前沿观察,

企业出海——海外数据合规概览(南非篇)

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

标签:公司与并购-跨境投资和并购数字经济电信、传媒、娱乐与高科技-数据及隐私权保护

南非目前是非洲第二大经济体,经济和工业化水平在非洲处于前列,其自然资源十分丰富。[1]南非亦是G20、金砖国家等重要国际组织的成员。据官方统计,截至2023年,中国连续14年稳居南非第一大贸易伙伴的地位,南非也连续13年成为中国在非洲最大的贸易伙伴。2022年,中南贸易额达567.4亿美元,增长5%。2023年1至8月,双边贸易额达377.3亿美元,占中国与非洲贸易总额的20%。南非是中国在非洲最重要的投资目的地之一,也是中资企业在非洲区域设立总部的首选之地[2]。

本文拟梳理南非个人信息保护相关的法律法规,为中国出海企业在南非的个人信息处理活动提供合规指引。

一、南非个人信息保护法律框架

1. 《南非宪法》(the Constitution of the Republic of South Africa)

《南非宪法》第32(1)条规定了公民获取由政府持有的信息以及由他人持有的、为行使或保护权利所需的信息的权利(即信息获取权)。为了实现这一权利,《南非宪法》第32(2)条要求制定相应的国家法律,于是《促进信息获取法》(Promotion of Access to Information Act,下称“PAIA”)相应发布。PAIA于2000年生效,共有7大部分,包括介绍条款、对公有主体记录的获取、对私有主体记录的获取、对决定的申诉、人权委员会、过渡安排以及一般条款。

同时,《南非宪法》第14条规定了公民的隐私权,PAIA第9条明确了对信息获取权的限制,包括对隐私、商业机密和促进良好治理的合理保护。

2. 《个人信息保护法》(Protection of Personal Information Act,下称“POPIA”)

POPIA是南非第一部全面的数据保护法律,其主要目的是保护公有和私有机构处理的个人信息,规定了处理个人信息的最低合规要求,以及保障数据主体的相关权利。POPIA包含了对PAIA作出的一系列修订[3]。

POPIA于2013年11月被签署成为法律,但当时并未生效,而是分阶段实施,其中第1条(定义)、第39至54条(信息监管机构)、第112条(规定)以及第113条(制定规定的流程)于2014年开始实施;2020年6月22日,南非总统宣布POPIA余下的大部分实质性条款于2020年7月1日开始实施,包括第2至38条、第55至109条(第58(2)条除外)、第111条以及第114(1) - (3)条,主要包括适用条款、合法处理个人信息的条件、豁免情形、需事先授权的活动、数据主体权利、实施条款、行政处罚等规定。POPIA第114(1)条设定了一年的过渡期,即个人信息处理活动必须在2021年7月1日之前能够确保遵守POPIA的规定。此外,POPIA第110条(法律修正)和第114(4)条(关于职责转移)于2021年6月30日生效,第58(2)条(关于信息监管机构的调查)于2021年7月1日开始适用。

时至今日,POPIA已全部生效。

此外,根据POPIA第112(2)条的规定,南非信息监管机构(具体见下文)于2018年颁布了《个人信息保护法实施条例》(Regulation Relating to the Protection of Personal Information Act,下称“POPIA条例”),进一步细化了POPIA的实施要求。

3. 《电子通讯与交易法》(Electronic Communications and Transactions Act,下称“ECTA”)

ECTA于2002年生效,ECTA立法重点在于规范电子通讯与电子交易活动,其中第51条对于在电子交易过程中被收集的个人信息提出了九点保护原则,例如,取得数据主体的明确书面同意、告知数据主体个人信息收集目的、个人信息删除义务等。

4. 《消费者保护法》(Consumer Protection Act,下称“CPA”)

2011年颁布的CPA从保护消费者隐私的角度立法,适用于通过电话向消费者直接营销商品和服务的行为。CPA关于直接营销和未经请求的通讯的规定可能与 POPIA的有关规定存在重叠,但 POPIA进行了更加明确的规定。

