东非小国乌干达要求Google注册数据控制者身份

在全球数据保护监管日趋严格的今天，一个看似不起眼的东非国家乌干达，却以其果断的执法行动向世界展示了数据主权的力量——即使是科技巨头Google，也必须在数据控制者注册和保护官指定这一看似简单的合规要求面前低头。

2025 年 7 月 18 日，乌干达个人数据保护局（PDPO）宣布谷歌存在违规行为，因其未在 PDPO 注册即开展运营，且"在未能证明具备充分保障措施"的情况下将乌干达公民数据传输至境外。

这是乌干达作出的一项具有里程碑意义的裁决，认定Google LLC构成数据控制者，受该国《数据保护和隐私法》管辖。

乌干达个人数据保护办公室（PDPO）裁定谷歌有限责任公司属于该国《数据保护与隐私法》管辖的数据控制者/收集者，基于违规行为，乌干达当局责令该公司在 30 天内完成注册、指定本地数据保护官并提交跨境传输合规框架，警告持续违规可能招致按日计罚或刑事处罚。PDPO 强调该法案具有域外效力，适用于任何从乌干达用户获利的实体，并以谷歌在当地的纳税存在作为监管管辖权的佐证。

乌干达这一国家，早在2019 年就颁布《数据保护与隐私法》，历史甚至比中国还更早。《2019 年数据保护和隐私法》第 29 条和 2021 年《数据保护和隐私条例》第 15（1） 条要求所有收集和处理个人数据的个人、机构和公共机构向 PDPO 进行注册，PDPO 已为此授予至 2021 年 12 月的宽限期。

根据该法第 29 条，所有收集、控制或处理个人数据的个人、机构和组织都必须向个人数据保护办公室（PDPO）进行注册。此项合规要求对于避免因未注册而产生的处罚和罚款至关重要。

PDPO 注册流程简便：组织只需登录 PDPO 门户网站(www.pdpo.go.ug)账户，提交申请表及 10 万先令注册费的付款证明等支持文件。申请经审核确认符合所有要求后，将在七个（07）工作日内向申请人颁发有效期一年（01）且可逐年续期的注册证书。

目前来看，已经有近6795家组织进行了注册。

Google LLC是如何被当地监管发现问题的呢？

2025年5月27日，有四名乌干达数字权利活动家作为申请人，将乌干达个人数据保护办公室(PDPO)和全球科技巨头谷歌告上当地高等法院，指控这两者违反了乌干达的数据保护法并损害了公民的数字隐私权。

申请人Mercy Awino、Frank Ssekamwa、Leni Sharon Pamela和Raymond Amumpaire 声称,Google LLC 和 Google Uganda -直在收集和处理乌干达人的个人数据，但未按照《数据保护和隐私法》(第 97章)的要求向 PDPO 注册。

之所以PDPO也被稍带上，核心原因在于申请人向PDPO投诉后，申请人认为PDPO长期不作为。“这个案子不是关于赔偿的，”请愿人Raymond Amumpaire 说，“这是为了确保强大的科技公司遵守我们的法律。”他的共同请愿人莱妮·莎朗·帕梅拉(Leni sharon Pamela)补充说:“如果我们允许法律为强者屈服，它就会为我们其他人打破。

似乎可以拍点电影了！

至于我国2025年7月18日发布的《关于开展个人信息保护负责人信息报送工作的公告》，和本文中的概念没有半毛钱关系，不要强行联想！

但是，中国的个人信息保护法该开始反思域外效力毫无作用的问题了，最近看到了太多的问题。

声明：本文来自互联网法律匠，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。