标签:公司与并购-跨境投资和并购,数字经济,电信、传媒、娱乐与高科技-数据及隐私权保护
南非目前是非洲第二大经济体,经济和工业化水平在非洲处于前列,其自然资源十分丰富。[1]南非亦是G20、金砖国家等重要国际组织的成员。据官方统计,截至2023年,中国连续14年稳居南非第一大贸易伙伴的地位,南非也连续13年成为中国在非洲最大的贸易伙伴。2022年,中南贸易额达567.4亿美元,增长5%。2023年1至8月,双边贸易额达377.3亿美元,占中国与非洲贸易总额的20%。南非是中国在非洲最重要的投资目的地之一,也是中资企业在非洲区域设立总部的首选之地[2]。
本文拟梳理南非个人信息保护相关的法律法规,为中国出海企业在南非的个人信息处理活动提供合规指引。
一、南非个人信息保护法律框架
1. 《南非宪法》(the Constitution of the Republic of South Africa)
《南非宪法》第32(1)条规定了公民获取由政府持有的信息以及由他人持有的、为行使或保护权利所需的信息的权利(即信息获取权)。为了实现这一权利,《南非宪法》第32(2)条要求制定相应的国家法律,于是《促进信息获取法》(Promotion of Access to Information Act,下称“PAIA”)相应发布。PAIA于2000年生效,共有7大部分,包括介绍条款、对公有主体记录的获取、对私有主体记录的获取、对决定的申诉、人权委员会、过渡安排以及一般条款。
同时,《南非宪法》第14条规定了公民的隐私权,PAIA第9条明确了对信息获取权的限制,包括对隐私、商业机密和促进良好治理的合理保护。
2. 《个人信息保护法》(Protection of Personal Information Act,下称“POPIA”)
POPIA是南非第一部全面的数据保护法律,其主要目的是保护公有和私有机构处理的个人信息,规定了处理个人信息的最低合规要求,以及保障数据主体的相关权利。POPIA包含了对PAIA作出的一系列修订[3]。
POPIA于2013年11月被签署成为法律,但当时并未生效,而是分阶段实施,其中第1条(定义)、第39至54条(信息监管机构)、第112条(规定)以及第113条(制定规定的流程)于2014年开始实施;2020年6月22日,南非总统宣布POPIA余下的大部分实质性条款于2020年7月1日开始实施,包括第2至38条、第55至109条(第58(2)条除外)、第111条以及第114(1) - (3)条,主要包括适用条款、合法处理个人信息的条件、豁免情形、需事先授权的活动、数据主体权利、实施条款、行政处罚等规定。POPIA第114(1)条设定了一年的过渡期,即个人信息处理活动必须在2021年7月1日之前能够确保遵守POPIA的规定。此外,POPIA第110条(法律修正)和第114(4)条(关于职责转移)于2021年6月30日生效,第58(2)条(关于信息监管机构的调查)于2021年7月1日开始适用。
时至今日,POPIA已全部生效。
此外,根据POPIA第112(2)条的规定,南非信息监管机构(具体见下文)于2018年颁布了《个人信息保护法实施条例》(Regulation Relating to the Protection of Personal Information Act,下称“POPIA条例”),进一步细化了POPIA的实施要求。
3. 《电子通讯与交易法》(Electronic Communications and Transactions Act,下称“ECTA”)
ECTA于2002年生效,ECTA立法重点在于规范电子通讯与电子交易活动,其中第51条对于在电子交易过程中被收集的个人信息提出了九点保护原则,例如,取得数据主体的明确书面同意、告知数据主体个人信息收集目的、个人信息删除义务等。
4. 《消费者保护法》(Consumer Protection Act,下称“CPA”)
