尼日利亚 NDPR：数据保护法规合规性

尼日利亚拥有非洲最大的经济体和人口最多的国家，使其成为整个非洲大陆企业的重要市场。尼日利亚的数据保护框架经历了重大发展：从国家信息技术发展局 (NITDA) 于 2019 年 1 月发布的《尼日利亚数据保护条例》(NDPR)，到 2023 年 6 月 14 日签署成为法律的《2023 年尼日利亚数据保护法案》(NDPA)，该法案设立了尼日利亚数据保护委员会 (NDPC) 作为独立的数据保护机构，并将数据保护提升为成文法。

了解 NDPR（与过渡合规性仍然相关）和新的 NDPA 2023 框架对于任何在尼日利亚开展业务、员工或客户的组织都至关重要。

要点

• 2023 年尼日利亚数据保护法 (NDPA) 取代 NDPR 并将 NDPC 设立为独立监管机构
• NDPA 适用于在尼日利亚境内以及域外向尼日利亚人提供商品/服务或监控尼日利亚个人行为的个人数据处理
• 存在六个合法的处理依据，同意是消费者数据的主要依据
• 敏感个人数据（健康、生物识别、种族、宗教、政治观点、性取向）需要明确同意，但有少数例外情况
• “数据处理者”和“重要数据控制者”面临特定的额外义务，包括审计和合规备案要求
• 跨境转移限制需要充分、适当的保障措施或同意
• 对于一般违规行为，NDPC 可处以最高可达年总收入 2% 或 1000 万₦1000 万英镑的罚款，以较高者为准；严重违规最高可达5000万₦
• 所有数据控制者必须与 NITDA 许可的审核员一起进行年度数据保护审核

---

尼日利亚的数据保护框架

从 NDPR 到 NDPA

NDPR 2019（尼日利亚数据保护条例）：根据 NITDA 的授权发布，而不是正式的议会法案。适用于处理尼日利亚居民个人数据的自然人和实体。制定了基本数据保护原则、个人权利和合规要求，包括由 NITDA 许可的审计师进行的强制性年度审计。

NDPA 2023（尼日利亚数据保护法）：由国民议会颁布并于 2023 年 6 月 14 日由总统签署。将 NDPC 设立为独立的法定机构；将数据保护义务提升至主要立法；引入新的权利和义务；与 GDPR 更加一致；取代 NDPR 中相互冲突的条款。

过渡：NDPC 已表示 NDPR 合规机制和指南在过渡期间仍然适用。遵守 NDPR 的组织应审查 NDPA 的附加义务。

NDPA 范围

NDPA 适用于：

1. 尼日利亚个人数据的处理
2. 尼日利亚实体对个人数据的处理，无论处理发生在何处
3. 海外实体向尼日利亚境内个人提供商品/服务或监控尼日利亚境内个人行为的处理

---

关键定义和数据类别

个人数据：与可识别个人相关的任何信息——可通过姓名、身份证号码、位置数据或一个或多个特定于身体、生理、遗传、心理、经济、文化或社会身份的因素直接或间接识别。

敏感个人数据（NDPA 附表 1）：需要加强保护和明确同意。类别包括：

• 遗传或生物特征数据
• 健康或医疗记录
• 种族或民族血统
• 宗教或政治信仰
• 工会会员资格
• 性取向或活动
• 有关儿童的数据

儿童数据：特定保护适用于儿童（根据尼日利亚法律定义为 18 岁以下的个人）的数据。处理儿童个人数据需要父母或监护人的同意。针对儿童的在线服务必须实施经过验证的家长同意机制。

---

处理的合法依据

NDPA 第 25 条确立了六个合法依据：

1. 同意：自由给予、具体、知情且明确的同意表示。必须可以随时撤回且不会造成任何损害。

2. 合同：与数据主体履行合同所需的处理，或在签订合同之前应数据主体的请求采取措施。

3. 法律义务：为遵守控制者的法律义务而必需的处理。

4. 切身利益：为保护数据主体或其他人的切身利益而进行的必要处理。

5. 公共利益：为执行为了公共利益而执行的任务或执行赋予控制者的官方公共任务所必需的处理。

6. 合法利益：为了控制者或第三方追求的合法利益而进行的必要处理——除非被数据主体的基本权利和自由所推翻。 （注：公共机构在执行其任务时不能依赖这一依据。）

同意要求：必须针对每个处理目的；自由给予（不以同意非必要处理为合同条件）；记录并可证明；撤回和给予一样容易。预先勾选的框、沉默或不活动并不构成有效的同意。

---

数据主体权利

NDPA 授予个人以下权利，控制者可在不无故拖延的情况下行使这些权利：

响应时间表：NDPA 要求“不得无故拖延”做出响应 - NDPC 指南指出 30 天作为合理标准，如果在前 30 天内通知数据主体，复杂请求的响应时间可延长至 60 天。

