乌兹别克斯坦共和国《个人数据法》全文解读

树英律师：北京庄和律师事务所主任，中国政法大学法学学士、工商管理硕士，美国哥伦比亚大学访问学者，疑难案件论证中心主任，企业合规师，潍坊仲裁委、中卫仲裁委、玉林仲裁委仲裁员，北京多元调解中心调解员，中国政法大学等多所院校校外导师、兼职讲师，北京市律师协会刑诉委委员。

执业领域：企业合规法律顾问、刑事辩护。刑事方面，通过把握刑事案件办理过程中各个环节的辩点和策略，实现当事人重罪转轻罪、轻罪轻刑、疑罪从无的辩护。主办过多起合规案件、反舞弊案件、重大疑难交叉案件，通过专业沟通，风险把控，系统操作，运用法律武器切实维护当事人的合法权益，取得了显著的效果。

联系电话: 010-53381383，400-998-2139

关键词：乌兹别克斯坦；个人数据法；个人数据监管与保护

乌兹别克斯坦共和国《个人数据法》（以下简称“本法”）于2019年4月16日经立法会议通过，2019年6月21日经参议院批准，由总统沙夫卡特·米尔济约耶夫于2019年7月2日签署生效，编号LRU-547，自2019年10月1日起正式实施。该法是乌兹别克斯坦规范个人数据处理与保护领域的基础性、综合性立法，旨在构建系统的个人数据监管体系，平衡个人数据权益保护与数字经济发展需求，同时与国际个人数据保护规则衔接，为国家数字转型提供法治保障。本法实施后历经多次修订，其中2025年的修订尤为关键，放宽了数据存储和处理规则，为国际支付平台等海外服务进入乌兹别克斯坦市场创造了条件。

本法共分为7章36条，结构清晰、逻辑严谨，涵盖个人数据处理的全流程规范、国家监管机制、各方权利义务及法律责任，形成了“总则—国家监管—数据处理—处理程序—数据保护—权利义务—附则”的完整立法框架。以下结合本法核心条款及最新修订内容，对其主要内容进行全面解读。

第一章“总则”明确了本法的立法基础与核心原则，奠定了整个法律体系的基调。本法的核心目的是规范个人数据领域的各类关系，其法律渊源包括本法本身及其他相关立法文件，若乌兹别克斯坦缔结的国际条约与本国个人数据立法存在不同规定，优先适用国际条约条款。在适用范围上，本法覆盖所有个人数据处理与保护相关关系，无论采用何种处理方式（包括信息技术手段），但明确排除四类情形：个人为私人、家庭目的且与职业或商业活动无关的个人数据处理；国家档案基金及其他含个人数据的档案文件的形成、存储和使用；与国家秘密相关的个人数据处理；在业务搜索、情报、反情报活动、打击犯罪、执法及反洗钱框架下获取的个人数据处理。

总则还界定了本法的核心概念，包括个人数据（记录在电子、纸质等有形载体上，与特定个人相关或可识别特定个人的信息）、个人数据主体（个人数据所指向的自然人）、个人数据库（含个人数据的信息系统形式的数据库）、个人数据处理（包括收集、系统化、存储、修改、补充、使用、提供、分发、传输、匿名化、销毁等一项或多项行为）、数据库运营者、所有者及第三方等，为后续条款的适用提供了清晰的概念界定。同时，本法确立了六大核心原则，即尊重公民宪法权利与自由、个人数据处理目的与方式合法、个人数据准确可靠、个人数据保密与安全、主体、所有者与运营者权利平等、保障个人、社会及国家安全，这些原则贯穿个人数据处理的全过程。

第二章“个人数据领域的国家监管”明确了国家层面的监管架构与权责分工。乌兹别克斯坦个人数据领域的国家监管由内阁和个人数据授权国家机构共同负责。内阁作为最高行政机关，主要职责包括确保国家个人数据政策的统一实施、批准个人数据领域的国家计划、确定国家个人数据库登记册的管理程序、协调各相关机构的活动，同时根据授权机构提供的数据，制定个人数据处理的安全等级、保护要求及生物识别和遗传数据的存储技术要求。