二、南非个人信息保护监管机构

信息监管机构(Information Regulator,下称“IR”)是由POPIA创设的个人信息监管机构,须同时履行POPIA和PAIA规定的职责,对国民议会(National Assembly)负责[4]。自2021年6月30日起,PAIA第83和84条下南非人权委员会(South African Human Rights Commission)的职能转移至IR[5]。

(1)IR的权力、职责和职能包括[6]:

(2)提供相关教育、指导并促进对个人信息保护的认知;

(3)监督并执行对POPIA的遵守;

(4)与利益相关方沟通协调对个人信息的保护;

(5)处理与个人信息保护有关的投诉;

(6)开展与个人信息保护有关的调研并向国会报告;

(7)开展并发布行为守则(codes of conduct)相关的活动;

(8)通过参与旨在促进隐私法律国际执法方面的活动以促进此类跨境合作;以及

(9)POPIA第40 (1)条中规定的其他一般事项。

此外,根据修订后的PAIA第10条规定,IR应在南非人权委员会汇编的个人行权指南的基础上,更新个人根据PAIA以及POPIA行权的指南,且更新频率不低于每两年一次。

2023年7月,IR作出首份行政处罚,其对南非司法和宪法发展部(Department of Justice and Constitutional Development,DoJ&CD)开出500万南非兰特(约合人民币203万元)的行政罚款。原因是DoJ&CD于2021年发生安全漏洞事件,对其电子系统造成严重影响,并导致约1204份包含个人信息的文件丢失。IR认定DoJ&CD未实施充分的安全措施及履行安全漏洞通知义务,于2023年5月发出执法通知[7]。

三、南非个人信息保护法律下的基本概念[8]

在南非个人信息保护法律框架下,个人信息和个人信息相关处理活动的定义与国际主流数据法规基本一致,具体包括:

(1)个人(person),是指自然人或法人。

(2)数据主体(data subject),是指与个人信息相关联的个人。

(3)个人信息(personal information),是指与可识别的在世自然人有关的信息,以及与可识别的现存法人(如适用)有关的信息。同时,POPIA还对个人信息采取了非穷尽式的举例。

(4)责任方(responsible party),是指单独或与他人共同决定个人信息的处理目的和处理方式的公有或私有机构或任何其他个人。类似于GDPR下数据控制者(data controller)的角色。

(5)处理方(operator),是指根据合同或授权为责任方处理个人信息、但不受责任方直接监管的个人。类似于GDPR下数据处理者(data processor)的角色。

(6)处理(processing),是指与个人信息有关的任何操作或活动或任何一系列操作,无论是否通过自动化方式进行,包括:

  • 收集、接收、记录、整理、校对、存储、更新或修改、恢复、更改、查阅或使用;
  • 通过传输、分发或以任何其他形式进行的传播;或
  • 合并、链接、限制、损坏、删除或销毁信息。

四、POPIA下的主要个人信息保护规定

1. 适用范围

POPIA适用于公有或私有机构或其他任何个人(包括自然人和法人)对可识别的在世自然人有关的信息,以及与可识别的现存法人(如适用)有关的信息的处理活动。

在地域适用性上,POPIA不仅适用于在南非注册的责任方,同时也适用于未在南非注册、但在南非境内处理个人信息(过境个人信息除外)的责任方[9]。

但是,POPIA不适用于以下个人信息处理的情形[10]:

(1)纯粹为个人或家庭活动之目的进行的;

(2)相关个人信息已经被去标识化并且无法被重新识别的;

(3)由公共机构或代表公共机构在涉及国家安全或为防止或侦查非法活动之目的进行的(前提是有关立法规定了对保护此等个人信息的保障措施);

(4)由内阁及其委员会或省级行政委员会进行的;

(5)与法院的司法职能有关的;以及

(6)纯粹为新闻、文学或艺术表达之目的进行的。

2. 处理个人信息的合法性基础

POPIA规定的处理个人信息的合法性基础包括[11]:

(1)经数据主体或数据主体为儿童时监护人的同意;

(2)为签订或履行数据主体为一方的合同所需进行的;

(3)符合法律对责任方规定的义务;

