亚太地区各国一直在引入全面的数据保护法律和/或更新现有立法，以确保个人数据在数字时代受到保护。OneTrust数据指南概述了澳大利亚、文莱达鲁萨兰国、印度、马来西亚、蒙古、缅甸、巴基斯坦、斯里兰卡、泰国和越南当前隐私/数据保护法案的现状。

澳大利亚

澳大利亚关于数据保护的关键立法是1988年《隐私法》（“隐私法”），其中还包含澳大利亚隐私原则（“APP”）。澳大利亚政府目前正在对《隐私法》进行全面审查，公众对其讨论文件的评论开放至2022年1月10日。特别是，该讨论文件提出了对《隐私法案》的几项修正，其中包括：

• 个人信息定义能够涵盖的非详尽信息列表；
• 引入了一项要求，即根据应用程序3和应用程序6收集、使用或披露个人信息必须公平合理；和
• 引入一项要求，即为影响个人的行为或决定而使用或披露个人信息必须是在收集个人信息时通知个人的主要目的。

此外，还提出了拟议的《2021隐私立法修正案（加强在线隐私和其他措施）法案》（“在线隐私法案”），如果获得通过，将为社交媒体和某些其他在线平台引入具有约束力的在线隐私代码。此外，《在线隐私法》将增加处罚和执法措施，以应对此类平台带来的紧迫隐私挑战。

截至2021 12月6日，针对《在线隐私法案》和《咨询法规影响声明》的披露草案提交的意见书一直被接受。澳大利亚政府目前正在考虑提交的意见，并已确认将使用提交的意见和收到的反馈来制定《在线隐私法》，在提交澳大利亚议会之前。

文莱达鲁萨兰国

文莱达鲁萨兰国目前没有数据保护立法。2021 5月20日，文莱达鲁萨兰国信息通信技术产业管理局（“AITI”）公布了拟议的个人数据保护令（“PDPO”）Personal Data Protection Order 的公众咨询，该法令将为文莱引入全面的数据保护制度。此外，AITI于2021 12月3日发布了关于公众咨询的回应反馈文件。

《个人数据保护条例》以其当前设想的格式规定了组织的义务和要求（类似于《一般数据保护条例》（欧盟）2016/679）（“GDPR”）下的数据控制者概念），旨在引入三项数据主体权利，即访问权、撤回同意权和纠正权。值得注意的是，《个人数据保护法》并未对敏感个人数据等个人数据类型进行区分，而是《个人数据保护条例》规定的所有义务适用于所有类型的个人数据。

此外，拟议的《个人数据保护条例》将引入一项要求，即任命一名数据保护官员（“DPO”）负责处理《个人数据条例》下的合规事宜，同时规定同意义务和目的限制义务，规定个人数据的收集、使用和披露限制。最后，拟议的通知义务要求通知个人数据的收集以及此类收集、使用或披露的目的。

AITI在其最新出版物中澄清，最终的PDPO预计将于2022年年中发布，宽限期为两年。AITI的下一步是提交一份最终草案，供文莱达鲁萨兰国苏丹陛下和杨迪·佩图在公报上签字。

印度

在缺乏全面隐私法的情况下，印度当前的数据保护框架是围绕《2000年信息技术法》（“IT法”）制定的。值得注意的是，2011年《信息技术（合理安全实践和程序以及敏感个人数据或信息）规则》（“SPDI规则”）规定了保护从事商业或专业活动的实体的个人信息的义务，尤其是敏感个人信息。

这就是说，随着2019年《个人数据保护法案》的出台，印度的隐私格局将发生重大变化。该法案是在最高法院对法官K s Puttaswamy和Anr案件作出里程碑式裁决后于2019年推出的。v、 印度和Ors联盟。[2012年第494号令状请愿书（民事），该法案在2020年和2021期间一直受到严重拖延。经过多方期待，联合议会委员会（“JPC”）于2021 12月提交了关于该法案的报告，提出了总共93条建议和修订版本的法案，将更名为2021数据保护法。如果颁布，拟议的法案将适用于个人和非个人数据，同时保持严格的数据本地化要求，并引入新的规定来管理社交媒体平台。

