赞比亚议会于2021年3月23日批准了《数据保护法(2021)》(以下简称数保法),并于次日正式颁布该法案。数保法共11部分82条,通过定义和解释涉及个人数据和个人数据保护的相关名词,规范个人数据的处理,设立专门机构并赋予其相应的执法权力,限制数据控制者的注册和数据审计员的许可,规定数据控制者和数据处理者的职责以及规定数据主体的权利等方式和手段,以立法形式为个人数据的使用和处理提供了有效、系统的保护,充分体现了赞比亚政府对个人数据安全的重视。
赞比亚的数保法明确解释了有关保护和处理个人数据的名词概念。其中包括对数据保护及处理过程有关的主体,如:“消费者”、“接收者”、“公共机构”、“第三方”、“权力部门”、“委员会”以及“执法人员”的解释;关于数据处理过程中的“匿名化”、“自动化”、“假名化”等词的定义;对本法案中所指保护的信息数据类型,如:“生物特征数据”,以及特别提出的敏感群体及有关内容:“弱势人士”、“敏感个人数据”、“虐待儿童信息”、“儿童数据”的解释;对在数据处理中的“行为准则”及与处理过程中“同意”行为的解释等。
数保法的核心内容主要在于加强保护和规范个人数据的处理。包括将处理过程细分后规定了各类处理人员的许可要求并设立了专门的机构“数据保护专员办公室”以负责注册、登记数据控制者、数据处理者,给数据审计员颁发执照;通过以法律形式严格要求该政府机构的专员资格以及该机构的专员组成和职能分工,将国家公民个人信息的数据处理这项重要民生大事从根本层进行统筹,更好达到法案对个人数据的有效管理和控制;明确数据主体的权利,数据处理者、数据控制者、数据审计员在信息处理过程中的权利与义务以及检察员、数据专员及“数据保护专员办公室”在执行监督等有关公务中的权利与职责;关于保护个人数据的一般规定、原则和违反本法案的处罚。
数保法特别设立了“数据保护专员办公室”以负责更好地监督和推动个人数据保护的进行。本法在第二部分解释和明确了该专门机构的负责内容、专门职能及人事安排。根据数保法第二部分,所设立的专门机构“数据保护专员办公室”负责注册、登记数据控制者、数据处理者,给数据审计员颁发执照。通过以法律形式严格要求该政府机构的专员资格以及该机构的专员组成和职能分工,将国家公民个人信息的数据处理这项重要民生大事从根本层进行统筹,更好达到法案对个人数据的有效管理和控制。
数保法中还有关于国家安全和数据跨境的内容。包括在法案第七部分对于豁免的要求:为国家安全、国防和公共秩序利益处理个人数据的数据控制者不受部分规定的约束;以及在第十部分对数据跨境准许的条件和限制的要求,包含对服务器地理位置的和在境外所存储的数据类别的要求、对数据传输至境外的条件及审批、紧急情况和除外情况等。
数保法在适用的主体上具有较强的针对性,仅适用于法人以及非法人组织对个人数据隐私等权利的侵犯行为,而不适用于为个人目的使用而处理他人个人数据的情况。因此可以将其看作是对自然人关于个人数据方面的保护。数保法将涉及个人数据处理过程的主体细分划定为数据控制者、数据处理者、数据审计员等,并明确各自权利与义务,切实将有关个人数据的公民权利纳入法律保护之下,并力求覆盖数据传输、处理的全部过程和内容,在保障国家安全的原则和基础上维护信息处理过程的安全性和隐私性,使保护数据主体个人信息在隐私要求下得到妥当的处理和使用。数保法从国内和跨境方面都对个人数据进行保护,也体现了赞比亚在个人信息数据领域对国家安全和国家发展前景的正确认识。
数保法除了有以上特点和优势以外,还存在部分弊端,主要在于可能会导致政府和相关执法部门出现自由裁量权过大的情况。其第二部分对“数据保护专员办公室”目的和职能的规定中,所赋予专员办公室的职权贯穿对数据处理的全过程以及对国内和跨国数据保护的监管;第三部分中政府监督和检察员具有很大自由裁量空间,包括在以数据保护为目的和持有搜查令的前提下,自我认定处理和检查数据控制者和处理者的私人空间、数据记录,处置数据相关人员物品,以及甚至在合理理由下对人员实施无证逮捕等。虽然这一部分也规定了被执法人员的索赔权利,但仍明显地给政府执法人员赋予了过大的权力,易造成权力滥用。
综上,赞比亚共和国于2021年颁布的《数据保护法》通过立法规制对个人数据的处理做出了一系列的保护和管控,并就相应违法行为给予了定罪量刑,为赞比亚公民个人数据保护、国家数据发展和安全奠定了较好的法律基础。(祁楚云)
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。