为什么是巴西呢？一文详解欧盟与巴西跨境传输充分性互认

一、互认概览与当前态势

2025年9月5日，欧盟委员会（European Commission, EC）发布了对巴西的充分性决定草案[1]。所谓充分性决定（adequacy decision），是《欧盟通用数据保护条例》（General Data Protection Regulation, GDPR）第45条确立的一种法律机制。它允许欧盟委员会在经过审查后，认定第三国或国际组织的数据保护水平“实质等同”（essentially equivalent）于欧盟，从而使来自欧盟的数据能够自由流向该国，而无需再使用标准合同条款（Standard Contractual Clauses, SCCs）、具有约束力的企业规则（Binding Corporate Rules, BCRs）等额外传输工具。

这一草案结论明确指出，巴西在《通用数据保护法》（Lei Geral de Proteção de Dados, LGPD）及其实施制度下，提供了与欧盟实质等同的数据保护水平。草案强调，一旦正式通过，从欧盟向巴西的数据流动无需额外保障措施。同时，草案内置了四年一次的定期复审机制，以及在情况恶化时可部分或全部暂停的“刹车条款”，以确保充分性认定的灵活性与可持续性。

同日，巴西国家数据保护局（Autoridade Nacional de Proteção de Dados, ANPD）发布新闻稿，确认欧方动作，并公开表示：ANPD 已经处于对欧盟进行充分性评估的技术分析最后阶段，后续将进入法律评估，并由董事会（Conselho Diretor）投票决定。[2]这意味着巴西也正朝着“对等决定”迈进，即对欧盟作出充分性认定，从而实现真正的双向互认。

目前状态可以简要概括为：

• 欧盟方面：草案已出，进入欧盟数据保护委员会（European Data Protection Board, EDPB）意见阶段，随后还需成员国委员会投票表决。
• 巴西方面：技术分析基本完成，进入法律评估和董事会表决阶段。
• 双方都强调“互认”，但尚未到最终决定。

这标志着一个新的阶段：欧盟与巴西之间的数据传输有望通过双向充分性实现“制度级自由流动”。

二、为什么欧盟率先推进巴西：动因与必然性

与其他已经获得欧盟充分性认定的国家相比，为什么在 2025 年欧盟选择优先启动巴西？这一问题不能只停留在表面，而必须追溯到经济结构、政治信号、区域战略与法律制度多重因素的叠加。

1. 外资与在地化运营的深度绑定

与美国、韩国不同，巴西并不是以“数字服务出口商”的身份来推动充分性，而是欧洲企业自身在巴西市场的长期落地和深度运营构成了现实需要。欧盟委员会对外贸易总司（DG TRADE）数据表明，欧盟是巴西的第二大贸易伙伴，仅次于中国，占巴西总贸易的 15.9%；2024 年双边货物贸易额达到 895 亿欧元，2023年服务贸易额也在 200 亿欧元以上[3]。更关键的是，欧盟是巴西最大的外国直接投资来源，直接投资存量超过 3000 亿欧元，远超其他经济体[4]。

这意味着：在巴西的汽车、制药、化工、金融、电信等多个行业，欧洲企业以子公司、合资企业或独资企业的形式直接运营，其集团内部的数据、供应链数据、客户服务数据、科研数据必须长期、稳定、高频地跨境回传或互联。依赖逐案的 SCC 或 BCR 不仅成本高，而且在面对监管或司法不确定性时风险过大。因此，充分性认定成为“必然需要”，它是欧洲企业在巴西实现运营稳定性的制度保障。

2. Mercosur 协议的时间协同

南方共同市场（Mercado Común del Sur, Mercosur）是拉丁美洲的一个关税同盟，包括巴西、阿根廷、乌拉圭和巴拉圭等成员国。欧盟与 Mercosur 谈判长达 20 年，2019 年宣布政治上达成协议，但因环境和劳工条款的争议迟迟未能生效。2025 年 9 月 3 日，欧盟委员会正式向理事会提交批准议案，标志着协议进入最后审议阶段[5]。仅仅两天后，欧盟发布对巴西的充分性草案。

虽然官方没有直接把两者捆绑，但这种时间上的“同周推进”，让我们有了合理推断的依据。Mercosur 协议主要解决货物流动与市场准入，而充分性认定解决的是数据流动与数字供应链。两者结合，能够共同构建一个覆盖“实体贸易 + 数字经济”的综合框架。这是欧盟战略上的“配套动作”：在开放市场的同时，为数字经济的核心要素——数据流动——建立法治护栏。

