正策新闻
正策关注|中国企业出海非洲四国的数据合规攻略以及分行业赛道针对性解读
非洲数据合规法律总览
在全球数字化浪潮的推动下,非洲的数据合规法律体系正处于快速发展的进程中。2014年,非盟通过了《非洲联盟网络安全和个人数据保护公约》(也称《马拉博公约》),该公约的核心是为非盟成员国建立统一的网络安全与个人数据保护法律框架。其内容涵盖四大核心板块:电子交易规范、个人数据保护、网络安全促进与网络犯罪打击,以及最后条款(含生效条件、修正程序等)。《马拉博公约》在2023年6月8日正式生效(但批准通过该公约的只有15个非洲国家,包括安哥拉、贝宁、乍得、刚果、埃及、加蓬、冈比亚、几内亚比绍、莱索托、毛里塔尼亚、纳米比亚、尼日尔、圣多美和普林西比、塞内加尔和赞比亚)。
《马拉博公约》的亮点在于第14条第6款明确禁止个人数据向非成员国传输,除非接收国提供“充分保护”,这一表述类似欧盟的充分性认定标准,但缺乏具体实施细则和认证流程。然而,《马拉博公约》与欧盟的通用数据保护条例(GDPR)在本质上并不相同,其适用范围仅限于非洲,缺乏对非洲以外的数据处理者的规定,不具有“域外效力”,但其作为除欧洲以外的唯一具有约束力的区域数据保护条约仍然具有重要的意义和影响。
在《马拉博公约》的影响下,越来越多的非洲国家意识到数据保护的重要性。目前,非洲已有不少国家颁布了专门的数据保护法律。例如:加纳于2012年颁布了《2012数据保护法》(Data Protection Act, 2012);南非于2013年颁布了《个人信息保护法》(Protection of Personal Information Act,简称POPIA);肯尼亚的《数据保护法案》(Data Protection Act)也于2019年生效;2021年布基纳法索颁布《个人数据保护法》(Protection des personnes à l'égard du traitement des données à caractère personnel)、赞比亚的《数据保护法案》(Data Protection Act)也在同年正式生效。这些非洲国家相继颁布的数据保护相关的法律,充分证明了非洲大陆对数据保护的重视程度日益增加。中国企业出海非洲必须了解对应国家的数据法规,才能使企业在非洲大陆的经营行稳致远。
南非、加纳、赞比亚、布基纳法索的数据保护法规概览
南非作为非洲数据合规的前沿阵地,本文将重点介绍。另外,由于笔者曾服务过与加纳、赞比亚、布基纳法索贸易相关的中国出海企业的数据合规业务,因此本文也将逐一介绍这几个国家的数据法情况。
南非:非洲数据合规的前沿阵地
作为非洲第二大经济体,南非在数据合规领域走在前列,其数据合规法律体系相对完善。南非将隐私作为公民的基本权利写进了《南非宪法》的第14条,为个人信息保护奠定了宪法基础。在此基础上,南非陆续颁布了一系列相关法律,形成了较为完善的数据保护法律框架。
2013年颁布的《个人信息保护法》(POPIA)是南非数据保护领域的核心法律,该法以《南非宪法》第14条的隐私权为基础,在2021年时已全面生效。POPIA主要规定了:
| |
| |
可以看出,南非的2013 POPIA的信息数据保护规定已相对完善,覆盖了信息处理的原则、负责监管的机构、处罚等通常在各国数据保护法中主要的规定。为了更好地实施2013 POPIA,南非于2018年还颁布了《个人信息保护法实施条例》(Regulations Relating to the Protection of Personal Information Act,简称“POPIA条例”)。
南非的个人数据保护具有以下特色:
在数据收集环节,数据处理者必须严格遵循法律规定,明确告知用户数据收集的目的、方式和范围,并获得用户的明确同意。不能过度收集与业务无关的数据。非必要不收集涉及数据主体的任何唯一标识符(例如身份证号信息),如果确需收集需要遵守POPIA第六章关于事先授权的规定。不收集和处理儿童信息、以及个人的特殊信息(例如种族或民族出身、政治倾向、健康或生物识别信息等);
在数据传输环节,若传输信息为一般信息,且获数据主体同意、接收方能提供充分保护,则可以正常进行跨境转移;但若涉及其他信息,例如数据主体可能关联“账户号码”的财务信息,则需遵守POPIA第105-106条关于账户信息的安全要求,不得未经同意获取、披露、泄露个人的账户信息;
在数据使用环节,数据处理者要严格限制数据的使用范围,仅在授权范围内使用数据。POPIA在第八章规定了数据主体在未经请求的电子通信直接营销、目录与自动化决策方面的权利,因此数据处理者如果要进行电子通信营销应注意获得数据主体的同意;处理客户的个人信息也必须限制在企业是在销售商品或服务的过程中获取该数据主体的联系方式的前提下;同时还需注意不能只靠自动化处理(没有人工介入),就作出对数据主体有“法律后果”或“重大影响”的决定,例如仅靠交易数据信息自动给用户信用评级、自动拒绝订立合同等。
加纳:非洲数据合规的先行者
加纳数据合规方面的法律主要是2012年数据保护法。加纳《2012年数据保护法》(Data Protection Act, 2012,以下简称2012DPA)旨在通过设立数据保护委员会、规范个人信息处理流程,保护个人隐私和个人数据,明确了数据控制者与处理者的义务、数据主体的权利、豁免情形及法律责任,构建了覆盖数据收集、存储、处理、传输、销毁全生命周期的监管框架。该法主要规定了:
设立数据保护委员会(Data Protection Commission),负责法案执行、投诉调查、维护数据保护登记册等。 | |
| 数据保护原则 | |
| 数据主体有权知晓数据处理情况、反对不当处理,特殊个人数据(儿童数据,以及个人的宗教或哲学信仰、民族、种族、工会会员身份、政治观点、健康、性生活或犯罪行为)禁止随意处理(除非数据主体同意、为履行法律义务等豁免);可要求更正、删除数据,遭受损害可索赔。 | |
| 法律适用范围 | 适用于加纳境内设立、使用境内设备处理数据或数据源自加纳的情形。数据源自外部且仅过境境外数据不适用。 |
| 数据保护登记 | 数据控制者需注册并提供相关信息,注册每两年续期,未注册处理数据属违法,登记信息变更需及时通知。 |
| 涉及国家安全、犯罪与税收、新闻文学艺术、研究统计等特定场景的处理活动可豁免。 | |
| 法律责任 | 对未注册处理数据、违反保护原则、非法买卖个人数据等行为设定罚款、监禁等处罚。 |
加纳的数据保护规则,基本的数据收集、处理原则和南非以及大多数国家类似,规定了合法化、最小化、数据安全、禁止处理特殊信息等原则。但加纳数据保护有一点特殊的规定,即设立了数据保护登记册。根据加纳《2012年数据保护法》第47条,数据控制者必须向数据保护委员会申请登记注册。申请人须提供公司基本信息、将要处理个人资料的目的的描述、资料的接收人和接收国家的说明、为确保数据安全而采取的措施等说明给委员会申请登记,并且须注意注册应每两年续期一次。因此,数据处理者在进行数据收集、处理前应向数据保护委员会申请登记注册,同时注意续期时间及时续签。
赞比亚:新兴市场的数据合规探索
赞比亚作为非洲的新兴市场,在数字经济、跨境电商等领域展现出巨大的发展潜力。赞比亚的数据保护立法成果主要体现在2021年《数据保护法》(The Data Protection Act, 2021)。该法共11部分82条,涵盖了以下内容:
明确法律名称、生效日期,界定了“个人数据”、“敏感个人数据”、“数据控制者/处理者”等20余项核心术语; | |
