前言
非洲数据合规法律政策概览
中国企业海外业务的数据保护挑战
中国企业在国际化过程中需遵守各国数据保护法规,确保合规运营避免风险[1]。近年来,非洲互联网用户激增,各国开始重视个人信息保护,并制定相关法律法规[2]。
非洲的《通用数据保护条例》(GDPR)模式立法趋势明显,肯尼亚、乌干达和坦桑尼亚已各自建立数据保护框架[1]。了解这些国家的具体法规对出海企业至关重要。
肯尼亚:全面的数据保护路径
肯尼亚宪法保障公民隐私权,《2019年数据保护法案》(DPA)进一步规范了个人数据处理,强调责任、数据最小化和透明度[2]。
核心原则包括目的限制、数据最小化、准确性、透明度及责任性。数据控制者和处理者必须为特定合法目的收集数据并保持其准确性[2]。数据主体有权访问、更正及删除其个人数据。
注册要求:数据控制者和处理者须向数据保护专员办公室(ODPC)注册,有效期24个月,可续期。ODPC负责执法、调查及罚款[2]。
跨境数据传输需要适当的保护措施,如获得ODPC批准[2]。
数据保护官员和数据保护影响评估
DPA允许任命数据保护官员(DPO),但非严格要求,组织可灵活任命[2]。高风险处理活动前60天需提交数据保护影响评估(DPIA)。
坦桑尼亚:个人数据保护的监管框架
坦桑尼亚的数据保护框架源自宪法和2022年《个人数据保护法案》(PDPA),以及2021年数据保护和隐私条例(DPP条例)[2]。
核心原则与GDPR相似,数据控制者和处理者需确保数据准确、公正和透明。所有数据控制者和处理者需向个人数据保护委员会(PDPC)注册,有效期五年[2]。
PDPC有权对违反PDPA的行为进行处罚,组织需遵循跨境数据传输程序[2]。
坦桑尼亚与乌干达跨境数据传输合规指南
跨境数据传输的详细要求与法律框架
为了遵守坦桑尼亚跨境数据传输要求,公司需按照PDPA和DPP条例规定程序进行[1]。公司应确定传输的数据类型,并评估接收国的数据保护水平[2]。
确保接收国有适当的数据保护措施是关键。若接收国未达到PDPA标准,需采取额外保护措施[2]。若接收国数据保护不足,企业应在传输前获得数据主体明确同意[2]。
跨境传输前,组织必须向PDPC申请许可,提供详细信息包括双方详细信息、数据主体信息、传输目的及必要性等[2]。此外还需证明接收国具备充足数据保护措施,例如国际协议或双边合同[2]。
PDPC将在14天内审查申请并可能附加条件。拒绝理由通常为接收国数据保护不足或违反国家安全[2]。
乌干达:保护隐私和个人数据法律框架
乌干达数据保护法律由宪法基础并通过DPPA和DPP条例实施[1]。核心原则包括责任性、公正性和透明度,设立个人数据保护办公室(PDPO)负责监督执行[2]。
所有收集或处理个人数据的实体均需向PDPO注册,不论其是否在乌干达境内[2]。PDPO有权调查投诉并对违规行为处以罚款或监禁[2]。
DPPA要求数据控制者采取合理措施保护个人数据,避免丢失或未经授权访问[2]。对于非法处理个人数据的行为,最高处罚为巨额罚款和十年监禁[2]。
DPO必须确保遵守DPPA,并在高风险处理活动时进行数据保护影响评估(DPIA)[2]。
跨境数据传输和处罚
乌干达的跨境数据传输要求接收国有相同或更高的保护水平,或者获得数据主体同意[2]。PDPO有权对不合规行为进行处罚[2]。
东非的数据保护法律指引
投资者的数据合规指南
肯尼亚、乌干达和坦桑尼亚的数据保护法律对于东非投资者至关重要。法务团队需理解各国独特要求,并确保适当注册。跨境数据传输需遵循各司法管辖区法规[1]。
通过遵守每个国家的数据保护框架原则和要求,外国投资者可降低风险,培养负责任的数据处理文化。法务团队应保持对法律更新的了解,并与监管机构互动,确保持续合规和业务成功[2]。
作者简介
本文作者Sonal Tejpar律师和Wangui Kaniaru律师是ALN律师事务所肯尼亚办公室(Anjarwalla & Khanna LLP)合伙人,专注于金融、银行及公司并购业务。本文仅代表个人观点,不得视为正式法律意见或建议。如需转载或引用,请注明出处[1]。
本公众号为境内外合规法律资讯自媒体,关注企业出海法律需求及金融数字科技领域合规实践问题。管理员为资深涉外律师,联系方式:zhangyi@jinmao.com.cn。我们不定期推送原创评论文章或转载全球其他法域的法律及合规评论[1]。
我们是ILA中国地区成员。ILA成立于亚洲,整合国际资源和行业专业知识,提供高质量和高效服务成果。目前,ILA在多个国家设有分支服务机构[1]。