南非目前是非洲第二大经济体，经济和工业化水平在非洲处于前列，其自然资源十分丰富。[1]南非亦是G20、金砖国家等重要国际组织的成员。据官方统计，截至2023年，中国连续14年稳居南非第一大贸易伙伴的地位，南非也连续13年成为中国在非洲最大的贸易伙伴。2022年，中南贸易额达567.4亿美元，增长5%。2023年1至8月，双边贸易额达377.3亿美元，占中国与非洲贸易总额的20%。南非是中国在非洲最重要的投资目的地之一，也是中资企业在非洲区域设立总部的首选之地[2]。

本文拟梳理南非个人信息保护相关的法律法规，为中国出海企业在南非的个人信息处理活动提供合规指引。

1. 《南非宪法》（the Constitution of the Republic of South Africa）

《南非宪法》第32(1)条规定了公民获取由政府持有的信息以及由他人持有的、为行使或保护权利所需的信息的权利（即信息获取权）。为了实现这一权利，《南非宪法》第32(2)条要求制定相应的国家法律，于是《促进信息获取法》（Promotion of Access to Information Act，下称“PAIA”）相应发布。PAIA于2000年生效，共有7大部分，包括介绍条款、对公有主体记录的获取、对私有主体记录的获取、对决定的申诉、人权委员会、过渡安排以及一般条款。

同时，《南非宪法》第14条规定了公民的隐私权，PAIA第9条明确了对信息获取权的限制，包括对隐私、商业机密和促进良好治理的合理保护。

2. 《个人信息保护法》（Protection of Personal Information Act，下称“POPIA”）

POPIA是南非第一部全面的数据保护法律，其主要目的是保护公有和私有机构处理的个人信息，规定了处理个人信息的最低合规要求，以及保障数据主体的相关权利。POPIA包含了对PAIA作出的一系列修订[3]。

POPIA于2013年11月被签署成为法律，但当时并未生效，而是分阶段实施，其中第1条（定义）、第39至54条（信息监管机构）、第112条（规定）以及第113条（制定规定的流程）于2014年开始实施；2020年6月22日，南非总统宣布POPIA余下的大部分实质性条款于2020年7月1日开始实施，包括第2至38条、第55至109条（第58(2)条除外）、第111条以及第114(1) - (3)条，主要包括适用条款、合法处理个人信息的条件、豁免情形、需事先授权的活动、数据主体权利、实施条款、行政处罚等规定。POPIA第114(1)条设定了一年的过渡期，即个人信息处理活动必须在2021年7月1日之前能够确保遵守POPIA的规定。此外，POPIA第110条（法律修正）和第114(4)条（关于职责转移）于2021年6月30日生效，第58(2)条（关于信息监管机构的调查）于2021年7月1日开始适用。

时至今日，POPIA已全部生效。

此外，根据POPIA第112(2)条的规定，南非信息监管机构（具体见下文）于2018年颁布了《个人信息保护法实施条例》（Regulation Relating to the Protection of Personal Information Act，下称“POPIA条例”），进一步细化了POPIA的实施要求。

3. 《电子通讯与交易法》（Electronic Communications and Transactions Act，下称“ECTA”）

ECTA于2002年生效，ECTA立法重点在于规范电子通讯与电子交易活动，其中第51条对于在电子交易过程中被收集的个人信息提出了九点保护原则，例如，取得数据主体的明确书面同意、告知数据主体个人信息收集目的、个人信息删除义务等。

4. 《消费者保护法》（Consumer Protection Act，下称“CPA”）

2011年颁布的CPA从保护消费者隐私的角度立法，适用于通过电话向消费者直接营销商品和服务的行为。CPA关于直接营销和未经请求的通讯的规定可能与 POPIA的有关规定存在重叠，但 POPIA进行了更加明确的规定。

信息监管机构（Information Regulator，下称“IR”）是由POPIA创设的个人信息监管机构，须同时履行POPIA和PAIA规定的职责，对国民议会（National Assembly）负责[4]。自2021年6月30日起，PAIA第83和84条下南非人权委员会（South African Human Rights Commission）的职能转移至IR[5]。