3. 拉美“锚点”的战略意义

从全球战略看，欧盟已经与日韩、英国、以色列、美国（数据隐私框架）等主要经济体形成了充分性网络，但在拉美地区，虽然阿根廷和乌拉圭已获认定，但体量最大的经济体——巴西——长期未被纳入。这导致欧盟的“充分性地图”在拉美存在明显缺口。

选择巴西，等于在拉美放置了一个“锚点”：既能覆盖区域数字经济的重心，又能起到示范效应。与此同时，欧盟通过“全球门户”（Global Gateway）战略和“欧盟—拉美数字同盟”（EU–LAC Digital Alliance），已经投资并推动了 BELLA/EllaLink 海底光缆工程，把欧—拉美科研和教育网络直接连通。基础设施已经到位，规则的护栏必须补齐，才能释放跨洋科研数据、地球观测数据和跨国企业创新协作的潜力。

4. 法律制度的可评估性与低风险性

与其他候选国相比，巴西的法律制度有两大优势：

• 高度相似性：巴西《LGPD》与欧盟《GDPR》在结构和原则上高度相似，几乎是“同源框架”。例如，两者都确立了合法性基础、目的限制、数据最小化、透明度、数据主体权利、数据保护官、事件通报等制度。
• 工具箱完备性：ANPD 在 2024 年通过了 《国际数据传输规章》，明确了充分性决定、SCC、等效 SCC、跨国企业规范等机制，并提供了英文文本。这意味着欧委会可以直接评估巴西的法律制度，而无需面对模糊或缺失的环节。

因此，巴西的“可评估性”高，政治风险低。对于欧委会来说，选择一个大体量、制度成熟、可比性强的国家推进充分性，是一个“低成本高收益”的决策。

5. 政治窗口与外交信号

2025 年上半年，欧盟理事会主席访问巴西时，明确称巴西是“战略伙伴”，并强调欧盟是巴西最大外资来源。这种高层互动，叠加 Mercosur 协议的推进，形成了一个“窗口期”[4]。在这一背景下推进充分性认定，不仅是法律合规动作，也是政治与经济信号：欧盟与巴西关系正处于“全面深化”的阶段，数据自由流动是其中的重要一环。

三、互认基础：长期制度对话与巴西主动靠近欧标

欧盟与巴西之间的对话并非偶然，而是建立在多年制度性交往和战略协作的基础之上。

1. 欧—巴数字对话与网络安全对话

欧盟—巴西数字对话（EU–Brazil Digital Dialogue）始于 2007 年，是双方战略伙伴关系的重要组成部分。到 2025 年 2 月，数字对话已举行到第 13 次，议题涵盖数据经济、人工智能、在线安全、5G/6G 网络、数字政府等。官方通稿称其为“基石性合作平台”，强调其连续性与战略性[6]。

欧盟—巴西网络安全对话（EU–Brazil Cyber Dialogue）则聚焦关键基础设施保护、网络安全标准、市场准入与能力建设。2025 年 9 月 5 日举行的第三次对话[7]，正是在欧盟发布充分性草案的同一天。这种“硬核议题”的同步推进，表明数据保护和网络安全早已成为双方制度对话的重要组成部分。

2. EU–LAC 数字同盟与 BELLA/EllaLink 工程

欧盟—拉美数字同盟（EU–LAC Digital Alliance）[8]是 2023 年正式成立的跨区域数字合作框架，目标是加强数字基础设施、监管对话和数字技能。作为其中的重要项目，BELLA/EllaLink 海底光缆于 2021 年投运，BELLA 电缆在巴西——欧盟的战略伙伴——的到达，是基于《 欧洲数字十年 》目标所确立的国际数字伙伴关系坚实基础的一个象征性里程碑。这一项目被反复描述为“人本数字化”和“开放科学”的关键支点。

从逻辑上看，基础设施 + 法规互认构成了跨洋数字合作的双支撑。没有基础设施，规则难以落地；没有规则，基础设施无法释放全部潜力。充分性认定正是这一逻辑闭环的关键一环。

3. LGPD 的欧标相似性

巴西《LGPD》自 2020 年生效，被普遍认为是受欧盟《GDPR》启发的立法。多份权威分析（包括欧洲数据保护委员会委托的国别报告）都明确指出，LGPD 在结构、原则和权利保障方面与 GDPR 极为相似。这种“近似度”使欧委会在评估时能够使用现有的“欧标框架”进行对照，而不是“从零开始”。

