斯里蘭卡國會於3月9日三讀通過該國個人資料保護法(2022年第9號法律),該法於19日生效。斯里蘭卡成為南亞地區中,第一個制定全面性個人資料管理規範的國家。根據斯里蘭卡個資法規定,該法除第四章(直接行銷)、第五章(個資主管機關)將更晚施行外,其餘規定由行政機關決定於2022年3月19日以後18至36個月間生效。
斯里蘭卡個資法在適用對象上採取與歐盟相似的架構,有長臂管轄之規定。就算未設立於斯里蘭卡境內,但對斯里蘭卡境內人民提供商品或服務,會對其監控者,亦須適用斯里蘭卡個資法。
在對特種個資的範圍上,斯國比我國及歐盟GDPR規定都要來的廣泛。斯國個資法規定,種族、民族、信仰、哲學思想、財務資料、遺傳資料、用以識別特定個人之生物識別資料、健康資料、性生活、性傾向、犯罪前科資料、兒童資料等都屬於特種個資。
在對控管者的義務要求上,斯國亦採取類似歐盟的管理架構,但在具體要求上 仍有落差。根據該國個資法,斯里蘭卡公部門及符合指定條件的私部門須任命資料保護專員(DPO)。符合條件者亦須於資料處理錢進行資料保護影響評估(DPIA)。在國際傳輸議題上,斯國採取「原則禁止,例外許可」的立法模式,除傳輸目的地國取得斯國適足性認定外,須基於當事人告之後同意、契約履行、司法程序、公共利益或本人、他人之生命身體財產等重要利益才可以進行跨境傳輸。
在當事人權利上,斯國承認有近用、撤回同意、更正、刪除以及對自動化決策處理的介入與反對等權利。雖然與歐盟GDPR相同,針對自動化決策處理(通常包含機器學習等人工智慧技術)賦予特別的權利規範,但未如GDPR一樣,針對資訊社會時代的特徵,承認可攜權等權利。
根據斯國個資法,斯國將成立個資保護主管機關(DPA),其成員5至7名,任期3年,由總統任命。主管機關之主席由總統決定。
總體而言,我們雖然以明顯看出斯國立法中GDPR的影子,但斯國並未照般全收的直接移植,在制度規範的細節仍然可以看出其盱衡國內需要後調整的影子。
斯里蘭卡雖然與我國貿易相對不盛(僅為我國第44名出口市場),且該國多數交易形式仍未以電子商務方式進行。但我國近來開始發展與該國資通訊產業關係,有意發展斯國經貿的業者仍須注意斯國個資法之相關規定。此外,南亞地區國家如印度、巴基斯坦等亦在討論該國個資法之制定,斯國之立法是否促動區域內部國家的法制發展,也值得持續關注。
#斯里蘭卡 #個資法
#Sri_Lanka #DataProtectionAct
===
重要參考資料:
斯里蘭卡個資法(非官方英文翻譯):https://www.dataguidance.com/....../personal_data......
〈斯里蘭卡 — 電子商務市場〉,OOSGA,https://zh.oosga.com/e-commerce/lka/
