通用資料保護法

巴西的《通用資料保護法》（Lei Geral de Proteção de Dados, LGPD），即巴西聯邦法律第13,709/2018號，是該國主要的資料保護法規，於2020年9月全面生效。其立法精神深受歐盟《一般資料保護規則》（GDPR, Regulation (EU) 2016/679）啟發，旨在保護個人的基本隱私權與自由。LGPD的核心原則包括：資料處理需基於十項法定基礎之一（如當事人同意、履行法定義務）、目的限制、資料最小化與透明化。它賦予資料當事人多項權利，如存取、更正、刪除其個人資料。在風險管理體系中，LGPD合規性是隱私資訊管理系統（PIMS, 如ISO/IEC 27701）的關鍵法律遵循要求。與台灣《個人資料保護法》相比，LGPD對「同意」的要求更嚴格，且明確規範了資料保護影響評估（DPIA）與資料保護長（DPO）的職責，罰則也更為嚴峻，最高可達企業在巴西年營業額的2%或五千萬巴西雷亞爾。

企業應用LGPD於風險管理，旨在系統性地降低資料處理的法律與營運風險。具體導入步驟如下：第一步，資料盤點與風險評估（Data Mapping & Risk Assessment），全面清查組織內處理的所有與巴西個人相關的資料流，識別高風險處理活動，並依據LGPD第38條要求，針對可能對個人權利產生重大風險的活動進行「資料保護影響評估」（DPIA）。第二步，建立治理架構與控制措施，依據LGPD第41條任命一名「資料保護長」（DPO/Encarregado），負責監督合規性、擔任與監管機構和資料當事人的溝通橋樑，並導入ISO/IEC 27701等框架中的技術與組織措施。第三步，持續監控與應變，建立資料當事人權利請求的回應機制，並制定資料外洩應變計畫，確保能在LGPD要求的「合理時間內」通報主管機關與受影響的個人。透過此流程，企業可將合規率從基準線（如62%）提升至目標（如80%以上），顯著降低因違規而導致的財務與商譽損失風險。

台灣企業導入LGPD主要面臨三大挑戰：首先，法律的域外效力認知不足。許多企業誤以為在巴西無實體據點即不適用，但只要對巴西境內個人提供商品、服務或進行資料監控，即落入管轄範圍。對策是立即委請法務專家進行「適用性分析」，確認業務範圍是否觸及LGPD，預計時程約1個月。其次，資源限制難以任命專職DPO。LGPD要求任命資料保護長，對中小企業構成人力與成本壓力。解決方案是採用「DPO即服務」（DPO-as-a-Service）的委外模式，以較低成本獲取專業知識，可立即啟動。第三，與既有法規框架的整合困難。企業雖已遵循台灣《個資法》，但LGPD在法定基礎、當事人權利回應時限、跨境傳輸規則等方面有其獨特要求。對策是進行「法規差異分析」（Gap Analysis），更新現有的資料處理活動紀錄（ROPA）與隱私政策，明確標示處理巴西個資所依據的LGPD法定基礎。此項目應列為優先行動，預計時程3個月內完成。

積穗科研股份有限公司專注台灣企業General Data Protection Law相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact