数据合规导航：尼日利亚数据保护法和跨境数据传输外国公司指南

导言

数据控制者是单独或与他人共同决定个人数据处理目的和方式的个人、私营实体、公共委员会、机构或任何其他机构。他们决定收集和处理个人数据背后的目标。另一方面，数据处理者是代表数据控制者或其他数据处理者或在其指示下处理个人数据的个人、私营实体、公共机构或任何其他机构。他们根据数据控制者的指令行事，并须按照数据保护法处理个人数据。跨境数据传输是指以电子或物理方式将数据从一个司法管辖区传输到另一个司法管辖区。这可以通过互联网、物理存储介质或其他通信形式进行。

在某些情况下，在尼日利亚运营的外资公司可能需要将尼日利亚数据主体的个人数据传输给其在其他司法管辖区的母公司或关联公司。但是，这种转移必须符合尼日利亚数据保护法律的要求。本文旨在指导从事跨境数据传输的组织如何保持合规并避免监管机构的潜在制裁。

重要的数据控制者和数据处理者

根据 2023 年尼日利亚数据保护法》第 65 条和《2025 年尼日利亚数据保护法一般应用和实施框架》第 8 条在尼日利亚，具有重要意义的数据控制者或数据处理者是指在尼日利亚注册、居住或运营的数据控制者或数据处理者，以及

1. 在六（6）个月内处理或打算处理两百（200）名以上数据当事人的个人数据；
2. 在任何可存储个人数据且属于他人的数字设备上开展商业信息通信技术（ICT）服务；或
3. 作为组织或服务提供商在以下任何行业处理个人数据：航空、通信、教育、电力、进出口、金融、卫生、酒店、保险、石油和天然气、旅游、电子商务、公共服务。

为了确保与各级主要数据处理有关的义务的相称性，《国家数据处理法》将数据控 制者和数据处理者划分为 3 个主要数据处理级别或类别，即

1. 超高水平（UHL）

该类别中最重要的数据控制者和数据处理者是在国家或地区一级运营的商业银行、电信公司、保险公司、跨国公司、配电公司、石油和天然气公司、公共社交媒体应用程序开发商和所有者、公共电子邮件应用程序开发商和所有者、通信设备制造商、支付网关服务提供商、金融科技公司以及在六（6）个月内处理超过五（5,000）名数据主体的个人数据的组织。他们需要支付 25 万纽币的法定注册费。

2. 超高水平（EHL）

该类别中最重要的数据控制者和数据处理者是政府部委、部门和机构（MDAs）、小额贷款银行、高等院校、提供三级或二级医疗服务的医院、抵押贷款银行以及在六（6）个月内处理超过一千（1,000）名数据主体但少于五千（5,000）名数据主体的个人数据的组织。他们需要支付 100,000 新纳尔的法定注册费。

3. 普通高等级（OHL）

这一类中最重要的数据控制者和数据处理者是中小学、企业培训服务提供商、初级保健中心、独立医学实验室、拥有少于五十（50）间套房的酒店和宾馆、出于商业目的处理超过两百（200）名数据主体的敏感个人数据的处理者，以及在六（6）个月内处理超过两百（200）名数据主体但少于一千（1000）名数据主体的个人数据的组织。他们需要支付 10 000 纳元的法定注册费。[1]

国家数据保护法》下的跨境数据传输

跨境数据传输是数据从一个司法管辖区到另一个司法管辖区的物理或电子移动。这种数据传输可以通过各种方式进行，如互联网、物理存储设备或其他通信方式。作为外国公司在尼日利亚子公司的数据控制者可以将数据传输到其在其他司法管辖区的控股公司，但这必须遵守《尼日利亚数据保护法》的规定，该法对尼日利亚数据的跨境传输做出了规定。

将数据从尼日利亚转移到另一个司法管辖区有多种理由，即

1. 国家发展和改革委员会的充足性决定
2. 国家发展和改革委员会批准的《跨境数据传输协议》（CBDTI）和
3. 其他合法依据。

 

1. 国家发展和改革委员会的充足性决定

这是由尼日利亚数据保护委员会（NDPC）确定适当的保障措施是否充分，从而允许数据从尼日利亚转移到另一个司法管辖区。尼日利亚数据保护委员会可根据以下条件判定一个国家是否提供了充分的数据保护

1. 是否有可强制执行的数据主体权利，数据主体通过行政或司法补救措施强制执行这些权利的能力，以及法治
2. 国家数据中心与接受国司法管辖区的主管当局之间是否存在任何适当的文书，以确保充分的数据保护
3. 公共机构获取个人资料
4. 存在有效的数据保护法
5. 独立、主管的数据保护或类似监督机构的存在和运作，并拥有足够的执行权力
6. 对相关国家及其多边或地区组织成员具有约束力的国际承诺和公约。[2]

 

1. 国家发展和改革委员会批准的跨境数据传输工具（CBDTI）

在没有充分性决定的情况下，国家数据保护委员会可批准数据控制者或数据处理者或一组数据控制者和数据处理者的 CBDTI。这些文书可称为

1. 行为守则
2. 认证
3. 具有约束力的公司规则，或
4. 标准合同条款。[3]

 