(4)为保护数据主体的合法权益;

(5)是公共机构适当履行公法义务所必需的;或

(6)为追求责任方或获得信息的第三方的合法利益所需进行的。

3. 处理特殊个人信息

POPIA在专门的一节中规定,责任方不得(除非有其他规定)处理特殊个人信息(special personal information), 包括数据主体的宗教或哲学信仰、种族或民族血统、工会会员资格、政治主张、健康或性生活、生物识别信息;或者,与数据主体被指控的犯罪行为或与被指控的犯罪行为有关的任何诉讼或与此类诉讼的处理有关的信息[12]。

但在以下情形下,责任方可以处理特殊个人信息[13]:

(1)经数据主体同意而进行的处理;

(2)为确立、行使或维护法律规定的权利或义务所需进行的处理;

(3)为履行国际公法义务所需进行的处理;

(4)出于历史、统计或研究目的而进行的处理,并且,

  • 符合公共利益,且处理是必要的,或者,征得同意是无法实现的或需要付出不相称的大量努力;以及
  • 应充分保证该等处理不会对数据主体的隐私造成过度的负面影响;或者

(5)该等信息是由数据主体有意公开的。

4. 个人信息处理义务和责任

POPIA将责任方的权利和责任纳入其第三章的个人信息保护条件。总结而言,责任方需满足下列条件,方可处理个人信息:

(1)对个人信息的处理符合POPIA第三章所列示的条件[14];

(2)其处理方式合理,不侵犯数据主体的隐私,且处理目的具体、明确、合法,与责任方的职能或活动相关[15];

(3)数据主体已被告知所收集个人信息的性质、责任方的身份以及收集信息的目的[16];

(4)对个人信息的处理是充分、相关且不过分的[17];

(5)直接从数据主体收集个人信息(除非数据主体已公开信息、数据主体已同意从其他来源收集信息、收集信息不会损害数据主体的利益、根据POPIA的规定收集信息是必要的、收集信息的合法目的会受到损害或者遵守规定并非合理可行)[18];

(6)数据主体有权查阅其个人信息(受某些豁免的限制)[19];

(7)责任方已采取适当的技术和组织措施保障个人信息安全[20]。

此外,责任方必须确保与每个处理方签订书面协议[21]。责任方必须确保处理方或代表责任方处理个人信息的任何主体必须[22]:

(1)仅在责任方知情或授权的情况下进行;

(2)采取最低安全措施以保护其所控制的个人信息;以及

(3)对其获知的个人信息予以保密,不得披露,除非法律要求或在正当履行其职责的过程中。

5. 需事先授权的个人信息处理活动

责任方在进行下列处理活动前必须获得IR的事先授权[23]:

(1)   处理数据主体的唯一标识信息[24],但该等处理:

  • 不是用于收集该信息时的目的;以及
  • 以将该信息与其他责任方处理的信息关联起来为目的。

(2)代表第三方处理关于犯罪行为或非法活动的信息;

(3)为出具信用报告之目的处理信息;或

(4)将特殊个人信息或儿童个人信息传输给个人信息保护水平未达到相关标准的外国第三方。

6. 关于直接营销

就直接营销而言, POPIA对通过电子通讯方式进行的直接营销活动进行了专门规定。 POPIA禁止为直接营销之目的处理数据主体的个人信息,除非数据主体同意或者数据主体是责任方的客户[25]。

如果消费者不是责任方的客户,责任方在向消费者发送直接营销信息之前,必须获得该消费者的同意。在这种情况下,责任方只可与该消费者联系一次以获得必要的同意[26]。

如果消费者是责任方的客户,责任方仅可在下列情况下向客户发送直接营销的信息[27]:

(1)责任方在销售产品或服务的过程中获得了客户的联络方式;

(2)该联络方式是为了对责任方自身的产品或服务进行直接营销;以及

(3)责任方在收集个人信息时向该客户提供合理的机会以对处理其个人信息提出异议。如果该客户在收集个人信息时未提出异议,责任方必须在任何情况下向该客户提供提出异议的机会。

