非洲2020-2030年数字化转型战略(Digital Transformation Strategy, DTS)的通过,以及非洲大陆自由贸易区(African Continental Free Trade Area, AfCFTA)的运营,为更加互联和互操作的市场带来了巨大的机会,并为科技初创企业和电子商务的蓬勃发展提供了途径。在此背景下,非洲联盟委员会制定了《非盟数据政策框架》,该框架于2022年2月得到非盟执行理事会的批准。《非盟数据政策框架》是朝着创建统一的数据环境和协调的数字数据治理系统迈出的重要一步,从而使整个非洲大陆的数据能够自由、安全地流动。该框架提出了共同愿景、原则、战略重点和主要建议,以指导非洲国家发展其国家数据系统和能力,从而有效利用数据并从中获取价值。通过这一框架,非洲国家同意建立必要的机制和法规,以合作实现数据在非洲的流动,并为实现数字单一市场铺平道路。

政策框架基础

《非盟数据政策框架》源于数字化转型战略,非盟执行理事会在2020年2月6日至7日举行的第三十六届常会上批准了数字化转型战略,[1]将其作为指导非洲大陆数字发展议程的总体规划。为了能够构建非洲数字经济和社会,执行理事会在其决定中责成非盟委员会领导和协调非洲大陆数据政策框架的制定工作。[2]

《非盟数据政策框架》以现有文书和倡议为基础,如数字化转型战略、非洲大陆自由贸易区、《数字非洲政策和监管倡议》(the Policy and Regulatory Initiative for Digital Africa, PRIDA)、《非洲基础设施发展计划》(the Programme for Infrastructure Development in Africa, PIDA)、到2030年将非洲转变为单一数字市场的智能非洲愿景(Smart Africa Vision to Transform Africa into a Single Digital Market by2030, Smart Africa Vision)、《人员自由流动》(the Free Movement of Persons, FMP)、《非洲单一航空运输市场》(the Single African Air Transport Market, SAATM)、《非洲单一电力市场》(The Single Electricity Market in Africa)、《数字身份证互操作性框架》(the Interoperability framework on Digital ID)、《非洲联盟网络安全和个人数据保护公约》(《马拉博公约》)、《2018年互联网治理和非洲数字经济发展宣言》(the Declaration on Internet Governance and Development of Africa’s Digital Economy of 2018)、《非洲个人数据保护准则》(the Personal Data Protection Guidelines for Africa)、关于数据保护和网络安全的地区示范法以及《非洲联盟人权和人民权利宪章》(the African Union Charter on Human and People’s Rights)。

就该框架的范围而言,该政策涉及的是包括个人、非个人、行业和公共数据(personal, non-personal, industrial and public data)在内的数据治理,而不仅仅是个人数据保护。

该政策框架有包括如下目标在内的十项目标:(1)推动各国在数据管理问题上开展合作;(2)为非洲国家将非洲大陆的政策纳入国内法(domestication)提供信息和支持;(3)确保数据能够尽可能自由地跨境流动;(4)建立合作信任机制,允许数据在会员国之间尽可能自由地流通;(5)使各国、私营部门、民间社会和政府间组织能够协调其在整个非洲大陆的数据问题上的努力,以实现单一的数字市场。

政策框架内容

《非盟数据政策框架》需要与非盟的价值观和国际法保持一致,该政策框架遵循了以下指导原则:(1)合作:非洲联盟成员国应就交换数据开展合作;(2)一体化:该框架应促进非洲内部的数据流动,消除数据流动的法律障碍;(3)公平性和包容性:成员国应为所有非洲人提供机会和利益;(4)信任、安全和问责;(5)主权:会员国、非盟委员会、地区经济共同体、非洲机构和国际组织应开展合作,提高非洲国家自我管理数据、利用数据流和适当管理数据的能力;(6)全面性和前瞻性;(7)公正与合法。

该框架提出了一系列详细建议和应采取的行动,以指导成员国根据本国国情制定政策。

就会员国而言,该政策框架建议:(1)开展合作,使数据在非洲大陆流动,同时保障人权、保障数据保护、维护国家安全,并确保各国能够公平分享利益;(2)开展合作,创建包括管理数据的能力在内的必要数据能力,以利用依赖数据的技术和服务,使数据造福非洲国家和公民并促进非洲发展;(3)促进横向数据政策(transversal data policy)并推动监管灵活化,以引导新的动态数据驱动的商业模式(dynamic data-driven business models)诞生,从而发展非洲内部的数字贸易和数据驱动的产业;(4)建立共同管辖框架,推动各社会部门和数据监管机构,有效监管数据社会和经济,以动态、前瞻性和实验性的方式制定、实施和审查数据政策;(5)制定有关个人数据保护的国家一级的法规,特别是有关数据治理和数字平台的法规,以确保在数字环境中维护信任;(6)建立或维护独立的、资源充足的和有效的数据保护机构,加强与非洲联盟成员数据保护机构的合作,在非洲大陆一级建立机制,制定和分享监管方式,支持机构发展,以确保对个人数据的高水平保护;(7)通过制定开放数据标准,促进互操作性、数据共享和对数据需求的响应,使数据符合匿名、隐私、安全等一般原则,以促进非洲研究人员、创新者和企业家访问非个人数据以及某些类别的个人数据;(8)促进数据可转移性(portability),使数据主体不被锁定在单一提供商,从而促进竞争并保护消费者的选择权,并使“自由职业者”(gig workers)能够在平台之间流动;(9)改善整个非洲大陆发展不均衡的基础设施,利用现有的区域经济共同体,支持高效的宽带网络覆盖、可靠的能源供应、基础数字(数据)基础设施和系统(foundational digital (data) infrastructure and systems)、可互操作的可信支付、云和数据基础设施以及开放的数据共享系统,促进跨境数字贸易和电子商务;(10)建立一个综合的国家数据系统,使数据驱动的公共和私人价值创造成为可能,该系统在统一的管理框架基础上运行,促进充满活力的数据经济所需的数据流,但要有足够的保障措施,以确保数据的可信、安全和可靠;(11)按照可访问性、可用性、开放性(可以保留匿名性)、互操作性、安全性、保密性、质量和完整性原则管理综合的国家数据体系;(12)尚未批准《非盟网络安全和个人数据保护公约》的国家应尽快批准该公约,作为统一数据处理的基础步骤;(13)在即将举行的非洲大陆自由贸易区服务贸易和电子商务议定书以及竞争和知识产权议定书谈判中,提供促进数据访问的指导方针,以支持当地创新、创业和有利于竞争的目的;(14)优先考虑政治上中立的伙伴关系,考虑到个人主权和国家所有权,以避免可能对非盟成员国的国家安全、经济利益和数字发展产生负面影响的外国干涉;(15)促进各种基于数据的领域的研究、开发和创新,包括大数据分析、人工智能、量子计算和区块链。

该政策框架还对非洲联盟委员会、区域经济共同体和区域机构提出了一系列建议:(1)通过在数字生态系统社区内建立协商框架,促进整个非洲大陆处理数据的各实体之间的合作,以保障每个行为者的利益;(2)通过制定跨境数据流动机制,促进和便利非盟成员国内部和之间的数据流动,该机制应考虑到各国不同的数字准备程度(readiness)、数据成熟度以及法律和监管环境;(3)通过制定共同数据分类和共享框架,促进跨部门和跨境数据流通,该框架应考虑到数据的广泛类型以及相关的隐私和安全水平;(4)在非洲数据保护当局网络(Network of African Data Protection Authorities, NADPA/RAPDP)的支持下,与非盟成员国负责个人数据保护的国家主管机构密切合作,建立一个协调机制和机构,负责监督非洲大陆内部的个人数据传输,并确保在国家一级遵守有关数据和信息安全的现行法律和规则;(5)在非洲联盟内部建立一个机制或赋予其权力参与数据标准的制定;(6)在非洲联盟内部建立机制和机构,或赋予现有机制和机构权力,以建设能力并向非盟成员国提供技术援助,以便将这一数据政策框架纳入国内法;(7)支持发展区域和非洲大陆的数据基础设施,以承载先进的数据驱动技术(如大数据、机器学习和人工智能)以及必要的有利环境和数据共享机制,确保数据在整个非洲大陆的流通;(8)通过制定非盟网络安全战略以及建立网络安全业务中心,减轻与网络攻击、数据泄露和滥用敏感信息有关的风险和威胁,努力在非洲大陆建立一个安全和有弹性的网络空间,提供新的经济机遇;(9)实现非盟成员国和其他非盟机制(包括非洲联盟警务合作机制)之间的数据共享并增强其互操作性;(10)建立非洲年度数据创新论坛,提高政策制定者对数据作为数字经济和社会引擎的力量的认识,从而促进各国之间的交流,实现数据价值创造和创新方面的知识共享,以及数据使用对人民隐私和安全的影响;(11)加强与其他地区的联系,协调非洲在与数据有关的国际谈判中的共同立场,以确保在全球数字经济中享有均等的机会;(12)制定一项实施计划,考虑到各国的数字主权以及不同的发展水平、人口的易损性(the vulnerability of populations)和非盟成员国内部的数字化,即与信息和传播技术基础设施差距以及缺乏网络安全政策和立法有关的方面。

