查看原文
其他

非洲联盟国家数据保护与数据跨境流动政策蓝图解析

数治君 数据信任与治理 2023-01-13


1 背景

在过去十几年里,非洲互联网用户急剧增长。非洲国家认识到强大的数字经济在创造新的商业机会、提高效率、促进可持续发展和重塑人民生活方面的巨大潜力。随着《2020-2030年非洲数字化转型战略》(Digital Transformation Strategy for Africa 2020-2030)的实施及非洲大陆自由贸易区(African Continental Free Trade Area,AfCFTA)的运作,科技初创企业和电子商务产业迎来了发展机遇。


在此背景下,非洲联盟委员会制定了《非盟数据政策框架》(以下简称“《框架》”),该《框架》于2022年2月获得非盟执行理事会(AU Executive Council)的认可。2022年7月28日,非洲联盟发布了《框架》。


2 非洲大陆总体状况

2.1. 数字经济发展概况


非洲大陆的数字经济发展既面临着机遇,又需迎接挑战。


非洲大陆正在致力于建立单一市场——非洲大陆自由贸易区(以下简称“AfCFTA”)。AfCFTA是世界上最大的自由贸易区,汇集了非洲联盟的55个国家和8个区域经济共同体。AfCFTA的总体任务是创建一个拥有约13 亿人口和约3.4万亿美元GDP的单一大陆市场。自2022年6月起,54个非盟成员国已签署AfCFTA协议。自由大市场的建立为数字经济的发展带来了广阔的空间。


非洲各国政府越来越多地致力于建设数字经济。2018年4月,世界银行集团启动了非洲数字经济倡议(Digital Economy Initivative for Africa, DE4A)。2020年5月,非洲联盟发布了《2020-2030年非洲数字化转型战略》。2016年塞内加尔发布《数字塞内加尔2025战略》(“Digital Senegal 2025” Strategy),计划将数字技术对GDP的贡献提高10%。肯尼亚、南非、卢旺达等国家也都采取措施建设数字基础设施、培养数字素养和技能、促进数字创业和创新。


但是非洲数字经济发展也存在亟需补齐的短板。


非洲互联网普及率与世界平均水平相比仍存在差距。截止到2022年5月,非洲互联网普及率为43%,而世界平均水平为64.2%。与其他地理集团或联盟相比,非洲数字经济的规模并不大。


非洲昂贵的互联网接入、数字文盲以及缺乏宽带、电力和物流等基本基础设施的问题仍然是形成整个数字市场的障碍。


2.2. 数据保护立法与数据跨境流动监管概况


根据2021年9月美国国际开发署(USAID)与电子贸易联盟(eTrade Alliance)发布的《建立非洲数据传输机制,实现中小微企业跨境电子商务》(以下简称“报告”),非洲的数据保护立法与数据跨境流动监管情况如下所示:


制度类型

国家

1.没有适当的数据保护法

布隆迪、喀麦隆、中非共和国、科摩罗、刚果、刚果民主共和国、吉布提、厄立特里亚、几内亚比绍、利比里亚、利比亚、马拉维、莫桑比克、纳米比亚、塞拉利昂、索马里、南苏丹、苏丹、坦桑尼亚

2.有数据保护法草案

埃塞俄比亚、冈比亚、毛里塔尼亚、卢旺达、塞舌尔、斯威士兰、津巴布韦

3.有数据保护法,没有提到数据传输充分性保护或用户同意

加纳

4.有数据保护法,如果用户同意或存在其他例外情况,传输不需要充分性保护

阿尔及利亚、安哥拉、贝宁、博茨瓦纳、佛得角、乍得、赤道几内亚、加蓬、莱索托、马达加斯加、尼日利亚、毛里求斯、摩洛哥、圣多美和普林西比、塞内加尔、南非、多哥

5.有数据保护法、传输需要充分性保护或用户同意,没有列出其他例外

乌干达

6.有数据保护法,传输需要充分性保护,传输应当通知当局或者获得批准

布基纳法索、几内亚、科特迪瓦、马里、尼日尔

7.有数据保护法,需要足够的保护,符合特殊情况,同意,传输应当通知当局或者获得批准

埃及、肯尼亚、突尼斯、赞比亚


从上表可知,就数据跨境而言,近一半非洲国家尚缺乏相关规定。部分国家采取用户同意、充分性保护、通知当局或获得批准的方式。总体而言,与世界其他地区的国家相比,大多数非洲国家在监管数据隐私和传输方面尚处于起步阶段。此外,报告称,与GDPR不同,除贝宁和乌干达的法律具有域外影响外,非洲的大多数法律仅适用于国内。


