款在技术上仍然有效,但已不再是法律上的强制要求。
实践中的执法:ANPD的执法记录
ANPD首批正式执法行动出现在2023年。2024年,该机构对三个巴西公共实体实施了制裁:联邦区教育地区厅(SEEDF)、国家社会保障局(INSS),以及卫生部。这三起案件均涉及泄露通知履行不到位及安全措施不足的问题。由于这些均为政府机构,相应制裁措施为警告和强制公开披露,而非金钱罚款。
ANPD针对私营部门最引人关注的一次行动,是2024年7月暂停Meta使用巴西用户数据训练AI。ANPD认定,Meta更新后的隐私政策以合法利益作为AI训练法律依据的做法缺乏充分理由,未能就处理细节保持透明,为数据主体行使权利设置了障碍,并且缺乏对未成年人数据的适当保障措施。该暂停措施以每日5万雷亚尔的罚款作为执行手段。Meta与ANPD已于2024年8月底达成协议,Meta承诺接受受监督的合规方案,以换取暂停措施的解除。
截至2025年,ANPD累计执法所形成的罚款和制裁措施总额约为9800万雷亚尔。ANPD已于2025年2月获得机构独立地位,加之其已公布的2026至2027年执法重点,均预示着未来将进入执法更为活跃的时期。
近期动态:2024至2026年监管议程
ANPD 2026至2027年优先议题
2025年12月,ANPD发布了第CD/ANPD 30号决议,制定了2026至2027两年期优先议题图谱,并发布第CD/ANPD 31/2025号决议,更新了其2025至2026年监管议程。四大优先执法与监管领域分别是:
- 数据主体权利,尤其关注用于广告目的的敏感数据
- 依据《数字儿童青少年权益法》对儿童和青少年的保护,包括年龄验证和默认隐私保护要求
- 公共机构对LGPD的合规情况,包括政府实体之间的数据治理和共享规则
- AI与新兴技术,包括对AI系统中个人数据使用情况的监督
关于DPIA、自动化决策权利以及泄露通知时限的具有约束力的规定,均已列入拟出台议程。
巴西的AI法案
巴西参议院于2024年12月10日通过了第2338/2023号AI法案,并于2025年3月将其提交众议院审议。该法案采用了与欧盟《人工智能法案》高度相似的风险分级方式,将AI系统划分为过度风险、高风险和一般用途三类。依据该法案,ANPD将作为处理个人数据的AI系统的主要监管机构,行业专门监管机构则同时发挥并行作用。
该法案最终能否获得颁布仍存在不确定性。截至2026年初,众议院内部尚未形成政治共识,加之巴西2026年的选举周期,进一步降低了该法案在2027年之前获得通过的可能性。企业应持续关注立法进展,但目前尚不应将该AI法案作为合规基准依据。
双重合规指引
同时受GDPR和LGPD约束的组织,应将两套框架视为互为补充,而非彼此重复。即便已符合GDPR要求的合规体系,以下领域仍需给予LGPD特有的关注。
合法依据。 应将LGPD的合法依据单独映射至每一项处理活动,而非直接套用GDPR的映射结果。在GDPR下依赖合法利益的处理活动,在LGPD下可能存在更为具体的适用依据(信用保护、健康保护、科研机构开展的研究)。两套映射均须予以记录。
DPO/encarregado。 一家未触发GDPR附条件DPO要求的公司,仍可能须依据LGPD任命encarregado,除非适用第CD/ANPD 2/2022号决议下的小型企业豁免。encarregado须以公开方式列明姓名及联系方式。
泄露通知。 LGPD并未设定固定的法定期限。应将ANPD建议的2个工作日作为内部统一标准,与GDPR的72小时期限并行执行。
DPIA/RIPD。 即便LGPD目前尚未强制要求,也应主动为高风险处理活动编制RIPD。ANPD可以在任何时候要求提供RIPD,且具有约束力的主动编制要求即将出台。
回应时限。 LGPD要求就详细访问请求在15天内回应,短于GDPR的30天期限。应将数据主体访问请求的处理流程按LGPD更紧的期限进行配置。
国际传输。 截至2026年1月27日,欧盟与巴西之间的数据流动已在两个方向上均受相互充分性认定的覆盖。应更新处理活动记录,将相应传输环节的依据由标准合同条款改为充分性认定。对于从巴西向其他未获充分性认定国家的传输,第19/2024号决议下的标准合同条款仍属必须采用的要求。
政府承包商。 LGPD对公共实体的特殊处理方式,会影响那些作为处理者代表巴西政府机构处理个人数据的公司。政府数据共享适用特定规则。
如需深入了解GDPR框架,请参阅我们的欧盟数据隐私法完整指南。如需单独了解巴西LGPD,请参阅我们的巴西数据隐私法指南。
本文内容反映截至2026年5月的法律状况。GDPR和LGPD均仍在通过监管指南和执法裁定不断演变。如需就贵组织的具体情况获取意见,请咨询合格律师。
Frequently Asked Questions
LGPD基本上是GDPR的翻版吗?