此外,根据CPA,消费者有权优先阻止任何直接营销行为。任何已收到营销信息的消费者有权要求发送营销信息的人员停止向其发送任何进一步的营销信息。

7. 数据保护影响评估

POPIA条例要求责任方进行个人信息影响评估,以确保有足够的措施和标准,符合合法处理个人信息的条件[28]。

IR在确定罚款时,会将责任方是否进行风险评估或实施良好的政策、程序和惯例来保护个人信息纳入考虑[29]。

8. 个人信息跨境流动

POPIA 规定,责任方不得向外国司法管辖区的第三方传输数据主体的个人信息,除非[30]:

(1)接收方受有关法律、约束性公司规则或合同的约束,且该等法律、约束性公司规则或合同:

  • 秉持了与POPIA实质相似的合理处理个人信息的原则;并且
  • 包含与POPIA实质相似的关于接收方向第三方进一步转移个人信息的规定;

(2)数据主体同意传输;

(3)传输对于履行数据主体与企业之间的合同或执行根据数据主体的请求采取先合同措施是必要的;

(4)传输对于订立或履行合同是必要的;或

(5)在获得数据主体的同意不具有合理的可行性,但如果能征询其意见,数据主体将很有可能给予该等同意的情况下,出于数据主体的利益而传输。

9. 法律责任

与GDPR相比,POPIA特别规定了刑事责任,违反POPIA的行为可能导致最高10年的监禁或高达1000万南非兰特(约合405万人民币)的行政罚款[31]。

此外,POPIA赋予南非的数据主体额外的救济权利。POPIA引入了新的民事补救措施,允许数据主体在无过错责任原则下,对处理其个人信息的各方提起诉讼。这意味着受到数据泄露影响的个人可以向未能妥善保护其个人信息的公司提出索赔,无需证明这些公司在处理数据时存在过错[32]。

结语

由POPIA及其他相关法律法规所形成的南非个人信息保护监管体系,总体上与国际主流的个人信息保护监管框架和思路相一致。南非POPIA严格要求个人信息处理的合法性、合理性和安全性,其对于特殊个人信息的处理、直接营销的限制以及跨境数据传输等的规定,都体现了对个人信息的尊重和保护。

出海南非的企业可结合自身的数据合规体系,针对南非进一步细化本地的数据合规方案,尤其在数据保护官(DPO)的认定、隐私政策撰写、个人信息保护影响评估、个人信息跨境流通等方面开展相适应的合规举措,以防范和降低个人信息保护合规风险。

扫码订阅“金杜律师事务所”,了解更多业务资讯

《对外投资合作国别(地区)指南:南非(2023年版)》

POPIA第110条以及附件

POPIA第39条

POPIA第114(4)条

POPIA第40条

South Africa: Beware – Information Regulator issues first fine of ZAR 5 million under POPIA (https://bowmanslaw.com/insights/south-africa-beware-information-regulator-issues-first-fine-of-zar-5-million-under-popia/)

POPIA第1条

POPIA第3条

POPIA第6条、第7条

POPIA第11条

POPIA第26条

POPIA 第27条

POPIA第8条

POPIA第9条和第13(1)条

POPIA 第13(2)条

POPIA第10条

POPIA第12条

POPIA第23条

POPIA第19条

POPIA第21条

POPIA第20条

POPIA第57条

POPIA第1条,唯一识别信息是指分配给数据主体的,由责任方用于其处理目的的任何标识符,该标识符是该责任方识别该数据主体的唯一标识。

POPIA第69(1)条

POPIA第69(2)条

POPIA第69(3)条

POPIA条例第4(1)(b)条

POPIA第109(3)(g)条

POPIA第72条

POPIA第107条和109条

POPIA第99条

参考资料

  • [2]

    《对外投资合作国别(地区)指南:南非(2023年版)》

  • [3]

    POPIA第110条以及附件

  • [4]

    POPIA第39条

  • [5]

    POPIA第114(4)条

  • [6]

    POPIA第40条

  • [7]

    South Africa: Beware – Information Regulator issues first fine of ZAR 5 million under POPIA (https://bowmanslaw.com/insights/south-africa-beware-information-regulator-issues-first-fine-of-zar-5-million-under-popia/)

