尼日利亚数据保护委员会（NDPC）发布的《2025 年通用应用与实施指令》（GAID）的主要法规更新

引言

2025 年一般应用和实施指令》（GAID）是尼日利亚数据保护委员会（NDPC）根据 2023 年《尼日利亚数据保护法》（NDPA）赋予的权力于 2025 年 3 月 20 日发布的一项重要监管文书。GAID 计划于 2025 年 9 月 19 日开始运行，旨在指导尼日利亚公共和私营部门数据处理活动对《尼日利亚数据保护法》的解释和实施。

 

根据《2025 年全球定位系统》进行的主要更新

以下是《2025 年一般应用与实施指令》（GAID）引入的最重要的更新，这些更新澄清并扩展了《2023 年尼日利亚数据保护法》（NDPA）的关键条款。

1. 废除作为管理框架的《国家发展政策框架

随着性别问题全球倡议的发布， 2019 年尼日利亚数据保护条例（NDPR） 在尼日利亚，《数据保护法》不再作为管理数据隐私和保护的法律框架。[1] 这与 国家残疾人法》第 64 条该法案为从 NDPR 到 NDPA 的转变提供了过渡条款。不过，在 GAID 发布之前根据 NDPR 合法采取的行动仍然有效，不受追溯影响。此次更新标志着尼日利亚正式全面过渡到以 NDPA 作为数据保护合规的唯一法律依据。

2. 家庭或个人数据处理义务

为家庭或个人使用而处理个人数据的个人仍必须尊重数据隐私，并可能因使他人数据处于风险中的行为而被追究责任。风险行为包括允许应用程序访问联系人列表、与他人或在网上共享数据、误操作存储个人数据的设备、口头或书面披露数据，以及允许未经授权访问个人信息。[2]

 

3. 扩大数据控制者和处理者的合规责任

GAID 为数据控制者和处理者引入了详细的合规框架。主要要求包括注册（在指定为主要数据处理者的情况下）、进行年度数据合规性审核、提交合规性报表、任命数据保护官（DPO）以及实施内部隐私培训和监控系统。[3] 各实体还必须发布明确的隐私和 cookie 通知，在 72 小时内报告数据泄露情况，并确保系统支持数据主体的权利，如访问、更正和可移植性。这些措施旨在将问责制和透明度纳入所有数据处理操作中。

 

4. "在尼日利亚开展业务 "现在包括针对尼日利亚人的外国实体

GAID 第 8 条扩大了对 "在尼日利亚运营 "的解释，将不在尼日利亚但以尼日利亚数据主体为 对象的数据控制者和处理者也包括在内。这意味着，任何组织，无论是否设在国外，如果处理个人数据的方式对尼日利亚的经济、社会或安全产生重大影响，都可能被归类为具有重大意义的数据控制者或处理者。NDPC 考虑的因素包括数据量和敏感性、跨境传输、第三方基础设施的使用以及数据主体面临的风险。为了使监管义务与数据处理规模相一致，实体被分为超高、特高和普通高三个级别。

 

5. 重大数据控制者和处理者的强制登记

第 9 条要求所有被指定为重要的数据控制者和处理者向 NDPC 注册。被归类为超高级别（UHL）或特高级别（EHL）的实体必须注册一次，只需提交年度合规申报表（CAR），而普通高级别（OHL）类别的实体必须每年更新注册，无需单独提交年度合规申报表。

实体还必须在其注册详细信息发生任何重大变更的 60 天内通知委员会。[4] 如果一个组织不再符合重要数据控制者或处理者的条件，可以申请从登记册中删除，但仍需承担任何未付费用。[5] NDPC 将每年公布和更新登记册，以确保透明度。[6]

 

6. 提交《国家发展计划法》合规审计报表 (CAR)

数据控制者/处理者必须进行定期审核，以评估风险并减少数据泄露。[7] 主要要求

• 基于风险的审计方法。
• UHL 和 EHL 实体的年度 CAR 申报；新实体必须在 15 个月内申报。
• 未按时申报将被处以 50% 罚金。
• 通过委员会平台提交 CAR，并可能要求提供更多信息。
• UHL/EHL 实体必须通过获得许可的数据保护合规组织 (DPCO) 进行备案。

 

7. 数据保护官 (DPO) 的指定、职位和资历评估

• 指定 DPO：数据控制者/处理者必须指定一名 DPO，可以是内部员工，也可以通过服务合同指定，并且必须将 DPO 的详细联系信息告知委员会。[8]
• DPO 的职位：数据处理专员必须积极参与数据处理决策，获得足够的支持，并直接向管理层报告。他们不应受到胁迫，其职责包括保密义务。在没有利益冲突的情况下，他们还可以承担其他任务。[9]
• 半年度数据保护报告：数据保护专员必须每六个月编制并提交一份数据保护合规性报告，内容包括隐私通知、数据安全、处理的合法依据等。[10]
• DPO 的证书评估：委员会将维护一个经认证的 DPO 数据库，并进行年度评估，以确保持续的专业性。DPO 必须符合特定标准，包括持续的专业发展，并可能接受核查。[11]

 

8. 需要同意和依赖同意的数据处理

• 对于直接营销、敏感数据、进一步不兼容处理、儿童数据、跨境传输以及具有法律影响的自动决策，都需要征得同意。[12]
• 依赖同意：应优先考虑同意，但如果同意破坏法治，也可考虑其他合法依据。委员会将评估权利和安全风险。[13]
• 问责制：数据控制者必须保存同意记录，确保撤销同意简便易行，并保证拒绝同意不会损害数据主体的权利。在特定情况下允许推定或默示同意.

