非洲联盟国家数据保护与数据跨境流动政策蓝图解析

1 背景

在过去十几年里，非洲互联网用户急剧增长。非洲国家认识到强大的数字经济在创造新的商业机会、提高效率、促进可持续发展和重塑人民生活方面的巨大潜力。随着《2020-2030年非洲数字化转型战略》（Digital Transformation Strategy for Africa 2020-2030）的实施及非洲大陆自由贸易区（African Continental Free Trade Area，AfCFTA）的运作，科技初创企业和电子商务产业迎来了发展机遇。

在此背景下，非洲联盟委员会制定了《非盟数据政策框架》（以下简称“《框架》”），该《框架》于2022年2月获得非盟执行理事会（AU Executive Council）的认可。2022年7月28日，非洲联盟发布了《框架》。

2 非洲大陆总体状况

2.1. 数字经济发展概况

非洲大陆的数字经济发展既面临着机遇，又需迎接挑战。

非洲大陆正在致力于建立单一市场——非洲大陆自由贸易区（以下简称“AfCFTA”）。AfCFTA是世界上最大的自由贸易区，汇集了非洲联盟的55个国家和8个区域经济共同体。AfCFTA的总体任务是创建一个拥有约13 亿人口和约3.4万亿美元GDP的单一大陆市场。自2022年6月起，54个非盟成员国已签署AfCFTA协议。自由大市场的建立为数字经济的发展带来了广阔的空间。

非洲各国政府越来越多地致力于建设数字经济。2018年4月，世界银行集团启动了非洲数字经济倡议（Digital Economy Initivative for Africa, DE4A）。2020年5月，非洲联盟发布了《2020-2030年非洲数字化转型战略》。2016年塞内加尔发布《数字塞内加尔2025战略》（“Digital Senegal 2025” Strategy），计划将数字技术对GDP的贡献提高10%。肯尼亚、南非、卢旺达等国家也都采取措施建设数字基础设施、培养数字素养和技能、促进数字创业和创新。

但是非洲数字经济发展也存在亟需补齐的短板。

非洲互联网普及率与世界平均水平相比仍存在差距。截止到2022年5月，非洲互联网普及率为43%，而世界平均水平为64.2%。与其他地理集团或联盟相比，非洲数字经济的规模并不大。

非洲昂贵的互联网接入、数字文盲以及缺乏宽带、电力和物流等基本基础设施的问题仍然是形成整个数字市场的障碍。

2.2. 数据保护立法与数据跨境流动监管概况

根据2021年9月美国国际开发署（USAID）与电子贸易联盟（eTrade Alliance）发布的《建立非洲数据传输机制，实现中小微企业跨境电子商务》（以下简称“报告”），非洲的数据保护立法与数据跨境流动监管情况如下所示：

2014年，非洲联盟颁布了《非洲联盟网络安全和个人数据保护公约》（African Union Convention on Cyber Security and Personal Data Protection），截止目前，14个非洲联盟成员国已签署该文件，13个国家批准了该文件。该公约第14条第6款第（a）项禁止将个人数据传输给非成员国，除非“接收国确保对数据正在或可能被处理的人的隐私、自由和基本权利提供充分的保护”。这意味着，该公约生效后，位于加入公约国家的企业跨境传输数据时须确保数据接收国提供规定的充分性保护。

3《非盟数据政策框架》的价值导向

在上述背景下，非盟发布了《框架》。《框架》认为各国要从新兴的全球数据经济中受益，就需要转变数据监管方式。接着《框架》审查了数据保护方面的国际、地区政策和立法趋势。根据分析，《框架》概述了指导原则，并提出了一些建议，例如为非个人数据创建数据可移植性权利，以使云服务的客户更容易在供应商之间切换。

该《框架》有两个重要的价值导向：一是支持数据创造价值，二是促进数据在非盟内流动。

在支持数据创造价值方面，《框架》认为，从数据中获益在很大程度上取决于有利于获取有用数据的监管和政策框架；从数据中创造价值还需要增强人员、机构和技术能力，鼓励数据共享和互操作性以及提高国家以负责任的方式管理公民数据的合法性和公众信任度。《框架》提出了6条促进数据经济的建议：建设基础数据基础设施、创建合法可信的数据系统、设置适应性监管制度、重新平衡法律生态系统（解决法律冲突）、创造公共价值、提高竞争、贸易和税收政策的连贯性。

在促进数据在非盟内流动方面，《框架》认为，为了实现数字贸易，数据必须跨境传输。虽然数据积累可能是一种安全可靠的数据管理方式，但积累数据而没有以安全的方式使用、交换或重新利用数据也会产生利用不足的风险。个人数据和非个人数据流动对于数字贸易来说都很重要。成员国选择适用的跨境数据保护制度应该在促进公平的经济发展和提供充分的数据保护之间找到平衡。

《框架》指明，作为一种可能的政策选择，数据本地化需要在成本效益的基础上进行评估。数据本地化要求数据具有特异性（data specificity），即仅对特殊类别的数据提出数据本地化要求，从而促进更广泛的数据流动，同时使本地化要求符合非洲自由贸易区等政策要求，并有助于最大限度地降低当地企业和创新者的成本。

在数据跨境流动方面，《框架》提出了一些建议，包括：

• 在考虑非洲各国不同情况下（即不同水平的数字化准备程度、数据成熟度以及法律和监管环境）促进和便利非盟成员国内部和之间的数据流动，建立一个跨境数据流动机制；

• 通过制定一个通用的数据分类和共享框架，促进跨部门和跨境的数据流通，该框架考虑了广泛的数据类型及其不同的隐私和安全级别；

• 在非洲当局网络（African Network of Authorities，RAPDP）的支持下，与负责保护非盟成员个人数据的国家当局密切合作，建立一个协调机制和机构，监督非洲大陆内部的个人数据传输，并确保遵守各国管理数据和信息安全的现有法律和规则；