但欧盟的判断并不只停留在“形式上的相似性”。在 Schrems II 判决之后，欧盟更加关注第三国政府对数据的访问权限是否受到限制，以及公民是否能够获得有效的监督与救济。因此，2021至2023年间，欧洲数据保护委员会（EDPB）委托独立研究机构对包括巴西在内的若干第三国进行了深入研究。2023年4月发布的《巴西篇》报告[8]，对政府获取私人部门数据的法律框架、监督机制和救济渠道进行了详尽的分析。

这份报告的结论带有明显的双重性。一方面，它肯定了巴西宪法明确承认隐私与数据保护为基本权利，LGPD 的制度设计与 GDPR 高度接近，ANPD 的独立性逐步确立，并且“habeas data”诉讼等宪法性救济渠道为公民提供了防御过度政府干预的手段。另一方面，它也指出国家安全、刑事执法和公共安全等领域的规则相对分散，缺乏统一的立法框架，监督和比例性原则的落实更多依赖宪法与司法解释，而非专门的数据保护法。这些观察结果本身并不意味着欧盟当时已决定推进充分性，而是反映出一种持续的制度关注：欧盟在充分性认定之前已经对巴西的潜在风险有了清晰认知，并掌握了可供评估的事实基础。

4. 多边框架的兼容性

在国际参与方面，巴西的数据保护监管机构并非孤立运作，而是积极嵌入到全球与区域的数据保护治理网络之中。欧盟委员会在充分性草案中特别强调了三个方面的制度性参与。

首先，巴西国家数据保护局（ANPD）自 2023 年起成为 全球隐私大会（Global Privacy Assembly, GPA） 的正式成员。该大会汇聚了全球主要数据保护监管机关，其中包括欧盟所有成员国的机构，是跨境合作、标准对话与政策协调的重要平台。ANPD 的加入，意味着巴西的数据保护监管直接进入了这一全球性治理网络，与欧盟各国形成了日常沟通与对接的渠道。

其次，巴西还作为观察员加入了 欧洲理事会《108号公约》委员会（Convention 108+ Committee）。《108号公约》是全球首个、迄今唯一具有法律约束力的数据保护国际条约，其升级版“108+”进一步扩展了对自动化处理、跨境数据流动和政府访问数据的规制。作为观察员，巴西虽然尚未完全加入，但通过这一身份已经与欧洲核心的制度平台建立了紧密联系，并表明了主动对齐欧标的意愿。

再次，巴西在 联合国隐私权议程 中长期发挥领导作用。早在 2013 年和 2014 年，巴西就与德国共同推动并主导了联合国大会通过的《数字时代的隐私权》决议。这些决议明确指出，任意或非法的监控和数据收集行为严重侵犯隐私权和言论自由，违背民主社会原则，并呼吁各国审查本国的数据收集规则，确保与国际人权法相符，并建立独立、有效的监督机制。这些成果展示了巴西在国际层面推动隐私权保障的主动性和领导地位。

除了草案中明确提及的 GPA、108+ 和联合国框架之外，巴西还在更广泛的国际讨论中表现出对欧标的靠拢。作为 OECD 入会进程中的重要伙伴，巴西在 2022 年 OECD 通过《政府访问私人部门数据宣言》后，承诺对其合法性、必要性、比例性、透明性和救济机制等原则予以遵循。与此同时，尽管“可信数据自由流动”（Data Free Flow with Trust, DFFT）是由 G7 首创的跨境数据治理理念，但巴西在 G20 数字经济对话中积极参与相关议题，强调以“自由 + 信任”的方式推动全球南方与发达经济体之间的数字合作。

综上，巴西在国际层面既有欧委会草案所确认的制度性参与（GPA、108+、联合国决议），也有在 OECD 与 G20 等多边框架中的积极对齐。正是这些国际承诺和制度参与，使得欧委会在评估时能够认定巴西在公共部门访问和救济机制上与欧盟具有兼容性，从而降低了不确定性。

