一、非洲数据保护的“三级跳”

非洲的数据保护进程呈现出从“自发立法”到“区域协同”再到“强力执法”的显著趋势。

（一）公约生效元年效应

自《马拉博公约》（即《非洲联盟网络安全和个人数据保护公约》）于2023年6月正式生效后，2024-2025年间非洲迎来了一波修法潮，旨在消除各成员国法律之间的冲突。

（二）执法刚性化

2026年，非洲各主要经济体的数据保护机构（DPA）已告别“警告期”。以南非、尼日利亚为首的国家，其监管机构的预算和人员编制在过去两年内翻倍，专项审计和检查已常态化。

二、核心法律规范及重点国家动态

在2026年的合规环境下，投资者需重点关注以下“法治坐标”：

（一）跨区域框架

非盟《数据政策框架》(Data Policy Framework)：该框架正推动非洲建立类似欧盟的“单一数字市场”，重点规范跨境数据流动。

（二）重点国家解析

1、南非《个人信息保护法》(POPIA)

2025年最新指南明确了AI生成内容的版权与数据保护归属。强制任命数据保护官（DPO）；对儿童隐私保护有极高要求；违规最高罚款1000万兰特或10年监禁。

2、尼日利亚《尼日利亚数据保护法》(NDPA)

2025年起尼日利亚强制要求重要数据处理者（MOPD）进行年度合规审计。严格的“数据本地化”要求；跨境传输需满足“充分性认定”或“标准合同条款”。

3、肯尼亚《数据保护法》(DPA 2019)

2026年重点整治金融科技（FinTech）领域的过度索权问题。数据处理必须在当地ODPC注册；对通过算法进行的“自动化决策”有严格的披露义务。

4、埃及《个人数据保护法》(No. 151/2020)

2025年细化了关于电子直销（Marketing）的许可标准。严禁未经明确授权的营销骚扰；设立数据保护中心（DPC）实施准入许可制。

三、深度影响：2026年投资者面临的合规新局

（一）算法透明度挑战

肯尼亚和尼日利亚等国已开始对App的算法推荐机制进行合规性审查。如果中国企业使用的算法存在歧视或诱导性，将面临下架风险。

（二）“数据本地化”的硬壁垒

为了数字主权，越来越多国家要求涉及国民医疗、身份、金融的数据必须物理存储在境内云服务器中。这要求中国投资者在建设IDC中心或选择云服务商（如华为云、阿里云非洲节点）时必须预先合规规划。

（三）刑事化趋势

不同于其他地区，非洲多国法律保留了对企业负责人的“刑事追责”条款，这意味着严重的数据安全事故可能引发高管的法律风险。

四、投资者应当注意的核心问题与提示

告别“一套模板走天下”的误区中国企业习惯使用一套隐私协议。但在2026年，南非的POPIA与埃塞俄比亚的草案在“同意（Consent）”的撤回机制上有细微差别。建议根据投资目的地法律进行“一国一策”的定制化协议。

（一）警惕“敏感个人信息”的超范围定义

在非洲，生物识别数据（指纹、面部）、宗教信仰、种族及族群归属、工会成员身份等均属于敏感数据。采集此类信息必须获得当地监管机构的专项书面许可，而非简单的点击确认。

（二）跨境数据传输的“合规补丁”

如果您需要将非洲分公司的数据传回中国总部，务必签订符合当地DPA要求的《跨境数据传输标准合同》。未签署此类合同会被判定为“非法跨境传输”。

（三）建立“72小时响应机制”

非洲多国法律要求，发生严重泄露后，必须在48-72小时内向监管局和受害者同时通报。建议企业在非洲建立本地合规团队，或委派第三方专业机构负责危机公关与法律申报。

（四）供应链合规的“连带责任”风险

投资者在非洲往往外包物流、支付等业务。若外包服务商发生数据泄露，作为数据控制者的中国投资者仍需承担首要法律责任。在合同中必须加入严格的数据保护违约追偿条款。

来源：蓝海现代法律，信息来源：瞭望非洲EYEFRICA微信公众号，作者：邹红艳