文| 丁小桃 湘潭大学非洲法专业硕士研究生 洪永红 湘潭大学中非经贸法律研究院院长
导读
● 专设独立监管机构数据保护专员办公室
● 注重对数据主体的权利保护
● 规范数据控制者和处理者的责任和义务
● 严格限制个人数据跨境传输
2019年的肯尼亚《数据保护法》是该国首部专门针对个人数据保护的立法,是在《宪法》隐私权的框架下,将数据保护国际标准与肯尼亚的实际情况相结合,既符合数据保护的国际趋势又具有本土特色。该法在立法目的、一般术语、数据保护原则和基本内容等方面借鉴了欧盟2018年生效的《通用数据保护条例》(GDPR),因此被视为“非洲版的GDPR”。《数据保护法》的出台,不仅体现了肯尼亚对个人隐私数据的尊重和保护,也为数据控制者和处理者提供了明确的责任规范,确保了数据处理的合法性、公正性和透明性。
明确适用范围和保护对象
肯尼亚早在《宪法》第31条中规定每个人都有隐私权,任何人都有非必要可不被要求披露有关其家庭或私人事务信息的权利,任何人都有通讯隐私不受侵犯的权利,但多年来都未对隐私权作出具体规定,直到该法出台,才让《宪法》第31(c)和(d)条的内容具体化。该法适用客体包括:(1)以完全或部分自动方式的个人数据处理活动;(2)以其他非自动方式而构成或旨在构成档案系统一部分的个人数据处理活动。该法适用的主体为以下地域范围的数据控制者和数据处理者:(1)在肯尼亚成立或通常居住在肯尼亚,并在肯尼亚处理个人数据;(2)未在肯尼亚成立或通常居住在肯尼亚,但处理肯尼亚境内数据主体的个人数据。也就是说,肯尼亚的企业要在肯尼亚处理个人数据才受该法管辖,不在肯尼亚处理就不受该法管辖;非在肯尼亚成立或居住的企业,如中国的企业只有在肯尼亚境内处理个人数据才会收到该法管辖。其次,该法的保护对象是个人数据,即有关已识别或可识别的自然人(或数据主体)的任何信息,包括姓名、身份识别编号、位置数据、网络标识码等标识,或身体、生理、基因、心理、经济、文化或社会身份等特征要素。
值得注意的是,自然人在纯粹的个人或家庭活动中的数据处理,属于该法的豁免,因为这些个人或家庭活动与盈利或职业活动无关。例如对个人财产的闭路录像监视就不属于该法的适用范围,但是,一旦录像覆盖到了公共场所(例如街道)的一部分,无论是有意还是无意,就不再属于个人或家庭活动数据处理的范畴,即受到该法的管辖。又如,在拍卖网站上以非商业方式出售二手物品、收藏家之间进行贵重物品交换等,虽然获取了实质性利益,但仅在有限范围内满足个人需求,因此不属于盈利活动,不受该法管辖。
专设独立监管机构数据保护专员办公室
该法的最大特色就是设立了数据保护专员办公室(ODPC),为监督和保障该法的实施和执行提供保证。肯尼亚数据保护专员办公室于2020年11月成立并正式运行。ODPC的使命是通过合规、执法、提高公众意识和机构能力建设来保护自然人与数据处理相关的基本权利和自由。主要职责包括:监督该法的实施并负责该法的执行;建立并维护数据控制者和数据处理者登记册;主动或应数据主体的要求对数据处理操作进行监督,并核实数据处理是否按照该法进行;促进数据控制者和数据处理者之间的自我监管;主动或应要求对公共或私营机构进行评估,以确定数据是否根据该法或任何其他相关法律的规定进行处理;接收并调查任何人对侵犯该法规定的权利的行为提出的申诉;采取必要措施使公众了解该法的规定;对公共和私人实体进行检查,以评估个人数据的处理情况;促进数据保护相关事务的国际合作,并确保遵守国际公约和协议规定的数据保护义务。数据专员还可以对数据控制者或处理者的程序和系统进行定期审计,以确保遵守该法。
由此可知,ODPC职责重大并具有完全的独立性。其履行职责和行使权力不受外部的直接或间接影响,也不用寻求和接受任何人的指示。特别是办事处的经费直接由国民议会拨款,财政预算不受其他政府机构的控制,大大确保了其独立地位。
注重对数据主体的权利保护