| 数据保护专员办公室(Office of Data Protection Commissioner) | 通信部门设立该机构,负责数据控制者/处理者注册、数据审计员许可等监管职能,专员由总统任命且需具备专业资质。 |
| 由公务员委员会任命检查员,持凭证执法。 | |
| 个人数据处理的原则和规则 |
|
| 数据控制者、处理者和审计员的监管 |
|
| 需获专员许可(拟根据本法提供数据审计服务的人,应按规定方式和格式向数据保护专员申请许可证,并支付规定费用),职责包括促进合规、完善处理政策、普及保护知识、防范数据泄露。 | |
| 数据处理原则和规则的豁免 | 国家安全、犯罪防控等场景可豁免部分原则,但需保留数据充分、准确、安全等核心要求,且处理需合法正当。 |
| 数据控制者和处理者的义务 |
|
享有知情、访问、更正、删除、反对处理、不受制于自动化处理决定、限制数据控制者处理数据、接收自己的数据并传输给他人等权利; | |
原则上境内存储,敏感数据强制境内存储; | |
数据主体权利受损可索赔; |
赞比亚的数据收集、处理的原则也同样和大多数国家一样。但赞比亚《2021年数据保护法》有几个特殊的地方。
一是根据该法第20条,拟处理个人数据的人,必须先按规定方式和格式向数据保护专员申请注册为数据控制者或数据处理者并支付规定费用,在获得注册证书后方可处理数据,注册情况变更或到期时还应及时变更内容或申请续期证书。因此企业在进行个人数据处理前,应先取得注册证书,按规定将证书展示在其营业场所的显眼位置,并且跟进证书的变更或续期情况;
二是根据该法第45条,数据处理者应注意要以书面形式按规定方式保存和维护其负责的数据处理活动和元数据等,并按要求向数据保护专员提供该记录;
三是根据该法第46条,数据处理者如要使用某类新技术处理个人新技术(例如利用自动化处理系统处理个人数据,且该处理对自然人会产生重大影响),应在处理前,对拟进行的处理操作对个人数据保护的影响以规定的方式和格式进行评估;
四是赞比亚规定了数据保护官制度,根据该法48条,企业应注意按照数据保护专员发布的指南任命数据保护官负责数据合规;
第五点,也是需要引起企业高度重视的一点是,数据在赞比亚的存储和传输问题。根据该法第70-71条,原则上个人数据需在赞比亚境内服务器/数据中心处理存储,而敏感个人数据必须强制境内存储。如果企业想将消费者的信息进行跨境传输,必须满足:数据主体同意+专员批准的标准合同/集团内部计划、或数据主体同意+部长规定可传输、或专员紧急批准。
因此,建议企业在进行一般数据传输前,明确取得数据所有者同意、并按按标准合同/计划传输;对于敏感个人数据(包括数据主体的种族、婚姻状况、族裔出身或性别、身体或心理健康状况、基因数据等),一般情况不得收集或处理(除非是为了评估员工工作能力等特殊豁免情况),如果确需收集或处理须直接选择在赞比亚境内建立服务器存储、不进行跨境传输。
布基纳法索:数字时代的数据合规探索之路
布基纳法索2021年颁布了《个人数据保护法》(Protection des personnes à l’égard du traitement des données à caractère personnel),开始了数字时代的数据合规探索之路。该法核心内容涵盖以下维度:
明确三类适用的控制者/处理者(“境内设立的数据控制者(无论处理地点)”、“非境内设立但受布基纳法索管辖的数据控制者”、“非境内设立但在境内开展处理操作的数据控制者/处理者”),过境数据除外; | |
| 明确“个人数据”(可识别自然人的信息)、“敏感数据”(健康、生物识别、遗传、种族、政治观点等)、“数据控制者”(决定处理目的与方式的主体)、“处理者”(代控制者处理数据的主体)、“匿名化”(不可逆去标识)等关键概念。 | |
| |
| |
设立独立行政机构“信息与自由委员会(Commission de l’informatique et des libertés,简称CIL)”,负责监督法律实施、处理投诉等; | |
