2026年5月15日起,巴西《数据保护通用法》(LGPD)的补充法案正式生效。个人数据从巴西向境外传输,不再只是合同问题,而是需要获得巴西数据保护局(ANPD)专项授权的监管事项。
对于在巴西运营的中国企业——无论是电商、金融科技、社交媒体,还是制造业、物流业——这都是一次必须严肃对待的合规升级。新规不仅是法律条文的变更,更是对企业数据治理能力的全面检验。
PART 01
新规核心
从“自律”到“他律”的根本转变
PART 02
例外与路径
三个“快速通道”和一个“严格通道”
PART 03
对企业运营的五大具体影响
PART 04
中企合规行动路线图
(2026年3月起)
PART 05
结语
1
新规核心
从“自律”到“他律”的根本转变
核心改变:
2026年5月15日生效的补充法案,对LGPD第33条进行了实质性修改,将个人数据出境的监管逻辑从 “企业自行评估+合同保障” 转向 “事前审批+持续监管”。
具体而言,新规创设了三大核心义务:
专项授权要求:除非传输目的地是ANPD认定的“充分保护国家/地区”,否则企业必须就每一次数据出境或每一类数据出境场景,向ANPD提交申请并获得事先授权。这意味着,巴西员工的信息、客户的交易记录、用户的浏览数据,只要跨出巴西国境,就需要一张“出境许可证”。
必要性原则审查:ANPD在审批时将严格审查数据传输的“必要性”。企业必须证明,所传输的数据是实现特定业务目的所绝对必需的最少数据,而非“顺便传一份”。
数据主体权利强化:巴西数据主体有权要求企业删除其存储在境外的个人数据。这意味着,企业必须在境外系统中建立能够响应巴西用户“被遗忘权”请求的技术机制。
法律条文参考
补充法案第8条:数据出境必要性原则的具体规定
补充法案第17条:数据主体对境外数据的删除权
LGPD 第33条(修订后):国际数据传输的合法基础
ANPD后续将发布的专项授权申请指南
2
例外与路径
三个“快速通道”和一个“严格通道”
新规并非完全切断数据出境,而是提供了清晰的路径选择。理解这些路径,是合规的第一步。
1
路经一:
充分性认定(自由流通通道)
适用对象:向被ANPD正式认定为具有“充分保护水平”的国家或地区传输数据。
最新重大进展:2026年1月26日,ANPD通过第32/2026号决议,正式认定欧盟及其欧洲经济区成员国(冰岛、列支敦士登、挪威)具备与巴西等效的数据保护水平。
这意味着:从巴西向欧盟27国及上述3国传输个人数据,无需申请ANPD专项授权,也无需使用标准合同条款,可以自由流动。这是新规下最便捷的通道。
未来展望:ANPD可能陆续认定其他国家。但目前,中国不在名单上。
2
路径二:
标准合同条款(标准化通道)
适用对象:向未被认定但企业愿意通过合同约束接收方的国家传输数据。
关键规定:
必须使用ANPD批准的模板:企业必须采用ANPD第19/2024号决议附件二所附的标准合同条款(SCCs),不得自行修改核心条款。
过渡期已结束:现有合同的合规调整期限已于2025年8月23日截止。目前仍在使用的任何不符合SCCs的合同均属违规。
这是绝大多数中企对华数据传输最可能使用的路径。
3
路径三:
约束性公司规则(集团内部通道)
适用对象:跨国企业集团内部(如巴西子公司与中国总部之间)的数据传输,且集团希望通过一套统一的、有约束力的内部规则来规范所有跨境传输。
关键规定:
需要ANPD审批:企业需向ANPD提交完整的约束性公司规则(BCRs),证明其具有法律约束力、可执行性,并能提供与LGPD等效的保护水平。
适用于集团内部:BCRs仅适用于同一经济集团内的实体之间。
4
路径四:
专项授权(严格通道)
适用对象:
企业希望使用自定义的合同条款(而非ANPD批准的SCCs模板)
传输场景无法归入上述任何一类的特殊情况
这是合规成本最高、周期最长的路径,应尽量避免。
3
对企业运营的五大具体影响
1
影响一:
人力资源管理的“数据出境审查”