2014年,非洲联盟颁布了《非洲联盟网络安全和个人数据保护公约》(African Union Convention on Cyber Security and Personal Data Protection),截止目前,14个非洲联盟成员国已签署该文件,13个国家批准了该文件。该公约第14条第6款第(a)项禁止将个人数据传输给非成员国,除非“接收国确保对数据正在或可能被处理的人的隐私、自由和基本权利提供充分的保护”。这意味着,该公约生效后,位于加入公约国家的企业跨境传输数据时须确保数据接收国提供规定的充分性保护。


3《非盟数据政策框架》的价值导向


在上述背景下,非盟发布了《框架》。《框架》认为各国要从新兴的全球数据经济中受益,就需要转变数据监管方式。接着《框架》审查了数据保护方面的国际、地区政策和立法趋势。根据分析,《框架》概述了指导原则,并提出了一些建议,例如为非个人数据创建数据可移植性权利,以使云服务的客户更容易在供应商之间切换。


该《框架》有两个重要的价值导向:一是支持数据创造价值,二是促进数据在非盟内流动。


在支持数据创造价值方面,《框架》认为,从数据中获益在很大程度上取决于有利于获取有用数据的监管和政策框架;从数据中创造价值还需要增强人员、机构和技术能力,鼓励数据共享和互操作性以及提高国家以负责任的方式管理公民数据的合法性和公众信任度。《框架》提出了6条促进数据经济的建议:建设基础数据基础设施、创建合法可信的数据系统、设置适应性监管制度、重新平衡法律生态系统(解决法律冲突)、创造公共价值、提高竞争、贸易和税收政策的连贯性。


在促进数据在非盟内流动方面,《框架》认为,为了实现数字贸易,数据必须跨境传输。虽然数据积累可能是一种安全可靠的数据管理方式,但积累数据而没有以安全的方式使用、交换或重新利用数据也会产生利用不足的风险。个人数据和非个人数据流动对于数字贸易来说都很重要。成员国选择适用的跨境数据保护制度应该在促进公平的经济发展和提供充分的数据保护之间找到平衡。


《框架》指明,作为一种可能的政策选择,数据本地化需要在成本效益的基础上进行评估。数据本地化要求数据具有特异性(data specificity),即仅对特殊类别的数据提出数据本地化要求,从而促进更广泛的数据流动,同时使本地化要求符合非洲自由贸易区等政策要求,并有助于最大限度地降低当地企业和创新者的成本。


在数据跨境流动方面,《框架》提出了一些建议,包括:


  • 在考虑非洲各国不同情况下(即不同水平的数字化准备程度、数据成熟度以及法律和监管环境)促进和便利非盟成员国内部和之间的数据流动,建立一个跨境数据流动机制;

  • 通过制定一个通用的数据分类和共享框架,促进跨部门和跨境的数据流通,该框架考虑了广泛的数据类型及其不同的隐私和安全级别;

  • 在非洲当局网络(African Network of Authorities,RAPDP)的支持下,与负责保护非盟成员个人数据的国家当局密切合作,建立一个协调机制和机构,监督非洲大陆内部的个人数据传输,并确保遵守各国管理数据和信息安全的现有法律和规则;

  • 在非盟成员国和包括非洲联盟警察合作机制在内的其他非盟机制之间实现数据共享和增强互操作性


4  部分国家数据跨境流动机制


在非洲大陆对数据进行立法保护的国家中,南非对数据跨境进行了严格的限制,肯尼亚的数据隐私立法仿效GDPR,因而具有一定代表性。下文对南非与肯尼亚的数据跨境流通机制进行解读。


4.1.  南非

南非《个人信息保护法》(Protection of Personal Information Act,POPIA)于2013年生效,部分规定于2020年生效,其规定,南非的责任方(数据控制者或处理者)不得将个人数据传输给外国的任何一方,除非传输符合以下理由之一:


  • 充分的法律保护:接收国有等效隐私和数据保护法律(目前当局没有公布被认为提供充分性保护的司法管辖区和/或组织的名单);有约束力的公司规则(BCR);数据传输协议(SCC)。

  • 同意:数据主体同意转移其个人信息。

  • 履行合同所必需:为了履行数据主体与责任方之间的合同,或为了响应数据主体的请求而采取的合同前措施,传输是必要的。

  • 数据主体的利益:为了在责任方和第三方之间为数据主体的利益订立或履行合同,传输是必要的。或者在无法合理、切实可行地获得数据主体同意的情况下,为了数据主体的利益传输数据。


南非《个人信息保护法》的独特之处在于其不仅适用于自然人,还适用于法人。法律第1条规定,“个人信息”指与可识别的、在世的自然人有关的信息,以及在适用的情况下,与可识别的现有法人有关的信息


根据规定,不允许将公司的任何信息传输到欧洲或英国,因为GDPR并未对公司的个人信息提供任何保护。


4.2.肯尼亚

近来,GDPR被视为全球数据保护法规的基准,2019年肯尼亚将其作为基准框架制定了自身的《数据保护法》(Data Protection Act,DPA)。肯尼亚也进行了一定的修改。例如,肯尼亚DPA下的“数据处理者”定义包括“公共机构、机构或其他团体”。这比GDPR的定义更宽泛。就数据跨境传输流动而言,肯尼亚作出了以下规定:


  • 每个数据控制者或数据处理者都必须确保在位于肯尼亚的服务器或数据中心存储至少一份该法适用的个人数据的服务副本。

  • 禁止对敏感个人数据进行跨境处理,除非满足特定条件或法案规定。

  • 只有在以下情况下,数据控制者或数据处理者才可以将个人数据传输到另一个国家:

i.数据控制人或数据处理人已提供证据证明已就个人资料的保安及保护采取适当的保障措施;

ii.数据主体在被告知传输可能存在的风险后,明确同意拟议的传输;

ⅲ.传输是履行合同所必需的。


5  小结


非盟发布《框架》旨在为非洲国家提供政策框架,为支持数据驱动的价值创造和创新所需的私人和公共投资创造有利的政策环境,从而最大限度地提高数据驱动经济的效益。《框架》期望非洲各国加强国家间合作、促进非洲内部数据流动、促进非洲内部的数字贸易。作为一个新兴市场,非洲各国未来将填补数据立法空白,完善现有法规,打造自己的数字经济。


参考文献

[1]非洲联盟官网:https://au.int/sites/default/files/documents/42078-doc-AU-DATA-POLICY-FRAMEWORK-ENG1.pdf,2022年9月1日访问。

[2]非洲联盟官网:https://au.int/en/documents/20200518/digital-transformation-strategy-africa-2020-2030,2022年9月1日访问。

[3]非洲联盟官网,https://au.int/sites/default/files/treaties/29560-treaty-0048_-_african_union_convention_on_cyber_security_and_personal_data_protection_e.pdf,2022年9月1日访问。

[4]世界银行官网:https://www.worldbank.org/en/programs/all-africa-digital-transformation,2022年9月1日访问。 

[5]肯尼亚法律网:http://kenyalaw.org:8181/exist/kenyalex/actview.xql?actid=No.%2024%20of%202019,2022年9月1日访问。

[6]互联网世界数据官网:https://www.internetworldstats.com/stats1.htm,2022年9月1日访问。

[7]“DIGITAL SENEGAL 2025” STRATEGY, https://www.itu.int/net4/wsis/archive/stocktaking/Project/Details?projectId=1488401022, 2022年9月1日访问。

[8]Famsville Solicitors, The Africa continental Free Trade Agreement and cross-border data transfer: maximising the trade deal in the age of Digital Economy, LEXOLOGY (Mar 17, 2019), https://www.lexology.com/library/detail.aspx?g=b257542e-7ff8-4ce9-ae70-f1508172c925#:~:text=Cross%2Dborder%20data%20transfer%20and%20trade&text=Data%20protection%20laws%20prohibit%20transfer,personal%20data%20or%20deemed%20adequate.

