4月9日,巴基斯坦信息技术和电信部发布了《个人数据保护法》的新草案[1](以下简称《法案》),并向公众公开征求意见,将于5月15日结束。该法案适用于数据控制者或处理者位于巴基斯坦境内的、任何“处理、控制或授权处理”个人数据(如果有数据主体)的人,对违反法律处理个人数据规定某些要求和限制,并同时规定相关处罚。此外,根据该《法案》,联邦政府将在生效后的六个月内建立巴基斯坦的个人数据保护局,并制定规则来执行该《法案》。
其中,《法案》主要内容包括:
1.同意:未经同意,不得处理个人数据(包括敏感数据),除非出于立法列举的例外情形或特殊目的而必须进行处理。
2.合法性:对个人数据的处理必须是:(1)出于与数据控制者活动直接相关的合法目的;(2)为此目的所必需的或与之直接相关的;(3)就该目的而言,合理范围内的。
3.通知:当数据主体的个人数据由数据控制者收集时,必须向数据主体提供包含特定内容的书面通知。通知需在首次要求数据主体提供数据时,数据控制者首次收集个人数据时或在(1)个人数据用于收集数据目的以外的其他目的或;(2)个人资料被披露给第三方之前作出。
4.披露和转让:数据控制者不得未经数据主体同意,将数据披露给第三方,出于(1)收集时披露个人数据的目的或与该目的直接相关以外的任何目的,或(2)向不属于其通知中规定的第三方类别的任何第三方。此外,个人数据不得转让给任何未经授权的人或系统。
5.跨境转移:在必要时,当获得数据主体同意并且保障数据将继续按照《法案》的规定进行处理,可以将数据转移到提供同等保护水平的国家或地区
6.数据本地化:关键个人数据( Critical personaldata )只能在位于巴基斯坦的服务器和数据中心中进行处理。
7.数据安全:数据控制者在收集或处理个人数据时,必须采取“保护个人数据的必要流程”,包括考虑个人数据的性质以及因未经授权或意外的访问、披露、修改或销毁而造成损害等因素。数据保护机构将规定数据控制者必须遵守的具体标准。
8.数据完整:数据控制者必须采取合理的措施,以确保个人数据准确、完整、不会误导并保持更新。
9.数据主体权利:《法案》授予数据主体以下权利:(1)被告知控制者是否已处理其个人数据;(2)要求对正在处理的数据进行访问,并以可理解的方式要求数据控制者提供其个人数据副本;(3)在存在不准确、不完整、误导性或未及时更新的情形时,要求更正其个人数据;(4)撤回处理个人数据的同意;(5)制止可能造成损坏或潜在风险的处理;(6)在满足某些条件时删除其个人数据。
10.泄露通知:除非不太可能对相关数据主体的权利和自由构成风险,否则数据控制者必须在意识到个人数据泄露的72小时内,通知数据保护机构。
11.记录保存:数据控制者必须保存和维护与已经或正在处理的个人数据有关的任何应用程序、通知、请求或任何其他信息的记录。控制者还必须保留个人数据泄露记录。
12.数据留存: 数据控制者留存个人数据的时间不得超过实现收集目的所需的时间。当不再需要时,数据控制者必须销毁或永久删除数据。
如果获得通过,该法案将从其颁布之日起一年或“该其他日期自其颁布之日起不超过两年”生效。
[1]文献来源:https://www.huntonprivacyblog.com/wp-content/uploads/sites/28/2020/05/Personal-Data-Protection-Bill-2020-Updated1.pdf
作者简介:李雅文,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
