孟加拉国颁布《个人数据保护条例》，存在本地化要求

关键词：数据受托人，数据本地化，跨境传输

2025年11月6日，孟加拉国总统正式颁布了《个人数据保护条例》（Personal Data Protection Ordinance, PDPO）。

除关于首席数据官任命及部分执法条款外，该条例于2025年11月6日立即生效。

一、适用范围

孟加拉国PDPO适用于孟加拉国境内的数据处理；同时也适用于境外实体，只要其处理行为涉及向孟加拉国境内的数据主体提供商品或服务、进行监控或档案管理。

需要注意的是，PDPO对于数据主体的定义包括任何自然人，无论其是生是死。这意味着去世者的个人数据依然受到该条例的保护，其继承人或法定代表可能行使相关权利。

二、主要条款内容（对比GDPR）

1. 儿童的定义

2. 合法性基础

PDPO与GDPR都规定了处理个人数据必须具备的法律依据，但在具体列举上有所不同。

PDPO（第5条）：
（1）同意：原则上必须取得数据主体的同意；
（2） 无需同意的合法理由：包括履行合同、建立法律权利或抗辩、保护生命或健康的重大利益、就业与社会保障法规定的义务、数据主体自行公开的信息等。
GDPR（第6条）：列举了6种合法性基础：同意、履行合同所必须、法律义务、重大利益、公共利益、以及合法利益。

孟加拉国新法第5条未像GDPR那样列出合法利益作为兜底条款，而是列举了具体的场景。这意味着企业在孟加拉国进行数据处理时，可能比在GDPR下更依赖同意或具体的法定豁免。

3. 更正权

在数据主体权利方面，PDPO引入了一项自动化同步机制。

PDPO：
PDPO第14条要求，当数据主体更正某项核心数据（如地址）时，一旦主要来源的数据被更正，该更新将通过“全系统传播”机制，强制并自动同步到其他所有相关次要数据受托人（如银行、公用事业）的记录中，且所有变更必须记录在不可篡改的账本（如区块链）中。
GDPR（第16、19条）：
GDPR赋予数据主体更正权，并要求控制者通知接收方，但未建立国家级的自动同步技术机制。

4. 敏感数据的处理

PDPO：PDPO定义的敏感数据不仅包含传统的生物识别、基因、健康、政治信仰等，还纳入实时地理位置和犯罪指控信息。PDPO第7条规定，处理敏感数据必须满足明确同意,同时也存在部分豁免情形。豁免情形包括：履行合同、就业法义务、医疗急救、法律义务或数据主体已自行公开。
GDPR：GDPR第9条的特殊类别数据主要指种族、基因、健康、性取向等。GDPR第9条原则上禁止处理特殊类别数据，除非满足明确同意、切身利益、公共健康等特定例外。

5. 数据本地化与跨境传输

PDPO（第29条）：
数据本地化：任何将个人数据存储在境外云端的行为，必须在孟加拉国境内保留至少一份同步的实时副本。若政府发现境外云服务威胁国家利益，有权命令在60天内停止使用。
数据跨境：PDPO允许跨境传输的条件包括：(a) 数据主体同意；(b) 履行合同所必需；(c) 涉及数据主体利益（如教育、商业、移民）。PDPO要求，大规模跨境传输敏感个人身份数据（如指纹、DNA、国家身份证号NID、护照号等），必须通知监管当局获得批准后才可进行。
GDPR（第五章）：
数据本地化：GDPR无本地化要求。
数据跨境：充分性认定；或是在没有充分性认定的情况下，如果采取了适当的保障措施，也可以传输；如果上述两条都不适用，在特定情况下仍可传输。（在此不赘述）

6. 征收数据税

7. 强制性外部审计

三、生效时间

PDPO有关关于首席数据官任命（第23条）以及投诉、调查与处罚（第31至46条）的章节，将在条例发布后18个月开始生效。除这些条款外，PDPO的其他部份自2025年11月6日起生效。

*本文作者：黄竞一

探测、评估、处置一体化！美国政府发布关基设施无人机安全防范指南