摩洛哥数据保护&个人信息保护要点

来源:垦丁(广州)律所

文章摘要
引言 摩洛哥作为非洲北部的重要经济体,吸引着越来越多的中国企业前来投资兴业。然而,摩洛哥的数据合规要求与中国有着显著的不同,这为中国企业在摩洛哥开展业务带来了诸多挑战。

引言
摩洛哥作为非洲北部的重要经济体,吸引着越来越多的中国企业前来投资兴业。然而,摩洛哥的数据合规要求与中国有着显著的不同,这为中国企业在摩洛哥开展业务带来了诸多挑战。因摩洛哥数据领域立法有其独特的地方,为了便于各出海企业了解当地数据保护相关法律法规,我们特撰写此文,愿出海成为各企业的增长曲线,而非风险本身。
一、摩洛哥数据相关立法一览
《关于个人数据处理保护的法律第09-08号》,以下简称(第09-08 号法律)颁布于2009 年 2 月 18 日。该法律的实施条款为2009 年 5 月 21 日颁布的 《2-09-165号法令》。上述两项法律文件统称为数据保护法。
二、监管机构
根据第09-08 号法律,数据保护国家委员会(CNDP)负责发布数据保护指南,并在数据保护领域拥有执法权力。
三、近期动态



  1. 摩洛哥数据保护机构(CNDP)于 2023 年 1 月 9 日宣布,已从提供在摩洛哥某些国家外国大使馆代表收集签证申请的 TLScontact 处收到确认,该机构遭受了数据泄露。特别是,CNDP 强调 TLScontact 确认了每五分钟将视频监控录像中提取的图像定期传输给两个外国政府机构的做法。此外,CNDP 解释说,它继续调查这一数据泄露事件,它已通知 TLScontact 必须在 2023 年 2 月 28 日之前使其所有个人数据处理符合义务,并且 CNDP 网站上专门的一页将从 2023 年 1 月 12 日起允许数据主体跟踪调查。

  2. 摩洛哥数据保护机构(CNDP)于 2022 年 11 月 2 日宣布,已与国家安全总局(DGSN)、摩洛哥中央银行和摩洛哥银行协会签署了一项关于国家第三方认证系统供应和使用的框架协议。特别是,该系统旨在验证寻求访问在线银行服务的人员的身份,并使他们的数据更加可靠。此外,CNPD 提到,上述系统旨在通过遵守个人数据保护标准,确保银行运营免受身份盗窃和洗钱风险的侵害。
    四、法律法规主要内容
    (一)关键定义
    Data controller 数据控制者:根据第09-08 号法律第1.5 条,数据处理者是指自然人、法人、公共当局、部门或其他机构,该机构单独或与他人共同决定个人数据处理的目的和方式。当处理的目的和方式由立法或监管规定确定时,数据处理者必须在管理该组织运营的法律或该实体法定或依法有权处理相关个人数据的章程中指明。
    Data processor 数据处理者:根据第09-08 号法律第1.6 条,数据处理者是指代表控制者处理个人数据的自然人、法人、公共当局、部门或其他机构。
    Personal data 个人数据:根据第09-08 号法律第1.1 条的规定,个人数据是指任何有关已识别或可识别的自然人的信息,无论其形式和载体为何,包括声音和图像等。
    Sensitive data 敏感数据:根据第09-08 号法律第1.3 条,敏感数据是指揭示数据主体种族或民族起源、政治观点、宗教或哲学信仰、或工会成员资格的个人数据,或与其健康相关的数据,包括遗传数据等。
    Data subject 数据主体:根据第09-08 号法律第1.1 条,数据主体指可以被识别的自然人,包括通过识别号码或其身体、生理、遗传、心理、经济、文化或社会身份的特定因素直接或间接地识别。
    Health data 健康数据:根据第09-08 号法律的规定,健康数据被视为敏感数据。因此,根据第09-08 号法律第12-1-C 条的规定,基因数据在处理基因数据的条件以及与健康相关的条件方面,与健康数据类似处理。
    根据第09-08 号法律第22 条的规定,以下信息被视为健康数据:



  • 预防医学

  • 医疗诊断;

  • 护理或治疗的行政管理或医疗服务的管理,并且由受职业保密义务约束的卫生实践者或任何其他也受保密义务约束的人执行。
    (二)合法性基础



  1. 同意
    同意作为处理的法律依据在第09-08 号法律第4 条中,该法规定,只有在数据主体明确表示同意进行相关操作的情况下,方可处理个人信息。第四条法律第09-08 号引入了例外情况,不必要取得同意的情形如下:



  • 为遵守数据主体或数据控制者所受的法律义务;

  • 合同中数据主体为当事人的合同履行,或数据主体请求采取的先合同措施的履行;

  • 为保护数据主体的重大利益,如果他们因身体或法律原因无法给予同意;

  • 执行为公共利益或行使官方权力而由控制器或数据披露给第三方的任务的表现;

  • 为实现数据控制者追求的合法利益,前提是不得侵犯数据主体的利益或基本权利和自由。



  1. 与数据主体签订合同
    根据第09-08 号法律第4(b)条的规定,本法律依据提供,当数据处理对于履行数据主体为当事人的合同或履行数据主体请求的合同前措施是必要时,同意权不适用。

  2. 法律义务
    法律义务作为法律依据也足以使同意权不适用于数据主体,如第09-08 号法律第4 条(a)款所规定的,当数据处理是“遵守数据主体或数据控制者所受的法律义务”所必需时。

  3. 数据主体的利益
    第09-08 号法律第4(c)条规定,当处理数据对于保护数据主体的生命攸关利益是必要的,且他们无法以身体或法律方式给予同意时,无需征得同意。

  4. 公共利益
    第09-08 号法律第44 条中,关于将数据传输至不符合第09-08 号法律第43 条规定的国家,允许在为维护公共利益的情况下进行此类传输。

  5. 数据控制者的合法利益
    第09-08 号法律第3 条规定,为实现数据控制者与处理者追求的合法利益可以作为合法性基础,但前提是不得侵犯数据主体的利益或基本权利和自由。
    (三)控制者&处理者义务

  6. 数据处理通知
    第09-08 号法律在第12 条中规定了数据处理注册的要求。第12 条规定,除非法律另有规定,个人数据处理必须符合以下要求:
    处理相关时需事先授权
    在所有其他情况下均需提前声明。

  7. 数据传输
    法律第09-08 号第43 条规定,在接收国没有确保传输数据的适当保护框架时,不得进行此类数据传输。

  8. 数据处理记录
    根据第09-08 号法律,数据控制者和/或数据处理者有义务维护数据处理记录。

  9. 数据保护影响评估
    2020 年 12 月 14 日,CNDP 发布了关于数据保护影响评估(DPIA)的决议第D-188-2020 号数据保护影响评估(DPIA)用于在基于责任原则的法规背景下定义责任。此情况下,数据控制者编制 DPIA,并在检查时必须将其提交给负责个人数据保护的当局。对于监管机构指定的敏感处理操作,在部署这些操作之前,必须提交 DPIA 进行验证。

  10. 数据泄露通知
    根据 09-08 号法律第 23 条的规定,数据控制者必须采取适当的技术和组织措施,以防止个人数据因意外或非法破坏、意外丢失、变更、传播或未经授权访问而受到损害,特别是在涉及网络数据传输的处理过程中,以及防止任何其他形式的非法处理。
    摩洛哥数据保护法第28 条规定,CNDP 有权:
    -- 接收任何数据主体提出的投诉,该主体认为他们因个人数据处理活动的发布而受到损害,进行调查并下令发布更正或/和将案件转交给国王检察官以进行起诉;
    -- 评估,应公共当局尤其是司法当局的要求,在因适用本法或其应用所采用的文本而产生的争议中,对其评估提交的要素。

  11. 数据保留
    第09-08 号法律第三十一条(e)条规定,保存数据不得超出收集这些数据的目的。

  12. 特殊类别的个人数据
    --犯罪定罪数据
    第09-08 号法律第49 条和第50 条规定了关于处理犯罪记录数据的处理要求,指明了特定主体才可以执行此类数据的处理。
    --健康数据
    关于健康数据,第09-08 号法律规定了此类数据的处理规定。根据第09-08 号法律第12 条,如果包含遗传数据,则不适用事先授权的要求。

  13. 数据控制者与处理者签订合同
    根据第09-08 号法律,当数据处理者根据第09-08 号法律第23.3 条被视为委托者时,数据控制者与处理者之间必须签订合同。
    (四)数据主体权利

  14. 知情权
    第09-08 号法律第5 条规定,任何直接被征求收集其个人数据的个人必须首先由数据控制者或其代表以明确、精确和明确的方式对其告知。

  15. 访问权
    第09-08 号法律第7 条规定了访问权,指出数据主体有权免费且无延迟地获得确认其个人数据是否正在被处理,以及关于目的、数据类别和接收者的信息。其还有权以可理解的形式访问和接收其个人数据,包括关于数据来源的信息。数据控制者可以要求 CNDP 设定最后期限或回应访问请求,并且可以反对明显滥用性的请求,举证责任在数据控制者。

  16. 更正权
    根据第09-08 号法律第8 条的规定,数据主体有权要求更新、更正其个人数据,如果其处理不符合法律,数据控制者必须在 10 天内进行必要的更正。如果数据控制者未予回应,数据主体可要求 CNDP 调查并纠正数据,若成功,则必须通知数据主体。

  17. 删除权
    根据第09-08 号法律第8(a)条赋予数据主体的删除权,允许在数据处理不符合第09-08 号法律要求时进行此类删除。

  18. 异议/退出权
    数据主体有权在提供身份证明的情况下提出异议,并且仅基于合法理由,对根据第09-08 号法律第9 条所述的数据处理提出异议。他们有权免费反对其数据被用于市场调研目的,特别是商业目的,由当前或未来的数据控制者使用。对此权利的例外情况是,处理是在履行法律义务的情况下进行的,或者根据授权此类处理的法案的明确规定,排除适用这些规定。

