从2020年7月正式分阶段生效,到2026年迈入第12个年头,南非《个人信息保护法》(POPIA)已经走过了从“普法宣传”到“严格执法”的完整历程。对于计划在南非设立分支机构、雇佣当地员工或面向南非用户提供服务的中国企业而言,这片“彩虹之国”的数据合规门槛,正在变得前所未有的清晰且高耸。
南非是中国在非洲最大的贸易伙伴,也是“一带一路”倡议对接非洲发展的重要支点。从约翰内斯堡的金融中心到开普敦的物流港口,大量中企在南非深耕布局。而随着南非信息监管局执法力度逐年升级,数据合规已成为中企在南非市场的“通关文牒”。
如需获取POPIA合规最新指南,或需要针对南非🇿🇦具体业务模式的信息官注册与数据合规方案设计,欢迎联系我们。
PART 01
法律框架
一部“南非版GDPR”的十年之路
PART 02
法律适用范围
域外效力与“责任方”角色
PART 03
八项合法处理条件 (“八大支柱”)
PART 04
2026年执法升级
罚款上限与健康数据新规
PART 05
信息官
从“自动任命”到“强制注册”
PART 06
跨境数据传输
确保“充分保护”
PART 07
数据泄露通知
响应机制不可或缺
PART 08
直接营销
同意是硬性要求
PART 09
对中国出海企业的核心影响与应对策略
PART 10
结语
南非《个人信息保护法》于2013年签署成为法律,但采取了分阶段实施的方式。法律的核心条款于2020年7月1日正式生效,并给予了一年的过渡期。自2021年7月1日起,POPIA已全面生效并进入强制执行阶段。
该法深受欧盟《通用数据保护条例》影响,框架与GDPR高度相似,被称为“南非版GDPR”。对于已在欧盟开展业务的中企而言,POPIA的合规逻辑相对熟悉,可复用部分经验。
POPIA的核心法律体系
《个人信息保护法》(第4/2013号法律):核心法律
POPIA实施条例:细化实施要求
2026年健康信息处理条例:针对健康数据出台专门法规
2025年4月POPIA修正条例:强化直接营销和异议处理机制
PAIA(信息获取促进法):与POPIA协同,保障信息访问权
法律条文参考
POPIA第1条(定义)、第3条(适用范围)、第8-25条(合法处理的八大条件)、第26-33条(特殊个人信息)、第69条(直接营销)、第73-76条(跨境数据传输)、第99条(行政处罚)、第107-108条(刑事责任)。
01
哪些主体受POPIA管辖?
POPIA的适用范围非常广泛,明确适用于:
在南非注册的责任方(相当于GDPR下的数据控制者)
未在南非注册,但在南非境内处理个人信息(过境信息除外)的责任方
处理方(相当于GDPR下的数据处理者)
对中国出海企业的影响
即使中企未在南非设立实体,只要通过网站、APP向南非用户提供服务并收集其个人信息,就落入POPIA的管辖范围。这包括跨境电商、SaaS服务、在线教育等远程服务场景。
02
什么是“责任方”和“处理方”?
