陈逸飞、杨明勋：非洲也有个人信息保护制度吗?

点击蓝字

关注我们

作

者

简

介

陈逸飞，安徽财经大学法学院讲师、主要研究方向为非洲法、多元化纠纷解决，湘潭大学中非经贸法律研究院研究人员，安徽财经大学“一带一路”法律研究中心研究人员、华东政法大学数字法治研究院研究人员。

杨明勳，清华大学法学院博士候选人、香港中文大学访问学者、香港城市智库特邀研究员、澳门与海上丝绸之路研究中心研究员、河南省社会科学院兼职研究员。

原标题：《非洲数据与个人隐私保护法律概览》，载《非洲法评论（2019年卷）》，湘潭大学出版社，第86到91页。经作者授权进行部分删减，并对注释与参考文献进行了省略。

一、导言

在过去的20年里，非洲的数据与个人隐私保护法律一直在不断完善。如今，在非洲54个国家中，已经有25个国家通过了数据或个人隐私保护法律，14个国家拥有数据保护和个人隐私保护法律。这14个国家可大致分为三类：（1）较发达国家如南非，（2）法语非洲国家如贝宁、布基纳法索、马里、加蓬、科特迪瓦、马达加斯加、摩洛哥、塞内加尔、突尼斯，（3）其他国家：莱索托、津巴布韦、加纳。不难看出，法语非洲国家可谓一枝独秀。2019年通过数据与个人隐私的非洲国家是尼日利亚（Data Protection Compliance Organisation）、肯尼亚（Kenya Data Protection Bill）。值得关注的国家还有尼日尔、坦桑尼亚、乌干达，上述国家数据保护提案要么正在讨论之中要么已提上立法议程。乌干达虽然在2015年刚刚通过了《乌干达个人数据保护法案》，但乌干达国内对此并不满意，认为法案缺乏对“跨境数据传输”的监管。与之相对应肯尼亚刚刚通过的个人数据保护法案，被视为“非洲版GDPR”。《肯尼亚个人数据保护法案》在诸多方面均加强了监管，因此也对赴肯尼亚投资企业的“企业数据合规”提出了新的要求。

二、非洲数据保护法律体系概览

（一）立法框架与共同特征

非洲各区域性组织已采取具体措施来鼓励和支持数据保护法律的颁布。2010年，南部非洲发展共同体（SADC）公布了《数据保护示范法》(SADC Model Law on Data Protection)。此后，仅有2个成员颁布了数据保护法律。算上已经落实隐私法（privacy laws）的5个SADC成员，在16个SADC成员国中，共有7个成员已经落实了数据保护法律。2010年，西非国家经济共同体（ECOWAS）通过了《个人数据保护补充法案》(ECOWAS Supplementary Act A/SA.1/01/10 on Personal Data Protection)。2011年，该组织通过了《网络犯罪补充法案》。到目前为止，三分之二的ECOWAS成员已经通过了数据保护法律，如布基纳法索(2004年)，塞内加尔（2008年），贝宁（2009年），马里（2013年），科特迪瓦（2013年）。但是多哥、冈比亚、几内亚比绍、塞拉利昂和利比里亚至今尚未通过任何数据保护法律。2014年，非洲联盟通过了《网络安全和个人数据保护公约》（African Union Convention on Cybersecurity and Personal Data Protection）。该文件全面涵盖了电子事务处理、隐私以及网络安全等内容。到目前为止，该公约已被非洲联盟的17个成员国签署并被5个成员国批准。

非洲各区域性组织一直致力于各自数据保护法律的落实，这些组织的数据保护法律之间存在着一定的共同之处。举例来说，大多数国家都将获得数据主体的同意作为进行数据处理的默认条件。其次，大多数数据保护法律都规定成立一个数据保护机构，以向电信或信息通信技术（ICT）监管机构提供报告。而尼日利亚的ICT监管机构直接负责数据保护的工作。此外，各地区组织的数据保护法律均规定，数据控制者有义务向监管机构通报任何的数据处理活动，并从监管机构处获得授权在最多2个月的处理时间内将个人数据转移到第三国。2017年6月13日，《贝宁数字法典》（Loi n° 2017-20 portant code du numérique en République du Bénin）被贝宁国民大会正式通过，《尼日利亚数据保护条例》(Data Protection Compliance Organisation,简称为DPCO)于2019年正式生效。从立法趋势看，非洲国家无论是大陆法系的贝宁还是英美法系的尼日利亚，立法层面均强调企业内部监管、企业内部审查、强制要求企业任命至少一名数据保护官。