个人数据授权国家机构为内阁下属的国家个性化中心，承担具体的监管职能，包括执行国家个人数据政策、参与制定相关计划、批准个人数据处理程序范本、管理国家个人数据库登记册、颁发数据库登记证书、行使国家监管权、提出立法完善建议、开展个人数据安全威胁分析、下达违规整改指令，以及与外国主管机构和国际组织开展合作等。这一监管架构既保障了国家政策的统一实施，又实现了具体监管工作的专业化、精细化，契合中亚地区重视关键信息基础设施保护的立法趋势。

第三章“个人数据处理”详细规范了个人数据处理的全流程操作，涵盖收集、系统化、存储、修改、补充、使用、提供、分发、跨境传输、匿名化、销毁等各个环节。个人数据处理的参与者包括主体、运营者，还可包括主体的法定代表人、所有者及第三方。在收集与存储方面，个人数据库的建立需收集完成任务所必需且足够的个人数据，收集、系统化的程序和原则由所有者和运营者自主确定，存储形式需满足识别主体的需求，存储期限以实现处理目的为限。

在数据修改与补充方面，运营者和所有者需在主体提出申请后3日内完成相关操作，对于不真实的个人数据，需在发现问题后立即修正。个人数据的使用需严格遵循收集时声明的目的，并确保达到必要的保护水平，相关工作人员仅可在履行职业、职务或劳动职责的范围内使用个人数据，且负有保密义务。个人数据的提供需向特定对象披露，向国家机关提供个人数据免费，主体有权拒绝提供个人数据且无需说明理由；数据 dissemination则是向不特定多数人披露，超出原定目的的传播需获得主体同意。

跨境传输是本章的重点内容之一，本法原本规定较为严格，2025年修订后放宽了相关要求。修订后明确，个人数据跨境传输需在能提供充分个人数据保护的外国领土进行，对于不能提供充分保护的国家，仅在主体同意、维护国家宪法秩序和公民权益、国际条约规定等情形下可进行跨境传输，同时可基于国家安全等理由禁止或限制跨境传输。此外，用于历史、统计、社会学、科学研究的个人数据必须进行匿名化处理；个人数据在达到处理目的、主体撤回同意、处理期限届满或法院判决生效等情形下，需由相关方进行销毁，确保无法恢复。

第四章“个人数据处理程序”进一步细化了处理的条件、要求及相关程序。个人数据处理需符合本法基本原则，且仅能在七种情形下进行，包括主体同意、履行合同及相关准备、履行法定义务、保护主体或他人合法权益、实现所有者或第三方合法权益及社会公共利益、匿名化后的统计或研究用途、从公开来源获取数据等，其中为保护主体权益的紧急处理可暂不取得主体同意。

处理个人数据需满足明确的要求，包括处理目的合法且与收集时声明的目的一致，如需变更目的需获得主体同意；个人数据需准确可靠，必要时及时修正；处理范围与目的、方式相匹配，处理期限不超过主体同意的有效期。个人数据库原则上需在国家个人数据库登记册中登记，采用申请告知制，但七种特殊情形可免于登记，包括公共协会或宗教组织处理其成员数据且不向第三方披露、主体公开的数据、仅含姓名和父称的数据等，所有者和运营者需在数据库信息变更后10日内通知授权机构。