LGPD在很大程度上受到GDPR的启发,但并非直接照搬。两者共享相同的基础性原则(目的限制、数据最小化、透明度、问责制),但在若干方面存在分歧。LGPD设有10项合法依据,多于GDPR的6项;罚款上限为巴西境内营业额的2%,而非全球营业额的4%;执法由单一机构负责,而非由30多个数据保护机构组成的网络;此外,其数据主体访问请求的回应期限也更短(15天对30天)。
GDPR和LGPD相比,哪部法律的罚款更高?
对大型企业而言,GDPR的最高罚款要显著更高。GDPR罚款最高可达2000万欧元或全球年营业额4%,以较高者为准。LGPD罚款上限为企业巴西境内营业额的2%,且每项违规行为设有5000万雷亚尔(约合1000万美元)的封顶金额。以一家全球营业额达50亿美元的跨国企业为例,其面临的GDPR风险敞口可达2亿美元;而其LGPD风险敞口,无论全球业务规模如何,均封顶于1000万美元。
LGPD是否要求所有数据处理均须取得同意?
并非如此。与GDPR相同,LGPD为处理个人数据提供了多项合法依据。实际上,LGPD提供的选项比GDPR更多,共有10项合法依据,包括同意、合法利益、合同履行、法定义务、信用保护和健康保护。同意只是众多选项之一,并非默认要求。
巴西是否获得了欧盟的充分性认定?
已经获得。2026年1月27日,欧盟委员会通过了第2026/179号实施决定,依据GDPR第45条正式认定巴西提供充分的数据保护水平。个人数据如今可以从欧盟自由流向巴西,无需再采用标准合同条款或第46条项下的其他保障措施。巴西同步通过了ANPD第CD/ANPD 32号决议,依据LGPD认定欧盟提供充分保护。
一家公司能否使用同一份隐私政策同时满足GDPR和LGPD的合规要求?
一份统一的全球隐私政策可以同时应对这两套框架,但须纳入LGPD特有的披露内容。该政策须援引适用的LGPD合法依据、列明encarregado的姓名及联系方式、说明巴西法律下可行使的权利(包括15天的访问回应期限),并解释如何向ANPD提出申诉。许多跨国公司会采用一份政策文件,并按不同司法辖区分设专门章节的方式来处理这一问题。
LGPD是否要求进行数据保护影响评估?
默认情况下并不要求主动开展。LGPD第38条赋予ANPD在任何时候要求控制者编制个人数据保护影响报告(RIPD)的权力,但并不要求控制者在开展高风险处理之前主动完成该报告。GDPR第35条则要求在开展特定高风险活动之前须主动完成DPIA。ANPD 2025至2026年监管议程包含具有约束力的主动DPIA要求,因此各组织应现在就开始为高风险处理活动编制RIPD。
ANPD针对Meta采取了怎样的行动?
2024年7月,ANPD责令Meta立即暂停使用巴西用户的个人数据训练AI,并以每日5万雷亚尔的罚款作为不合规的执行手段。ANPD认定,Meta更新后的隐私政策以合法利益作为AI训练法律依据的做法缺乏充分理由,缺乏透明度,且未能保护未成年人的数据。该暂停措施在Meta同意接受受监督的合规方案后,于2024年8月底解除。
Sources and References
- 第2026/179号实施决定 — 欧盟对巴西的充分性认定(eur-lex.europa.eu).gov
- LGPD全文 — 第13.709/2018号法律(planalto.gov.br).gov
- ANPD官方网站 — 巴西国家数据保护局(gov.br).gov
- 欧盟委员会 — 数据保护概览(commission.europa.eu).gov
- GDPR第6条 — 处理的合法性(gdpr-info.eu)
- GDPR第9条 — 数据特殊类别(gdpr-info.eu)
- GDPR第35条 — 数据保护影响评估(gdpr-info.eu)
- GDPR第37条 — DPO的指定(gdpr-info.eu)
- GDPR第33条 — 向监管机构报告数据泄露(gdpr-info.eu)
- 欧盟委员会新闻稿 — 欧盟-巴西充分性认定,2026年1月(ec.europa.eu).gov
- 欧洲数据保护委员会第28/2025号意见 — 欧盟对巴西充分性认定决定草案(edpb.europa.eu).gov
- 美国国际贸易署 — 巴西新版国际传输规则(trade.gov).gov
- IAPP — ANPD成为独立监管机构(iapp.org)