IR的权力、职责和职能包括[6]：

此外，根据修订后的PAIA第10条规定，IR应在南非人权委员会汇编的个人行权指南的基础上，更新个人根据PAIA以及POPIA行权的指南，且更新频率不低于每两年一次。

2023年7月，IR作出首份行政处罚，其对南非司法和宪法发展部（Department of Justice and Constitutional Development，DoJ&CD）开出500万南非兰特（约合人民币203万元）的行政罚款。原因是DoJ&CD于2021年发生安全漏洞事件，对其电子系统造成严重影响，并导致约1204份包含个人信息的文件丢失。IR认定DoJ&CD未实施充分的安全措施及履行安全漏洞通知义务，于2023年5月发出执法通知[7]。

在南非个人信息保护法律框架下，个人信息和个人信息相关处理活动的定义与国际主流数据法规基本一致，具体包括：

1. 适用范围

POPIA适用于公有或私有机构或其他任何个人（包括自然人和法人）对可识别的在世自然人有关的信息，以及与可识别的现存法人（如适用）有关的信息的处理活动。

在地域适用性上，POPIA不仅适用于在南非注册的责任方，同时也适用于未在南非注册、但在南非境内处理个人信息（过境个人信息除外）的责任方[9]。

但是，POPIA不适用于以下个人信息处理的情形[10]：

2. 处理个人信息的合法性基础

POPIA规定的处理个人信息的合法性基础包括[11]：

3. 处理特殊个人信息

POPIA在专门的一节中规定，责任方不得（除非有其他规定）处理特殊个人信息（special personal information）， 包括数据主体的宗教或哲学信仰、种族或民族血统、工会会员资格、政治主张、健康或性生活、生物识别信息；或者，与数据主体被指控的犯罪行为或与被指控的犯罪行为有关的任何诉讼或与此类诉讼的处理有关的信息[12]。

但在以下情形下，责任方可以处理特殊个人信息[13]：

4. 个人信息处理义务和责任

POPIA将责任方的权利和责任纳入其第三章的个人信息保护条件。总结而言，责任方需满足下列条件，方可处理个人信息：

此外，责任方必须确保与每个处理方签订书面协议[21]。责任方必须确保处理方或代表责任方处理个人信息的任何主体必须[22]：

5. 需事先授权的个人信息处理活动

责任方在进行下列处理活动前必须获得IR的事先授权[23]：

6. 关于直接营销

就直接营销而言， POPIA对通过电子通讯方式进行的直接营销活动进行了专门规定。POPIA禁止为直接营销之目的处理数据主体的个人信息，除非数据主体同意或者数据主体是责任方的客户[25]。

如果消费者不是责任方的客户，责任方在向消费者发送直接营销信息之前，必须获得该消费者的同意。在这种情况下，责任方只可与该消费者联系一次以获得必要的同意[26]。

如果消费者是责任方的客户，责任方仅可在下列情况下向客户发送直接营销的信息[27]：

此外，根据CPA，消费者有权优先阻止任何直接营销行为。任何已收到营销信息的消费者有权要求发送营销信息的人员停止向其发送任何进一步的营销信息。

7. 数据保护影响评估

POPIA条例要求责任方进行个人信息影响评估，以确保有足够的措施和标准，符合合法处理个人信息的条件[28]。

IR在确定罚款时，会将责任方是否进行风险评估或实施良好的政策、程序和惯例来保护个人信息纳入考虑[29]。

8. 个人信息跨境流动

POPIA 规定，责任方不得向外国司法管辖区的第三方传输数据主体的个人信息，除非[30]：

9. 法律责任

与GDPR相比，POPIA特别规定了刑事责任，违反POPIA的行为可能导致最高10年的监禁或高达1000万南非兰特（约合405万人民币）的行政罚款[31]。

此外，POPIA赋予南非的数据主体额外的救济权利。POPIA引入了新的民事补救措施，允许数据主体在无过错责任原则下，对处理其个人信息的各方提起诉讼。这意味着受到数据泄露影响的个人可以向未能妥善保护其个人信息的公司提出索赔，无需证明这些公司在处理数据时存在过错[32]。

转载声明：好文共赏，如需转载，请直接在公众号后台或下方留言区留言获取授权。

封面图源：画作·林子豪