此外，本章还规范了同意与撤回同意的程序、信息提供程序、通知程序、自动化处理规则，以及特殊个人数据、生物识别和遗传数据的处理要求。其中，特殊个人数据包括种族或社会出身、政治宗教信仰、党派和工会成员身份、身心健康状况、私人生活及犯罪记录等，原则上禁止处理，仅在国家安保、主体书面同意、公开来源获取等特定情形下允许处理；生物识别和遗传数据用于身份识别时，需获得主体同意，其电子形式的存储需使用防止未授权访问的有形载体。值得注意的是，2026年乌兹别克斯坦进一步立法规范AI使用，明确禁止仅依据人工智能系统结论作出影响个人权利的具有法律效力的决定，对非法处理个人信息的行为处以高额罚款并没收涉案设备。

第五章“个人数据保护”确立了个人数据保护的基本保障体系，明确国家对个人数据保护负有保障责任，所有者、运营者及第三方需采取法律、组织和技术措施，保障主体的隐私权、个人数据的完整性和安全性、保密性，防止非法处理。2025年修订前，本法要求处理乌兹别克斯坦公民个人数据时，需将数据收集、系统化和存储在该国境内的技术设备及登记在册的数据库中；修订后放宽了这一要求，仅自然人的生物识别数据、遗传数据及电信运营商用户数据需在国内本地化存储，其他类型个人数据可在境外存储和处理，但需满足相关国家提供同等保护、采用标准合同条款、遵守国际标准等条件，这一修订为Apple Pay、Google Pay等国际支付平台进入乌兹别克斯坦市场创造了条件。

本章还区分了个人数据的保密性与公开性：个人数据原则上需保密，未经主体同意或无法定理由不得披露；公开个人数据需经主体同意或无需保密，可通过传记目录、电话簿、公共电子资源等形式向公众提供，主体有权申请将自身信息从公开来源中移除。

第六章“个人数据处理参与者的权利与义务”明确了主体、所有者和运营者的核心权利与义务，实现了各方权益的平衡。个人数据主体享有多项核心权利，包括知晓自身个人数据的存在及构成、请求获取数据处理相关信息、了解数据访问条件、向授权机构或法院寻求权利保护、同意和撤回同意数据处理、同意数据在公开来源传播、要求暂停处理不完整或不准确数据等；同时，主体有义务在维护国家宪法秩序、国防安全等必要情况下提供个人数据。

所有者和运营者有权处理个人数据，但需履行多项法定义务，包括遵守个人数据相关立法、应主体请求提供处理信息、确定必要的个人数据范围、及时销毁或修正数据、提供主体同意的证据、暂停或销毁违规处理的数据、通知主体数据变更和转移情况、登记数据库、采取保护措施等。此外，所有者和运营者可在主体书面同意、履行合同或法律规定的情形下，委托第三方处理个人数据，相关保护义务自数据收集之日起至数据销毁或匿名化之日止。

第七章“附则”规定了争议解决、法律责任、法律实施及生效相关事宜。个人数据领域的争议按照乌兹别克斯坦法律规定的程序解决；对违反本法的行为，相关责任人需承担相应法律责任；授权机构需联合其他相关部门，确保本法的实施、宣传和解读工作；内阁需协调相关政府部门，修订与本法不符的规范性文件，确保法律体系的统一性。

总体而言，乌兹别克斯坦《个人数据法》构建了一套全面、严谨的个人数据监管与保护体系，既注重保护公民个人数据权益，又兼顾国家安全与数字经济发展需求。近年来的修订体现了该国放宽数据监管、吸引外资、推动数字经济发展的趋势，尤其是2025年对数据本地化要求的调整，为国际企业进入乌兹别克斯坦市场提供了更便利的法治环境。该法的实施，不仅完善了乌兹别克斯坦的数字法治体系，也为中亚地区个人数据保护立法提供了有益参考，对推动区域数字合作与发展具有重要意义。

 来源：北京庄和律所根据相关会议资料、专家观点汇总整理，欢迎广大网友批评指正

【版权声明】版权归作者或者原作者所有，仅供学习赏析之用，若涉及权限问题，烦请通过email向ysy_95@qq.com邮箱发送邮件告知，我们将立即反馈并解决 。感谢您的关注和支持！