 

9. Cookie 和跟踪工具的同意要求

GAID 加强了在网站或数字平台上部署 Cookie 或类似跟踪工具之前必须获得明确、知情和自由同意的要求。Cookie 横幅必须显示在显著位置，不要求用户滚动。虽然必要的 Cookie（支持网站核心功能且不处理敏感数据）不需要征得同意，但所有其他类型的 Cookie 都需要明确的 "接受 "或 "拒绝 "选项。网站所有者还必须提供有关目的、控制者和撤销程序的透明详细信息。在功能上与 Cookie 相似的工具须遵守相同的同意规则。[14]

 

10. 防止侵犯隐私的措施

GAID 为数据控制者和处理者引入了更严格的义务，以积极防止其平台、设施或网络被用于侵犯数据隐私权。在接到国家数据保护委员会关于滥用的通知后，他们必须立即限制违规方，等待调查。[15] 如果不按照这些指令行事，他们将承担教唆侵犯隐私的责任，被视为直接违反《国家数据保护法》。委员会将仅依据可信的文件或电子证据来确定是否存在违规行为。

 

11. 关于被遗忘权的说明

GAID 加强了数据主体在特定条件下要求删除其个人数据的权利，如不再需要数据、撤销同意、反对处理或处理方式非法，或法律要求删除。[16] 但是，如果出于公共利益、法律索赔、言论自由、公共卫生或科学/历史/统计目的而需要数据，则这项权利受到限制。当数据被公开或共享时，控制者必须确保在第三方提出要求时予以删除。数据控制者必须证明其主张的公共利益高于一切。

 

12. 数据当事人申诉标准通知 (SNAG)

如果数据主体认为其数据隐私权受到侵犯，可发出标准申诉通知 (SNAG)。[17] SNAG 可作为要求内部补救的模板，在向委员会提出申诉或采取法律行动之前并不需要 SNAG。它可以由数据主体、其代表或民间社会组织发布。委员会可创建一个电子平台来跟踪 SNAG。数据控制者或处理者必须通过该平台对 SNAG 做出回应，委员会可对未解决的申诉进行调查。SNAG 可通过各种通信方式发送，包括电子邮件和实体邮件。

 

结论
2025 年尼日利亚数据保护指令》标志着尼日利亚数据保护领域的重大演变，它提供了更明确的义务、更广泛的保护和更强大的执行机制。在该指令于 2025 年 9 月 19 日生效之前，各组织和个人必须开始根据该指令调整自己的做法。让领先企业参与其中非常重要 数据保护合规组织 (DPCO) 在尼日利亚或 数据隐私律师 他们帮助企业驾驭复杂的数据保护法规。他们帮助企业了解并遵守数据保护法律，降低风险，并与客户和利益相关者建立信任。

作者：Felicia Ayeomoni for Adeola Oyinlade & Co.

 

给我们发送电子邮件： [email protected]

电话号码+234 803 826 7683 / +234 802 686 0247

 

_________

作为尼日利亚顶级律师事务所之一，Adeola Oyinlade & Co 律师事务所为国内和跨国公司及客户提供公司法和商法方面的法律服务，尤其擅长数据隐私和数据保护法。我们的服务为我们赢得了 "全球律师 2024 年度法律奖"（Lawyers Global 2024 Annual Legal Awards）中的 "尼日利亚年度最佳律师事务所奖"（Nigeria Law Firm of the Year Award），并在 2022 年、2023 年、2024 年和 2025 年（连续 4 年）荣获 "全球企业奖"（Corporate INTL Global Awards）中的 "尼日利亚年度最佳国际律师事务所奖"（International Law Firm of the Year in Nigeria）。

[1]2025 年全球统一私法协会（GAID）第 3(3)条。

[2]全球统一私法协会（GAID）第 6(2)条，2025 年。

[3]2025 年全球统一私法协会（GAID）第 7 条。

[4]2025 年全球统一私法协会第 9(4)条。

[5] 2025 年 GAID 第 9(5)(6)条。

[6] 全球统一私法协会（GAID）第 9（7）条，2025 年。

[7] 2025 年全球统一私法协会（GAID）第 10 条。

[8] 2025 年全球统一私法协会（GAID）第 11 条。

[9] 2025 年全球统一私法协会（GAID）第 12 条

[10] 2025 年性别问题与发展全球倡议第 13 条

[11] 2025 年性别问题国际总联盟第 14 条

[12] 2025 年性别问题国际总联盟第 18 条

[13] 2025 年性别问题国际总联盟第 17 条

[14] 2025 年全球统一私法协会（GAID）第 19 条。

[15] 2025 年全球统一私法协会（GAID）第 32 条。

[16] 2025 年全球统一私法协会（GAID）第 38 条。

[17] 2025 年全球统一私法协会（GAID）第 40 条。