|
布基纳法索的数据保护规定,除了有一般的数据处理的原则,也有一些特别的规定。
首先,根据2021年《个人数据保护法》的第4章,数据处理者在处理个人数据前应先履行下列手续之一:征求意见、授权、标准声明、简化声明。而且一般情况下,个人资料的处理须向监督机构作标准申报。
其次,如果涉及跨境传输数据或基于个性化推荐等,按照该法要求,在进行这些行为之前应经监管机构(即信息与自由委员会)的授权,同时还需要确保信息接受国有充分保护能力(除非当事人知情同意或为履行合同必须等豁免),并需与合同方签订数据保密条款和数据可还原条款,以便在合同结束时完成数据迁移,以及实施技术和安全措施(数据加密等)。
另外,根据第5章特殊处理的规定,当个人资料可以直接或间接地识别有关人员时,在传送之前应尽可能匿名。因此,如果企业拟传输的信息涉及个人电话号码或其他身份信息等,在进行数据传输前首先要进行匿名化处理(通过不可逆的技术手段,永久移除个人数据中所有可识别特定自然人的信息,使得数据无法通过任何合理方式还原关联到具体数据主体)。
跨境电商行业:数据跨境流动中的合规痛点
在收据收集阶段,电商企业可能涉及到收集消费者的联系方式、收货地址等,企业应注意咨询专业律师根据对象国当地法规哪些信息可以收集,收集要以最小化、必要性为原则,不过度收集个人信息。并且,需要特别注意,根据大多数国家法规,电商APP注册时,收集的实名认证等信息也不可收集涉及个人的民族、种族、健康、政治倾向等特殊敏感信息(以上四国都严格限制特殊敏感数据的收集和处理)。
在数据使用阶段,电商企业可能会利用收集到的个人信息进行电子通信营销等,应注意要根据不同国家的法律,确认是否可以自动营销,营销前是否需要获得个人的明确同意,是点击同意可以开始营销还是默认同意可以营销但可以点击后拒绝营销。例如,南非2013 POPIA第八章规定禁止为通过电子通信进行直接营销的目的而处理数据主体的个人信息,除非数据主体已同意该处理;加纳《2012数据保护法》第40条规定的是,要利用当事人的信息进行营销前要获得当事人的书面同意,并且即使当事人同意也可随时终止同意;赞比亚《2021数据保护法》第61条规定的是如个人数据用于直接营销目的,数据主体可反对处理与其相关的个人数据。还要注意,收集到的消费者的收货信息是否能跨境传输以方便全球配送等,如果能传输,是否需要遵循向监管机构报备等程序。例如:南非规定接收方提供“充分保护水平”、获数据主体同意等可跨境传输数据;布基纳法索规定数据处理前需先向监管机构申报;赞比亚则更严格,要求数据原则上要在境内存储,敏感数据强制境内存储,如果确需跨境传输须满足数据主体同意+专员批准合同/计划等条件。此外,电商行业可能会利用大数据自动化处理个人数据,对消费者画像等,而禁止仅依靠自动化(完全无人力介入)就做出对个人有重大影响的决定在南非、赞比亚的法规中都是禁止的。因此,建议电商行业在这些国家使用自动化辅助商业决策时,应注意仅将自动化作为工具,进行人工复核后再做出相应的商业决策。
基建行业:保障数据安全,助力项目推进
基建项目涉及大量的数据,包括项目规划、设计图纸、施工进度、工程质量监测、人员信息等,这些数据不仅关乎项目的顺利推进,还关乎国家基础设施安全,因此数据合规至关重要。