对于在巴西设有分支机构的中企,员工信息管理是日常操作:巴西员工的薪资数据可能在中国总部汇总,绩效评估可能由总部参与,人事档案可能存储在总部的云端系统。
新规之下,这些“日常操作”都可能构成需要专项授权的数据出境。企业必须:
场景梳理:逐一识别涉及巴西员工数据向中国传输的所有场景(薪资、绩效、保险、背景调查、云存储等)。
合法性评估:为每个场景确定合法传输路径(通常是中国未被认定,需走SCCs路径)。
合同更新:确保与每位巴西员工签署的劳动合同或隐私声明中,已明确告知数据出境情况,且与总部的数据处理协议已纳入ANPD批准的SCCs。
2
影响二:
电商与互联网业务的“用户数据处理”
对于面向巴西消费者的电商平台、社交应用、游戏公司,用户数据的跨境处理是业务核心。
新规之下:
订单处理:巴西用户的订单信息、支付信息若需传回中国总部处理,需走SCCs路径。
营销分析:用户行为数据若用于中国总部的算法训练或用户画像,需严格审查“必要性”,并可能需要单独获取用户对数据出境的明确同意。
云服务部署:若使用位于中国的云服务商处理巴西用户数据,该云服务商必须作为“数据操作者”与巴西的数据控制者(企业)签署包含SCCs的合同。
3
影响三:
金融科技与支付服务的“数据本地化压力”
金融行业通常涉及更敏感的个人数据和更严格的监管。虽然LGPD未强制要求数据本地化,但新规下出境审批的复杂性,将形成事实上的“本地化激励”。
企业应对:
评估在巴部署:对于高频、核心的巴西业务数据,评估是否可能在巴西本地部署服务器或使用巴西本地云服务,从而规避出境审批。
审慎设计架构:如必须出境,需设计最精简的数据字段,仅传输业务所绝对必需的信息。
4
影响四:
数据主体权利响应的“技术升级”
补充法案第17条赋予巴西用户一项新权利:要求企业删除其存储在境外的个人数据。
这要求企业:
建立全流程删除机制:当一位巴西用户要求行使“被遗忘权”时,企业的响应流程不能止步于巴西本地数据库,必须延伸至中国总部或任何存储其数据的境外系统,确保彻底删除。
响应时效:LGPD规定,数据主体请求应在15日内响应。这意味着企业需要在15天内完成跨国跨系统的数据定位、删除和确认。
5
影响五:
合规成本的结构性上升
新规带来的合规成本是多方面的:
审批准备成本:无论是准备SCCs合同(相对简单)还是申请专项授权(复杂),都需要投入法务和业务时间。
咨询与服务成本:大概率需要聘请巴西本地数据保护法律顾问提供合规意见。
技术改造成本:为满足“必要性原则”和“删除权”,可能需要对业务系统和数据架构进行改造。
潜在罚款风险:违规者最高可处2000万雷亚尔(约合350万美元)的罚款。
4
中企合规行动路线图
(2026年3月起)
距离新规全面生效(5月15日)仅剩约两个月。对于尚未系统启动合规工作的企业,时间非常紧迫。
2026年3月
第一阶段:
立即盘点与诊断
数据出境场景盘点:
成立由法务、IT、业务部门组成的专项小组,逐一梳理所有涉及巴西个人数据向境外(特别是中国)传输的业务流程。形成一份清晰的 “数据出境清单”。
合法性基础评估:
对照新规的四条路径,为清单中的每一项出境场景确定其应走的合规路径。绝大多数对华传输将落入“标准合同条款”路径。
差距分析:
评估现有合同、隐私政策、技术措施与SCCs要求的差距。
2026年4月
第二阶段:
合同与制度更新
获取并审阅SCCs模板:
从ANPD官网获取第19/2024号决议附件二的SCCs葡萄牙语标准文本,并组织准确翻译。
签署数据处理协议:
对于每个涉及数据出境的场景,确保巴西的数据控制者(企业当地实体)与境外的数据操作者(如中国总部、中国云服务商)签署包含ANPD批准SCCs的书面协议。
更新隐私政策与同意机制:
确保面向巴西用户的隐私政策已明确告知数据可能出境的情况、接收方、目的以及用户享有的删除权等权利。如需单独征得同意,优化用户界面。
