巴西通用資料保護法

巴西通用資料保護法（Lei Geral de Proteção de Dados, LGPD），即巴西法律第13.709/2018號，是巴西全國性的資料保護法規，於2020年9月全面生效。其立法精神深受歐盟《一般資料保護規則》（GDPR）啟發，旨在保護巴西境內個人的基本隱私權利與自由。LGPD的核心定義在於其廣泛的適用範圍，不僅管轄在巴西境內的資料處理活動，也具備「域外效力」，適用於任何在境外處理巴西個人資料的組織。此法規確立了十大合法處理基礎，並賦予資料主體九項權利，例如存取權、更正權與被遺忘權。在風險管理體系中，LGPD合規是隱私資訊管理系統（PIMS）的關鍵一環，企業可採用ISO/IEC 27701作為建置合規框架的指引，該標準提供了具體的控制措施，協助組織系統性地滿足LGPD的要求，例如資料保護影響評估（DPIA）與資料保護官（DPO）的任命，從而降低高達年收入2%（上限5000萬巴西雷亞爾）的罰款風險。

在企業風險管理中應用LGPD，旨在將法規要求轉化為可操作的內部控制措施，以降低違規風險。具體導入步驟如下： 1. **資料盤點與法規差距分析**：首先，企業需全面盤點處理的個人資料類型、流程與系統，繪製資料流圖。接著，依據LGPD第7條的十大合法處理基礎，逐一檢視現行作業的合法性，並與ISO/IEC 27701的控制項進行比對，識別合規差距。 2. **建立治理框架與任命DPO**：根據分析結果，建立隱私治理框架，包括制定隱私政策、程序書與應變計畫。依據LGPD第41條，任命一名資料保護官（Encarregado），負責監督合規活動、擔任與主管機關及資料主體的溝通橋樑。 3. **執行DPIA與落實技術控制**：對於高風險的資料處理活動（如大規模處理敏感個資），必須執行資料保護影響評估（DPIA）。同時，導入如假名化、加密等技術與組織措施（TOMs），確保資料生命週期的安全。跨國電商龍頭Mercado Libre即透過建立區域性資料治理辦公室，統一推動LGPD合規專案，成功將其拉美地區的合規率提升至95%以上，並順利通過多次外部審計。

台灣企業導入LGPD時，主要面臨三大挑戰： 1. **法規差異與域外適用性的認知不足**：許多企業誤以為僅遵守台灣《個資法》即可，或不清楚自身網站或服務是否因處理巴西使用者資料而觸發LGPD的域外管轄權。對策是進行「適用性評估」，確認是否有向巴西提供商品或服務，並委請專家進行台灣《個資法》、GDPR與LGPD的「法規差距分析」，釐清具體差異要求。 2. **語言隔閡與資源限制**：LGPD官方文件與巴西國家資料保護局（ANPD）的指引均為葡萄牙文，造成理解困難。中小企業也常缺乏專職的法務與資安人力。對策是尋求具備多國法規實務經驗的外部顧問協助，並採用如ISO/IEC 27701等國際標準框架，以結構化、標準化的方式推動合規，降低內部摸索成本。 3. **技術與流程整合困難**：落實資料主體權利（如刪除權）需跨系統協作，技術整合複雜。對策是將隱私保護要求納入系統開發生命週期（Privacy by Design），優先盤點核心業務流程，分階段導入自動化工具管理資料主體請求（DSR）。優先行動項目應為完成資料盤點與差距分析，預計時程約需3個月，整體合規專案則建議規劃9至12個月。

積穗科研股份有限公司專注台灣企業Lei Geral de Proteção de Dados相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact