尼日利亚堪称西非地区的“领头羊”,在非洲有举足轻重的地位。2022年尼日利亚GDP为4774亿美元,较2021年的4408亿美元GDP有较强劲的增幅,同比增长了8.3% (商务部对外投资和经济合作司, 2023),日渐成为许多中国企业出海投资目光所至之地。尼日利亚地处西非东南部,自然资源丰富,土地肥沃,人口众多,市场潜力巨大。它是非洲第一大经济体,同时也是人口第一大国、非洲第一大原油生产国和出口国、非洲最大的有效市场,是中国“一带一路”倡议与中非合作的重要组成部分。得益于基础设施改善、经济多样化、移动互联网跨越式发展和更多年轻高素质的人才涌现,尼日利亚成为出海非洲注定绕不过的最大国家市场。

中尼两国自1971年2月正式建立外交关系以来,双边关系长期友好。近年来,高层互访频繁,中尼两国友好关系不断巩固,双边经贸合作取得丰硕成果。贸易规模迅速扩大,工程承包跨越式发展,中国对尼日利亚投资大幅增加。截至2023年6月,尼日利亚是中国在非洲的第二大出口市场、第二大贸易伙伴、第一大承包工程市场和主要投资目的地。

近年来,尼日利亚数字经济蓬勃发展,2022年电信和信息服务行业对GDP实际贡献率为13.57%,同比增长0.94% (商务部对外投资和经济合作司, 2023)。涌现出Jumia、Kobo等数字平台,金融科技、电子支付、电子商务等应用迅速推广,为中尼合作提供了新机遇。

尼日利亚数据保护法(Data Protection Act, DPA)

2022年10月4日,尼日利亚国家信息技术开发局(Nigeria’s National Information Technology Development Agency,NITDA)发布了2022年《尼日利亚数据保护法(草案)》(NIGERIA DATA PROTECTION BILL 2022-Draft,以下简称草案),概述了个人数据保护的法律框架。草案共包括十三个部分,规定将建立尼日利亚数据保护委员会,以规范个人数据处理,并概述处理个人信息的原则;包括进行数据保护影响评估和任命数据保护官;违规通知和跨境数据传输限制;以及包括调查和民事补救措施在内的执法能力。该法于2023年6月12日由尼日利亚总统正式签发生效,它为尼日利亚的个人数据保护实践提供了更加系统的法律框架。

DPA旨在提供法律框架保护个人数据以及建立尼日利亚数据保护委员会(NDPC)规定个人数据的处理方法及其他相关事项,DPA明确了NITDA所发布的规定在其废止日期前依旧有效,NDPC负责监督数据隐私事物,管理和执行数据保护法的监管机构,确保数据保护义务的遵守,并对违规者进行处罚,其任务包括登记重要的数据控制者和数据处理者,提高对这些实体责任的认识。DPA中个人信息包括但不限于姓名,身份证号码,位置数据,虚拟标识符等或与个人的身体,生理,遗传,心理,社会或经济身份有关的一个或多个特定因素进行识别的信息。DPA 具有一定的域外适用性,不仅适用于在尼日利亚境内的公司或机构通过任何方式处理个人数据,还适用于境外实体对居住在尼日利亚的个人的数据的处理。个人和家庭用途的数据处理不受DPA管辖。

DPA也完善了执法方面的内容,规定了调查、遵守令、执行令、司法审查以及民事补救措施。更具体地说,该法案规定了高达1000万尼日利亚奈拉(约合23,540欧元)的罚款,以及上一财政年从尼日利亚获得的总收入的2%。此外,如果被主管当局认定违反DPA可能会面临刑事处罚。

尼日利亚DPA数据处理的基本原则

尼日利亚数据保护法立法时参考了欧盟《通用数据保护条例》(GDPR),采取以授权同意为核心基础、合法、正当、最小必要、透明的处理原则。控制者必须出于明确且合法的目的收集个人数据,获得个人数据主体的同意(同意可以书面,口头或电子方式提供),并且后续的处理活动必须限于这些目的。数据控制者留存数据不得超过为实现处理目的所必需的最短时间。此外,尼日利亚DPA要求个人数据应准确,完整,无误且最新,数据控制者亦有责任保障个人数据安全。在某些特定情况下,控制者可以不经数据主体同意进行数据收集和处理,包括:

1. 主管当局根据任何适用法律,为预防,调查,侦查,起诉或判决刑事犯罪或执行刑事处罚而进行的活动;

2. 主管当局为预防或控制国家公共卫生紧急情况而实施的活动;

3. 由主管当局根据国家安全需要执行的活动;

4. 为公共利益,新闻,教育,艺术和文学目的而出版,但这些义务和权利不得与上述目的抵触;

5. 在法庭诉讼,行政程序或庭外程序中,为确立,行使或捍卫法律诉求所必需的。

尼日利亚DPA赋予数据主体多项权利,包括知情权,访问权,更正权,删除权,限制处理权,反对处理劝,可携带权,数据移植权,抗议权,撤销同意权,控诉权,拒绝数据自动化处理权等。

DPA明确要求从数据主体收集个人信息时,应将以下信息通过隐私政策告知数据主体:

1. 数据控制者及其代表的身份,住所或营业地,以及必要的联系方式;

2. 处理目的;

3. 个人数据的接收人或接收人类别(如有);

4. 数据主体的权利;

5. 数据保存期限;

6. 根据DPA第46条向委员会提出申诉的权利;