建立数据主体权利响应SOP:
制定书面的、覆盖境内外数据删除的标准化操作流程,明确责任部门和响应时限。
2026年5月上旬
第三阶段:
技术准备与内部培训
技术方案落地:
根据业务需求,部署或调整系统,确保能够:
(1) 在用户请求删除时,精准定位并清除其在境内外所有系统的数据。
(2) 在收集和传输数据时,仅传输业务所“必需”的最少字段。
员工培训:
对巴西本地员工及总部涉及巴西业务的员工进行专项培训,使其了解新规要求、公司政策以及遇到数据主体请求时的上报流程。
2026年5月15日及以后
第四阶段:
持续监控与审计
建立合规日历:
设置年度提醒,确保SCCs合同和隐私政策定期审查更新。
跟踪ANPD动态:
密切关注ANPD是否发布新的“充分性认定”国家名单、新的SCCs版本、以及专项授权的具体指南和处罚案例。
5
总结:
对中企出海的系统性影响与应对框架
1
用工成本全面上升
成本构成正在发生结构性变化。病假工资从第4天起付变为第1天起付,裁员保护从90天工资变为180天工资,解雇风险从2年后担责变为6个月后担责。每一项变化都在推高用工的固定成本和潜在风险。
应对这一变化,企业需要重新测算在英用工的全周期成本模型,将合规成本纳入业务预算而非视为“意外支出”。同时,可以考虑用工模式的多元化,但需确保新模式同样符合新规要求。
2
管理风险前移
新员工保护期从24个月缩短至6个月,意味着管理风险显著前移。试用期内的绩效管理要求更高,任何绩效问题的处理都需要更加规范、记录更加完整。招聘决策的容错空间变小,一个错误的招聘可能在短短6个月后就演变为法律纠纷。
应对这一变化,企业需要重塑招聘流程,实施更严格的背景调查和能力评估。同时强化入职管理,为新员工设定清晰的岗位期望、目标设定和反馈机制。最重要的是建立早期预警系统,在6个月内识别并处理绩效问题,避免问题积累到无法解决的程度。
3
合规复杂度显著提升
新增合规领域包括家庭休假资格管理、病假工资计算系统升级、反骚扰预防措施记录、薪酬差距数据收集与报告等。每一项都涉及政策、流程、系统的调整。
应对这一变化,企业应在2026年4月前完成全面合规审查和制度更新,确保薪酬、考勤系统支持新规要求,并对管理层和人力资源团队进行专项培训。
4
劳资关系格局变化
工会组织更容易、罢工更容易组织,员工个体权利增强、诉讼风险上升,集体协商的议题范围扩大——这些变化共同重塑着劳资关系的格局。
应对这一变化,企业应主动建立畅通的员工沟通渠道,如有工会则建立建设性合作关系,同时制定罢工等工业行动的应对预案。
5
总部与分支的协同挑战
英国分支的用工规则与国内差异正在扩大,总部人力资源政策可能不再适用,合规责任边界需要重新划分。
应对这一变化,企业应授权英国分支根据当地法律调整政策,建立总部与分支的合规共享机制,并在内部协议中清晰划分合规责任。
5
结 语
截至2026年3月,距离巴西数据出境新规全面生效仅剩2个月。对于在巴西运营的中企,现在已进入合规冲刺阶段。这是一场无法回避的合规升级。那些能够快速理解新规、系统梳理数据出境场景、及时完成合同更新和技术准备的企业,将在巴西市场赢得更稳健的运营基础。反之,违规风险正在累积,2000万雷亚尔的罚款不是数字游戏。合规不是成本,是在巴西市场持续经营的入场券。
#出海 #巴西 #合规 #跨境投资 #拉美出海 #跨境合规 #中国企业出海 #投资 #海外投资 #环球法律动态 #出海交流社群 #法律咨询 #DeepSeek #投资指南 #跨境贸易法律服务 #涉外法律交流群 #中企出海 #跨境电商 #独立站数据合规 #跨境独立站 #出海英国 #海外劳动用工 #劳动合规 #拉美数据合规 #海外劳动法 #海外雇佣 #巴西数据合规 #巴西数据保护 #LGPD #数据出境 #合规管理 #巴西市场 #数据安全
此次巴西🇧🇷数据保护法变更下,企业需要调整数据合规政策、合同、技术措施等,如需专业团队更新相关文件,请私信我们!
