- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

    2020年7月15日埃及公布《数据保护法》，3个月后正式生效，共14章49条，系埃及国内首部关于个人数据保护的专门立法。该法的出台是埃及全面提升其国内数据保护水平的重要体现。从内容上看，埃及《数据保护法》充分借鉴了欧盟《通用数据保护条例》（以下简称GDPR)，构建了个人数据保护的基本法律框架，在此基础上结合本国国情作了一定的调整及创新，主要内容及特点体现在以下7个方面。

    第一，在管辖范围上，坚持属人兼属地原则。

    埃及《数据保护法》在管辖范围上遵循属人兼属地原则，即如果被侵犯的数据主体是埃及本国公民（无论其是否在埃及境内）或居住在埃及境内的外国人，无论其侵权行为实施者是否为埃及人都适用该法。同时，埃及《数据保护法》适用于在埃及境内设立的所有数据机构，包括数据控制者、数据处理者及数据持有者等，即便数据处理行为不在埃及境内发生，也会受到该法的管辖。

    在个人数据处理活动的适用类型上，埃及《数据保护法》进行了限缩。相较欧盟GDPR适用于任何媒介手段下的所有数据处理活动，埃及法仅能适用于以电子方式处理的个人数据，如电子邮件或基于云服务器而产生的电子形式的数据处理服务等。换言之，该法并不适用于以传统邮寄方式发出的广告邮件等活动。

    同时，埃及《数据保护法》第3条作了相当广泛的适用豁免规定，其中包括：自然人基于个人使用而进行的数据处理；基于官方统计目的进行的数据处理；与司法记录、调查和司法程序有关的个人数据处理等。其中，埃及中央银行以及所有受中央银行监管的金融机构并不适用该法。

    此外，考虑到网络空间国家安全及数据主权的重要性，埃及国家安全机构在其职责范围内进行的个人数据处理也不受该法规制。数据控制者或处理者应当按照国家安全机构的要求，在特定期间内编辑、删除、传输或授权访问个人数据。

    第二，对于个人敏感数据施以更严格的保护措施。

    埃及《数据保护法》对“个人数据”“个人敏感数据”的定义，与欧盟GDPR基本一致。“个人数据”，即指任何一个可识别或已识别的自然人（数据主体）能够被直接或间接识别，如姓名、声音、图片、身份证号、在线标识符，或者与该自然人心理、健康、经济、文化或社会身份有关的任何数据。“个人敏感数据”，则涵盖涉及自然人心理、精神、身体或遗传健康状况、生物特征、财务、宗教信仰、政治观点等以及与儿童有关的个人数据。

    埃及《数据保护法》第12条专门规定了个人敏感数据的处理规则。数据控制者或处理者如需进行个人敏感数据的收集、访问、转移、存储、保留或处理，必须获得埃及数据保护中心的许可，除非该处理行为已经取得数据主体“明确的书面同意”。为了保障个人敏感数据保护的措施能够切实得到执行，该法对于违反个人敏感数据的处理义务施以较重的刑事制裁，违法行为人将会被处以不少于3个月监禁及（或）不少于50万至500万埃及镑的罚款，保护力度可见一斑。

    第三，设立了个人数据保护的专门执法机构，以提高法律实施质效。

    为了确保埃及《数据保护法》得以贯彻施行，该法设立了专门的数据保护监管机构——数据保护中心。该中心的主要职责包括：制定有关个人数据保护的政策及计划；明确涉及个人数据保护的标准、规则、程序及决定；与其他政府部门及非政府部门合作；支持政府和非政府部门有关个人数据保护工作人员的培养计划；向数据控制者或处理者签发有关个人数据保护的许可证、认证证书等；开展关于个人数据保护的教育、培训、宣传等。

    数据保护中心最高权力机构是理事会，理事成员分别来自国防部、内务部、情报总局、行政管理局、信息技术产业发展局、电信管理局等部门，每届任期为3年。为了保障中心独立履行其监管职责，该法案授权中心拥有专项财政预算编制，在中央银行设有自己的银行账户。

