東非小國烏干達要求Google注冊數據控制者身份
責編:gltian |2025-07-21 10:45:44在全球數據保護監管日趨嚴格的今天,一個看似不起眼的東非國家烏干達,卻以其果斷的執法行動向世界展示了數據主權的力量——即使是科技巨頭Google,也必須在數據控制者注冊和保護官指定這一看似簡單的合規要求面前低頭。
2025 年 7 月 18 日,烏干達個人數據保護局(PDPO)宣布谷歌存在違規行為,因其未在 PDPO 注冊即開展運營,且”在未能證明具備充分保障措施”的情況下將烏干達公民數據傳輸至境外。
這是烏干達作出的一項具有里程碑意義的裁決,認定Google LLC構成數據控制者,受該國《數據保護和隱私法》管轄。
烏干達個人數據保護辦公室(PDPO)裁定谷歌有限責任公司屬于該國《數據保護與隱私法》管轄的數據控制者/收集者,基于違規行為,烏干達當局責令該公司在 30 天內完成注冊、指定本地數據保護官并提交跨境傳輸合規框架,警告持續違規可能招致按日計罰或刑事處罰。PDPO 強調該法案具有域外效力,適用于任何從烏干達用戶獲利的實體,并以谷歌在當地的納稅存在作為監管管轄權的佐證。
烏干達這一國家,早在2019 年就頒布《數據保護與隱私法》,歷史甚至比中國還更早。《2019 年數據保護和隱私法》第 29 條和 2021 年《數據保護和隱私條例》第 15(1) 條要求所有收集和處理個人數據的個人、機構和公共機構向 PDPO 進行注冊,PDPO 已為此授予至 2021 年 12 月的寬限期。
根據該法第 29 條,所有收集、控制或處理個人數據的個人、機構和組織都必須向個人數據保護辦公室(PDPO)進行注冊。此項合規要求對于避免因未注冊而產生的處罰和罰款至關重要。
PDPO 注冊流程簡便:組織只需登錄 PDPO 門戶網站(www.pdpo.go.ug)賬戶,提交申請表及 10 萬先令注冊費的付款證明等支持文件。申請經審核確認符合所有要求后,將在七個(07)工作日內向申請人頒發有效期一年(01)且可逐年續期的注冊證書。
目前來看,已經有近6795家組織進行了注冊。
Google LLC是如何被當地監管發現問題的呢?
2025年5月27日,有四名烏干達數字權利活動家作為申請人,將烏干達個人數據保護辦公室(PDPO)和全球科技巨頭谷歌告上當地高等法院,指控這兩者違反了烏干達的數據保護法并損害了公民的數字隱私權。
申請人Mercy Awino、Frank Ssekamwa、Leni Sharon Pamela和Raymond Amumpaire 聲稱,Google LLC 和 Google Uganda -直在收集和處理烏干達人的個人數據,但未按照《數據保護和隱私法》(第 97章)的要求向 PDPO 注冊。
之所以PDPO也被稍帶上,核心原因在于申請人向PDPO投訴后,申請人認為PDPO長期不作為。“這個案子不是關于賠償的,”請愿人Raymond Amumpaire 說,“這是為了確保強大的科技公司遵守我們的法律。”他的共同請愿人萊妮·莎朗·帕梅拉(Leni sharon Pamela)補充說:“如果我們允許法律為強者屈服,它就會為我們其他人打破。
似乎可以拍點電影了!
至于我國2025年7月18日發布的《關于開展個人信息保護負責人信息報送工作的公告》,和本文中的概念沒有半毛錢關系,不要強行聯想!
但是,中國的個人信息保護法該開始反思域外效力毫無作用的問題了,最近看到了太多的問題。