关于企业员工数据,由于基建行业涉及的员工众多,中国企业应明确数据收集的目的和必要性,仅收集必要数据。如需收集员工的身份信息、健康状况等,要获得员工的明确同意,并采取加密等安全措施进行保护。尤其注意如果需要收集或处理工人的健康情况在以上四个国家都属于处理个人特殊敏感信息,尽量非必要不收集、即使确需收集或处理要遵循处理特殊数据的特殊要求(南非2013 POPIA第26条、布基纳法索《2021个人数据保护法》第12条、加纳《2012数据保护法》第37条、赞比亚《2021数据保护法》第14条都规定了一般情况禁止处理个人敏感数据,除非个人同意、为达合同必须、评估员工健康情况等特殊情况才能豁免)。员工的个人数据信息还应提前确认是否应该存储在对象国本地(例如赞比亚《2021数据保护法》第70条规定数据一般请存储本地,敏感个人数据强制存储本地),如果需要本地化存储,应该在当地布置服务器或者云存储托管,并且注意,如果数据不能跨境传输,那么要确保数据的访问者仅限于当地企业相关人员,防止企业在其他国家的管理者或员工接触到不可传输的数据,造成数据事实上的“跨境传输”而违法。
关于项目相关数据,项目规划涉及的收集对象国的地理信息、地形数据等可能涉及国家主权和安全,企业需提前查询或咨询专业律师,明确何种数据能允许收集,遵守当地的法律法规,确保数据收集的合法性。而且,有些地理信息即使能收集,也可能根据当地法规不可跨境传输,因此基建企业应特别关注工程项目相关的地理数据是否允许传输方面的法规规定更新。例如:南非的《地理信息行业法》(Geomatics Profession Act)、《空间数据基础设施法》(Spatial Data Infrastructure Act)就规定了关于地理信息、空间数据的采集和测绘等要求。基建企业在进行工程项目地理信息测绘数据采集和处理时还应遵守这些相应的法规。此外,基建项目通常涉及大量供应商和承包商,需要确保所有环节的数据处理都符合当地法律,因此建议企业在与第三方的合同中,明确写入各方数据保护的责任与义务,防止将来可能出现的数据安全问题而各方推诿扯皮或承担连带责任。
汽车行业:智能网联时代的数据合规
随着智能网联汽车技术的发展,汽车行业在非洲市场展现出巨大的发展潜力。智能网联汽车通过传感器、通信技术等收集大量的数据,包括车辆行驶数据、用户驾驶习惯、位置信息等,这些数据的合规管理成为中国车企在非洲开展业务时面临的重要挑战。
在车辆测试、上路通行和通信入网环节,中国车企需要根据不同国家对涉车辆数据的采集和使用的不同要求,确保采集和传输数据时符合当地法规。是否能采集路况数据、车辆采集的位置信息是否能传输、或必须经过加密处理后才能传输,这些都是车企应关注的问题。例如通过摄像头、雷达采集的车外影像、地理信息、高精地图等,这些极易被认为是重要的数据,车企在这方面应和基建企业一样关注各国出台或更新的关于地理信息、导航数据采集或传输方面的法律,以防违规引发巨额罚单。
在车主的数据采集和使用方面,车企要注意明确告知用户数据采集的目的、范围和使用方式,并获得用户的明确同意。不能在用户不知情的情况下采集敏感数据,如智驾汽车的指纹、人脸等生物识别信息属于敏感特殊数据,非必要不采集,如果确需采集和处理需遵循特殊个人数据处理的特殊规定。同时,要遵循“最少必要”原则,仅采集与车辆性能优化、安全保障等直接相关的数据。例如,采集车辆的行驶速度、油耗等数据用于优化发动机性能,但不应过度采集与车辆运行无关的用户个人信息。在数据使用环节,车企还应注意严格按照用户授权的范围使用数据,不得将用户数据用于其他商业目的,如将用户的驾驶习惯数据出售给车险公司等广告商。也要注意禁止仅凭自动化处理汽车数据作出影响用户权益的重大决策,例如不得仅依据车辆行驶数据自动作出拒绝售后等影响用户权益的决定。
非洲的数据合规法律体系正处于快速发展阶段,各国在数据保护和跨境数据传输等方面的规定虽存在差异,但都在不断加强对个人数据的保护和对数据主权的维护。对于中国企业而言,在出海非洲的过程中,不同行业面临着不同的数据合规挑战。企业应根据自身行业特点,重点关注行业相关的特殊数据保护规定,必要时聘请法律顾问,咨询细分行业赛道的数据合规要求,追踪对象国最新的数据保护规定,及时调整和完善数据合规策略,以应对不断变化的法律和市场环境,在非洲市场实现稳健发展。
文章内容仅为作者独立观点,不代表本所立场