四、欧盟对巴西充分性决定草案的主要内容

正是在这种背景下，欧盟委员会在2025年草案中回应了先前EDPB委托研究报告所揭示的问题。草案不仅重申 LGPD 在合法性基础、数据主体权利、透明度和事件通报方面与 GDPR 的实质等同性，更将大量篇幅用于论证公共部门访问的比例性和救济问题。欧委会承认国家安全与刑事执法领域不受 LGPD 直接约束，但强调宪法第5条确立的基本权利、司法对数据访问的外部监督以及“habeas data”制度为个人提供了有效的防护与救济。草案同时明确，ANPD 在监管体系中的权能逐步增强，并与法院形成互补关系，共同弥补了数据保护在公共部门的制度缺口。

欧盟草案明确结论：巴西提供了充分的数据保护水平。其分析结构包括：

1. 私部门处理与数据主体权利

   草案详细比对了 LGPD 与 GDPR 的对应条款，包括合法性基础、目的限定、数据最小化、透明度、数据主体权利（访问、更正、删除、可携带等）、对儿童和敏感数据的特别保护，以及事件通报制度。欧委会认为，这些要素在实质上等同。

2. 公共部门访问与相称性

   草案分析了巴西在刑事执法和国家安全领域的数据获取机制，指出其存在法律限制、比例性要求和监督机制。虽然在操作上可能不完全相同，但总体符合“实质等同”的标准。

3. 监管与执行

   草案肯定了 ANPD 的独立性和权能，强调其在监督、执法、制裁和救济方面的能力足以保障制度有效性。

4. 动态审查与应急机制

   草案规定充分性决定的有效性需在四年后复审，欧委会可随时根据情况变化暂停或撤销。这确保了制度的灵活性。

五、巴西的跨境充分性认定制度与进展

巴西 ANPD 在 2024 年通过了 《国际数据传输规章》（Resolução CD/ANPD nº 19/2024）。这一规章明确了跨境传输的主要工具：

• 充分性决定；
• 标准合同条款（SCC）；
• 特定合同条款；
• 有约束力的公司规则（BCR）；
• 经批准的认证、行为准则。

ANPD 在其“国际事务”页面公开说明：截至目前，尚未对任何国家发布充分性决定。但 2025 年 9 月的新闻稿明确表示，对欧盟的充分性决定正在进行技术分析，将进入法律评估和董事会表决阶段。这意味着巴西正在对欧盟进行“镜像评估”，为实现互认创造条件。

六、未来影响与借鉴意义

1. 对企业与市场的影响

充分性互认一旦落地，欧盟与巴西之间的数据传输将不再需要额外保障工具。这将显著降低合规成本和不确定性，特别是对于涉及高频跨境数据流的行业（金融、电信、医疗、科研、云服务等）。同时，企业仍需遵守 GDPR 与 LGPD 的实体义务（合法性、最小化、透明度、权利响应等），充分性并不意味着“零义务”。

2. 对监管合作的影响

充分性通常伴随双边监管合作机制，包括信息通报、年度工作会议和四年一度的全面复审。这将提升监管解释的可预期性，减少跨境事件中的法律冲突，有助于提升跨大西洋的监管协同效率。

3. 对全球数据治理的意义

欧—巴互认如果顺利落地，将成为 GDPR 充分性网络在全球南方大国中的一次重要扩展。它展示了一条可借鉴路径：

• 国内先建立完善的数据保护法与传输工具；
• 长期参与制度性对话，建立互信；
• 在多边框架中与欧标保持兼容；
• 最终实现双边充分性互认。

这一模式对于其他新兴经济体具有示范作用。

七、结语

欧盟与巴西的充分性互认是多年制度对话、经济互嵌与法律制度趋同的结果，而非偶然。欧盟选择率先推进巴西，既有现实的外资运营需求，也有区域战略考量和政治窗口期的因素。巴西方面，则通过 LGPD 与国际数据传输规章，展示了主动靠近欧标、对接国际规范的意愿。未来互认一旦落地，将不仅降低双边合规成本，也会为全球数据治理提供新的范式。

注释

[1]欧盟“充分性决定草案” PDF

[2]ANPD 发布“欧盟充分性初稿”新闻稿

[3]欧盟对巴西贸易与投资数据页面

[4]欧盟—巴西关系：科斯塔主席将赴巴西加强伙伴关系并启动投资对话

[5]委员会提议通过与南方共同市场（Mercosur）和墨西哥的协议

[6]第13届欧盟—巴西数字对话强化数字合作

[7]网络安全：欧盟与巴西在巴西利亚举办第三次网络对话

[8]第三方国家政府访问数据最终报告II（巴西篇）