政策框架评价

从2001年开始,大部分非洲国家起草并实施了接近欧盟立法的数据保护法律,三十余个非洲国家拥有精细的欧盟式的数据保护法律。同时,非盟和非洲区域经济共同体的硬法和软法机制也在回应欧盟的法律框架。在21世纪的第一个十年,精细的数据保护法律框架开始从非盟和非洲区域经济共同体扩展到独立的成员国。[3]截至2023年,55个非洲国家中有35个国家(64%)已经制定了数据保护法。另有三个国家(埃塞俄比亚、纳米比亚和马拉维)正在对有关法律草案进行审议。非洲还有17个国家(31%)在制定数据保护法方面仍未取得进展。整个非洲颁布的数据保护法数量一直在稳步上升。这一数字在过去十年中翻了一倍,其中三分之一的数据保护法是在过去五年中通过的。非洲数据保护立法进程存在地区差异,在非洲法语国家中,75%的国家通过了数据保护法,其中许多国家是最早通过数据保护法的国家之一。许多南部非洲国家最近才通过数据保护法,但目前已有73%的南部非洲国家制定了数据保护法。相比之下,东非只有46%的国家颁布了相关法律。[4]

目前非洲数据保护规则框架主要由三大文件组成,分别是:(1)《网络安全和个人数据保护公约》;(2)《非洲互联网权利和自由宣言》(African Declaration on Internet Rights and freedom);(3)《非洲言论自由原则宣言》(Declaration of Principles of Freedom of Expression and Access to Information in Africa)。其中《马拉博公约》第二章和《非洲言论自由原则宣言》第40-42条为非洲提供了数据保护整体框架,《非洲互联网权利和自由宣言》则为互联网领域个人数据保护提供了框架。[5]从法律渊源来看,当前非洲的数据保护法律可分为四个层面。第一个层面是国内法层面的数据保护法律。非洲国家国内法层面的数据保护法律,首先是宪法,其次是数据保护立法。第二个层面是区域经济共同体层面关于数据保护的法律倡议。第三个层面是非盟层面的数据保护法律,包括《马拉博公约》等。《马拉博公约》于2014年被采纳为全面的数据保护框架,它建立了三个监管制度:电子交易、数据保护和网络安全。在数据保护方面,《马拉博公约》旨在协调非盟成员国的数据保护框架,保护隐私并促进信息自由流动。第四个层面是数据保护的标准。在非盟和非洲区域经济共同体保护框架层面之外,一些非洲国家,如佛得角等,通过加入欧洲理事会《关于个人数据自动化处理的个人保护公约》(108号公约),实现了个人数据保护标准的扩大。[6]

就本文关注的《非盟数据政策框架》而言,有学者评价它是迄今为止非洲最有雄心的数据监管政策文件,代表了非盟的愿望,即为非洲国家如何通过创建非洲数字单一市场,安全、负责任地利用数据的力量制定一个持久的路线图。该框架试图将机构和行为者的透明度和问责制的原则灌输到国家和地区数据监管方法的结构中。它优先考虑纳入公共和私营部门的多个利益攸关方、公民之间的公平以及市场参与者之间的公平竞争。它还关注利益相关者可以利用的区域进程、机制和工具,以便在整个非洲大陆制定一个具有凝聚力的数据政策框架。特别是对于非洲大陆的数据保护和隐私而言,该框架具有重要意义,因为它将拟议解决方案的一部分集中在数据保护上,而数据保护被认为是任何数据框架的支柱,同时还提出了适合非洲国情的集体隐私权优先化(the prioritization of collective privacy rights)等观点。数据正义和数据伦理是为推进数字政策而提出的其他支柱,因为他们认识到数字市场的经济增长和价值决不能以牺牲人民和地区的权利为代价。对非洲大陆协调一致的跨境数据传输政策的关切,使该框架更加关注数据保护和隐私。该框架的另一个重大贡献是将数据主权概念与数据本地化概念区分开来,并反对利用安全政策损害人权。该框架承认受数据主权启发的政策有其价值,但将其理解为一个更复杂的概念,不同于单纯的数据本地化,该框架的核心是呼吁非洲会员国通过非洲数据保护当局网络等地区机构和相关利益攸关方开展合作,实现地区和非洲大陆数字政策的统一。与《非洲大陆自由贸易区协定》和其他倡议一样,该框架旨在推动建立一个共同的数字市场。非盟强调,非洲国家要想在全球政策论坛上更具竞争力,就必须在国家和地区利益相关方之间开展合作。因此,该框架试图为非洲决策者与利益相关者就一系列广泛的数据监管问题进行接触奠定基础,并优先考虑通过区域机构开展洲内合作。[7]