（二）数据保护法律框架非洲一体化进程

协调非洲的数据保护法律与监管框架仍需提上该洲相关地区组织和国家的议程。除了保护市民的隐私之外，制定协调统一的数据保护框架还可推动非洲的发展，使数据在该洲自由流动，鼓励数据从其他洲转移到非洲，促进基于非洲的数据中心、外包服务、区块链技术、电子政务以及金融科技服务的使用。一些非洲组织和国家还表达了想要结束“数字殖民”（digital colonisation）的愿望。他们将“数字殖民”视为将敏感数据（例如分类文件）托管在非洲地区之外的服务器上的结果。为了解决这一问题，非洲相关组织和国家围绕数据本土化展开了讨论，以获得数据主权。隐私和数据保护仍然是非洲的一大热点问题。在接下来的2年里，非洲将掀起一股新的立法浪潮。然而，遵守现行的法律对于中小型企业而言仍具有一定的挑战性。因为此类企业常常意识不到自身需履行的法律义务，或者总是认为遵循隐私法律所付出的代价远远高于违背相关法律规定而受到的惩罚。非洲数据保护机构公布的记录表明，遵守监管机构通知与审批程序的组织机构多为总部位于欧洲或美洲的跨国企业、公共服务机构以及当地的银行和电信巨头。习近平总书记在中非合作论坛北京峰会开幕式上的讲话，给中非合作加入新的动力，为增长发力活力不足的世界经济注入新的信心。中非合作的重头戏是对非投资。中国公司的产品为外国用户所使用时，会在一定程度上收集用户数据，这是“数据跨境”的典型情况。由于对非洲国家经贸法律政策尤其是数据保护法律缺乏了解，一些中国企业在对非贸易投资过程中未能很好地预防和化解法律风险。

三、非洲版GDPR

2019年11月8日，肯尼亚总统乌胡鲁·肯雅塔（Uhuru Kenyatta）批准了肯尼亚首部专门针对个人数据保护的法案--《肯尼亚个人数据保护法案》（Kenya Data Protection Bill）。肯尼亚的这部数据保护法案，全文共62条，分为十个部分。也被部分学者冠以“非洲版”《通用数据保护条例》（GDPR）的称号。

在GDPR于2018年5月生效前后，肯尼亚参议院、以及信息、通信和技术部门相继发布两版数据保护法案草案。经过肯尼亚议会一年多的听证讨论和投票，融合两版草案并形成了最终版法案。不难看出，最终版法案借鉴了GDPR中的很多关键性条款，主要而不限于以下四大部分：对于数据主体、数据控制者和处理者等的概念定义等基本问题；数据主体的权利，数据控制者和处理者的义务等核心问题；数据跨境转移、对未成年人的保护等热点问题。关于颁布数据保护法案的意义，肯尼亚ICT部门曾在2018年发布的《隐私和数据保护政策》说明文件中提到：在相当长的一段时间以来，肯尼亚只有宪法规定隐私权保护相关条例，却没有具体的个人数据保护法律和监管机构。此外，随着肯尼亚国内信息、通信和技术等产业的发展，保护个人数据显得更为迫切。

不过，与GDPR不同的是，肯尼亚的法案专设数据专员办公室（office of the Data Commissioner）隶属与政府机构。根据《肯尼亚个人数据保护法案》第5条第二款，第6条第一款根据《肯尼亚个人数据保护法案》第6条第一款，数据专员办公室的负责人最终将由肯尼亚ICT部门的内阁秘书约瑟夫·穆彻如(Joseph Mucheru) 任命。数据专员办公室职责重大，受到法案管辖的数据控制者和数据处理者，都必须向其注册。期限3年，到期需要更新。此外，数据专员办公室还将监管数据收集、处理和传输的全部过程。数据专员办公室拥有执法权，可依据法律条款决定企业是否合规并对违规行为予以处罚。根据新的法案，数据专员甚至有权基于保护国家利益等准则，要求某些数据处理只能使用肯尼亚的数据中心或者服务器。具体到处罚力度上，针对违反法律条款的个人或者企业，可判处500万肯尼亚先令（约合人民币34.41万元）或者公司年营业收入总额的2%作为罚款。如果泄露、售卖数据等恶劣行行为，则涉嫌刑事犯罪。最高可处2年监禁还可并处300万肯尼亚先令。惩罚不可谓不严厉。

四、总结

加强对非投资经贸法律问题的研究，提升企业法律风险意识和防控能力，已成为中国企业和相关部门的迫切需要，也成为中国法学法律界服务国家“走出去”战略的一项重要任务。数据是许多中国企业尤其是科技企业的核心资产，而现如今跨境数据已成为新的合规风险。近几年来，中国已成为肯尼亚外商直接投资的主要来源国之一，投资多集中在建筑、房地产、制造业等传统领域。随着近几年肯尼亚国内信息、通信和技术产业发展迅速，未来中资企业大有可为。《肯尼亚个人数据保护法案》的实施，恐怕也会像GDPR一样，对这些企业的运营造成一定影响。需要尤其注意，个人、企业或者机构注册地即使不在肯尼亚，只要处理的是位于肯尼亚境内的个体数据，也将受到《肯尼亚个人数据保护法案》规制。

微信号 : DigitalLaw_ECUPL

探寻数字法治逻辑

展望数字正义图景

数字法治战略合作伙伴：理财魔方