2011年颁布的CPA从保护消费者隐私的角度立法,适用于通过电话向消费者直接营销商品和服务的行为。CPA关于直接营销和未经请求的通讯的规定可能与 POPIA的有关规定存在重叠,但 POPIA进行了更加明确的规定。
二、南非个人信息保护监管机构
信息监管机构(Information Regulator,下称“IR”)是由POPIA创设的个人信息监管机构,须同时履行POPIA和PAIA规定的职责,对国民议会(National Assembly)负责[4]。自2021年6月30日起,PAIA第83和84条下南非人权委员会(South African Human Rights Commission)的职能转移至IR[5]。
(1)IR的权力、职责和职能包括[6]:
(2)提供相关教育、指导并促进对个人信息保护的认知;
(3)监督并执行对POPIA的遵守;
(4)与利益相关方沟通协调对个人信息的保护;
(5)处理与个人信息保护有关的投诉;
(6)开展与个人信息保护有关的调研并向国会报告;
(7)开展并发布行为守则(codes of conduct)相关的活动;
(8)通过参与旨在促进隐私法律国际执法方面的活动以促进此类跨境合作;以及
(9)POPIA第40 (1)条中规定的其他一般事项。
此外,根据修订后的PAIA第10条规定,IR应在南非人权委员会汇编的个人行权指南的基础上,更新个人根据PAIA以及POPIA行权的指南,且更新频率不低于每两年一次。
2023年7月,IR作出首份行政处罚,其对南非司法和宪法发展部(Department of Justice and Constitutional Development,DoJ&CD)开出500万南非兰特(约合人民币203万元)的行政罚款。原因是DoJ&CD于2021年发生安全漏洞事件,对其电子系统造成严重影响,并导致约1204份包含个人信息的文件丢失。IR认定DoJ&CD未实施充分的安全措施及履行安全漏洞通知义务,于2023年5月发出执法通知[7]。
三、南非个人信息保护法律下的基本概念[8]
在南非个人信息保护法律框架下,个人信息和个人信息相关处理活动的定义与国际主流数据法规基本一致,具体包括:
(1)个人(person),是指自然人或法人。
(2)数据主体(data subject),是指与个人信息相关联的个人。
(3)个人信息(personal information),是指与可识别的在世自然人有关的信息,以及与可识别的现存法人(如适用)有关的信息。同时,POPIA还对个人信息采取了非穷尽式的举例。
(4)责任方(responsible party),是指单独或与他人共同决定个人信息的处理目的和处理方式的公有或私有机构或任何其他个人。类似于GDPR下数据控制者(data controller)的角色。
(5)处理方(operator),是指根据合同或授权为责任方处理个人信息、但不受责任方直接监管的个人。类似于GDPR下数据处理者(data processor)的角色。
(6)处理(processing),是指与个人信息有关的任何操作或活动或任何一系列操作,无论是否通过自动化方式进行,包括:
- 收集、接收、记录、整理、校对、存储、更新或修改、恢复、更改、查阅或使用;
- 通过传输、分发或以任何其他形式进行的传播;或
- 合并、链接、限制、损坏、删除或销毁信息。
四、POPIA下的主要个人信息保护规定
1. 适用范围
POPIA适用于公有或私有机构或其他任何个人(包括自然人和法人)对可识别的在世自然人有关的信息,以及与可识别的现存法人(如适用)有关的信息的处理活动。
在地域适用性上,POPIA不仅适用于在南非注册的责任方,同时也适用于未在南非注册、但在南非境内处理个人信息(过境个人信息除外)的责任方[9]。
但是,POPIA不适用于以下个人信息处理的情形[10]:
(1)纯粹为个人或家庭活动之目的进行的;
(2)相关个人信息已经被去标识化并且无法被重新识别的;
(3)由公共机构或代表公共机构在涉及国家安全或为防止或侦查非法活动之目的进行的(前提是有关立法规定了对保护此等个人信息的保障措施);
(4)由内阁及其委员会或省级行政委员会进行的;