[9]Kati Suominen, Erica Vambell, Toward an African Data Transfer Regime to Enable MSMEs' Cross-border Ecommerce, https://www.allianceforetradedevelopment.org/data-transfer-in-africa, 2022年9月1日访问。

[10]Nigel Cory Luke Dascoli, How Barriers to Cross-Border Data Flows Are Spreading Globally, What They Cost, and How to Address Them, ITIF (Jul 19, 2021), https://itif.org/publications/2021/07/19/how-barriers-cross-border-data-flows-are-spreading-globally-what-they-cost/.

[11]Keny’s GDPR-Style Legislation Threatens US Firms’ X-Border Data Transfer Model, PYMNTS (Aug 23, 2022), https://www.pymnts.com/news/regulation/2022/kenyas-gdpr-style-legislation-threatens-us-firms-x-border-data-transfer-model/.

[12]Zaakir Mohamed, Managing cross-border data transfers, CMS Law-Now (Nov 7, 2022), https://www.cms-lawnow.com/ealerts/2022/07/managing-cross-border-data-transfers.


(完)


往期文章:

1、全球数据治理观察

美国数据隐私和保护法(ADPPA)内容简析

前沿分析|印度撤回《个人数据保护法(草案)》

英国数据保护改革|《数据保护和数字信息法案》要点

印度国家数据治理政策框架(草案)全文翻译(附草案原文)

马斯克收购Twitter交易中的数据争议

国内外数据交易模式对比分析

我们应当如何理解数据治理中的管辖权冲突?

数据交易治理:中国、欧盟和印度的发展(附报告全文)

数据访问治理:中国、欧盟和印度的发展(附报告全文)

作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)


2、国际数据空间

【域外执法】欧盟EDPB:发布“欧洲健康数据空间”联合意见——必须确保对电子健康数据的有力保护(附意见原文)

全文首发|EDPB和EDPS就《欧洲健康数据空间条例》提案发布联合意见(中译本)

全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)

欧洲共同数据空间:进展与挑战

国际数据空间在欧洲数据战略中的作用

合作发布|国际数据空间IDS China Research Lab正式启动

合作发布|IDS — 数据自主权的标准


3、数据跨境流动治理

俄罗斯修改个人数据跨境传输程序

欧盟数据保护监督机构就欧盟-日本跨境数据流动发表意见

全文首发|美国《保护美国人免受外国监视法案》(中译本)

《个人信息出境标准合同规定(征求意见稿)》适用要点解读

英国“数据 新方向”咨询结果|促进贸易和减少数据跨境传输壁垒(第三章)

欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(下)

欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(上)

数据跨境流动的规则监管与多元治理

英美签署全球首个数据跨境取证双边协议(附全文翻译)


4、欧盟数据治理模式

欧洲议会发布数据治理研究报告

首个GDPR认证机制GDPR-CARPA详解

全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)

欧洲数据治理方式的转变:《数据治理法》

Data Act:欧盟数据访问和使用的新框架

国际数据空间在欧洲数据战略中的作用

对数据的监管如何培育数字经济创新和竞争  ——GDPR提供的共同监管工具

EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评(附征求意见前后对比中译本全文)

EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文

EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文

全文首发| 欧盟《数据法》草案中译本

欧盟的公共数据治理方案(下)

欧盟的公共数据治理方案(上)

欧盟的人工智能数据治理方案

Gaia-X:下一代数据治理基础设施


5、数据权属与数据治理之争

数据治理:数字经济竞争和数据要素流通的新路径

如何设计数据交易市场?(下)

如何设计数据交易市场?(上)

如何实现大数据价值?(下)

如何实现大数据价值?(上)

政策制定者应密切关注数据治理(下)

政策制定者应密切关注数据治理(上)

当讨论数据所有权时,我们到底在讨论什么?

没有人拥有数据?(下)

没有人拥有数据(上)

数据所有权:问题盘点与总结(下)

数据所有权:问题盘点与总结(上)

应该在欧盟引入数据生产者权利吗?(下)

应该在欧盟引入数据生产者权利吗?(上)


6、产业数据治理

如何解锁制造业数据的价值?(下)

如何解锁制造业数据的价值?(上)

车联网中的隐私与信任(下)

车联网中的隐私与信任(上)

物联网数据共享和控制的四个法律挑战



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存