圣多美和普林西比的公共 WiFi、互联网连接与数字隐私法：专家指南

宽带基础设施

圣多美和普林西比（STP）是一个群岛国家，虽然仍是一个发展中市场，但一直在稳步致力于改善其互联网基础设施。国际连接的主要骨干是“非洲海岸至欧洲”（ACE）海底光缆。该光缆于 2012 年在圣多美登陆，与早期仅靠卫星的连接相比，显著提升了该国的带宽容量并降低了延迟。

在国内，基础设施主要依赖于光纤、现有电话线上的 ADSL（不对称数字用户线路）以及微波无线电链路的混合，以连接群岛的各个部分。光纤部署更集中在首都圣多美市等城市中心和其他人口稠密地区，为企业和住宅用户提供更快、更可靠的互联网服务。然而，农村和更偏远的地区通常依赖于较慢的 ADSL 或移动宽带解决方案。

移动网络运营商 (MNO)

圣多美和普林西比的移动电信行业主要由两大巨头主导：

• CST (Companhia Santomense de Telecomunicações)：这是现有的运营商，是圣多美和普林西比政府与葡萄牙电信（现为 Altice Portugal）的合资企业。CST 提供一系列服务，包括移动语音、短信和数据（2G、3G 和 4G/LTE），以及固定电话互联网和电视服务。
• Unitel STP：Unitel STP 于 2011 年推出，是安哥拉电信巨头 Unitel 的子公司。它在移动市场提供了强有力的竞争，提供 2G、3G 和 4G/LTE 服务。Unitel STP 一直积极扩大其网络覆盖范围并提高数据速度。

两家运营商都在不断升级其网络，4G/LTE 是人口较多地区高速移动互联网的主流标准。

5G 部署现状

截至 2023 年底/2024 年初，5G 技术在圣多美和普林西比尚未实现商用或广泛部署。CST 和 Unitel STP 的重点仍是扩大和优化其 4G/LTE 网络，以提供更好的覆盖范围和容量。虽然 5G 是未来的前景，但其实施可能取决于持续的经济发展、需求以及对基础设施的进一步投资。游客和居民应将 4G/LTE 视为目前可用的最快移动互联网标准。

游客 SIM 卡建议

对于前往圣多美和普林西比的游客，强烈建议购买当地的 SIM 卡，以便享受便捷且经济实惠的连接。以下是您需要了解的信息：

• 购买地点：SIM 卡可在国际机场（Aeroporto Internacional de São Tomé）、主要城镇（尤其是圣多美市）的 CST 和 Unitel STP 官方零售店购买，有时也可在较小的授权经销商处购买。
• 注册流程：与许多国家一样，圣多美和普林西比要求进行 SIM 卡注册。您通常需要出示护照进行身份验证。该流程通常很快，SIM 卡可以当场激活。
• 费用：SIM 卡本身通常很便宜，通常只需几百多布拉（STD）。主要费用将用于数据套餐和通话话费。
• 数据套餐：CST 和 Unitel STP 都提供针对不同使用需求量身定制的各种预付费数据套餐，从日套餐、周套餐到月套餐不等。建议咨询当前的优惠活动，并选择适合您预期数据消耗的套餐。您通常可以在各种销售点（包括小商店和报刊亭）轻松充值。
• 网络覆盖：虽然城市地区和主要道路沿线的覆盖范围通常较好，但请注意，在群岛非常偏远的地区，特别是山区或较小的岛屿，服务可能会不稳定或根本没有服务。如果您计划前往人迹罕至的地方，请查看覆盖范围地图。
• 解锁手机：确保您的手机已解锁，以接受当地的 SIM 卡。

数据隐私法：宪法框架

圣多美和普林西比目前没有直接等同于欧盟 GDPR（通用数据保护条例）的全面、独立的数据保护法。然而，隐私权和通信保密是该国宪法赋予的基本权利。具体而言，《圣多美和普林西比民主共和国宪法》第 37 条保障了个人和家庭生活隐私权，以及信件和其他私人通信手段的保密权。这一宪法条款构成了该国任何数据保护考量的基石。

虽然缺乏类似于 GDPR 中规定的数据主体权利、数据控制者义务和监管执法机构的具体立法，但在圣多美和普林西比境内收集或处理个人数据的任何实体都含蓄地受到这些宪法原则的约束。这意味着，数据收集在理想情况下应出于合法目的，尊重个人隐私，且不受公共机构或私营实体的过度干涉。

作为非盟成员国，并可能与西非国家经济共同体（ECOWAS）等地区机构接触，圣多美和普林西比未来可能会受到旨在协调整个非洲大陆数据保护法的更广泛非洲倡议的影响。目前，其法律环境还处于萌芽阶段，主要依赖宪法保障，而非详细的法定框架。

