企业出海——海外数据合规概览（南非篇）.pdf

南非目前是非洲第二大经济体，经济和工业化水平在非洲处于前列，其自然资源十分丰富。[1]南非亦是G20、

金砖国家等重要国际组织的成员。据官方统计，截至2023年，中国连续14年稳居南非第一大贸易伙伴的地位，

南非也连续13年成为中国在非洲最大的贸易伙伴。2022年，中南贸易额达567.4亿美元，增长5%。2023年1至

8月，双边贸易额达377.3亿美元，占中国与非洲贸易总额的20%。南非是中国在非洲最重要的投资目的地之

一，也是中资企业在非洲区域设立总部的首选之地[2]。

本文拟梳理南非个人信息保护相关的法律法规，为中国出海企业在南非的个人信息处理活动提供合规指引。

一、南非个人信息保护法律框架

1.《南非宪法》（theConstitutionofthe

RepublicofSouthAfrica）

《南非宪法》第32(1)条规定了公民获取由政府持有的信息以及由他人持有的、为行使或保护权利所需的信息的

权利（即信息获取权）。为了实现这一权利，《南非宪法》第32(2)条要求制定相应的国家法律，于是《促进信

息获取法》（PromotionofAccesstoInformationAct，下称“PAIA”）相应发布。PAIA于2000年生效，

共有7大部分，包括介绍条款、对公有主体记录的获取、对私有主体记录的获取、对决定的申诉、人权委员会、

过渡安排以及一般条款。

同时，《南非宪法》第14条规定了公民的隐私权，PAIA第9条明确了对信息获取权的限制，包括对隐私、商业

机密和促进良好治理的合理保护。

2.《个人信息保护法》（Protectionof

PersonalInformationAct，下称“POPIA”）

POPIA是南非第一部全面的数据保护法律，其主要目的是保护公有和私有机构处理的个人信息，规定了处理个

人信息的最低合规要求，以及保障数据主体的相关权利。POPIA包含了对PAIA作出的一系列修订[3]。

POPIA于2013年11月被签署成为法律，但当时并未生效，而是分阶段实施，其中第1条（定义）、第39至54条

（信息监管机构）、第112条（规定）以及第113条（制定规定的流程）于2014年开始实施；2020年6月22

日，南非总统宣布POPIA余下的大部分实质性条款于2020年7月1日开始实施，包括第2至38条、第55至109条

（第58(2)条除外）、第111条以及第114(1)-(3)条，主要包括适用条款、合法处理个人信息的条件、豁免情

形、需事先授权的活动、数据主体权利、实施条款、行政处罚等规定。POPIA第114(1)条设定了一年的过渡

期，即个人信息处理活动必须在2021年7月1日之前能够确保遵守POPIA的规定。此外，POPIA第110条（法律

修正）和第114(4)条（关于职责转移）于2021年6月30日生效，第58(2)条（关于信息监管机构的调查）于2021

年7月1日开始适用。

时至今日，POPIA已全部生效。

此外，根据POPIA第112(2)条的规定，南非信息监管机构（具体见下文）于2018年颁布了《个人信息保护法实

施条例》（RegulationRelatingtotheProtectionofPersonalInformationAct，下称“POPIA条例”），

进一步细化了POPIA的实施要求。

3.《电子通讯与交易法》（Electronic

CommunicationsandTransactionsAct，下

称“ECTA”）

ECTA于2002年生效，ECTA立法重点在于规范电子通讯与电子交易活动，其中第51条对于在电子交易过程中被

收集的个人信息提出了九点保护原则，例如，取得数据主体的明确书面同意、告知数据主体个人信息收集目

的、个人信息删除义务等。

4.《消费者保护法》（ConsumerProtection

Act，下称“CPA”）

2011年颁布的CPA从保护消费者隐私的角度立法，适用于通过电话向消费者直接营销商品和服务的行为。CPA

关于直接营销和未经请求的通讯的规定可能与POPIA的有关规定存在重叠，但POPIA进行了更加明确的规定。

二、南非个人信息保护监管机构

信息监管机构（InformationRegulator，下称“IR”）是由POPIA创设的个人信息监管机构，须同时履行

POPIA和PA