非洲数字数据监管（英）2024

治理与非洲数字经济背景技术系列 在非洲监管数字数据 授权公开披露授权公开披露授权公开披露授权公开披露 治理与非洲数字经济背景技术系列 在非洲监管数据保护和网络安全：全球数据监管诊断的结果 版权所有©2023世 界银行1818HStreetNW 华盛顿特区20433 电话：202-473-1000互联网 ：www.worldbank.org 免责声明 这项工作是世界银行工作人员的产物。这项工作中表达的发现，解释和结论不一定反映世界银行，其执行董事会或其代表的政府的观点。 权限和权限 Thematerialinthisworkissubjecttocopyright.Anyqueryonrightsandlicenses,includingsubsidiaryrights,shouldbeaddressedto世界银行出版物，世界银行集团，1818HStreetNW，华盛顿特区20433，美国；传真：202-522-2625；电子邮件：pubrights@worldbank.org。 Acknowledgements 本背景说明由陈荣（数字发展经济学家），LillyanaDazaJaller（顾问）和TaniaBegazo（高级经济学家）编写，并由AnaRuival（数字发展顾问）提供。 背景说明从其他专家的参与、协助和见解中受益匪浅。该团队特别感谢由高级数字专家AatLewi，首席法律顾问的同行评审DavidSatola提供的有关非洲网络安全评估的参考资料，技术与创新，法律和AatLewi，以及为《2021年世界发展报告》“改善生活的数据”进行的先前工作，这些工作允许进行调查，以比较非洲各国的数据监管状况。 常用缩写和定义术语 本节介绍本文使用的常用术语和缩写。 缩写/术语 完整术语/定义 ARP 行政补救小组 ATI 获取信息 CERT 计算机应急响应小组 CNDP 摩洛哥国家数据保护委员会 CSIRT 计算机安全事件响应小组 CSSSI 摩洛哥信息系统安全委员会 DGSSI 摩洛哥信息系统安全总局(， DPC 肯尼亚数据保护专员 中非经共体 中非国家经济共同体 FRAND 公平、合理和非歧视性条款 GCI 全球网络安全指数 IPR 知识产权 maCERT 摩洛哥计算机应急小组 NCS 国家网络安全战略 NIN 国家识别号 目录 1数据监管的重要性1 2个人数据保护2 2.1非洲个人数据保护监管状况观察3 2.2关于个人数据保护的区域合作7 2.3非洲与其他收入群体关于个人数据保护框架的第8本书 2.4实施和遵守10 3网络安全和网络犯罪14 3.1非洲网络犯罪和网络安全监管格局观察15 3.2网络安全和网络犯罪方面的区域合作18 3.3非洲与其他收入群体在网络安全和网络犯罪方面的关系19 3.4实施网络安全举措22 4数据监管和治理23 5数据和跨境数据流的使用和重用26 5.1启用公共意图和私有意图数据的使用/重用26 5.2跨境数据流28 6结论31 7参考文献33 数字列表 图I.个人对其在线隐私的关注3 图二非洲的数据保护法律框架4 图三.非洲数据保护法的全面性6 图四.非洲数据保护机构的职责7 图五.对个人数据采取良好监管做法的每个国家收入组的国家百分比保护9 图六.非洲的网络安全和网络犯罪框架15 图七.非洲网络安全框架的全面性16 图八.非洲网络犯罪框架的全面性17 图九.监管质量和网络安全和网络犯罪得分25 图X.政府效能与网络安全和网络犯罪得分25 图十一法治与网络安全和网络犯罪得分25 图十二.监管质量得分和个人保护得分25 图十三.在公共意图数据上采用良好做法的每个收入组国家的百分比27 图十四.每个收入群体采用私人意图数据良好做法的国家百分比28 图十五.按收入组/地区划分的不同数据治理维度平均得分[下一版本注：包括北非、E&S和W&Clines]32 表列表 表一数据保护法的实施和执行14 表二.