---

控制者义务

隐私声明

控制者必须在收集时或之前提供隐私信息：

• 控制者的身份和联系方式
• 数据保护官的联系方式（如果适用）
• 处理的目的和合法依据
• 个人数据的接收者或接收者类别
• 向第三国转移和保障措施
• 保留期限或确定保留期限的标准
• 数据主体权利以及如何行使这些权利
• 撤回同意的权利（如果同意是基础）
• 向 NDPC 提出投诉的权利

语言：尼日利亚业务的隐私声明应采用英语（尼日利亚的官方语言），并且可能需要包括在非英语人口较多的地区面向消费者的产品的本地化翻译。

数据保护官 (DPO)

NDPA 要求任命 DPO 负责：

• 重要的数据控制者或处理者（定义为每月处理超过 10,000 个数据主体的数据，或将敏感数据处理作为核心活动）
• 公共当局

DPO 职责：

• 就数据保护义务提供通知和建议
• 监控 NDPA 和内部政策的遵守情况
• 充当数据主体和 NDPC 的联络点
• 配合NDPC调查

年度数据保护审计

尼日利亚最独特的合规要求之一：所有数据控制者必须向 NDPC（以前称为 NDPR 下的 NITDA）进行并提交年度数据保护审计。审核必须由 NITDA 许可的数据保护合规组织 (DPCO) 进行。 DPCO 发布审计报告，内容涵盖控制者的数据保护实践、合规性差距和补救建议。该信息必须每年向 NDPC 提交一次。

审核范围涵盖：

• 数据清单和流程映射
• 合法依据文件
• 隐私声明的充分性
• 安全措施
• 数据主体权利程序
• 跨境转账合规
• 违规通知程序
• 员工培训

成本：审计费用因 DPCO 的不同而异；预计 500,000 至 5,000,000 英镑以上，具体取决于组织规模和复杂性。

数据保护影响评估 (DPIA)

第 30 条要求针对高风险处理活动进行 DPIA，包括：

• 使用自动化处理、分析或预测对个人方面进行系统评估
• 敏感个人数据的大规模处理
• 大规模对公共区域进行系统监控

---

安全要求

NDPA 第 38 条要求采取适合风险的技术和组织安全措施。 NDPC 和 NITDA 已发布技术指南，具体说明：

最低技术措施：

• 个人数据存储和传输加密（传输采用TLS，敏感数据采用AES-256）
• 通过身份验证和最小权限进行访问控制
• 在可行的情况下使用假名
• 系统审计跟踪和访问日志
• 定期安全测试（至少每年一次）
• 事件检测和响应能力
• 安全备份和恢复

最低组织措施：

• 记录的隐私和安全政策
• 员工数据保护义务培训
• 数据分类框架
• 供应商/处理器安全评估
• 数据处理设施的物理安全控制

---

跨境数据传输

NDPA 第 43 条限制在尼日利亚境外传输个人数据。允许的机制：

1. NDPC 充分性决定：转移到 NDPC 确定的具有充分数据保护的国家/地区
2. 适当的保障措施：在保障措施下进行传输，为数据主体提供可执行的权利，包括：

• 公共当局之间具有法律约束力的文书
• 具有约束力的公司规则
• NDPC批准的标准合同条款
• 具有约束力承诺的认证机制

3. 明确同意：数据主体对拟议的传输、风险以及缺乏适当决策或保障措施的知情同意
4. 合同必要性：数据主体和控制者之间签订合同所需的传输
5. 切身利益：在无法获得同意的情况下保护切身利益
6. 公共利益：重要公共利益所必需的转让

NDPC 充分性决定：委员会正在制定其充分性框架。截至 2026 年初，尚未发布正式的充分性决定。在充分性框架成熟的情况下，标准合同条款是常规跨境转移的推荐机制。

---

违规通知

NDPA 第 40 条要求就个人数据泄露发出通知：

通知 NDPC：在发现可能对个人权利和自由造成风险的违规行为后72 小时内。

通知受影响的个人：如果违规行为可能对其权利和自由造成高风险，则不得无故拖延。

给NDPC的通知内容：

• 违规的性质和受影响数据主体的类别/大致数量
• 受影响的个人数据记录的类别和大致数量
• DPO 的联系方式
• 违规可能造成的后果
• 为解决违规问题而采取或提议的措施，包括减轻不利影响的措施

记录：所有违规行为（即使是不需要通知的违规行为）都必须在内部记录事实、影响和补救措施。

---

NDPC 执行和处罚

尼日利亚数据保护委员会 (NDPC) 是根据 NDPA 2023 成立的独立政府机构。权力包括：

• 接收并调查投诉
• 进行审计（计划内的和突击的）
• 发出合规通知
• 实施行政处罚
• 将刑事违法行为移交司法部长

行政处罚：

刑事处罚：NDPA 规定了某些违法行为的刑事责任，包括非法交易个人数据。 NDPA 第 48 条规定了包括监禁在内的刑事制裁。

NITDA 执行历史：根据 NDPR，NITDA 处以罚款，包括：Spenmo Technologies（1000 万英镑）、Julius Berger尼日利亚（1000 万英镑）、Integrated Corporate Services Limited（400 万英镑）。这些表明积极的执法延伸到在尼日利亚经营的国内和国际公司。