  • [8]

    POPIA第1条

  • [9]

    POPIA第3条

  • [10]

    POPIA第6条、第7条

  • [11]

    POPIA第11条

  • [12]

    POPIA第26条

  • [13]

    POPIA 第27条

  • [14]

    POPIA第8条

  • [15]

    POPIA第9条和第13(1)条

  • [16]

    POPIA 第13(2)条

  • [17]

    POPIA第10条

  • [18]

    POPIA第12条

  • [19]

    POPIA第23条

  • [20]

    POPIA第19条

  • [21]

    POPIA第21条

  • [22]

    POPIA第20条

  • [23]

    POPIA第57条

  • [24]

    POPIA第1条,唯一识别信息是指分配给数据主体的,由责任方用于其处理目的的任何标识符,该标识符是该责任方识别该数据主体的唯一标识。

  • [25]

    POPIA第69(1)条

  • [26]

    POPIA第69(2)条

  • [27]

    POPIA第69(3)条

  • [28]

    POPIA条例第4(1)(b)条

  • [29]

    POPIA第109(3)(g)条

  • [30]

    POPIA第72条

  • [31]

    POPIA第107条和109条

  • [32]

    POPIA第99条

  • 展开
最新文章
前沿观察
胜诉了却执行不了,在经济下行的周期中这样的情况更加普遍,而执行难不仅仅对于当事人来说难,对许多民商事律师来说同样视为畏途。“纸上权益”难以兑现为“真金白银”,使得法律的胜诉判决大打折扣。长期以来,被执行人逃避或抗拒执行的现象普遍存在。拒执行为使得民事裁判结果沦为“一纸空文”,不仅损害胜诉方的合法权益,也严重损害司法权威及公信力。 尽管我国《刑法》明确将“拒不执行判决、裁定”情节严重的行为规定为犯罪(下称“拒执罪”),但实践中该罪名的适用率却不高,甚至在某些地区几乎处于“休眠”状态。2024年11月18日,最高人民法院、最高人民检察院联合发布《关于办理拒不执行判决、裁定刑事案件适用法律若干问题的解释》(下称“《解释》”),通过扩大适用主体、扩张“裁定”范围、完善拒执情形、惩戒与修复并重等手段“激活”拒执罪相关法律规定的适用,进一步解决急难愁盼的执行难题。我们欣喜地看到,在《解释》生效的第2天,湖南湘阴县法院就适用新规审理了一起拒执案件,真正做到“拒不执行就执‘刑’”。 另一方面,解决执行难题不仅要有事后的严惩手段,更要有事前发现可供执行财产的前提,当事人和律师能通过哪些方式助力、推动执行工作也值得深思。争议解决与诉讼-刑事调查及辩护

2024/12/05

前沿观察
2024年12月2日,在经过将近半年的准备之后,美国商务部产业安全局(“BIS”)终于发布了关于先进计算半导体与半导体制造物项出口管制临时新规(“AC/S & SME IFR”)的最新修订。在经历了2022年10月7日、2023年10月17日和2024年3月29日三轮修订后,本次修订预计将成为拜登政府任期内的最后一次AC/S & SME IFR的重大修订。而正如美国商务部部长雷蒙多在12月1日的一次电话会中所述:“我们(本届政府)已使得BIS前所未有地变得更为强力、更为战略性、更为有效……(本次修订)将让下届政府做好准备,以延续保护美国科技安全和领导力的重要势头”,拜登政府在任期最后时刻公布相关新规,其计划将AC/S & SME IFR作为其在出口管制领域的重要政治遗产的意味也昭然若揭。那么,作为最新一次修订,本次新规是否能够完成拜登政府预想的关于对华半导体出口管制的重要拼图,新一届美国政府是否真的会在出口管制问题上萧规曹随,我们将结合本次新规的修订内容和相关背景,为大家带来我们的分析和见解,希望能够对大家有所帮助。合规业务-海关与贸易合规,电信、传媒、娱乐与高科技-高科技

2024/12/05