• 跨境转移的其他合法依据

国家数据保护法》承认，在特殊情况下，可能需要在没有适当性决定或已获批准的 CBDTI 的情况下进行跨境数据传输。

在《尼日利亚数据保护法》未规定充分保护的情况下，数据控制者/数据处理者只有在以下情况下才可将个人数据从尼日利亚转移到另一个国家：

1. 数据当事人在被告知因缺乏适当保护而可能给其带来的风险后，已对此类转移表示同意且未撤回同意；
2. 为履行数据当事人为一方的合同，或在签订合同前应数据当事人的要求采取措施，有必要进行转移；
3. 仅为数据主体的利益而转让，并且
4. 就該項轉移取得資料當事人的同意並非合理地切實可行；及
5. 如果获得同意是合理可行的，资料当事人很可能会给予同意；
6. 出于重要的公共利益原因，转让是必要的
7. 为确立、行使或捍卫法律主张而必须进行的转让；或
8. 在数据当事人在身体上或法律上无能力表示同意的情况下，为保护数据当事人或其他人的重要利益，有必要进行转移[4]

國 家 保 障 資 料 發 展 委 員 會 獲 賦 權 決 定 某 國 家 、 地 區 或 國 內 某 特 定 行 業 是 否 提 供 足 夠 程 度 的 保 障 。如果国家数据保护委员会认为向其提出的具有约束力的公司规则、标准合同条款、行为守则、认证机制或任何类似的数据保护文书符合适当的数据保护标准，则数据保护管理局可予以批准。

 

建议数据控制者和数据处理者采用的合规检查清单

为遵守《国家数据保护法》的规定，除其他外，数据控制者或数据处理者应

1. 根据《国家数据保护法》的规定，在委员会登记为数据控制者或委员会确定的具有重大意义的数据处理者。
2. 在业务开始后十五（15）个月内进行 NDPA 合规性审计，此后每年进行一次。
3. 对于具有重大意义的数据控制者和数据处理者（超高级别和特高级别），应在每年 3 月 31 日之前向委员会提交 NDPA 合规审计报表 (CAR)。
4. 编制并保存半年期数据保护报告，报告应在六 (6) 个月内对数据处理情况进行详细分析
5. 制定并落实关于数据隐私和保护的全组织内部宣传和培训计划，以培养一种遵守《国家数据保护法》和最佳做法的文化。
6. 确定《国家数据保护法》规定的与数据控制者或数据处理者有关的所有义务，并编制合规表
7. 对于重要的数据控制者或数据处理者，应指定一名数据保护官 (DPO)。
8. 制定或审查其组织隐私政策，隐私政策应符合《国家数据保护法
9. 在其平台上发布组织隐私政策，以提高数据主体对数据处理活动及其权利的认识
10. 在网站主页上提供隐私和 cookie 通知。cookie 通知应给予资料当事人拒绝或接受通知的机会；cookie 通知的显示方式必须明显遮挡网站主页的中间、左侧或右侧。将 cookie 通知显示在网页底部，数据当事人可能会忽略或不注意，这等同于数据处理缺乏透明度。
11. 确保隐私政策和通知透明，并在进行数据处理的平台/场所适当提供。
12. 制定并分发内部数据保护策略或政策以及基本隐私核对表，以帮助工作人员和其他相关人员（如供应商、代理和承包商）了解组织在处理个人数据方面的方向，并概述他们为确保组织的方向得到维护而应采取的步骤
13. 根据《国家数据保护法》的要求或委员会的指示，进行数据隐私影响评估 (DPIA)。
14. 在意识到个人数据泄露后 72 小时内通知委员会。
15. 在意识到个人数据泄露可能对其隐私构成高风险后，立即通知数据当事人；
16. 更新与第三方处理者的协议，以确保遵守 NDPA。
17. 设计系统和流程，使数据主体能够无缝地请求和访问数据。
18. 设计系统和流程，使数据主体能够轻松更正或更新其个人数据
19. 设计系统和流程，使数据主体能够轻松地将数据传输到另一个平台或个人（自然人或人工）；
20. 至少在开业后六（6）个月内，并至少每年对其员工进行一次数据保护法律和实践方面的培训；以及 14
21. 向数据主体明确解释投诉程序，包括向委员会提出投诉的权利。

结论

实施稳健的数据保护战略对于企业确保遵守《尼日利亚数据保护法》（NDPA）、维护客户和利益相关者的信任至关重要。通过遵循概述的政策和程序，企业可以保护个人数据、应对数据泄露并尊重数据主体的权利。主要措施包括进行数据隐私影响评估、将违规事件通知委员会和数据主体、更新与第三方处理者的协议，以及设计促进数据主体权利的系统。人员的定期培训和投诉程序的明确沟通也至关重要。通过优先考虑数据保护，企业可以为数据隐私和安全奠定坚实的基础。

作者

奥拉米莱坎-法耶米

协理

电子邮件： [email protected]

____________________

 

Adeola Oyinlade & Co 是一家领先的律师事务所，专门从事数据保护和隐私业务。作为一家获得许可的数据保护合规组织 (DPCO)，该律师事务所提供的服务包括数据保护审计和监管备案，并提供包括数据泄露应对和跨境数据传输咨询在内的全面服务。您可以通过 [email protected] 或致电 +234 802 686 0247 / +234 803 826 7683 与我们联系，了解更多信息和咨询。

[1] 2025 年非洲发展新伙伴关系》第 8(4)条

[2] 2023 年《新法令》第 42(2)条

[3] 2023 年《新法令》第 42(6)条

[4] 2023 年《新法令》第 43(1)条