数据保留授权

由于缺乏具体、全面的数据保护法，圣多美和普林西比对于所有类型的个人数据并没有明确、广泛适用的法定数据保留授权。然而，电信运营商（如 CST 和 Unitel STP）通常要遵守国家通信管理局（ANACON）颁布的行业特定法规。这些法规可能包括出于运营、安全或执法目的，在指定期限内保留某些订户数据（例如身份、账单记录、连接日志）的要求。确切的保留期限和范围将在 ANACON 的指令中定义，这些指令通常不如综合性法律那样公开透明。

在实践中，即使没有广泛的数据保留法明确授权，电信运营商也会在计费、故障排除、欺诈预防以及配合司法或执法部门潜在要求所需的期限内保留数据。

数据泄露通知规则

鉴于缺乏全面的数据保护法，圣多美和普林西比没有具体的法定数据泄露通知规则来强制向监管机构或受影响的个人报告泄露事件。与拥有类似 GDPR 法律的司法管辖区不同，这里没有为此类通知定义具体的时间框架或流程。

然而，如果发生重大数据泄露事件，负责任的组织（尤其是金融或电信行业的组织）可能会遵循最佳实践。这可能包括通知受影响的个人、告知相关的业务合作伙伴以及与执法部门合作。虽然不受特定数据隐私立法的法律强制，但未能负责任地采取行动可能会导致声誉受损、失去客户信任，并根据一般侵权法或合同义务承担潜在的民事责任。

政府审查或互联网限制

圣多美和普林西比的互联网通常被认为是自由的，没有广泛的证据表明政府对在线内容进行系统性的审查或过滤。公民通常可以开放访问国际网站、社交媒体平台和通信应用程序。

然而，与许多国家一样，政府对传统媒体保持控制，这可能会影响信息环境。虽然直接的互联网审查并不普遍，但在国家危机、政治动荡时期，或针对与非法内容（如儿童色情、煽动暴力）相关的特定司法命令，仍存在限制的可能。法律框架允许在通信拦截事务中进行司法监督，但广泛封锁互联网并非报道的做法。国家通信管理局（ANACON）主要侧重于监管电信行业，确保公平竞争和服务质量，而非内容控制。

咖啡馆/酒店的 Captive Portal 合法性与最佳实践

对于在圣多美和普林西比提供公共 WiFi 的咖啡馆、酒店和其他场所，实施 Captive Portal 不仅是管理网络接入的实用措施，还具有法律意义。虽然圣多美和普林西比缺乏监管 Captive Portal 的具体立法，但遵守合同法和消费者保护的一般原则至关重要。

合法性与目的：Captive Portal 作为场所与用户之间的协议。它允许场所在授予互联网访问权限之前展示服务条款（ToS）。这些服务条款应明确概述可接受的使用政策、免责声明以及潜在的数据收集行为。从法律上讲，只要条款合理且显眼，要求用户在访问前同意服务条款即构成有效合同。

最佳实践：

• 清晰的服务条款：确保服务条款易于理解、无歧义且显眼展示。加入关于禁止活动的条款（例如，非法下载、垃圾邮件、访问非法内容）。
• 同意：明确的同意（例如，点击“我同意”）至关重要。
• 安全：如果需要登录，请为您的 Captive Portal 页面使用 HTTPS，以保护用户凭据。
• 透明度：明确说明是否收集了任何用户数据以及出于何种目的。

收集宾客数据

鉴于宪法规定的隐私权（第 37 条），在圣多美和普林西比通过 WiFi 接入收集宾客数据时应审慎对待。虽然没有类似于 GDPR 的具体数据保护法，但场所必须证明数据收集的合理性并保护所获取的任何数据。

可以收集哪些数据？ 通常，提供服务或出于安全目的所必需的数据（例如，用于登录的电子邮件地址、设备 MAC 地址、连接时间戳）可能是合理的。在没有明确同意和合法目的的情况下收集敏感个人数据是存在风险的。

隐私影响与同意：

• 目的限制：仅收集所述目的所必需的数据（例如，具有明确选择性加入的营销、网络管理、安全）。
• 明确同意：如果收集超出基本运营需求的数据（例如用于营销），请获取用户明确、知情的同意。这应该与同意一般服务条款分开。
• 数据安全：实施强大的安全措施，保护收集到的任何数据免受未经授权的访问、丢失或泄露。这包括加密、访问控制和定期安全审计。
• 保留：仅在实现所述目的所需的时间内保留数据。

宾客非法下载的责任

在圣多美和普林西比提供公共 WiFi 的场所面临着因宾客进行的非法活动（如侵犯版权/非法下载）而承担潜在责任的风险。虽然“中介责任”的法律框架尚不十分发达，但场所应采取积极措施来降低风险。

潜在风险：虽然因宾客的行为而直接起诉场所的情况可能很少见，但如果场所被视为促进了非法活动，或者未能采取合理步骤加以阻止，则可能会受到牵连。这可能会导致声誉受损，甚至引发民事索赔。

