English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
南非《个人信息保护法》全面生效
文章来源:奥航智讯  作者:SCA  发布时间:2020-08-07  浏览次数:1479

全文共计约3100字,细读时间约10分钟

背景介绍


南非《个人信息保护法》[1](以下简称POPIA)立法工作自2005年启动,于2013年签署成为法律,其规定被分阶段实施。2014年,关于建立个人信息监管机构(以下简称“SAIR”)以及授权其起草相关细则的部分已得以实施。而鉴于2013年欧盟颁布GDPR等原因,POPIA起草委员会暂停立法工作对GDPR等立法中的创新举措进行了专门研究,同时采取缓冲措施确保SAIR有充足时间建立、完善相关机制和能力。


2020年6月22日,南非总统宣布POPIA的其余部分于同年7月1日正式生效,包括第2至38条,第55至109条,第111条以及第114条(1)-(3)款。而第110条、第114条关于法律修订及将《促进信息公开法(2000)》中南非人权委员会职能转移至SAIR的规定将于2021年6月30日生效。

内容概要

2020年7月1日起,POPIA中的关键条款将会实质性生效,法案共有十二章一百一十五条。要求收集和处理南非消费者个人信息的企业必须在2021年7月1日之前确保能够遵守POPIA之规定。因而目前,企业需着手评估规定中的义务,并审查当前的政策和程序,以确保符合法律提出的要求。


POPIA促进公共及私人机构加强对所处理个人信息的保护、提出个人信息的最低处理要求、概述数据主体的权利、规范个人信息的跨境流动、引入数据泄露强制性报告及通知义务,并对违法行为处以法定罚款。POPIA的实施是南非隐私保护领域的重大进步,通过规范自然人和法人的信息处理行为、为南非处理个人信息的企业设置更多义务,使南非在数据保护立法方面与国际接轨。


重点解读


(一)POPIA适用范围及个人信息定义


从适用对象来看,POPIA普遍义务适用于“责任方”(即确定处理目的和处理方式的个人数据主要处理者),其有限义务也适用于“运营商”(即数据处理者)。从地域范围来看,该责任方负责处理个人信息且其住所地在南非,或虽然住所地在其他地方但是其在南非使用自动或非自动手段来处理个人信息。


POPIA适用于处理被数据责任方记录下来的个人信息,同时包含“个人信息”的开放式定义,该定义通常是指可识别的在世自然人、可识别的公司或类似法人的有关信息。该定义包括有关合伙企业和非法人的信息,并提供了详细的个人信息示例列表。这些示例的涵盖范围包括私人信件、有关性别、年龄和种族的信息、识别符号(例如身份证号码、电话号码、位置信息、在线标识符、个人意见及偏好)。


(二)合法处理个人信息的条件


POPIA提供了一种通用的信息保护机制,同时适用于公共与私营部门。与欧盟《数据保护指令》(95指令)相似,POPIA规定了合法处理个人信息的八个条件,包括:(1)问责制:(2)处理限制;(3)目的规范;(4)进一步处理限制;(5)信息质量;(6)开放性;(7)安全保障;(8)数据主体的参与。


根据POPIA,个人信息处理者必须遵守这八项条件并掌握实现这些条件所需要的方法。不仅在实际处理信息时,在确定处理个人信息的目的和方法时,信息处理者都必须确保合规。


(三)安全保障


安全保障条件具有特别重要的意义,它要求企业采取措施确保其持有和控制的个人信息免遭未经授权的访问、使用和丢失。其中包括采取适当的物理、技术及组织措施保护个人信息安全,确保安全措施级别与所涉及的个人信息的数量、性质和敏感程度保持一致。


(四)数据泄露通知


如果有合理的理由认为某个数据主体的个人信息已受到损害,则除非无法确定该数据主体的身份,企业必须通知监管机构和该数据主体。该通知必须在发现危害后尽快作出,且必须以书面形式进行,并应通过以下至少一种方式与数据主体取得联系:(1)邮寄至最后已知的数据主体的实际地址或邮寄地址; (2)通过电子邮件发送至最后已知的数据主体的电子邮件地址;(3)在责任方网站上的显眼位置显示;(4)在新闻媒体上发表;(5)根据监管机构的指示采取行动。这些通知必须提供足够的信息,保障数据主体能够采取保护措施来应对潜在后果。