[参考资料]
巴西《数据保护通用法》(LGPD):https://lgpd-brazil.info/
巴西国家数据保护局(ANPD)官方网站:https://www.gov.br/anpd/pt-br
Souto Correa -《ANPD发布国际数据传输规则》:https://www.soutocorrea.com.br/en/client-alerts/anpd-publishes-regulation-on-international-data-transfer/
Tauil & Chequer Advogados -《巴西标准合同条款实施:过渡期结束》:https://www.tauilchequer.com.br/ja/insights/publications/2025/08/end-of-grace-period-implementation-of-brazils-standard-contractual-clauses-in-international-transfers-of-personal-data
Trench Rossi Watanabe -《巴西与欧盟相互认定充分保护》:https://www.trenchrossi.com/en/legal-alerts/brazil-and-the-european-union-mutually-recognize-adequacy-in-personal-data-protection-resolution-no-32-dated-january-26-2026/
Baker McKenzie -《巴西与欧盟:数据保护相互充分性认定》:https://www.bakermckenzie.com/en/insight/publications/2026/01/brazil-and-european-union-mutual-data-protection-adequacy-decision
CGM -《ANPD发布LGPD和国际数据传输规则英文版》:https://cgmlaw.com.br/en/anpd-publishes-english-version-of-the-lgpd-and-the-international-data-transfer-regulation-2/
Kasznar Leonardos -《ANPD发布国际数据传输规则》:https://www.kasznarleonardos.com/en/anpd-in-the-spotlight-brazilian-data-protection-authority-approves-regulation-about-the-dpo-and-discloses-new-platform-for-data-subjects-requests-2/
[免责声明]
本文所载信息(包括但不限于法律法规解读、数据、应对建议等)仅供一般性参考,不构成法律、税务、贸易或任何其他专业领域的建议。使用者应自行核实信息来源的准确性和及时效性。我方不对因依赖本文内容而导致的任何直接或间接损失承担责任。相关政策及法规可能随时变动,请以各国政府及监管机构最新官方文件为准。
往期精选
加州新规紧急提醒:3月30日截止!中企雇主必须完成的员工权利告知与紧急联系人合规
英国劳动法大变革:2026-2027年新规全景解读与中企应对指南
【洞见】美军突袭委内瑞拉:一场以“正义”为名的资源掠夺?中企拉美投资需警惕三重风险!
关于我们
LAW PURPOSE
律意是一家创新型综合性跨境法律服务平台。
基于创始团队在法律大数据及法律服务行业近20年的经验,拥有覆盖全球157个国家和地区的资深律师网络及各行业法律专家资源,已经为数十家跨境制造与消费类企业节约了50%的时间与经济成本。致力于为企业出海提供专业、完善、便捷的一站式法律服务。
联系/关注我们
小管家微信
小红书
知乎
播客
电话:+86 021 31200806
邮箱:inquiry@lawpurpose.com
地址:上海市静安区愚园路108号7楼728