---

NDPA 合规检查表

• NDPA 适用性已确认（尼日利亚业务、尼日利亚客户/员工）
• 个人数据盘点完成
• 已识别敏感个人数据 — 已获得明确同意
• 确定儿童数据 — 实施家长同意机制
• 记录每项处理活动的合法依据
• 以英文准备的隐私声明，包含所有必需的披露信息
• 根据需要指定 DPO（每月 10,000 多个数据主体或敏感数据核心活动）
• 计划与 NITDA 许可的 DPCO 进行年度数据保护审计
• 记录数据主体权利程序
• 跨境转移评估已完成 — SCC 或其他机制已到位
• 实施的安全措施（加密、访问控制、审核日志记录）
• 针对高风险处理活动进行的 DPIA
• 记录违规通知程序（72 小时 NDPC 通知）
• 已完成 NDPA 义务员工培训
• 处理者协议（数据处理协议）的审查和更新

---

常见问题

既然 NDPA 2023 已经颁布，NDPR 是否仍然具有相关性？

NDPA 2023 取代了 NDPR 中相互冲突的条款。然而，NDPC 表示 NDPR 指导和合规机制在过渡期间仍然适用。重要的是，年度审计要求——NDPR 最显着的特征之一——在 NDPA 下继续存在。围绕 NDPR 制定合规计划的组织应审查 NDPA 的新义务或增强义务，特别是围绕数据主体权利、敏感数据、跨境传输和 DPO 要求的义务。

什么是数据保护合规组织 (DPCO)？为什么我需要一个？

DPCO 是经 NITDA/NDPC 许可提供数据保护审核和合规服务的组织。尼日利亚法律要求的年度数据保护审计必须由获得许可的 DPCO 进行——仅进行自我评估并不能满足要求。 DPCO 审查您的数据保护实践，发布合规报告，并代表您向 NDPC 提交审核报告。 NITDA 和 NDPC 网站上提供了获得许可的 DPCO 列表。对于在尼日利亚开展业务的海外公司来说，聘请 DPCO 对于履行年度审计义务至关重要。

“重要数据控制者”是什么意思以及哪些额外义务？

重要数据控制者被定义为每月处理超过 10,000 个数据主体的个人数据的人，或将敏感个人数据处理作为核心活动的人。这些实体的额外义务包括：强制性 DPO 任命、在 NDPC 注册（独立于 VERBIS 类型注册机构）、增强的年度审计要求以及潜在的额外合规性备案。中型和大型电子商务企业、金融服务公司、健康平台和电信运营商可能有资格成为重要的数据控制者。

尼日利亚的 NDPA 与 GDPR 相比如何？

NDPA 在结构和内容上大量借鉴了 GDPR——六个合法基础、相同类别的敏感数据（加上生物识别和遗传数据）、类似的数据主体权利、DPO 要求、DPIA 义务和违规通知。主要区别：(1) 尼日利亚的强制性年度外部审计没有 GDPR 同等规定； (2) NDPC 充分性确定不如欧盟委员会的充分性框架完善； (3) 尼日利亚的执法基础设施较新且仍在发展中； (4) NDPA 对大公司的处罚绝对值通常低于 GDPR 的最高限额； （5）尼日利亚跨境转移规则与GDPR结构相似，但具体机制在实施上有所不同。

NDPA 是否适用于在海外经营的尼日利亚公司？

是的。 NDPA 适用于尼日利亚实体，无论处理发生在何处。拥有离岸云基础设施、海外子公司或国际业务的尼日利亚公司在处理尼日利亚个人数据时仍须遵守 NDPA。相反，在尼日利亚境内处理尼日利亚人数据或向尼日利亚人提供商品/服务的海外实体也须遵守 NDPA 的域外条款。这为尼日利亚跨国公司带来了双重义务——尼日利亚数据的 NDPA 合规性以及其运营所在国家/地区的法律合规性。

---

后续步骤

尼日利亚的数据保护格局正在迅速成熟，NDPA 2023 建立了更强大的法律框架，NDPC 建立了执法能力。对于在尼日利亚开展业务的企业（无论是本地公司还是服务于尼日利亚市场的国际公司）而言，建立满足 NDPA 和 NDPR 持续要求的全面合规计划至关重要。

ECOSIRE 帮助在非洲运营的企业满足尼日利亚 NDPA 合规要求，通过设计实施数据保护，并建立 NDPC 要求的治理框架。

了解更多：ECOSIRE 服务

免责声明：本指南仅供参考，不构成法律建议。随着 NDPC 发布实施指南和法规，尼日利亚的数据保护框架正在不断发展。请咨询合格的尼日利亚法律顾问，获取针对您的组织的具体建议。