首页 查明咨询 查明申请 查明进度 法律法规 实务指引 专家名录
注册 用户管理 退出
服务热线: 18459226877

实务指引

首页 / 实务指引 / 查看详情
金砖国家系列指南之南非——数据篇

一、南非数据保护立法

(一)概况

为规范商业主体收集、储存及使用该主体内部人员个人信息行为,南非于2005年启动《个人信息保护法》(POPIA)立法工作,2013年颁布,具体规定采用分阶段方式实施。其中,关于建立个人信息监管机构以及授权其起草相关细则部分在2014年实施,实质性规定(包括第2至38条,第55至109条,第111条以及第114条(1)~(3)款)于2020年7月1日正式生效。该法案适用于在南非处理数据的任何商业主体,但不适用于出于个人或家庭目的的数据处理。该法案对商业主体实现合规给予了12个月的宽限,即2021年6月30日前全面遵守《个人信息保护法》的各项规定。

该法是南非第一部全面的数据保护法,旨在促进公共及私人机构加强对所处理个人信息的保护。其明确细化罚则,违反规定的组织可能面临最高1000万南非兰特(约合380万人民币)的行政罚款,还可能被提起民事诉讼或被要求承担刑事责任等。该法是全球为数不多的为法人(例如公司和信托公司)提供数据资产保护的法律之一。另外,该法的实施是南非隐私保护领域的重大进步,通过规范自然人和法人的信息处理行为、为南非处理个人信息的企业设置更多义务,使南非在数据保护立法方面与国际接轨。

2018年12月14日,南非的信息监管机构发布《个人信息保护条例》,该条例的主要目标是制定与《2013年个人信息保护法》配套落地措施,确保个人信息的保护,并通过提供详细的执行框架和指南来加强数据主体的权利保护。

 

(二)POPIA的重要内容

1.需要经过事先批准的信息处理活动

(1)以超越收集信息时的具体目的或旨在与其他责任方处理的信息进行联系的情况下,处理数据主体的任何唯一识别符;

(2)处理有关犯罪行为或违法行为或代表第三方的不良行为的信息;

(3)处理用于信用报告目的的信息;转移特殊个人信息至或儿童信息至不能提供适当保护水平的国外第三方。

如果处理活动需要事前批准,责任方必须通知监管机构,如果没有履行通知义务,则会被认为是违法且有可能受到处罚。责任方无需每次接收和处理个人信息都要获得事前批准,只需获得一次即可,除非处理活动与上次的批准内容有所偏移。

2.数据跨境传输的要求

南非境内的责任方不被允许将数据主体的个人数据跨境转移至位于外国的第三方,除非:

(1)该第三方受制于提供一个充分数据保护水平的法律、约束公司规则或约束合同;

(2)数据主体对跨境转移表示同意;

(3)转移是履行数据主体和责任方之间的合同义务或者是依据数据主体的要求履行先合同义务所必要;

(4)转移是责任方与第三方订立和履行有关数据主体利益的合同的必要条件;

(5)转移是为了数据主体的利益而进行的,并且获得数据转让的同意并非合理可行的,如获得上述同意是合理可行的,则该数据主体非常可能会同意。

3.对于企业通过电子通信方式进行直接营销的要求

仅在数据主体同意或者数据主体是客户的情形下,允许企业通过电子通信方式(包括电子邮件、SMS、传真和自动呼叫机)以直接营销为目的处理个人信息。

企业为直接营销目的而发送的任何通信信息都必须包含发送者身份、地址的详细信息,以及其他可以使接收者向其发送选择退出(opt-out)的联系信息。

4.数据主体享有的权利

(1)知情权:当个人信息被收集,或被非授权主体访问、获取时的知情权;

(2)访问权:确认责任方持有个人信息及对其个人信息的访问权;

(3)更正删除权:在必要时请求更正、销毁或删除其个人信息的权利;

(4)反对处理权:在有与其个人信息相关的合理理由时反对处理其个人信息的权利;

(5)投诉权:在个人信息的保护受到干扰等情况下向监管机构投诉的权利;

(6)提起民事诉讼权:就干扰其个人信息保护的行为提起民事诉讼的权利。

 

二、南非数据保护监管机构

与POPIA相关的数据保护监管机构信息监管机构办公室(Information Regulator)。其直接向国民议会负责,主要职能为:

1.提供教育;

2.监控和强制执行;

3.与利害关系人协商;

4.处理投诉;

5.组织研究并向国会报告;

6.发布、修订、撤销行为准则或制定指南等;

7.促进跨境合作;

8.为保护公共利益、团体或个人的合法利益,发布相关调查报告。

 

三、企业合规性措施

企业为确保在处理个人信息时满足《个人信息保护法》规定的个人信息合法处理八大条件,应实施以下举措证明是否合规:

1.任命信息官——如未任命信息官,企业负责人例如总经理或行政总裁将自动成为信息官;

2.对数据主体人作出相关法定披露,包括共享数据主体人信息的人,例如可通过企业网站发布详细隐私权政策并以引用方式并入日常合同文件;

3.制定、实施、监控和维护《个人信息保护法》合规框架;

4.开展个人信息影响评估;

5.制定、监控和维护 2002 年《促进信息获取法》规定的手册,并确保该手册反映《个人信息保护法》附件中对《促进信息获取法》作出的修订;

6.制定内部措施并建立适当系统,以便处理信息请求或信息访问请求;

7.开设内部宣传和培训课程;

8.将相关强制规定纳入与运营商(即代表其处理个人信息的独立承包商)签订的协议当中。

企业不得将数据主体个人信息转让给国外第三方。但以下情况不受此限制:

1.数据主体同意转让;

2.转让对于订立或履行合同是必要的;

3.在无法征询数据主体意见,数据主体很有可能同意的情况下,出于维护其利益而进行的转让。

 

 

参考文献:

  1. 《合规 | 在南非合规运营(上)》

https://mp.weixin.qq.com/s/xYuTZ2HS-TdbNB4Z44C19Q

  1. 《附下载 | 六大洲14国140项数据安全及跨境法规汇总分析(2024版)》

https://mp.weixin.qq.com/s/tOC5GbJwbZNz0GLJ_r3FLQ

  1. 《南非《个人信息保护法》十问十答》

https://mp.weixin.qq.com/s/JQm4-ANmFR0j1-P37T3DTw

查看更多案例