导语:
缅甸的数字市场正成为东南亚新兴热点,但对跨国企业来说,这里的数据合规版图却像是用拼图拼成的——没有统一完整的画面,却处处是必须严丝合缝的规则。
2025年初,缅甸《网络安全法》正式生效,标志着其数字监管进入新阶段。与此同时,《电子交易法》修订案、《公民隐私与安全保护法》以及一系列部门法规共同编织成一张复杂的数据保护网。对于任何在缅甸运营或服务缅甸用户的公司而言,忽视这片拼图的任何一块,都可能意味着运营中断、高额罚款甚至法律风险。
一、立法现状:一部“散装”的数据保护法典
缅甸没有一部统领全局的通用数据保护法,其数据合规要求分散于多部法律法规中,形成“多点监管、各有侧重”的格局。
(一)《电子交易法》(2004年制定,2021年修订)
这是目前缅甸在数据处理方面最具基础性的法律。2021年的修订首次引入了“个人数据”的法律定义:“与已识别或可识别的在世个人相关的任何信息”。该法虽然没有设立专门的数据保护机构,但明确了“个人数据管理者”的概念,并隐含了数据处理需经同意、传输需授权、存储需安全的原则。
(二)《公民隐私与安全保护法》(2017年)
该法虽名为“隐私保护”,但第8条关于通信隐私的条款自颁布起即被暂停实施。这使得该法在实践中的保护力度受限,反而为执法部门出于“公共利益”或“国家安全”理由介入通信和数据提供了法律空间。
(三)《网络安全法》(2025年生效)
这是当前对企业合规影响最直接的新法。该法要求所有在缅甸提供数字服务的“数字服务运营商”必须向缅甸通信与信息技术部注册并取得许可证。未注册的运营商将面临服务中断、罚款等处罚。该法还强调了对“网络资源”的保护和政府对网络活动的监管权。
(四)其他部门法规
《电信法》(2013年)规定了电信服务商对用户信息的保密义务。
《金融机构法》(2016年)对金融客户数据的保密性提出了严格要求。
《移动金融服务条例》(2016年)明确要求在发生机密数据泄露事件时,必须在两个工作日内向缅甸中央银行书面报告。
二、核心原则:数据处理的“缅甸规矩”
尽管法律分散,但从中已能梳理出企业必须遵守的数据处理核心原则。
(一)合法性基础:同意为王
虽然没有一部法律明确写出“处理个人数据必须获得同意”,但结合《电子交易法》中对“个人数据管理者”权限的界定,以及《电子商务指南》(2023年)中关于透明度的要求,获得数据主体的知情同意是当前最稳妥且必要的合法性基础。
(二)透明度与告知义务
根据《电子商务指南》,数据控制者(如电商平台)必须制定并公开清晰的隐私政策,告知用户:收集哪些数据、为何收集、如何使用、存储多久、与谁共享以及用户拥有何种权利。政策语言应清晰易懂。
(三)数据安全是底线义务
《电子交易法》隐含了采取“合理安全措施”的义务。《移动金融服务条例》更是设定了具体的2天报告期。这意味着企业必须建立技术(如加密、访问控制)与管理(如政策、培训)相结合的安全体系,并能及时检测和响应安全事件。
(四)目的限制与数据最小化
虽然缅甸法律未像GDPR那样明文规定,但《电子商务指南》鼓励企业仅收集与业务目的直接相关的最少必要数据。过度收集不仅增加合规风险,也无益于业务运营。
三、重点合规动作:企业必须做到的几件事
对于面向缅甸市场的企业,尤其是数字服务提供者,以下动作已成为“规定动作”。
(一)注册与许可:新法下的首要门槛
根据《网络安全法》(2025年),所有“数字服务运营商”都必须注册。这一定义宽泛,很可能涵盖社交媒体平台、电商网站、在线娱乐、云服务、移动应用等各类通过网络提供服务的企业,无论其服务器位于境内还是境外。企业应立即评估自身业务是否落入该范围,并启动注册程序。
(二)数据保护影响评估
在处理大量个人数据或敏感业务(如金融、健康)时,建议主动进行数据保护影响评估,识别风险并采取缓解措施。这虽非法定要求,却是应对潜在监管问询和提升用户信任的有效工具。
(三)建立可执行的内部制度
这包括:
数据分类分级政策:区分一般数据与敏感数据(如财务、健康信息),并实施不同等级的保护。
数据泄露应急响应计划:明确内部报告流程、外部通知义务(如向央行报告)以及用户告知方案。
员工培训计划:确保一线员工了解数据收集的合规要求和安全操作规范。
(四)合同管理的合规传导
如果与本地供应商或合作伙伴共享数据,必须通过合同条款确保其遵守同等水平的数据保护和安全标准,明确责任划分。
四、特殊挑战:政府访问权与执法趋势
缅甸数据合规的特殊性,很大程度上体现在政府权力与国家安全优先的立法倾向上。
(一)广泛的政府访问权
《网络安全法》《电子交易法》等均赋予有关当局为维护“网络稳定、公共安宁及国家安全”访问数据的权力。这意味着,企业在系统设计和数据管理时,必须为配合政府合法调取数据预留技术和管理接口,同时也要建立内部审查机制,确保调取请求的合法性与适当性。
(二)对VPN和跨境数据流的潜在管控
《网络安全法》强调对“网络资源”的管理。业界普遍关注当局是否会据此加强对VPN服务的监管,从而实质性地影响数据的跨境自由流动。企业需为数据本地化存储或严格出境审批的可能性做好准备。
(三)执法聚焦明确
目前,监管执法的重点明确指向数字平台与服务提供商。金融、电信、电商等领域因涉及大量用户数据和支付信息,成为重点关注对象。无照经营、违规收集用户信息、发生数据泄露且未及时报告是当前最主要的执法动因。
五、给企业的行动:建议在不确定中寻找确定
面对动态且复杂的监管环境,企业可采取“主动合规、持续跟踪”的策略。
(一)立即进行合规地位诊断
对照《网络安全法》的“数字服务运营商”定义、《电子商务指南》的适用对象,结合自身业务,明确在缅甸法律下的身份与义务。
(二)制定缅甸专项合规计划
将缅甸作为独立法域,制定涵盖注册许可、数据政策本地化、安全措施加固、应急响应四位一体的合规计划。
(三)建立持续的法规监测机制:
密切关注缅甸通信与信息技术部(MCIT)等机构发布的实施细则、指南、解释令和执法案例。法规环境仍在快速演变,静态合规无法应对动态风险。
(四)寻求专业本地化支持
与熟悉缅甸科技法、数据法与监管实践的本土或国际律所合作,确保对法规的理解不走样,合规动作不踩空。
结 语
缅甸的数字市场正在打开,但合规之门并非自动开启。这片土地上,数据不仅是资产,更是责任与风险的载体。随着《网络安全法》的落地,监管的齿轮已开始转动。对于那些真正重视长期经营的企业来说,越早理解规则、融入规则,就越能在未来的竞争中赢得主动,将合规挑战转化为市场信任的基石。
[法条链接]
1. 《网络安全法》:https://www.icnl.org/wp-content/uploads/2025-version-Lincoln.pdf
3. 《公民隐私与安全保护法》:https://www.myanmar-responsiblebusiness.org/pdf/Law-Protecting-Privacy-and-Security-of-Citizens_en_unofficial.pdf
《移动金融服务条例》:https://servicetrade.gov.mm/service/regulation-detail/regulations-on-mobile-financial-service
(原标题:出海缅甸,数据合规如何破局?无统一立法,但监管网正在收紧)
来源:律意LAW PURPOSE