网络安全规则的实施和执行23 1数据监管的重要性 近年来，数字技术的快速发展显示了非洲在促进创造就业机会、改善公共服务提供和提高个人福利方面的巨大潜力。据估计，到2025年，Jmia等电子商务平台将在非洲创造约300万个新工作岗位。1以全球家喻户晓的名字M-Pesa为代表的移动货币有助于许多非洲国家的减贫。2COVID-19全球大流行导致全球数字技术的使用加速增长，增加了创新，但也带来了各种治理挑战和风险。 人们越来越关注与各种数字经济活动相关的数据保护和网络安全风险。对于世界各地的个人来说，数据保护是这种担忧的核心。从社交媒体到移动支付再到远程医疗预约，我们的个人信息以前所未有的规模存储在数据库中。虽然这些创新使我们的生活更轻松，并保持我们的联系，但除非数据得到充分保护，否则它可能会被滥用于各种目的，从骚扰到欺诈。 互联网对个人和职业需求的增加为寻求利用漏洞谋取个人利益的危险玩家创造了机会。2020年，肯尼亚互联网用户在1月至8月期间面临1400万次恶意软件攻击。在同一时期，津巴布韦的网络攻击数量增长了五倍。32020年8月，全球消费者信用报告公司Experia将约2400万南非人的个人数据出售给冒充合法客户的欺诈者。42020年12月，AbsaBa客户的个人身份信息（分布在12个非洲国家）被泄露。根据《非洲联盟网络安全和个人数据保护公约》，网络犯罪“对非洲计算机网络的安全和信息社会的发展构成了现实威胁。”5。 适当的法律和监管框架是各国能够充分获得新兴技术的好处，同时最大限度地减少相关风险的关键。这些技术的使用和影响的国际性质使其监管复杂化。对数据如何获取，处理，使用，共享和重用的担忧导致政府建立异构的数据治理方法。数据是这些革命性技术的基石，限制其流动可能会阻碍贸易、创新和经济增长。6政府有一项艰巨的任务:确保跨境和一个国家内的数据充分流动，以允许新技术充分运作，同时保障个人权利。基于权利的方法可以提高信任，从而促进数据流和基于数据的数字解决方案以促进发展。7本说明重点介绍了一些关键的监管方面：数据保护，网络安全和网络犯罪，以增强数字信任；以及有关使用，传输和重用数据以实现新的数字技术的规则。本说明未涵盖Word发展报告“改善生活的数据”中描述的数据生态系统的其他方面。 为了最大限度地利用蓬勃发展的数字经济带来的红利，非洲大陆应准备好应对与各种数字经济活动相关的风险 ，同时允许将数据用于发展。健全的数据治理环境对于促进数字经济的可持续发展至关重要。一个全面的监管框架，规定权利和 不同利益攸关方在收集、使用和重用数据方面的责任，独立机构执法和解决公众对侵权行为的投诉，以及公私伙伴关系和区域合作，都是如此强大的数据治理环境的重要组成部分。 本说明旨在概述非洲的数据治理框架，并探讨与建立公众信任，改善问责制和透明度以及为参与数字经济提供有利环境的联系。它利用了全球数据监管诊断（GDRD）8的数据，该数据收集了截至2020年6月全球80个国家的数据法规信息，其中包括24个撒哈拉以南非洲国家和3个北非国家。9通过案头研究和访谈收集了选定国家的其他信息，以了解执行GDRD捕获的规则方面的挑战。此补充信息截至2022年2月。 本说明组织如下。第1节涵盖数据保护，而第2节着眼于网络安全和网络犯罪，这两个方面都是数字信任的重要方面。第3节探讨了数据保护与网络安全以及网络犯罪框架和更广泛的治理指标之间的联系。第4节强调了可能影响数据使用和重用的方面-为公共目的收集的数据以及由私营部门作为日常业务流程的一部分-用于数字技术的发展。 2个人数据保护 个人数据保护是有效数据治理环境的关键方面。个人数据是指传达特定于已知或可知个人的信息的数据。对个人数据的管理方式缺乏信任使个人对共享此类数据感到不舒服，这可能会限制数字市场的增长。10根据数据信心指数，非洲的11位互联网用户特别关注互联网对“个人隐私”的影响。肯尼亚的12位消费者对具有更多“数据隐私”功能的数字贷款产品表示偏爱。