  19. 有权不被纳入自动化决策
    这项权利根据第09-08 号法律第11 条赋予数据主体,该法律要求不得仅基于自动化处理作出可能对数据主体产生法律效力的司法决定。
    根据第09-08 号法律第11 条,这项权利不包括在合同订立或履行过程中作出的决定,对于这些决定,数据主体已有机会发表意见,或者是对数据主体请求作出的决定。

  20. 其他权利
    第09-08 号法律第10条禁止使用自动呼叫机、传真机、电子邮件或类似技术进行直接推销,除非数据主体事先同意。根据第09-08 号法律第10条,直接推销是指发送任何旨在直接或间接促销商品、服务或数据主体销售商品或提供服务形象的任何信息。
    (五)罚则
    第09-08号法律规定的处罚规定在第52 条和第65 条:
    第五十二条规定,当未遵守第09-08 号法律第十二条规定的申报或授权要求时,将实施罚款,罚款金额为 10,000 至100,000 迪拉姆(约合 1,025 至10,250 美元)。
    第五十三条指出,任何拒绝根据第09-08 号法律提供访问、更正或反对权的数据处理者,将被处以 20,000 至200,000 迪拉姆(约合 2,050 至20,505 美元)的罚款,每次违规。
    第五十四条规定,任何违反第09-08 号法律第三条的人,可能面临三个月至一年的监禁,以及从 20,000 迪拉姆至200,000 迪拉姆(约合 2,050 美元至20,505 美元)的罚款。
    第五十五条指出,任何超出法律或授权期限保留个人数据的人,将面临三个月至一年不等的有期徒刑,以及从 20,000 迪拉姆至200,000 迪拉姆(约合 2,050 美元至20,505 美元)的罚款。此规定不适用于历史、统计或科学性质的数据。
    第五十六条指出,任何违反第09-08 号法律第四条关于同意规定的人,也将面临三个月至一年不等的有期徒刑,以及从 20,000 迪拉姆至200,000 迪拉姆(约合 2,050 美元至20,505 美元)的罚款。
    第五十七条指出,未经数据主体明确同意,处理根据第09-08 号法律第一编第三条规定的揭示信息之个人数据的人,应受到三个月至一年不等的有期徒刑,并处以五万至三十万迪拉姆(约合 5,125 至30,755 美元)的罚款。上述规定亦适用于与犯罪、定罪或安全措施相关的个人数据。
    第五十八条指出,任何违反第09-08 号法律第二十三条和第二十四条的人,将面临三个月至一年不等的有期徒刑,以及从 20,000 迪拉姆至200,000 迪拉姆(约合 2,050 美元至20,505 美元)的罚款。
    第五十九条指出,尽管数据主体符合第09-08 号法律,但未经其明确反对处理个人数据的任何人,将面临三个月至一年不等的有期徒刑,以及从 20,000 迪拉姆至200,000 迪拉姆(约合 2,050 美元至20,505 美元)的罚款。
    第六十条规定,任何违反第09-08 号法律第四十三条和第四十四条将个人数据传输至外国的个人,将面临三个月至一年不等的有期徒刑,以及从 20,000 迪拉姆至200,000 迪拉姆(约合 2,050 美元至20,505 美元)的罚款。
    第六十一条指出,任何导致或便利处理或接收的数据被不当或欺诈性使用的数据控制者或处理者,即使因疏忽,也应受到三个月至一年不等的有期徒刑,以及从 20,000 迪拉姆至200,000 迪拉姆(约合 2,050 美元至20,505 美元)不等罚款的处罚。
    第六十二条规定,任何违反以下规定的人将受到三个月至六个月的监禁,并处以 10,000 至50,000 迪拉姆(约合 1,025 至5,125 美元)的罚款:
    (1)阻碍 CNDP 执行控制任务;
    (2)拒绝接收检查员,并拒绝让他们执行职责;或
    (3)拒绝按照法律规定发送或传输所要求的文件。
    第六十三条规定,任何被发现不遵守规定且拒绝按照 CNDP 要求执行决定的人,将被处以三个月至一年不等的有期徒刑,以及一万至十万马格里布第纳尔(约合 1,025 至10,250 美元)的罚款。
    第六十四条规定,当实体违反本节法律第09-08 号中上述任何条款时,此类罚款将加倍。它们还可能面临部分资产没收、根据刑法第89 条没收(此处仅提供法语版本)或甚至实体本身的关闭。
    第六十五条明确规定,任何人在被认定违反第09-08 号法律规定的违法行为时,若再次犯下相同罪行,其处罚必须加倍。此规定仅适用于在首次作出使其承担责任的裁决后一年内再次发生的情况。

技术驱动法律,专业成就未来