但与此同时,该政策框架也存在一些弊端。该政策框架缺乏数据所有权的概念基础。非洲各地难以对数据所有权作出一致的定义。数字化转型战略只是呼吁制定政策,确保数据所有权,但没有提供任何进一步的细节。《非盟数据政策框架》处理数据所有权的方式非常混乱:它呼吁在法律上明确数据所有权,但在几页之后,它又否定了原始数据的所有权,并且没有援引任何论据。《非盟数据政策框架》接着将数据所有权与知识产权混为一谈,并对南非法院的一项裁决进行了肤浅的讨论和明显错误的解释。《非盟数据政策框架》对数据所有权的处理方式,表明其法律专业知识存在一定缺乏。此外,在实际操作层面,它也缺乏对数据所有权作为商业交易基础重要性的认识。相较而言,中国的政策意识到在法律概念上明确数据权利的重要性,并根据当今基于云的数字经济中各种角色扮演者的实际情况,提出了一个复杂的数据“模块化”权利模型(“modular” rights in data)。[8]其中,数据处理者对数据拥有专有权利模块,就个人数据而言,这些权利模块可能受到数据主体隐私权“模块”(a privacy rights “module” of data subjects)的限制。[9]

该框架还存在法律性质或地位不明确的问题。它显然不是一项条约,对成员国不具有约束力。政策框架这一术语在非盟标准制定过程中并不常见。政策一词甚至可能被认为暗示该文件甚至不是法律。当然,《非盟数据政策框架》并不是以规定的形式编写的,该框架的目标是协调非洲大陆的决策。但是,该框架的编写和组织方式介于数据治理综合研究和向成员国提出具体建议的扩展政策简报之间。[10]

有学者认为这些弊端源于非盟数字政策制定过程中的程序性困境。程序性困境的一个重要方面涉及非盟各机构如何在缺乏协调和透明度的情况下组建专家小组,负责制定数字政策。在过去十年中,非盟成立了一系列专家委员会,其任务既有临时性的,也有长期性的,包括制定数字政策。有两个问题值得关注。其一是在建立此类机构安排时明显缺乏协调性和一致性。例如,每个常设或特设政策机构的工作与其他机构的工作之间的关系或互补性并不直截了当。由于缺乏协调,而且各委员会的工作都是为了实现一系列有针对性的目标,存在着工作重复的风险。除了牺牲有限的资源外,任务重叠还势必限制政策的最终效果。另一个的问题涉及专家委员会的设立程序。虽然在某些情况下进行公开提名,但遴选过程并不总是透明的。谁参与评估意向书,谁进行最后的遴选并不清楚。即使在进行提名的情况下,所设定的资格标准和相关委员会的任务规定也并非总是一致。[11]