DPA为数据主体设定了一系列的权利以保护其个人数据的安全和隐私。第一,数据知情权。数据主体有权了解其个人数据如何被使用,以及处理数据的目的和方式。第二,数据访问权。数据主体有权访问由数据控制者或数据处理者保管的其个人数据,并获取一份数据副本。第三,更正权。如果个人数据不准确或不完整,甚至是虚假性、误导性的信息,数据主体有权要求数据控制者更正或更新这些数据。第四,删除权(被遗忘的权利)。在特定条件下,如数据不再需要或数据主体撤回同意,数据主体有权要求删除其个人数据。第五,限制处理权。在数据准确性有争议、数据处理不合法,但数据主体又不建议删除数据的情况下,可要求限制对个人数据的处理。在此情形下,数据控制者可以存储有关数据,但不得再以任何其他方式进行数据处理,除非获得数据主体的同意或出于重要的公共利益。
除了以上权利,该法还注重对敏感个人数据和特殊群体的保护。如未经儿童的监护人同意,不得处理与儿童有关的个人数据,即使要处理也应以儿童最大利益为原则;与健康有关的个人数据只能由医疗服务人员或负有职业保密义务的人处理。这些规定无一例外地都增强了对个人隐私的保护。
规范数据控制者和处理者的责任和义务
数据控制者和处理者是该法规范的主要对象,为防止不当收集、处理和传输个人数据,损害数据主体的权益,该法对其设定了一系列的责任和义务。首先,采用注册制。受到该法管辖的数据控制者和处理者,都必须向ODPC注册,否则不得以该身份行事,注册证书有效期为24个月,到期后可以申请续期。但是,年营业额在500万先令以下或者年收入在500万先令以下且员工少于十人的可豁免注册。其次,实施数据保护影响评估和事先咨询制。当出现“在考虑了有关处理的性质、范围、内容和目的之后,这项处理还是可能会对自然人的权利和自由造成高风险”的情形时,就必须在处理前实施数据保护影响评估。若评估后表明该处理确实会对当事人的权利和自由造成高风险,还应当在处理前咨询数据专员。最后,必要时设立数据保护官。以下情形可以指定或任命数据保护官:(1)公务机关或机构进行数据处理(但以司法身份行事的法院除外)时;(2)数据控制者或数据处理者的核心活动需要对数据主体进行定期大规模系统性监控时;(3)数据控制者或数据处理者的核心活动涉及敏感个人数据时。数据保护官的主要职责是监督数据保护的合规性、提供建议和培训以及与数据专员和其他机构保持合作和联系。其可以是内部工作人员,也可以通过委托合同从外部任命,无论是内部还是外部,都直接向企业的最高管理层报告,数据控制者和处理者应确保其独立行使职务。
尽管数据保护官将负责数据保护的核心问题,但并不意味着其需要对不合规行为承担个人责任,DPA的合规仍然是数据控制者或数据处理者的责任。显而易见,该法在数据的收集、处理和传输等不同的环节和流程都设置了严格的责任和义务来规范数据控制者和处理者的行为。
严格限制个人数据跨境传输
该法规定,除非满足以下任意条件,否则个人数据不能传输出肯尼亚:(1)采取了适当的数据保护措施。要将个人数据传输到肯尼亚境外,数据控制者或处理者必须向数据保护专员提供适当的数据保护措施的证明。如果输出国批准了《非洲联盟网络安全和个人数据保护公约》,或者与肯尼亚签订了数据保护互惠协议,即可认定为“适当的数据保护措施”。(2)数据保护专员作出了充分性决定。数据保护专员可对传输国的数据保护水平进行评估,并作出充分性决定,认定这些国家能够提供与肯尼亚同等水平的个人数据保护。在进行充分性决定的评估时,应考虑该国的法治、对人权与基本自由的尊重、相关的一般法与部门法、独立的监管机关及其有效运作等因素。(3)转移是有必要的。例如该转移是为了履行合同或者涉及重大公共利益。(4)获得数据当事人的同意。如果前述三项条件都不符合,那么仅可在数据主体已明确同意并已被告知转让风险时才能进行跨境传输。
除了上述个人数据跨境传输的一般规定外,内阁部长可基于国家战略利益或保护税收的理由,规定某些性质的数据处理只能通过设在肯尼亚的服务器或数据中心进行。该规定是肯尼亚数据本地化的要求,强调肯尼亚的数据主权。虽然目前只基于国家战略利益和保护税收的要求,但随着经济全球化和数据跨境传输日益频繁,全球数据流动和数据主权问题日益突出,有待进一步制定相关条例明确和完善本地化的规定,其设计和实施应当平衡数据保护的需求与全球数据流动和国际合作的便利性。
【本文系国家社科基金重大课题《非洲国家和地区法律文本的翻译、研究与数据库建设》的阶段性成果】