(五)数据主体的权利


根据POPIA,数据主体有权使其个人信息依照合法处理个人信息的条件被处理,数据主体的权利包括:(1)当个人信息被收集,或被非授权主体访问、获取时的被告知权;(2)确认责任方持有个人信息及对其个人信息的访问权;(3)在必要时请求更正、销毁或删除其个人信息的权利;(4) 在有与其个人信息相关的合理理由时反对处理其个人信息的权利;(5)其他反对处理其个人信息的权利;(6)除法定情况外,有权要求不得通过未经请求的电子通讯方式将其个人信息用于直接营销之目的;(7)在某些特定情况下,不得仅基于其个人信息的自动处理而作出决定;(8)在个人信息的保护受到干扰等情况下向监管机构投诉等权利;(9)就干扰其个人信息保护的行为提起民事诉讼的权利。


(六)特殊个人信息处理


POPIA通常禁止处理特殊的个人信息(有关个人的宗教信仰、种族、犯罪行为、健康、性生活,政治立场,甚至工会会员)。虽然可以通过征得数据当事人的同意来取消此禁止,但是数据当事人也可以随时撤消该同意。另外,若满足以下条件,数据处理者也可以对特殊个人信息进行处理:(1)有法律上的必要性;(2)有历史、统计或研究之目的;(3)数据主体有意公开信息。


POPIA禁止通过任何电子通信方式(包括电子邮件、SMS、传真和自动呼叫机)以直接营销为目的处理个人信息,除非数据主体同意对信息进行处理,或者数据主体是商业客户。以下情况,数据主体被视为商业客户:(1)企业已在销售产品或提供服务的情况下获得了数据主体的联系方式;(2)为了直接营销企业自身的类似产品或提供类似服务;(3)如果数据主体有合理机会在免费且无需任何不必要手续的情况下,对在收集信息后使用其电子轨迹的行为提出反对,以及每次出于营销目的与数据主体进行沟通时,数据主体最初并未拒绝该等使用。


为直接营销目的而发送的任何通信信息都必须包含发送者身份、地址的详细信息,以及其他可以使接收者向其发送选择退出(opt-out)的联系信息。


(七)数据跨境流动


企业不得将数据主体的个人信息转让给国外第三方,除非作为信息接收者的第三方受到具有同等保护水平的法律、约束性公司规则或约束性协议的限制。该规定的例外情况是:(1)数据主体同意转让;(2)转让对于履行数据主体与企业之间的合同或执行根据数据主体的请求采取先合同措施是必要的;(3)转让对于订立或履行合同是必要的;(4)在无法征询数据主体意见,但若能够征询其意见,数据主体很有可能同意的情况下,出于维护其利益而进行的转让。


(八)监督机构的权责与职能


根据POPIA,监督机构的权责与职能包括:(1)提供教育;(2)监控与强制执行;(3)与利害关系人协商;(4)处理投诉;(5)组织研究并向国会报告;(6)发布、修订、撤销行为准则或制定指南等;(7)促进跨境合作;(8)为保护公共利益、团体或个人的合法权益,发布相关调查报告等。


(九)任命信息官


企业应任命一名信息官和一名副信息官,以确保企业行为符合POPIA中的规定、处理数据主体的投诉,企业还应保留所有与处理相关的过程性文件。信息官的责任义务包括:(1)鼓励遵守合法处理个人信息的条件;(2)处理根据本法向机构提出的要求;(3)与监察机构合作进行相关调查;(4)确保遵循本法的规定。信息官在数据责任方向监管机构注册后,履行本法规定的职责。


(十)法律责任


不遵守POPIA的处罚包括最高10年的监禁或不超过1000万南非兰特(约577,176美元)的行政罚款。此外,根据POPIA,南非数据主体拥有许多其他救济性权利。该法制定了新的民事救济办法,使数据主体有权在严格责任的基础上对个人信息负责的各方提起索赔。这意味着受数据泄露影响的数据主体可以对未能充分保护其个人信息的企业提出索赔,而不必证明存储或处理数据的企业在这样做方面存在过失。


[1]原文地址:https://www.gov.za/sites/default/files/gcis_document/201409/3706726-11act4of2013protectionofpersonalinforcorrect.pdf


文章来源:信通院互联网法律研究中心,作者,李雅文,中国信息通信研究院互联网法律研究中心研究员




 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司