关键词:数据受托人,数据本地化,跨境传输
2025年11月6日,孟加拉国总统正式颁布了《个人数据保护条例》(Personal Data Protection Ordinance, PDPO)。
除关于首席数据官任命及部分执法条款外,该条例于2025年11月6日立即生效。
一、 适用范围
孟加拉国PDPO适用于孟加拉国境内的数据处理;同时也适用于境外实体,只要其处理行为涉及向孟加拉国境内的数据主体提供商品或服务、进行监控或档案管理。
需要注意的是,PDPO对于数据主体的定义包括任何自然人,无论其是生是死。这意味着去世者的个人数据依然受到该条例的保护,其继承人或法定代表可能行使相关权利。
二、 主要条款内容(对比GDPR)
1. 儿童的定义
PDPO:将儿童定义为18岁以下的任何人。
GDPR:将数字同意年龄的默认门槛定为16岁。同时允许成员国通过法律降低该年龄,最低可至13岁。
2. 合法性基础
PDPO与GDPR都规定了处理个人数据必须具备的法律依据,但在具体列举上有所不同。
PDPO(第5条):
(1) 同意:原则上必须取得数据主体的同意;
(2) 无需同意的合法理由:包括履行合同、建立法律权利或抗辩、保护生命或健康的重大利益、就业与社会保障法规定的义务、数据主体自行公开的信息等。
GDPR(第6条):列举了6种合法性基础:同意、履行合同所必须、法律义务、重大利益、公共利益、以及合法利益。
孟加拉国新法第5条未像GDPR那样列出合法利益作为兜底条款,而是列举了具体的场景。这意味着企业在孟加拉国进行数据处理时,可能比在GDPR下更依赖同意或具体的法定豁免。
3. 更正权
在数据主体权利方面,PDPO引入了一项自动化同步机制。
PDPO:
PDPO第14条要求,当数据主体更正某项核心数据(如地址)时,一旦主要来源的数据被更正,该更新将通过“全系统传播”机制,强制并自动同步到其他所有相关次要数据受托人(如银行、公用事业)的记录中,且所有变更必须记录在不可篡改的账本(如区块链)中。
GDPR(第16、19条):
GDPR赋予数据主体更正权,并要求控制者通知接收方,但未建立国家级的自动同步技术机制。
4. 敏感数据的处理
PDPO:PDPO定义的敏感数据不仅包含传统的生物识别、基因、健康、政治信仰等,还纳入实时地理位置和犯罪指控信息。PDPO第7条规定,处理敏感数据必须满足明确同意,同时也存在部分豁免情形。豁免情形包括:履行合同、就业法义务、医疗急救、法律义务或数据主体已自行公开。
GDPR:GDPR第9条的特殊类别数据主要指种族、基因、健康、性取向等。GDPR第9条原则上禁止处理特殊类别数据,除非满足明确同意、切身利益、公共健康等特定例外。
5. 数据本地化与跨境传输
PDPO(第29条):
数据本地化:任何将个人数据存储在境外云端的行为,必须在孟加拉国境内保留至少一份同步的实时副本。若政府发现境外云服务威胁国家利益,有权命令在60天内停止使用。
数据跨境:PDPO允许跨境传输的条件包括:(a) 数据主体同意;(b) 履行合同所必需;(c) 涉及数据主体利益(如教育、商业、移民)。PDPO要求,大规模跨境传输敏感个人身份数据(如指纹、DNA、国家身份证号NID、护照号等),必须通知监管当局获得批准后才可进行。
GDPR(第五章):
数据本地化:GDPR无本地化要求。
数据跨境:充分性认定;或是在没有充分性认定的情况下,如果采取了适当的保障措施,也可以传输;如果上述两条都不适用,在特定情况下仍可传输。(在此不赘述)
6. 征收数据税
PDPO:政府有权对企业使用孟加拉国公民个人数据所产生的年度商业利润征收费用。
GDPR:没有此类规定。
7. 强制性外部审计
PDPO:PDPO明确规定,特定类别的数据受托人(对应GDPR的数据控制者)必须在当局规定的时间内,聘请当局授权的独立数据审计员进行审计。
GDPR:未有相关要求。
三、 生效时间
PDPO有关关于首席数据官任命(第23条)以及投诉、调查与处罚(第31至46条)的章节,将在条例发布后18个月开始生效。除这些条款外,PDPO的其他部份自2025年11月6日起生效。
*本文作者:黄竞一
*向下滑动以查看更多*
魏冬冬
汇业律师事务所 合伙人
weidongdong@huiyelaw.com
业务领域:个人数据保护合规,人工智能合规,国际国内网络数据领域争议解决,国际数据隐私认证咨询,主要聚焦于中国企业出海全球的数据隐私合规。
深度研究:
北美:
欧洲:
东亚:
中东:
东南亚:
南美:
非洲:
澳洲:
特别声明
本文仅代表作者本人观点,不代表汇业律师事务所任何律师所出具的法律意见或是对法律的解读。
如需转载,请联系我们获取授权。