存在程序性困境的数字政策必然存在实质性缺陷。非盟的数字政策不仅姗姗来迟,而且非盟政策制定者往往会做出特殊的监管选择,从而进一步加剧了问题的严重性。这种特殊性主要与由此产生的政策工具的性质有关,它限制了这些工具以有意义的方式产生实际成果的前景。政策工具的规范性质量尤其体现了这一点,因为与欧洲的区域标准甚至区域经济共同体通过的区域标准相比,非盟的政策工具往往不尽如人意。要么是政策工具的设计方式阻碍了适当规范标准的制定,要么是相关工具的性质过于模糊,以至于其目标并不完全明确。非盟决策者越来越多地推出不常见(not common)的政策工具,如《非盟数据政策框架》,如前文所述,这种政策工具还存在法律性质和政策目标不明确的问题。在非盟委员会和互联网协会主持下制定的《数据保护指南》同样存在相同的问题。监管选择不当会在许多层面造成问题。在最基本的层面上,该政策工具可能被废弃,在实践中几乎不会产生任何影响。尽管非盟数据政策诞生时间较晚,但该组织在数字时代制定非洲大陆政策方向方面却具有得天独厚的优势。通过制定不仅借鉴国际最佳做法,而且充分考虑非洲国家独特的社会经济和政治现实的政策,非盟可以发挥其作为非洲大陆政策制定者的作用。然而,学者认为,非盟的政策制定者倾向于对新技术的全球热潮做出回应,尽管这种回应来得较晚,但却很少考虑他们的数字政策如何适应非洲大陆的独特国情。[12]

结语

联合国贸易和发展会议最近的一份报告显示,数字经济只占非洲国内生产总值的大约5%,预计到2050年不会超过10%。[13]在过去的十多年里,非洲国家进行了重大的监管改革,信息和传播技术基础设施激增,非洲大陆似乎对互联网和相关技术的变革潜力寄予厚望。非洲大陆、次大陆和国家层面的大量政策和立法举措反映了在经济转型的总体努力中转向技术的趋势。但是,这些政策措施能在多大程度上有效地使非洲受益于数字技术的成果,同时又能解决其负面影响,这一点还不完全清楚。面对学者严厉的批评,非盟数据保护政策的制定可能还有很长的路要走。

[1] EX.CL/Dec.1074 (XXXVI), https://portal.africa-union.org/DVD/Documents/DOC-AU-DEC/EX%20CL%20DEC%201074%20(XXXVI)%20_E.pdf.

[2] 同前注。

[3] 刘鹏:《非洲个人数据保护立法稳步推进》,《中国社会科学报》2022年8月19日第2474期,http://sscp.cssn.cn/xkpd/xszx/gj/202208/t20220819_5471523.html。

[4] Mapping progress (and delays) for data protection in Africa, https://dataprotection.africa/data-protection-in-africa-progress/.

[5] Dr. Patricia Boshe, Prof. Moritz Henneman, Data Protection Laws in Northern Africa Regulatory Approaches, Key Principles, Selected Documents, https://www.kas.de/documents/265308/22468903/230406_DataProtectionLawsNorthernAfrica_KAS_Web.pdf/ac468c6d-3b82-44d8-bd7e-00ace3906a5b?version=1.0&t=1682042412738.

[6] 刘鹏:《非洲个人数据保护立法稳步推进》,《中国社会科学报》2022年8月19日第2474期,http://sscp.cssn.cn/xkpd/xszx/gj/202208/t20220819_5471523.html.

[7] Mercy King’ori, Ulric Quee, Hunter Dorwart, The African Union’S Data Policy Framework: Context, Key Takeaways, and Implications for Data Protection on the Continent, March 29, 2023, https://fpf.org/blog/the-african-unions-data-policy-framework-context-key-takeaways-and-implications-for-data-protection-on-the-continent/.

[8] Bingwan Xiong, Jiangqiu Ge, Li Chen, Unpacking data: China’s ‘bundle of rights’ approach to the commercialization of data, International Data Privacy Law, Volume 13, Issue 2, May 2023, Pages 93–106, https://doi.org/10.1093/idpl/ipad003.

[9] Donrich Thaldar, Harmonizing Africa’s Data Governance: Challenges and Solutions, November 6, 2023, https://blog.petrieflom.law.harvard.edu/2023/11/06/harmonizing-africas-data-governance-challenges-and-solutions/.

[10] Yilma, K. (2022) African Union’s data policy framework and data protection in Africa. Journal of Data Protection and Privacy, 5(3). https://doi.org/10.2139/ssrn.4253828

[11] Yilma, K. In Search for a Role: The African Union and Digital Policies in Africa. DISO 2, 16 (2023). https://doi.org/10.1007/s44206-023-00047-1.

[12] 同前注。

[13] Economic Commission for Africa, Momentum Picks up in the Uptake of Digital Technologies in Africa, June 21, 2021, https://bit.ly/3VJM4tH.

撰稿 | 潘天赐,清华大学智能法治研究院实习生

选题&指导 | 刘云

编辑 | 王欣辰

注:本公众号原创文章的著作权均归属于清华大学智能法治研究院,需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn,申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。

声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。