2026年4月10日,孟加拉国正式出台《2026年个人数据保护法》(以下简称“新法”),全面替代《2025年个人数据保护条例》及《2026年个人数据保护(修正)条例》,成为该国现行个人数据保护核心法律。该法大部分条款自2025年11月6日起生效,部分管理、处罚条款设置18个月过渡期,延后施行。
一、新旧对比
本次新法延续旧有数据保护整体规则,未增设任何新增合规义务,核心变化集中在放宽监管约束、简化惩戒规则两大方向。此前《2025年个人数据保护条例》及《2026年个人数据保护(修正)条例》强制要求受限个人数据、关键信息基础设施相关云端数据,需在孟境内留存实时同步副本,本次新法直接取消该项数据本地化强制规定,大幅降低跨境企业云端数据存储与运维成本。惩戒层面调整尤为明显,新法彻底废除所有刑事追责条款,各类违规行为仅适用行政罚款,监管惩戒力度趋于温和。
二、新法整体概览
1. 适用范围
新法适用范围具备较强的域外效力,覆盖所有孟加拉国公民、在孟加拉国居住、工作或商务临时停留的人员,同时约束在孟加拉国境内开展个人数据处理的主体,以及境外机构为向孟加拉国境内主体提供产品服务、开展监测当地居民个人数据的行为,仅单纯途经孟加拉国传输数据的情形除外。
2. 数据控制者与数据处理者的合规义务
新法明确划分了数据控制者与数据处理者的合规义务,数据控制者义务如下:
(1)合法处理:在合法依据基础上处理个人数据,并告知数据主体处理目的、保留期限及撤回同意程序;
(2)目的限制:确保任何进一步处理与原目的兼容;
(3)敏感数据与儿童数据保护:处理敏感数据须获得明确同意;处理儿童或无同意能力者的数据须获得父母、监护人或授权人的适当同意;
(4)安全义务:采取适当的技术和组织措施,包括假名化、加密、系统弹性、事件恢复能力、定期测试评估等,确保数据安全性与保密性;
(5)记录保存:保存处理记录至少5年;
(6)数据泄露通知:如泄露可能造成重大损害,须按规定通知主管部门;
(7)数据保护影响评估:处理高风险数据前须进行评估;
(8)数据保护官:重要数据控制者须任命数据保护官(第23条,预计2027年10月生效)。
数据处理者仅可依据有效合同受托开展数据处理工作,依规配合合规管控,受托处理行为的相关合规责任由数据控制者承担。
3. 跨境传输限制
该法对数据出境设置了明确的限制性条件:
(1)个人数据仅可转移至条例确定的具备适当数据保护技术和设备的地方或国家;
(2)向境外转移须满足以下条件之一:获得数据主体同意、为履行合同所必需、或经数据主体同意且涉及数据主体利益相关事项;
(3)大规模向境外传输“敏感个人可识别数据”(如国民身份证号、护照号、生物识别信息、DNA信息、犯罪记录)时,必须通知主管部门。
4. 数据主体权利保障
在数据主体权益保障方面,新法赋予个人完善的数据权利,自然人可依法查询、更正自身个人数据并获取数据副本,同时有权随时撤回数据处理授权、对违规数据处理行为提出异议,全面强化个人对自身数据的管控权益。
5. 执法惩处(预计2027年10月生效)
执法惩戒层面,由孟加拉国国家数据管理主管部门专属负责新法落地执行,针对侵害数据主体合法权利的行为,普通数据控制者最高可被处以250万塔卡罚款,重要数据控制者最高罚款可达500万塔卡;针对未落实数据安全保护义务的主体,最高可处以250万塔卡罚款。
6. 企业合规提示
新法虽在数据本地化和刑事责任方面有所放宽,但核心合规义务并未削减,且具有域外效力,向孟加拉国用户提供服务的中国企业可能直接受其约束。企业须建立以“合法依据”为基础、“数据主体权利”为中心、“安全保障”为底线的合规体系,重点管控敏感个人数据和跨境传输行为。虽重要数据控制者任命数据保护官及处罚条款有18个月过渡期(预计2027年10月生效),但新法核心义务已追溯至2025年11月6日生效,建议企业立即启动差距分析,更新隐私政策与同意机制,审查供应商合同,梳理数据出境场景,并提前评估是否可能被认定为“重要数据控制者”以做好数据保护官准备。此外,新法多项操作细节有待配套条例明确,建议持续关注后续立法动态。
作者简介:
辛小天,合伙人
数字经济与人工智能业务中心总监
辛小天律师为深圳市司法局、深圳市律师协会、深圳市涉外律师领军人才,广东省律师协会数字经济法律专业委员会副主任,创新人才教育研究会安全与发展专业委员会智库专家,东莞仲裁委员会仲裁员,深耕数据和网络安全法律服务领域,获得2025年钱伯斯“数据保护和隐私”推荐律师、律新社2024数据合规领域品牌之星“实力律师”、2024GRCD“网络安全与数据保护”中国客户首选合规律师、中国通信学会第一届网络空间安全战略与法律委员会委员、中南财经政法大学数字经济研究院、金融科技研究院高级研究员等多项荣誉和资质。辛小天律师目前带领的专业律师团队为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商领头企业提供全套数据合规法律服务。
擅长领域:数据合规、TMT合规、融资并购、公司常规维护及公司内控。
手机:13911159437
邮箱:xinxiaotian@deheheng.com
郑晰允,律师助理
郑晰允,北京德和衡(深圳)律师事务所律师助理。毕业于西安财经大学,经济统计专业,擅长领域:数据合规 互联网产品合规 数据资产。
手机:17602973827
邮箱:zhengxiyun@deheheng.com