显然《欧盟通用数据保护条例》（GDPR）启发了南非的《个人信息保护法》（POPIA），但这两项法律之间存在一些关键差异，任何在南非经营的企业都应该理解。

本文将探讨POPIA比GDPR更严格的三个重要方面。

1.POPIA涵盖有关公司的数据——而不仅仅指个人

GDPR和POPIA之间的第一个主要区别是，POPIA对“个人信息”的定义比GDPR要广泛得多，原因之一是“非常重要”。

GDPR 将“个人数据”定义为“与已识别或可识别的自然人相关的信息...”（“数据主体”）。

POPIA同样将“个人信息”定义为“......与可识别的在世自然人有关的信息...”但南非法律随后进一步扩大了这一定义，并补充说，个人信息也可能与“可识别的现有法人.....”有关。

“法人”即具有可执行权利的非生物法律实体，例如公司，公共机构或任何其他可以签订合同，拥有财产或将案件提交给法院的组织。

这意味着在南非运营的企业可能需要保护有关业务合作伙伴、供应商等的数据，就像保护有关其客户/用户的数据一样。

这不仅包含着有关这些商业实体的员工（他们是“自然人”）的数据，还意味着有关企业本身（“法人”）的数据。

更值得注意的是，欧盟即将出台的《电子隐私条例》也采取了类似的做法，将一些条款同时适用于“自然人”和“法人”。

2.POPIA对儿童数据的规定更加严格

POPIA与GDPR另一个不同的领域在它对儿童数据的处理方面。

GDPR对儿童的规定已经相当严格，侧重于直接向儿童提供“信息社会服务”（在线服务）的控制者。此类控制者在处理儿童的个人数据之前必须征得父母的同意。另外，GDPR第38条还强调了在处理儿童个人数据时对儿童的“特定保护”，特别是在出于营销或分析目的时。

相比之下，POPIA关于处理儿童数据的规则适用于您处理数据的上下文——法律不区分不同的处理目的。

但事实上是，除非您能确定《儿童法》第35条中规定的五种不同法律依据的任一种情况，否则完全禁止处理儿童数据，其中最广泛适用的是个人数据“在合格人士的同意下由儿童故意公开”。

但这项规定中有很多东西需要明确，包括什么时候可以说个人信息是儿童“故意公开”的，以及如何验证“有能力的人”是否提供了同意。

除此之外，也可以直接向南非的信息监管机构申请处理儿童数据的授权。

3.每个受POPIA保护的公司都必须任命一名高管级别的“信息官”

应GDPR的要求许多公司任命了数据保护官（DPO）来监督企业数据保护的合规性。但是，许多不定期监控数据主体或处理“特殊类别数据”的私营公司不需要任命DPO。

然而，根据POPIA要求属于法律范围的每个企业都必须任命一名信息官，并且这种任命有一些严格的条件。

信息监管机构的指导意见澄清了POPIA关于信息官员的规定的某些方面，根据信息监管机构发布的指导说明，被任命的信息官应满足以下条件：

必须是高管级别的员工；

必须直接向最高管理层报告；

必须位于南非；

必须在信息监管机构注册。

通过要求信息官是驻扎在南非的高级工作人员，目的似乎是确保信息官员能够对公司违反POPIA的行为承担法律责任。

这与GDPR对DPO的态度形成鲜明对比，根GDPR，DPO应该充当独立顾问——不必在欧盟建立或为相关组织工作。

目前尚不清楚一家未在南非成立但仍受POPIA约束的公司将如何满足南非法律的要求。（本文出自SCA安全通信联盟，转载请注明出处。）