(5)与法院的司法职能有关的;以及
(6)纯粹为新闻、文学或艺术表达之目的进行的。
2. 处理个人信息的合法性基础
POPIA规定的处理个人信息的合法性基础包括[11]:
(1)经数据主体或数据主体为儿童时监护人的同意;
(2)为签订或履行数据主体为一方的合同所需进行的;
(3)符合法律对责任方规定的义务;
(4)为保护数据主体的合法权益;
(5)是公共机构适当履行公法义务所必需的;或
(6)为追求责任方或获得信息的第三方的合法利益所需进行的。
3. 处理特殊个人信息
POPIA在专门的一节中规定,责任方不得(除非有其他规定)处理特殊个人信息(special personal information), 包括数据主体的宗教或哲学信仰、种族或民族血统、工会会员资格、政治主张、健康或性生活、生物识别信息;或者,与数据主体被指控的犯罪行为或与被指控的犯罪行为有关的任何诉讼或与此类诉讼的处理有关的信息[12]。
但在以下情形下,责任方可以处理特殊个人信息[13]:
(1)经数据主体同意而进行的处理;
(2)为确立、行使或维护法律规定的权利或义务所需进行的处理;
(3)为履行国际公法义务所需进行的处理;
(4)出于历史、统计或研究目的而进行的处理,并且,
- 符合公共利益,且处理是必要的,或者,征得同意是无法实现的或需要付出不相称的大量努力;以及
- 应充分保证该等处理不会对数据主体的隐私造成过度的负面影响;或者
(5)该等信息是由数据主体有意公开的。
4. 个人信息处理义务和责任
POPIA将责任方的权利和责任纳入其第三章的个人信息保护条件。总结而言,责任方需满足下列条件,方可处理个人信息:
(1)对个人信息的处理符合POPIA第三章所列示的条件[14];
(2)其处理方式合理,不侵犯数据主体的隐私,且处理目的具体、明确、合法,与责任方的职能或活动相关[15];
(3)数据主体已被告知所收集个人信息的性质、责任方的身份以及收集信息的目的[16];
(4)对个人信息的处理是充分、相关且不过分的[17];
(5)直接从数据主体收集个人信息(除非数据主体已公开信息、数据主体已同意从其他来源收集信息、收集信息不会损害数据主体的利益、根据POPIA的规定收集信息是必要的、收集信息的合法目的会受到损害或者遵守规定并非合理可行)[18];
(6)数据主体有权查阅其个人信息(受某些豁免的限制)[19];
(7)责任方已采取适当的技术和组织措施保障个人信息安全[20]。
此外,责任方必须确保与每个处理方签订书面协议[21]。责任方必须确保处理方或代表责任方处理个人信息的任何主体必须[22]:
(1)仅在责任方知情或授权的情况下进行;
(2)采取最低安全措施以保护其所控制的个人信息;以及
(3)对其获知的个人信息予以保密,不得披露,除非法律要求或在正当履行其职责的过程中。
5. 需事先授权的个人信息处理活动
责任方在进行下列处理活动前必须获得IR的事先授权[23]:
(1) 处理数据主体的唯一标识信息[24],但该等处理:
- 不是用于收集该信息时的目的;以及
- 以将该信息与其他责任方处理的信息关联起来为目的。
(2)代表第三方处理关于犯罪行为或非法活动的信息;
(3)为出具信用报告之目的处理信息;或
(4)将特殊个人信息或儿童个人信息传输给个人信息保护水平未达到相关标准的外国第三方。
6. 关于直接营销
就直接营销而言, POPIA对通过电子通讯方式进行的直接营销活动进行了专门规定。 POPIA禁止为直接营销之目的处理数据主体的个人信息,除非数据主体同意或者数据主体是责任方的客户[25]。
如果消费者不是责任方的客户,责任方在向消费者发送直接营销信息之前,必须获得该消费者的同意。在这种情况下,责任方只可与该消费者联系一次以获得必要的同意[26]。
如果消费者是责任方的客户,责任方仅可在下列情况下向客户发送直接营销的信息[27]:
(1)责任方在销售产品或服务的过程中获得了客户的联络方式;
(2)该联络方式是为了对责任方自身的产品或服务进行直接营销;以及
