2019年1月25日,尼日利亚国家信息技术开发局(Nigeria’s National Information Technology Development Agency,NITDA)发布了《尼日利亚数据保护条例(2019)》(Nigeria Data Protection Regulation 2019,以下简称“《条例》)”。该《条例》中的许多概念源自欧盟的《通用数据保护条例》(GDPR)。
《条例》的主要内容包括:
适用范围:本条例适用于所有尼日利亚居民、居住在尼日利亚境外的所有尼日利亚公民以及处理上述个体的个人数据的所有组织。
数据处理原则:只有在至少符合以下五项条件之一的情况下才可对个人数据进行处理:(一)取得数据主体的同意,或有对个人数据进行处理的必要;(二)履行合同;(三)履行法律义务;(四)保护数据主体的切身利益;(五)为保护公共利益而执行的任务。
获得许可:获得许可有特定的条件要求。
隐私策略:处理个人数据的组织必须显示包含指定内容的“简单而显著”且易于理解的隐私策略。
数据安全:处理个人数据的组织必须制定保护个人数据的安全措施,包括设置防火墙、实施访问控制、加密个人数据,以及制定处理个人数据的内部规范。
第三方合同:数据控制方必须与任何代表其处理数据的第三方签订书面合同,要求遵守本条例。
数据主体权利:数据主体有权:(一)反对因市场目的处理其个人数据;(二)查阅他们的个人数据(并在可行的情况下将他们的个人数据传输给其他数据控制方);(三)获取有关处理其个人数据的信息;(四)删除其个人数据(如符合某些准则);(五)更正个人数据;(六)限制对其个人数据的处理(如符合某些准则);(七)撤回对处理其个人数据的许可;(八)向NITDA或者其他有关监管机构投诉。
数据传输:只有在符合某些特定标准的情况下,才能将个人数据传输出尼日利亚。
透明度:在本条例发布后3个月内,尼日利亚所有处理个人数据的公共和私人组织必须向公众提供其数据保护规范,这些规范必须符合本条例。
委任数据保护官:每个数据控制方必须指派一名数据保护官,以确保遵守本条例的规定。
隐私和数据保护审计:在本条例发布之日起6个月内,受本条例约束的所有组织必须按照本条例的要求,对其隐私和数据保护实践进行详细审计。
在6个月内处理超过1000名数据主体的个人数据的数据控制方,必须向NITDA提供审计摘要的电子复本。
在12个月内处理超过2000名数据主体的个人数据的数据控制方,必须在不迟于翌年3月15日向NITDA提交审核摘要。
罚则:条例指出,任何实体如被发现侵犯任何数据主体的隐私权,除须负法律规定的其他刑事责任外,还须承担以下法律责任:
对“处理10000名以上数据主体的个人数据”的数据控制方,处以上一年度总收入的2%或1000万奈拉(以较高者为准)罚款;或对“处理少于10000个数据主体的个人数据”的数据控制方,罚款上一年度总收入的1%或200万奈拉,以较高者为准。
(供稿者:苏 伟 编辑:袁 媛)
原文地址:
https://www.huntonprivacyblog.com/2019/04/05/nigeria-issues-new-data-protection-regulation/
声明:本文来自北邮互联网治理与法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