    在监管方面，比较有特色的是埃及数据保护中心的许可及认证管理制度，即无论是个人数据的收集、存储、跨境传输，还是个人敏感数据的处理以及电子直销等，都需要取得数据保护中心的许可或认证。

    而取得许可或认证的标准也比较严苛，除了提交证明其具有数据处理和保护能力的所有证明材料，还需缴纳一定的费用，其中许可证不超过200万埃及镑，认证不超过50万埃及镑。一旦发现数据控制者或处理者不再符合许可或认证条件，数据保护中心即可撤销其许可或认证。

    由此可见，在埃及从事相关的个人数据处理活动需要取得专门的营业牌照，这也从事实上提高了个人数据处理的准入门槛，只有那些具备个人数据保护能力及资质的组织和机构才可从事数据处理活动。

    第四，赋予数据主体明确的法定权利，以强化数据主体对其个人数据的有效控制。

    埃及《数据保护法》第2条专门规定了数据主体所享有的权利，以强化对个人数据的保护，主要包括：数据访问权，数据主体有权知道哪些个人数据正被处理、由谁处理，并有权访问这些数据；数据撤回权，数据主体有权撤回对个人数据处理的授权；数据修改、编辑、删除及更新权，数据主体有权要求对数据进行及时更正、补充；数据限制权，数据主体有权要求数据使用者限制对其个人数据的处理；个人数据泄露的知情权，数据主体对涉及其个人数据的任何泄露情况都有权知悉；数据处理反对权，数据主体一旦发现涉及其个人数据处理的活动侵犯了基本权利和自由，有权反对相关的数据处理活动。

    第五，对数据控制者和数据处理者施以同等的数据保护义务。

    埃及《数据保护法》设专章（第3章）规定了数据控制者和处理者的义务。对于采集并处理个人数据的数据控制者，该法规定了12项义务，包括：处理个人数据前，应取得数据主体同意；确保个人数据按收集目的和指定用途处理；采取必要的技术和管理措施确保个人数据不被泄露、非法编辑或操控、攻击等；在达到指定目的后，应及时删除个人数据；因合法事由确需保留该个人数据的，则应以去识别化方式保留；如果个人数据存在错误，应立即更正；应留存有关个人数据处理的全部记录；埃及境外的数据控制者应在埃及境内委任一名代表等。

    在数据处理活动中，数据处理者往往根据数据控制者的指令或协议约定，基于数据控制者利益而进行数据处理，其法律地位相当于数据控制者的代理人。

    与欧盟GDPR及非洲绝大多数国家的数据保护立法主要规范数据控制者不同，埃及《数据保护法》对数据处理者施加了与数据控制者同等的监管措施。其中，第5条不仅明确规定了数据处理者的审慎注意义务，而且这些义务内容与数据控制者所需履行的义务基本相同。数据处理者一旦违反上述规定，将与数据控制者面临同样程度的法律制裁。

    在数据泄露的通知及告知义务方面，相比欧盟GDPR的模糊规定，埃及《数据保护法》则更为具体、清晰，还特别规定了涉及国家安全事项的通知要求。第7条不仅明确了数据控制者及处理者向数据保护中心告知数据泄露的时限要求（自发现泄露之日起72小时内）以及通知数据主体的时限要求（自告知中心之日起3日内），而且还强调了如果数据泄露内容涉及国家安全，数据控制者及处理者则应立即告知数据保护中心，该中心须自收到通知之日起72小时内向国家安全局报告数据泄露的详细情况。

    需注意的是，在数据保护官的设置方面，埃及《数据保护法》对数据控制者及处理者提出了更高要求。第8条规定，所有数据控制者或处理者都应当任命一名数据保护官，专门负责个人数据安全工作，其相关信息及联系方式需登记在数据保护中心指定的登记簿中，并面向公众予以公开。如果企业未能任命数据保护官则需承担刑事责任，即处以不少于20万但不超过200万埃及镑的罚金；由于数据保护官的疏忽而发生违规行为，则应处以不少于5万但不超过50万埃及镑的罚款。显然，埃及对所有企业不分规模大小，统一作了组织机构方面的要求，虽然体现出对企业数据合规的重视，但也会增加中小企业的合规成本。