• 在非盟成员国和包括非洲联盟警察合作机制在内的其他非盟机制之间实现数据共享和增强互操作性。

4  部分国家数据跨境流动机制

在非洲大陆对数据进行立法保护的国家中，南非对数据跨境进行了严格的限制,肯尼亚的数据隐私立法仿效GDPR,因而具有一定代表性。下文对南非与肯尼亚的数据跨境流通机制进行解读。

4.1.  南非

南非《个人信息保护法》（Protection of Personal Information Act，POPIA）于2013年生效，部分规定于2020年生效，其规定，南非的责任方（数据控制者或处理者）不得将个人数据传输给外国的任何一方，除非传输符合以下理由之一:

• 充分的法律保护：接收国有等效隐私和数据保护法律（目前当局没有公布被认为提供充分性保护的司法管辖区和/或组织的名单）；有约束力的公司规则（BCR）；数据传输协议（SCC）。

• 同意：数据主体同意转移其个人信息。

• 履行合同所必需：为了履行数据主体与责任方之间的合同，或为了响应数据主体的请求而采取的合同前措施，传输是必要的。

• 数据主体的利益：为了在责任方和第三方之间为数据主体的利益订立或履行合同，传输是必要的。或者在无法合理、切实可行地获得数据主体同意的情况下，为了数据主体的利益传输数据。

  
  

南非《个人信息保护法》的独特之处在于其不仅适用于自然人，还适用于法人。法律第1条规定，“个人信息”指与可识别的、在世的自然人有关的信息，以及在适用的情况下，与可识别的现有法人有关的信息。

根据规定，不允许将公司的任何信息传输到欧洲或英国，因为GDPR并未对公司的个人信息提供任何保护。

4.2.肯尼亚

• 每个数据控制者或数据处理者都必须确保在位于肯尼亚的服务器或数据中心存储至少一份该法适用的个人数据的服务副本。

• 禁止对敏感个人数据进行跨境处理，除非满足特定条件或法案规定。

• 只有在以下情况下，数据控制者或数据处理者才可以将个人数据传输到另一个国家：

i.数据控制人或数据处理人已提供证据证明已就个人资料的保安及保护采取适当的保障措施；

ii.数据主体在被告知传输可能存在的风险后，明确同意拟议的传输；

ⅲ.传输是履行合同所必需的。

5  小结

非盟发布《框架》旨在为非洲国家提供政策框架，为支持数据驱动的价值创造和创新所需的私人和公共投资创造有利的政策环境，从而最大限度地提高数据驱动经济的效益。《框架》期望非洲各国加强国家间合作、促进非洲内部数据流动、促进非洲内部的数字贸易。作为一个新兴市场，非洲各国未来将填补数据立法空白，完善现有法规，打造自己的数字经济。

参考文献

[1]非洲联盟官网：https://au.int/sites/default/files/documents/42078-doc-AU-DATA-POLICY-FRAMEWORK-ENG1.pdf，2022年9月1日访问。

[2]非洲联盟官网：https://au.int/en/documents/20200518/digital-transformation-strategy-africa-2020-2030，2022年9月1日访问。

[3]非洲联盟官网，https://au.int/sites/default/files/treaties/29560-treaty-0048_-_african_union_convention_on_cyber_security_and_personal_data_protection_e.pdf，2022年9月1日访问。

[4]世界银行官网：https://www.worldbank.org/en/programs/all-africa-digital-transformation，2022年9月1日访问。 

[5]肯尼亚法律网：http://kenyalaw.org:8181/exist/kenyalex/actview.xql?actid=No.%2024%20of%202019，2022年9月1日访问。

[6]互联网世界数据官网：https://www.internetworldstats.com/stats1.htm，2022年9月1日访问。

[7]“DIGITAL SENEGAL 2025” STRATEGY, https://www.itu.int/net4/wsis/archive/stocktaking/Project/Details?projectId=1488401022, 2022年9月1日访问。

[8]Famsville Solicitors, The Africa continental Free Trade Agreement and cross-border data transfer: maximising the trade deal in the age of Digital Economy, LEXOLOGY (Mar 17, 2019), https://www.lexology.com/library/detail.aspx?g=b257542e-7ff8-4ce9-ae70-f1508172c925#:~:text=Cross%2Dborder%20data%20transfer%20and%20trade&text=Data%20protection%20laws%20prohibit%20transfer,personal%20data%20or%20deemed%20adequate.

[9]Kati Suominen, Erica Vambell, Toward an African Data Transfer Regime to Enable MSMEs' Cross-border Ecommerce, https://www.allianceforetradedevelopment.org/data-transfer-in-africa, 2022年9月1日访问。

[10]Nigel Cory Luke Dascoli, How Barriers to Cross-Border Data Flows Are Spreading Globally, What They Cost, and How to Address Them, ITIF (Jul 19, 2021), https://itif.org/publications/2021/07/19/how-barriers-cross-border-data-flows-are-spreading-globally-what-they-cost/.

[11]Keny’s GDPR-Style Legislation Threatens US Firms’ X-Border Data Transfer Model, PYMNTS (Aug 23, 2022), https://www.pymnts.com/news/regulation/2022/kenyas-gdpr-style-legislation-threatens-us-firms-x-border-data-transfer-model/.

[12]Zaakir Mohamed, Managing cross-border data transfers, CMS Law-Now (Nov 7, 2022), https://www.cms-lawnow.com/ealerts/2022/07/managing-cross-border-data-transfers.

（完）