目前，尚不清楚该法案是否会在印度议会内进行，或者是否会提出一项新的法案，因为JPC提出了重大变化，利益相关者也收到了回应。然而，随着印度政府各部委和政府机构继续发布自己的数据保护指南和政策，特别是针对卫生和金融部门，显然，统一的隐私法将仍然是2022年立法者的关键优先事项。

马来西亚

马来西亚的数据保护主要由以下方面管理： 这个 《2010年个人数据保护法》（“PDPA”）。《个人数据保护法》得到了附属法规的补充，其中包括数据用户注册、数据用户类别和费用。此外，个人数据保护部还发布了数据保护标准以及包括银行和金融、能源和保险在内的各个部门的业务守则。

2020年2月14日，发布了一份公众咨询文件，其中提供了《个人数据保护法》的拟议修正案。如果获得通过，修正案将对马来西亚的数据保护制度带来重大变化。特别是，拟议修正案建议强制性任命数据保护专员、强制性违规报告、对数据用户提起民事诉讼、实施技术和组织措施，如数据可移植性和设计隐私，以及将PDPA的范围扩大到数据处理者。许多拟议修正案受到GDPR的启发，旨在使PDPA与欧洲数据保护标准更加一致。

在2020年8月26日的公众咨询之后，马来西亚通信和多媒体部确认，马来西亚政府仍在考虑是否修改《个人数据保护法》，并指出政府将向马来西亚内阁提交任何决定。

蒙古

蒙古目前没有全面的数据保护立法。该地区的数据保护主要受1995年《蒙古个人秘密法》的管辖，该法规定了对个人秘密的保护，其中可能包括个人信息。此外，《蒙古宪法》规定有权保护公民及其家人的隐私、通信和家庭的不可侵犯性。

2021 8月9日，创新和电子政策常设委员会和法律事务常设委员会共同讨论了个人信息保护法草案（“法律草案”）。如果获得通过，该法律草案将是该地区第一部全面的数据保护立法。除其他外，该法律草案规定了收集、处理和使用个人和敏感信息的理由、数据主体的权利以及数据控制者在国际数据传输和供应商管理等领域的责任。更具体地说，与GDPR类似，该法律草案确立了包括生物特征、健康和遗传数据以及数字标识符在内的条款，并要求数据控制器和数据处理器之间的关系受合同管辖。

该法律草案已提交给蒙古议会，议会正在审议常设委员会是否讨论该草案。

缅甸

虽然缅甸没有一般数据保护法，但2008年《缅甸联邦共和国宪法》和2017年3月8日《保护公民隐私和安全法》（联邦议会第5/2017号法律）规定了保护通信隐私和安全的规定。除此之外，还有部门立法，如《2013年电信法》，其中载有与个人信息保密有关的规定。

2021 5月18日，OneTrust DataGuidance与Tilleke&Gibbins律师兼金融服务主管Ross Taylor博士确认，国家行政委员会通过了《保护公民隐私和安全法》（2017）（“隐私法”）和《电子交易法》（2004）（“电子交易法”）的修正案。泰勒澄清说，修正案涉及缅甸政府开展广泛监视和调查活动的权力，并暂停了《隐私法》的各个章节，这些章节先前根据个人隐私权对此类活动进行了限制。值得注意的是，泰勒还强调，修正案在《电子交易法》下引入了一项例外，允许政府出于与国家稳定、安宁和国家安全相关的目的获取个人数据。

巴基斯坦

巴基斯坦的数据保护目前受2016年《防止电子犯罪法》（“PECA”）的管辖，该法为各种电子犯罪提供了法律框架，并延伸到未经授权访问个人数据。2018年，信息技术和电信部（“MOITT”）推出了第一项法案（“2018法案”），该法案已被《2021个人数据保护法案》（“法案”）取代。该法案比2018年法案更进一步，规范了巴基斯坦个人数据的控制者和处理者。

此外，该法案将设立一个个人数据保护全国委员会（“全国委员会”），负责监督和执行规定的数据保护义务。国家委员会的主要职责包括制定标准，以保护个人数据免受任何损失、误用、修改、未经授权或意外访问或披露、更改和破坏。此外，在法案对2018年法案进行修改后，修订包括“合法利益”、“公共利益”和“重大利益”的新定义。该法案明确了其适用范围，规定在任何其他司法管辖区注册的任何控制器或处理器，但在巴基斯坦境内以数字或非数字方式运行并参与商业或非商业活动。