    第六，在跨境数据传输方面，遵循“不低于本国数据保护要求”原则。

    对个人数据跨境传输实施监管也是埃及《数据保护法》的重要内容，数据传输至埃及以外的任何第三国，必须同时满足两个条件，一是该数据输入目的国必须提供不低于埃及个人数据保护同等水平的保护，二是该跨境输出已经获得数据保护中心的许可。也就是说，数据跨境传输需同时满足同等保护水平的实质性要求以及获得监管机构许可的程序性要求。

    同时，埃及《数据保护法》第15条规定了数据跨境传输的例外条款，为基于保护数据主体利益或公共利益而进行的数据跨境传输提供了可能。如果数据输入国的数据保护水平低于埃及，但如果满足下列条件仍可以进行跨境数据传输：（1）获得数据主体的明示同意；（2）数据处理是必要性，且符合以下任一目的：出于保护数据主体生命健康之所必需；在司法程序中行使诉权或抗辩权；为数据主体利益签订或履行合同；保护公共利益之所必需；履行国际司法协助之所必需；依法进行货币转移；履行双方或多边国际条约之所必需。

    显而易见，埃及法在数据跨境传输的限制条件上，是遵循“不低于本国数据保护要求”原则。至于第三国保护水平高低标准的评判，则属于埃及数据保护中心的裁量范围，将结合该国或地区的相关法律制度、对公民个人数据及基本权利的尊重程度、立法执法及司法情形，进行综合评判。

    第七，对违法行为设定较重的行政及刑事责任，确保数据处理规范得以有效遵守和执行。

    埃及《数据保护法》法律责任条款规定极为全面、细致，堪称责任设定的“典范”。责任主体不仅包括数据控制者及数据处理者，还涵盖数据保护中心的工作人员、其他组织和个人；惩罚措施不仅涉及行政处罚，情节严重的还可能被施以刑事制裁。

    违反埃及《数据保护法》的行政处罚措施，主要包括警告、暂停、吊销执照或许可证等。其中，为了强化惩戒效果，还增加了名誉罚和技术罚，前者可通过一种或多种媒体向不特定公众公开数据控制者或处理者的违法行为，后者则强制要求数据控制者或处理者接受数据保护中心的技术监督以确保其对个人数据的保护。

    第14章专章规定了刑事责任和制裁措施。数据控制者或处理者违反该法的，应承担以刑事责任：（1）非法收集、处理、披露、授权访问或流转个人数据的违法行为，处以不少于10万但不超过100万埃及镑的罚金；如构成损害或意图损害数据主体的合法权利，则可处以不少于6个月的监禁及不少于20万且不超过200万埃及磅的罚金；（2）非法阻止数据主体行使法定数据权利，如构成此违法行为，则处以不少于10万但不超过100万埃及镑的罚金；（3）数据控制者或处理者违反其法定义务的，处以不少于30万但不超过300万埃及镑的罚金；而且，为了提升惩戒效果，该法还实行“双罚制”。数据控制者或处理者为法人的，如果能够证明其实际管理者知道该法人从事相应的违法行为，该管理者也需承担与法人同样的刑事责任。

    埃及《数据保护法》在法律责任、跨境数据保护、数据主体的权利以及数据控制者和处理者的义务设定等方面体现出其鲜明的本土特色。该法的出台对于提升埃及整体的个人数据保护水平意义重大，完善了埃及国内的个人数据保护制度，并通过制定达到国际最佳实践标准的数据保护法来改善本国的营商环境，以吸引更多的外国投资者，助力埃及的技术创新和数字转型。

    〔作者单位：上海政法学院 北京德和衡（上海）律师事务所〕

消息来源：人民法院报