缓解策略：

• 强大的服务条款：在您的 Captive Portal 服务条款中明确声明，禁止包括侵犯版权在内的非法活动，且用户对其行为承担全部责任。加入一条允许场所在发生违规行为时终止访问的条款。
• 日志记录：实施一个系统来记录用户连接数据（例如 MAC 地址、分配的 IP 地址、连接时间）。如果发生事件且当局要求提供信息，这有助于识别具体的责任用户。确保这些日志安全存储，且仅出于合法目的进行访问。
• 带宽监控/限制：虽然不是法律要求，但监控异常高的带宽使用可能会标记潜在的非法下载活动。一些场所可能会选择限制个人用户的带宽，以阻止过度下载。
• 通知与下架：如果场所收到关于其网络发起非法活动的合法投诉，应制定调查政策，可能终止该用户的访问，并依法与当局合作。
• 法律顾问：咨询当地法律顾问以起草合适的服务条款并了解具体义务。

在公共 WiFi 上避免双面恶魔（Evil Twin）欺骗

在圣多美和普林西比使用公共 WiFi 时，最重大的威胁之一是“双面恶魔”（Evil Twin）攻击。这涉及恶意攻击者设置一个模仿合法热点的虚假 WiFi 热点（例如，用“Hotel_WiFi”代替“Hotel_WiFi_Official”）。如果您连接到双面恶魔，攻击者就可以拦截您的数据、窃取凭据或植入恶意软件。

如何避免双面恶魔欺骗：

• 核对网络名称：务必向场所工作人员确认 WiFi 网络的确切名称。攻击者经常使用看起来相似的名称（例如，“Free_Wifi”与“Free_W1fi”）。
• 寻找加密标识：优先选择使用 WPA2 或 WPA3 加密保护的网络。避免使用没有密码的开放网络，因为它们本质上不够安全。然而，如果您被告知了虚假密码，即使是加密网络也可能是双面恶魔。
• 使用 VPN：虚拟专用网络（VPN）可以加密您的互联网流量，在您的设备和 VPN 服务器之间建立一个安全通道。这使得双面恶魔攻击者即使拦截了您的数据，也极难读取。
• 禁用自动连接：防止您的设备自动连接到已知的 WiFi 网络。手动选择并验证网络。
• 检查 HTTPS：始终确保您访问的网站使用 HTTPS（查看浏览器地址栏中的挂锁图标），尤其是进行银行交易或购物等敏感活动时。HTTPS 会加密您的浏览器与网站之间的通信，即使在不安全的网络上也是如此。

使用 VPN 增强数字隐私

鉴于圣多美和普林西比数字隐私法的发展现状以及公共 WiFi 的固有风险，对于消费者而言，使用 VPN 是强烈推荐的做法。VPN 为您的数字隐私和安全提供了几个关键好处：

• 数据加密：VPN 会加密您的所有互联网流量，使任何可能拦截它的人（包括您的 ISP、公共 WiFi 提供商或恶意攻击者）都无法读取。这对于保护个人数据、密码和敏感通信至关重要。
• 匿名性：通过 VPN 服务器路由您的流量，您的真实 IP 地址将被隐藏，从而使网站和在线服务更难追踪您的位置和身份。
• 绕过地理限制：虽然与隐私关系不大，但 VPN 还可以让您访问可能受到地理限制的内容或服务。
• 在公共 WiFi 上提供保护：如上所述，VPN 是您防御不安全公共 WiFi 网络上的窃听和攻击的最佳防线。

VPN 使用建议：

• 选择具有严格无日志政策的知名 VPN 提供商。
• 确保 VPN 使用强大的加密协议（例如 OpenVPN、WireGuard）。
• 保持您的 VPN 软件处于最新状态。
• 如果可用，启用“终止开关”（kill switch）功能，如果 VPN 连接中断，该功能会自动断开您的互联网连接。

识别圣多美和普林西比的安全热点

除了使用 VPN 之外，您还可以采取以下步骤来识别并连接到圣多美和普林西比真正安全的热点：

• 询问场所工作人员：寻找安全热点最可靠的方法是向酒店、咖啡馆或企业的工作人员索要官方 WiFi 网络名称和密码。这可以帮助您避免连接到冒牌网络。
• 寻找 WPA2/WPA3 加密：在设备上浏览可用的 WiFi 网络时，寻找显示 WPA2 或 WPA3 加密的网络。这些是现代安全标准，需要密码并加密您的设备与接入点之间的流量。避免使用标记为“开放”或“不安全”的网络。
• 检查 HTTPS：始终验证您访问的网站是否使用 HTTPS。这表明您的浏览器与网站之间的连接已加密，即使 WiFi 网络本身不完全安全，也增加了一层安全性。寻找浏览器地址栏中的挂锁图标。
• 对免费、不安全的 WiFi 保持警惕：虽然很诱人，但连接到完全免费、不需要密码且不安全的 WiFi 网络时要极其谨慎。这些网络往往是攻击者的首要目标。
• 限制敏感活动：即使在看似安全的公共 WiFi 网络上，最好也避免进行高度敏感的活动，如网上银行、使用信用卡信息购物或访问机密工作文件，除非您同时使用了值得信赖的 VPN。