13在2019年进行的一项研究中，96％的埃及人对他们的在线隐私表示担忧，远高于全球平均水平的78％。政府可以通过授予数据主体对其个人信息的权利，并对数据控制者和数据处理者施加技术要求，以确保对信息的充分保护，来帮助建立信任。建立一个有能力和有效的执法机构也是确保立法得到充分执行的关键。 图I.个人对其在线隐私的关注来源：CIGI-Ipsos（2019年） 2.1观察非洲个人数据保护的监管格局 超过一半的非洲国家已经引入了适用于所有部门的通用数据保护立法（图二）。突尼斯、毛里求斯和布基纳法索是这方面的区域先驱，早在2004年就引入了数据保护法。在接下来的十年中，一些国家纷纷效仿，截至2021年12月，已有26个非洲国家通过了通用数据保护法。值得注意的是，毛里求斯在2018年5月欧盟法规实施前五个月通过了与欧盟通用数据保护条例（GDPR）密切相关的《数据保护法》。2020年是非洲数据保护立法取得重大进展的一年。埃及的《个人数据保护法》于2020年10月生效。在该法律获得批准之前，埃及有针对数据保护问题的部门立法，如《劳动法》和《银行法》。在南非，尽管《个人信息保护法》于2013年签署成为法律 ，但大多数相关条款直到2020年7月才开始生效。最近，卢旺达在2021年10月的官方公报上公布了一项数据保护法。据报道，其他经济体也在讨论引入一般数据保护法，包括埃塞俄比亚、马拉维和坦桑尼亚；然而，截至2022年2月，这些法律的公开草案尚未公布。 少数非洲国家引入了特定部门的法律，有些国家依靠宪法规定来保护隐私。例如，尽管喀麦隆没有一般的数据保护法，但其适用于电子通信网络和信息系统的网络安全和网络犯罪法包括有关数据隐私的规定。尽管刚果民主共和国和利比里亚尚未出台任何有关数据保护问题的法律，但两国的宪法都包含有关个人隐私权的规定。但是，这些措施不足以解决数据主体和数据处理器所面临的情况。 今天的世界。最后，八个非洲国家（在下面的地图中以灰色表示）没有提及任何数据法律框架中的保护或隐私。 注：1分（深橙色）表示存在一般数据保护法，0.5分表示仅存在特定部门的个人数据保护立法；0.25分（最浅橙色）表示国家宪法保护隐私和/或数据保护权。 图二非洲的数据保护法律框架 来源：作者基于全球数据监管诊断和数据指南（2021年） 在通过普遍适用的数据保护法后，这种法律的全面性决定了向不同市场参与者提供的保护水平。正如《全球数据监管诊断》中所指出的那样，至关重要的是，审查数据保护法是否规定了数据主体的权利，如补救和质疑所收集数据准确性的权利，以及收集和处理的要求，如目的限制、数据最小化和存储限制(方框1)。同样重要的是，要研究仅在自动处理的基础上做出关于个人的决定的能力是否存在限制，这可能导致社会歧视，以及必要性和相称性测试是否适用于例外。 ）数据只能指定目的 方框一.数据处理要求 Purpose 限制 来源：ICO（2021 对政府数据收集或处理的限制。最后，其他关键信息包括数据主体权利是否通过实施基于设计和数据的数据保护措施在技术方面得到有效保护 fora be收集 默认保护原则，以及 如数据保护机构的监控活动。 数据最小化数据必须是充分的、相关的，并且限于与以 16() 非洲现有的数据保护框架在很大程度上是全面的图三。引入总体数据保护法的政府倾向于包括在这一领域 下方面有关的必要数据 中出现的良好国际惯例的共同要素，例如目的限制，数据最小化指和定数的据目主的体权利，其特征在OECD原则和GDPR 等来源中。肯尼亚和贝宁还纳入了更新颖的措施，如设计数据保护和默认数据保护。值得注意的是，2020年生效 的南非数据保护法忽略了这些要求。设计数据存储味着实体应数据的保存时间不得超过设is计阶段以及所收集数据 保护意 限制 在其产品和系统的初始 为特定目的所必需的 的整个生命周期中考虑数据保护，而不是事后考虑。默认数据保护原则要求在默认情况下将“设计数据保护”原 则纳入其数据处理活动。