该法案先前发布供公众咨询，并已于2021 2月16日获得巴基斯坦联邦内阁批准。因此，该法案仍有待巴基斯坦国民议会审议和辩论，之后可能会获得通过，并由巴基斯坦总统颁布。

斯里兰卡

在斯里兰卡，隐私权目前受到1978年《斯里兰卡民主社会主义共和国宪法》的保障，并通过一系列与网络犯罪、电子交易和其他特定部门有关的条例加以解决。为了使这项零散的立法现代化，斯里兰卡议会于2022年3月9日通过了一项法案，对个人数据处理（2021）进行了修订，标志着2018年开始的几轮修订结束。

该法案生效后，预计将加强数据主体的权利，并规定设立斯里兰卡数据保护局。此外，该法案预计将包含数据控制器和处理器的广泛义务，包括实施“数据保护管理计划”的要求和与跨境数据传输有关的限制。最后，该法案预计还将规定最高1000万卢比（约39930欧元）的罚款，并将通过补充条例进一步实施。

截至2022年3月11日，该法案的最终版本尚未公开，但目前正在等待正式批准。根据2021 11月公布的法案版本，其条款预计将在相关部长通知的日期生效，其中一些条款有两年至四年的过渡期。

泰国

2019年《个人数据保护法》（通常称为PDPA）是泰国第一部综合数据保护法，计划于2020年5月27日全面生效。PDPA的最初执行日期为2020年5月份27日，然而，由于新冠肺炎疫情对泰国境内企业的影响，执行日期随后被推迟到2021 6月1日，并第二次推迟到2022年6月1日，理由是疫情对企业和社会的进一步负面影响。

《个人数据保护法》建立了一个全面的数据保护制度，旨在为个人的个人数据保护提供保障，并在收集、使用和披露个人数据时对企业施加义务。PDPA与GDPR有一些相似之处，包括数据主体权利、处理的法律基础介绍以及对控制器和数据处理器规定的义务。这两项立法之间的一个主要区别是，如果《个人数据保护法》中对“敏感数据”的定义有所遗漏，但《个人数据管理法》对收集、使用和处理“与种族、民族血统、政治观点、邪教、宗教或哲学信仰、性行为、犯罪记录、健康数据、残疾、，工会信息、遗传数据、生物特征数据或任何可能以个人数据保护委员会规定的相同方式影响数据主体的数据。

数字经济和社会部（“MDES”）作为个人数据保护委员会（“PDPC”）权力有限的临时机构，就制定PDPA的指南和补充法律以及建立PDPC建立了勤勉的关系。最近，PDPC于2022年1月11日正式成立——然而，在发布之时，目前还没有公开的网站。此外，MDE在其作为PDPC的临时权力下，于2021 12月6日引入了八项二级法律草案，其中引入了关于PDPA的进一步法定澄清，预计会有更多的通知和法规，因为通知和法规的发布必须根据PDPA第96条的法定要求发布，自法律生效之日起一年内。

越南

越南没有关于个人数据保护的综合立法，关于个人数据的保护的规则和条例包含在第86/2015/QH15号网络信息安全法（2015年11月19日）（“LCS”）、《2015年民法典》（2015年12月4日）（“民法典”）和第51/2005/QH11号电子交易法（2005年11月29日）中。然而，2021 2月，公安部（“MPS”）发布了一项关于个人数据保护的法令草案，该草案于2021提交公众评论，目前仍在审查中。

特别是，该法令草案将设立一个个人数据保护委员会，负责执行与个人数据、个人数据处理、处理侵犯个人数据行为有关的义务，并负责保护相关机构、组织和个人的个人数据。此外，法令草案扩大了数据保护原则，规定了合法性、目的限制、数据最小化、使用限制和保密等原则。更重要的是，该法令草案确定了什么是敏感个人数据，规定敏感数据必须在处理前向个人数据保护委员会注册。此外，该法令草案现在规定了个人数据在越南境外转移的程序和依据，以及必须满足的适用条件。

最近，越南副总理于2022年3月7日批准了一项关于档案的决议，以制定关于个人数据保护的法令，并在该法令的公众咨询后提供了结果（“决议”）。更具体地说，决议概述了未经数据主体同意可处理个人数据的情况。

本文：https://cioctocdo.com/international-update-privacy-related-legislation-…