7. 如存在自动化决策,此类处理对数据主体的意义和预期后果。

尼日利亚DPA关于数据控制者的义务

与中国《个人信息保护法》,欧盟GDPR类似,尼日利亚DPA对数据控制者提出了许多义务,其中需要明确的是:

1. 注册登记:数据控制者和数据处理者按NDPC在其网站上公布正式注册的要求进行登记;(DPA 第5条及第44条)

2. 合规申请:具有重大意义的数据控制者或数据处理者需按照NDPC的要求提交合规申请表。“具有重大意义的数据控制者或数据处理者”是指注册地,居住地或经营地在尼日利亚并处理或打算处理超过委员会规定的尼日利亚境内数据主题数量的个人数据的控制之或处理者,或NDPC指定的对尼日利亚经济,社会或安全具有特殊价值或意义的控制者或处理者;(DPA 第6条)

3. 数据隐私影响性评估:控制者还需要根据其处理活动的性质,范围,背景和目的对处理个人数据的后果进行评估,如果评估结果表明会对数据主体的权利和自由造成高风险时,数据控制者应在数据处理前咨询NDPC;(DPA 第28条)

4. 与处理者签署数据处理协议:数据控制者与数据处理者,数据处理者与数据处理者之间(视情况而定)应签署书面协议满足DPA适用于数据控制者的责任与义务,保护个人数据的安全和隐私,缔约双方对数据保护应尽的责任与义务;(DPA 第29条)

5. 数据保护官(DPO):重要的数据控制者应指定一名数据保护官以满足DPA的要求;(DPA 第32条)

6. 数据泄漏:在发生个人数据泄露的情况下,应在知悉该泄露情况后 72 小时内通知尼日利亚数据保护委员会;当个人数据泄露可能对数据主体的权利和自由造成高风险时,应无不当拖延地及时通知数据主体。(DPA 第40条)

尼日利亚DPA对个人数据跨境的约束

尼日利亚DPA第八部分允许在保护充分的情况下,可以将个人数据传输到另一个国家: 

· 个人数据的接收者受法律、有约束力的公司规则、合同条款、行为准则或认证机制的约束,其能够为个人数据提供充分保护;

· 个人数据的接收者所在国的个人数据保护水平不低于法定水平。

此外,DPA还有补充在无法获得充分保护的情况下,只有在以下情况下,才可以将个人数据传输到另一个国家:

1. 在被告知由于缺乏足够的保护措施而可能造成的风险后,数据主体仍然表示同意;

2. 为履行与数据主体的合同或在签订合同前应数据主体的要求所必须;

3. 为保障数据主体的利益所必须;

4. 为维护公共利益所必须;

5. 为行使诉讼权利所必须;

6. 在数据主体因身体等原因无法表示同意的情况下,为保护数据主体的重大利益所必须。

由于尼日利亚DPA及其有关法律依旧在起步阶段,执法程度弹性较大,更多数据跨境约束条件还需要等待当局出台更多细则。

应对建议

面对新出台不久的法律,且缺乏足够数量可供参考的执法案例,我们建议正在或计划前往尼日利亚运营的中国企业采取相对积极的主动合规措施,包括:

No.1 公司层面建立数据保护机构

指定DPO,该DPO可以是本公司雇员,也可以聘请第三方人员,形成上下管理沟通机制,能够及时、有效地与公司各个团队进行沟通。

No.2 制度流程建设

若企业在中国、欧洲或其他数据保护规定较为完善的国家和地区经营时,已有较为完善、成体系的个人数据保护制度流程,可与尼日利亚DPA进行差异分析,并对差异之处进行专门的调整、补充。

No.3 风险评估

对数据处理活动及数据跨境进行风险评估,如隐私政策、授权同意的获得、安全措施、是否有超出必要范围的数据收集与处理、是否有数据质量问题等,并进行有计划的整改。

No.4 数据处理活动记录(RoPA)

虽然DPA未明确说明公司保留个人数据处理活动记录的必需性,但是,在DPA第十部分执行章节公司提及公司有配合监管当局出示可能需要的记录,因此我们建议对所使用的系统、业务流程进行充分的梳理,确定个人数据收集渠道、收集的数据类型、处理目的、数据量、存储位置、访问权限、相关第三方等进行记录并归档。

No.5 第三方评估

尼日利亚DPA没有对第三方评估的要求,因此我们依旧推荐企业自愿应对涉及个人数据处理的第三方供应商、合作伙伴进行安全合规评估,并对其合同进行审查与更新。

No.6 意识培训

尼日利亚DPA没有对人员意识的要求,因此我们还是推荐企业应主动对员工进行意识宣贯,结合本地文化帮助员工充分理解DPA的要求和公司制度。

结语

尼日利亚是非洲加入“一带一路”倡议的第九个国家。一直以来,中国与尼日利亚在项目建设等方面形成良好的合作关系,中国人在尼日利亚人民心中都是勤劳有礼的形象,那中国企业也一定在尼日利亚当局的印象里是遵守尼日利亚法律的好企业。

对于在尼日利亚开展业务的中国企业来说,遵守尼日利亚数据保护法不仅是应尽的法律义务,也是对商业伙伴和消费者负责的表现。尼日利亚具有巨大的发展潜力,被称为下一个“金砖国家”,了解其隐私保护政策,对于我国企业顺利成功开拓海外市场有着重要开端的意义。通过在地合法合规经营,中国企业更是能赢得当地民众和市场的信任,为两国经贸合作锦上添花,也为计划在西非开展业务的中国企业提供成功经验,为深化中尼双方的合作和发展提供新的动力。

(来源:上海贸促)