汇业评论

文 | 钱静雯律师团队 汇业律师事务所

关键词：中亚数据保护 跨境数据合规 本地化存储 GDPR对标 儿童数据安全 高额处罚风险

前言

中亚是中国西向战略的重要支点，中亚五国，包括哈萨克斯坦、乌兹别克斯坦、塔吉克斯坦、吉尔吉斯斯坦、土库曼斯坦，始终与中国保持长期友好合作关系，在“一带一路”建设、区域能源供应、交通运输、基础设施互联互通等方面对中国具有重要战略意义，未来将向深化“能源+安全+数字”三位一体模式发展，同时以人文交流为软实力纽带促进合作。

哈萨克斯坦官方语言为哈萨克语、俄语，是“一带一路”的关键节点，与中国在能源与基建领域合作紧密（中哈原油管道、霍尔果斯口岸），AI广泛应用于油田监测、跨境物流优化等场景。外资限制少，营商环境较开放。哈萨克斯坦数字化水平领先，互联网渗透率超过80%，政府推动“智慧城市”，4G覆盖主要城市，5G大城市试点启动，但数据本地化规制和信息系统安全标准较为严格。

乌兹别克斯坦官方语言为乌兹别克语，近年主推市场化改革（外汇自由化）和数据本地化（公民数据境内存储）。大力发展制造业自动化（汽车厂机器人）、农业无人机试点。4G覆盖80%以上人口，互联网渗透率超70%（约2600万用户，年轻群体活跃），农村的网络覆盖率低。

吉尔吉斯斯坦移动网络覆盖率90%（4G覆盖60%人口，山区依赖2G/3G），主要城市光纤覆盖，农村地区稀缺。互联网渗透率65%（约450万用户，移动端主导），4G不稳定，基建投资不足导致边境地区网速慢、断网频繁。

塔吉克斯坦和土库曼斯坦互联网渗透率低，分别为中亚和全球最低之一。

数据隐私立法概况

中亚五国均建立了以GDPR为参考的数据保护法律框架，但立法成熟度与执行力度存在差异。

哈萨克斯坦、乌兹别克斯坦的法律体系最为完善，明确规定了域外管辖，要求外国企业在当地遵守本国法律。塔吉克斯坦和吉尔吉斯斯坦的法律条款相对宽松，而土库曼斯坦的立法更侧重于书面同意和严格的数据处理限制。

一、数据跨境与本地化要求

数据跨境流动和本地化存储是中亚各国监管的重中之重。

哈萨克斯坦和乌兹别克斯坦要求个人数据“必须使用物理位于”其境内的技术措施，且跨境传输需满足“充分保护”标准，但均未公布白名单国家。哈萨克斯坦进一步要求非公开数据必须使用符合国标《ST RK 34.0162017》的加密工具处理，且安全等级不得低于第三级。

吉尔吉斯斯坦允许数据跨境传输，但需以国际条约为基础，并确保接收国的保护水平不低于本国标准。

塔吉克斯坦和土库曼斯坦暂无本地化要求，但均要求跨境传输以数据主体明确同意、国际条约约定或符合国家安全为前提。此外，土库曼斯坦法律可对特定个人数据跨境转移实施禁止或限制。

合规提示

首先，中亚均以数据主体明确同意为跨境传输前提条件。在哈萨克斯坦和乌兹别克斯坦，企业应优先使用本地数据中心或云服务，避免因跨境传输受限数据而违规。遴选本地供应商时应注意其系统安全等级和加密方式符合所在国要求的标准。

在吉尔吉斯斯坦，跨境数据传输前需审查国际协议（如与欧盟或中国的数据协议），并在合同中明确数据接收方的保护义务。

二、法律准入

在法律准入方面，中亚国家中目前有乌兹别克斯坦、吉尔吉斯斯坦2个国家有准入要求：乌兹别克斯坦要求企业注册数据库；吉尔吉斯斯坦强制要求数据控制者在国家数据保护局登记数据集合。