(3)责任方在收集个人信息时向该客户提供合理的机会以对处理其个人信息提出异议。如果该客户在收集个人信息时未提出异议,责任方必须在任何情况下向该客户提供提出异议的机会。
此外,根据CPA,消费者有权优先阻止任何直接营销行为。任何已收到营销信息的消费者有权要求发送营销信息的人员停止向其发送任何进一步的营销信息。
7. 数据保护影响评估
POPIA条例要求责任方进行个人信息影响评估,以确保有足够的措施和标准,符合合法处理个人信息的条件[28]。
IR在确定罚款时,会将责任方是否进行风险评估或实施良好的政策、程序和惯例来保护个人信息纳入考虑[29]。
8. 个人信息跨境流动
POPIA 规定,责任方不得向外国司法管辖区的第三方传输数据主体的个人信息,除非[30]:
(1)接收方受有关法律、约束性公司规则或合同的约束,且该等法律、约束性公司规则或合同:
- 秉持了与POPIA实质相似的合理处理个人信息的原则;并且
- 包含与POPIA实质相似的关于接收方向第三方进一步转移个人信息的规定;
(2)数据主体同意传输;
(3)传输对于履行数据主体与企业之间的合同或执行根据数据主体的请求采取先合同措施是必要的;
(4)传输对于订立或履行合同是必要的;或
(5)在获得数据主体的同意不具有合理的可行性,但如果能征询其意见,数据主体将很有可能给予该等同意的情况下,出于数据主体的利益而传输。
9. 法律责任
与GDPR相比,POPIA特别规定了刑事责任,违反POPIA的行为可能导致最高10年的监禁或高达1000万南非兰特(约合405万人民币)的行政罚款[31]。
此外,POPIA赋予南非的数据主体额外的救济权利。POPIA引入了新的民事补救措施,允许数据主体在无过错责任原则下,对处理其个人信息的各方提起诉讼。这意味着受到数据泄露影响的个人可以向未能妥善保护其个人信息的公司提出索赔,无需证明这些公司在处理数据时存在过错[32]。
结语
由POPIA及其他相关法律法规所形成的南非个人信息保护监管体系,总体上与国际主流的个人信息保护监管框架和思路相一致。南非POPIA严格要求个人信息处理的合法性、合理性和安全性,其对于特殊个人信息的处理、直接营销的限制以及跨境数据传输等的规定,都体现了对个人信息的尊重和保护。
出海南非的企业可结合自身的数据合规体系,针对南非进一步细化本地的数据合规方案,尤其在数据保护官(DPO)的认定、隐私政策撰写、个人信息保护影响评估、个人信息跨境流通等方面开展相适应的合规举措,以防范和降低个人信息保护合规风险。
扫码订阅“金杜律师事务所”,了解更多业务资讯
《对外投资合作国别(地区)指南:南非(2023年版)》
POPIA第110条以及附件
POPIA第39条
POPIA第114(4)条
POPIA第40条
South Africa: Beware – Information Regulator issues first fine of ZAR 5 million under POPIA (https://bowmanslaw.com/insights/south-africa-beware-information-regulator-issues-first-fine-of-zar-5-million-under-popia/)
POPIA第1条
POPIA第3条
POPIA第6条、第7条
POPIA第11条
POPIA第26条
POPIA 第27条
POPIA第8条
POPIA第9条和第13(1)条
POPIA 第13(2)条
POPIA第10条
POPIA第12条
POPIA第23条
POPIA第19条
POPIA第21条
POPIA第20条
POPIA第57条
POPIA第1条,唯一识别信息是指分配给数据主体的,由责任方用于其处理目的的任何标识符,该标识符是该责任方识别该数据主体的唯一标识。
POPIA第69(1)条
POPIA第69(2)条
POPIA第69(3)条
POPIA条例第4(1)(b)条
POPIA第109(3)(g)条
POPIA第72条
POPIA第107条和109条
POPIA第99条