南非《个人信息保护法》十问十答

文章系本公众号独家首发，未经授权不得转载、摘编

Q1：南非《个人信息保护法》是什么？

A：南非《个人信息保护法》（Protection of Personal Information Act, 以下简称POPIA）是南非的数据保护法，于2013年签署成为法律，并规定分阶段实施，其实质性规定已于2020年7月1日生效。该法案对组织实现合规给予了12个月的过渡期，要求收集和处理南非消费者个人信息的企业必须在2021年7月1日之前确保能够遵守POPIA的规定。

Q2：POPIA的适用范围？

A：从适用对象来看，POPIA适用于责任方（responsible party，相当于GDPR中的数据控制者）以及运营者（operator，相当于GDPR中的数据处理者）的任何数据处理行为。

从地域范围来看，责任方需要满足以下条件：（1）住所地为南非；或（2）虽然住所地在其他国家，但是其在南非使用自动或非自动手段来处理个人信息（除非这些手段仅用于通过南非转发个人信息）。

Q3：违反POPIA可能会遭受什么样的处罚？

A：违反POPIA规定的个人，最高可以单处或并处10年监禁或罚金。对于违反POPIA的责任方可处以不超过1000万南非兰特（约60万美元）的行政罚款。此外，POPIA赋予了数据主体民事救济权，数据主体可以对未能充分保护其个人信息的企业提出索赔，而不必证明存储或处理数据的企业在这样做方面存在过失。

Q4：与POPIA相关的数据保护监管机构是？

A：信息监管机构办公室（Information Regulator)，其直接向国民议会负责，主要职能为：

1. 提供教育；

2. 监控和强制执行；

3. 与利害关系人协商；

4. 处理投诉；

5. 组织研究并向国会报告；

6. 发布、修订、撤销行为准则或制定指南等；

7. 促进跨境合作；

8. 为保护公共利益、团体或个人的合法利益，发布相关调查报告。

Q5：POPIA下重要的概念有哪些？

A：POPIA下重要的概念包括：

1. 数据主体：与个人信息相关的自然人或法人；

2. 个人信息：是指与可识别的自然人以及可识别的现有法人有关的信息；

3. 同意：是指任何自愿、具体和知情的意愿表达，表示允许处理个人信息；

4. 处理：对个人信息进行的任何操作，例如收集、接收、记录、组织、整理、存储、更新或修改、检索、变更、咨询或使用、传输、分发、合并、连接、限制、降级，删除或破坏；

5. 责任方：是指单独或是与他人共同决定个人信息处理目的和方式的公共或私人机构或任何其他人；

6. 运营者：是指根据合同或授权为责任方处理个人信息的自然人或法人，其不属于责任方的直接管辖范围内。

Q6：POPIA下哪些信息处理活动需要经过事先批准？

A：POPIA下进行以下数据处理必须获得监管机构的事先批准：

1. 以超越收集信息时的具体目的或旨在与其他责任方处理的信息进行联系的情况下，处理数据主体的任何唯一识别符；

2. 处理有关犯罪行为或违法行为或代表第三方的不良行为的信息；

3. 处理用于信用报告目的的信息；

4. 转移特殊个人信息至或儿童信息至不能提供适当保护水平的国外第三方。

【注意】如果处理活动需要事前批准，责任方必须通知监管机构，如果没有履行通知义务，则会被认为是违法且有可能受到处罚。责任方无需每次接收和处理个人信息都要获得事前批准，只需获得一次即可，除非处理活动与上次的批准内容有所偏移。

Q7：POPIA下数据主体享有何种权利？

A：根据POPIA，数据主体有权使其个人信息依照合法处理个人信息的条件被处理，数据主体的权利主要包括：

1. 知情权：当个人信息被收集，或被非授权主体访问、获取时的知情权；

2. 访问权：确认责任方持有个人信息及对其个人信息的访问权；

3. 更正删除权：在必要时请求更正、销毁或删除其个人信息的权利；

4. 反对处理权：在有与其个人信息相关的合理理由时反对处理其个人信息的权利

5. 投诉权：在个人信息的保护受到干扰等情况下向监管机构投诉的权利；

6. 提起民事诉讼权：就干扰其个人信息保护的行为提起民事诉讼的权利。

Q8：POPIA下数据跨境传输的要求？

A：南非境内的责任方不被允许将数据主体的个人数据跨境转移至位于外国的第三方，除非：

1. 该第三方受制于提供一个充分数据保护水平的法律、约束公司规则或约束合同；

2. 数据主体对跨境转移表示同意；

3. 转移是履行数据主体和责任方之间的合同义务或者是依据数据主体的要求履行先合同义务所必要；

4. 转移是责任方与第三方订立和履行有关数据主体利益的合同的必要条件；

5. 转移是为了数据主体的利益而进行的，并且获得数据转让的同意并非合理可行的，如获得上述同意是合理可行的，则该数据主体非常可能会同意。

Q9：POPIA下对于企业通过电子通信方式进行直接营销的要求是什么？

A：仅在数据主体同意或者数据主体是客户的情形下，允许企业通过电子通信方式（包括电子邮件、SMS、传真和自动呼叫机）以直接营销为目的处理个人信息。

【注意】企业为直接营销目的而发送的任何通信信息都必须包含发送者身份、地址的详细信息，以及其他可以使接收者向其发送选择退出（opt-out）的联系信息。

Q10：POPIA与GDPR有什么主要的不同点？

A：POPIA与GDPR的主要不同点包括：

1. 数据主体：GDPR中的数据主体仅包含自然人，而POPIA规定能够识别出特定自然人或法人的任何信息都属于个人信息；

2. 数据主体权利：GDPR中规定了数据主体的数据可携权，而POPIA没有规定数据可携权；

3. 法律责任：GDPR未规定刑事责任，而POPIA规定了刑事责任；

4. 儿童：GDPR规定未满16周岁的自然人为儿童，而POPIA规定未满18周岁的自然人为儿童 ；

5. 数据泄露通知：GDPR中明确规定控制需要自发现之日起72小时内通知监管机构，而POPIA没有明确要求时限，但应尽快通知监管机构和数据主体。

本文撰写所需的信息采集自合法公开的渠道，我们无法对信息的真实性、完整性和准确性提供任何形式的保证；

本文仅为分享、交流、学习之目的，任何人都不应以本文全部或部分内容作为决策依据，因此造成的后果将由行为人自行负责。

让我知道你在看