相比之下，哈萨克斯坦、塔吉克斯坦和土库曼斯坦未设立强制注册制度，但土库曼斯坦对数据处理活动设定了严格的书面同意要求。

合规提示

在乌兹别克斯坦、吉尔吉斯斯坦运营的企业需提前规划数据注册的时间，并预留注册审核时间（乌兹别克斯坦需15天）。

在土库曼斯坦开展业务的企业需确保所有数据处理活动均获得书面同意，保障数据主体通过书面、电子文档或其他符合土库曼斯坦法律的保护性措施给予或撤回同意。

三、数据主体权利与响应时限

各国均赋予数据主体知情权、访问权、更正权、删除权及撤回同意权，但响应时限要求不同。

吉尔吉斯斯坦要求1周内响应数据主体请求；

有关告知要求，土库曼斯坦规定需在1个工作日内通知数据主体其个人信息已转移至第三方；

哈萨克斯坦、乌兹别克斯坦和塔吉克斯坦的响应时间通常允许3至10个工作日；

敏感数据（如生物识别、健康、宗教信息）的处理受到严格限制，通常需书面同意，乌兹别克斯坦和土库曼斯坦的例外条款最为详尽，涵盖医疗、司法和国家安全等场景的特殊规定。

合规提示

企业宜预先建立DSR响应机制和管理系统，确保在吉尔吉斯斯坦、土库曼斯坦的较短响应时限内及时响应。

涉及敏感数据的业务（如医疗健康、金融科技）需设置书面同意机制，并留存书面同意文件。

四、本地岗位配置与供应商管理

哈萨克斯坦和乌兹别克斯坦要求企业任命专职数据保护责任人（DPO），并制定有权访问数据的员工名单。

吉尔吉斯斯坦、塔吉克斯坦和土库曼斯坦暂无DPO设置要求。

在供应商管理方面，哈萨克斯坦要求第三方数据处理者使用符合国标的加密工具，而乌兹别克斯坦规定供应商需在数据跨境传输时获得额外批准。其他国家未明确供应商监管细则，但均要求数据控制者对第三方数据处理活动负责。

合规提示

在哈萨克斯坦和乌兹别克斯坦，企业需任命DPO并定期培训，确保其熟悉本地法律更新。

五、数据泄露与事件安全管理

哈萨克斯坦要求企业在发现数据泄露后1个工作日内向数字发展部（MDAI）报告。NISCC（国家信息安全协调中心）在收到MDAI关于安全漏洞的通报后，通过电子政务平台或短信通知受影响用户，告知其个人数据安全漏洞事件的相关信息及应对措施。

土库曼斯坦规定，若发现数据不实或非法处理，需在3个工作日内纠正或删除数据。

合规提示

在哈萨克斯坦运营的企业尽早布局安全监测系统，确保1日内完成事件上报。建议所有企业制定数据泄露应急预案，包括内部调查、监管沟通、用户通知和补救措施等流程。与供应商合作时，应在合同中明确数据安全义务，明确约定权责以降低违规风险。

六、法律责任与处罚

违法行为可能面临行政罚款、劳动改造或刑事处罚：  

哈萨克斯坦处罚最严厉包含刑事责任，违法可罚款最高约41,856美元，监禁最长7年。  

乌兹别克斯坦违法可罚款最高约5,360美元，甚至包含刑事责任，监禁最长3年。 

土库曼斯坦对首次违法和重复违法者进行区分对待，其中重复违法者实施5至10倍月平均工资的罚款或劳动改造。如果构成刑事犯罪的，罚金提高到40至70倍月平均工资，并可处以禁业和劳动改造。

吉尔吉斯斯坦违法可罚款最高约570美元，或处社会公益劳动。

塔吉克斯坦违法可罚款最高约4,194美元。

合规提示

对于哈萨克斯坦和乌兹别克斯坦的高风险领域（如数据跨境和敏感数据处理），建议定期进行合规自查，防范隐私合规风险。  

在土库曼斯坦，需严格管理书面同意证明，避免因程序瑕疵触发行政处罚。 

七、特殊类型数据主体

儿童数据在乌兹别克斯坦（18周岁以下）、土库曼斯坦（17周岁以下受到特殊保护，需父母或监护人书面同意。在乌兹别克斯坦，在父母不在场时，由监护和托管机构同意处理。

哈萨克斯坦禁止基于儿童数据的定向广告，同时对面向儿童的广告内容有严格审查，禁止利用儿童数据诱导其参与商业活动（如游戏内购、订阅服务等）。

吉尔吉斯斯坦和塔吉克斯坦未单独规定儿童数据保护条款。  

合规提示

涉及处理儿童数据的教育或社交平台需在乌兹别克斯坦、土库曼斯坦设计家长同意流程，并引入年龄验证技术。

八、总结与数据隐私战略规划建议

中亚国家的数据保护法特点鲜明，呈现“严格准入+本地化处理+有限跨境+本地岗位”的特点，同时结合所在国经济发展阶段，企业应考虑以下合规策略：  

• 提前调研本地数据监管准入细则和业务规划，结合当地业务上线安排及时向监管提交注册申报，以满足乌兹别克斯坦、吉尔吉斯斯坦的数据处理法律准入资质。

• 优先部署本地化设施，尤其在哈萨克斯坦和乌兹别克斯坦。 

• 建立DSR快速响应机制，满足吉尔吉斯斯坦、土库曼斯坦的短时限要求。  

• 强化供应商合规管理，明确数据安全要求与跨境传输责任。  

• 定期培训DPO与员工，确保符合动态立法要求。

在监管趋严的背景下，企业应超越最低合规标准，构建“隐私保护+数据安全+本地适配”数据保护治理体系，以降低运营风险并提升本地市场信任度。