历时七年，《南非个人信息保护法》终于正式生效

来源：IAPP KnowledgeNet

作者：Nerushka Bowan

翻译：Raymond Zhang

校对：Ironman Lou

南非终于有个人信息保护法了！尽管自1996年以来，隐私权一直作为《权利法案》的一项基本权利，但就如联合国隐私权问题特别报告员约瑟夫·卡纳塔奇于3月所说，“南非在隐私立法方面落后了其他法域将近三十年”。

2020年7月1日生效

南非《个人信息保护法》（Protection of Personal Information Act, 一般简称为POPI Act或 POPIA）的实质性规定已于2020年7月1日生效（对于信息获取的监督规定将于2021年6月30日开始生效）。该法案对组织实现合规给予了12个月的宽限期。鉴于该法案已经存在了很多年，许多组织早已完成合规性改造，而其他组织则一直持观望态度“静观其变”，目前这些组织也开始着手准备启动其合规相关项目。正式的执法将在2021年7月1日生效，违反规定的组织可能面临最高1000万南非兰特（约合400万人民币）的行政罚款、还可能被提起民事诉讼或被要求承担刑事责任等。

发展过程

该法早在2003年就已经开始起草，主要基于欧盟数据保护指令95/46/EC，但也加入了一些更为严格的规定。它在2013年签署正式成为法律，2014年开始部分实施，为2016年信息监管机构的设立提供了法律支持（信息监管机构的主席和成员已任职五年，任期至2021年12月结束）。

在此期间，欧盟在2018年转向制定更全面的通用数据保护条例（GDPR）。相较于GDPR，POPIA的保护被认为更加充分。基于GDPR的早期版本，POPIA的初稿中包含了一些更为严格的规定。这些对南非的组织来说反而是件好事。鉴于该法案的目的是增强全球信息共享的能力，如果该法案被认定为不具备和GDPR同等充分的保护性，则后续修订不可避免。“充分保护性”使得南非成为企业后台职能部门、数据中心和离岸外包的理想之地。

POPIA旨在促进对发生在南非境内的个人信息处理的保护，并赋予《权利法案》中所规定的隐私权以可诉性，这使得南非成为全球数据保护的标杆。该法案适用于在南非处理数据的任何组织，但不适用于出于个人或家庭目的的数据处理。个人信息被赋予了广泛的含义，这意味着能够识别出特定自然人或法人的任何信息都属于个人信息。同时，POPIA是全球为数不多的为法人（例如公司和信托公司）提供保护的数据保护法律之一。

该法案带来的一大变化是新增了对数据泄露的报告义务。到目前为止，由于缺乏报告义务，已经发生了多起违规事件。POPIA要求组织必须向监管机构报告对个人信息进行未经授权的访问，在某些情况下，还须向数据主体报告。

POPIA 也对离岸数据场景提出了更高的要求。组织在向南非境外发送数据时，需确保满足POPIA中关于数据跨境的相关要求。在该法案生效前，微软和亚马逊都已经在南非当地建立了数据中心。

南非不仅仅更新了数据保护相关的规定，而且首次对数据保护进行了立法。随着2021年7月1日的临近，尚未开始合规项目的组织需要尽快启动了。遵守 POPIA 并不仅仅意味着起草一份隐私政策，事实上，合规的第一步是了解数据是如何在业务各个环节流动（如果以前没做过，那么这并不是一件容易的事），此外各组织还应当积极开展教育和宣传活动，使南非公民了解其作为新数据主体的访问权，让他们更好地控制对其个人数据的处理。

今年，无论是在南非还是在世界其他地方，隐私保护都成为大家共同关注的焦点。COVID-19疫情催生了很多接触者追踪应用的开发以及敏感个人信息数据库的建立。尽管POPIA还没有完全生效，但南非个人信息监管机构在近期已经发布了有关为COVID-19跟踪目的而收集个人信息的准则。在此背景下，公众对隐私保护的需求日益增加，可以说POPIA的出台恰逢其时。

声明：本文来自数据法盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。