责任方:单独或与他人共同决定个人信息处理目的和方式的机构或个人,承担主要合规义务
处理方:根据合同或授权为责任方处理个人信息的主体,类似于数据处理者角色
实操建议
中企在南非设立子公司,该子公司通常就是“责任方”;若使用第三方服务商(如云服务、客服外包)处理数据,需与处理方签订书面协议,明确各自责任。
法律条文参考
POPIA第1条(定义);第21条(责任方与处理方的协议要求)。
POPIA的核心是八项个人信息保护条件,构成了企业合规工作的主线:
01
条件一
问责制(Accountability)
责任方必须确保遵守所有其他条件,建立完整的合规管理体系。
对中企的影响
不能仅依靠外部律师,需将数据合规纳入内部治理,指定专人负责、建立制度并持续监控。
02
条件二
处理限制(Processing Limitation)
个人信息必须合法、合理,不侵犯数据主体隐私。
03
条件三
目的说明(Purpose Specification)
数据必须为具体、明确、合法的目的收集,不得超出目的范围使用。
04
条件四
进一步处理限制
(Further Processing Limitation)
后续处理必须与原始收集目的兼容。
05
条件五
信息质量(Information Quality)
责任方须采取合理措施确保信息准确、完整、最新。
06
条件六
公开透明(Openness)
数据主体必须知晓收集行为、目的和责任方身份。数据收集前必须告知数据主体,责任方须编制并维护PAIA手册,公开数据处理政策。
07
条件七
安全保障(Security Safeguards)
采取技术和组织措施,防止数据丢失、损坏或未经授权访问。发现数据泄露须向信息监管局报告
08
条件八
数据主体参与
(Data Subject Participation)
数据主体有权请求访问、更正或删除其个人信息,责任方须在规定时限内响应。
法律条文参考
POPIA第8-25条详细规定了八大条件的具体要求。
01
执法力度显著增加
根据南非信息监管局2026/27年度绩效计划公布的数据:
2025/26年度安全事件通报量高达2,898起,是2021/22年度的15倍
注册信息官仅约69,040人,占CIPC活跃注册公司的约14%
最高行政罚款1000万兰特(约合52万欧元/380万人民币)
与GDPR(最高2000万欧元或全球年营业额4%)相比仍有差距,但南非正推动修法提高上限
处罚类型
刑事处罚:定罪后最高可处10年监禁
行政处罚:最高1000万兰特罚款
违规行为:违反直接营销规定、未注册信息官、泄露敏感信息、妨碍监管机构调查等
执法案例警示
2025年2月,FT Rams Consulting因无视数据主体退订请求,持续发送营销信息,成为首个收到POPIA执法通知的企业,被处以10万兰特罚款。信息监管局明确表示:“我们对通过未经同意的电子通信进行直接营销的宽容已成为过去。”
法律条文参考
POPIA第69条(直接营销)、第99条(行政处罚)、第107-108条(刑事责任)。
02
2026年健康信息处理条例
2026年3月6日,南非信息监管局发布了专门的《健康信息处理条例》,对健康数据的处理提出了更严格的要求。该条例适用于保险机构、医疗计划、医疗计划管理员、养老基金、雇主以及为这些机构工作的处理方。
关键义务
责任方必须采取合理措施,确保健康信息的机密性、完整性和可用性
必须针对物理或电子健康记录实施安全措施
须制定适当的健康记录处置程序
跨境传输须满足数据主体同意或为数据主体最佳利益等条件
违反保密义务可被处以罚款或不超过12个月的监禁
对中国出海企业的影响
若中企在南非从事金融保险、医疗健康服务或作为雇主处理员工健康信息,须特别关注该条例的合规要求。
03
2025年修正条例:直接营销规则收紧
2025年4月17日生效的POPIA修正条例对直接营销施加了更严格的要求:
责任方须建立多种机制,便于数据主体轻松反对处理其信息
电话营销须全程录音,并应数据主体要求提供录音
责任方须改进合规框架,有效跟踪、处理和管理异议
核心要求
根据POPIA,每家责任方必须指定一名信息官。该职位为自动任命,通常由CEO或机构负责人担任。此外,责任方可任命副信息官协助履行职责。
关键合规要点
信息官和副信息官须在信息监管局注册,且只有在注册完成后才能正式履职
信息官应为高级管理层或同等职位人员
对于位于南非境外的跨国实体,必须授权一名在南非境内的人员担任信息官
2026年仅有约14%的活跃公司完成了注册
信息官的主要职责
确保遵守八大合法处理条件
处理数据主体的权利请求
处理PAIA下的信息访问请求
与信息监管局合作调查
开展内部POPIA培训
对中国出海企业的影响
中企在南非设立子公司,必须在成立后尽快完成信息官注册。未注册虽不直接构成刑事犯罪,但若发生数据泄露或投诉,信息监管局可能将“未注册”作为加重处罚的因素。
核心规定
POPIA原则上禁止将个人信息传输到南非境外的第三方国家,除非:
接收国法律提供与POPIA相当的保护水平
数据主体同意传输
传输是履行合同所必需
传输是为数据主体利益
对中国出海企业的直接影响
目前中国未被南非认定为具有“充分保护水平”。因此,中企将南非数据传输至中国,需通过数据主体同意或其他合法性基础获得合法性。
实操建议
与数据主体签署同意书,明确告知传输风险
采用标准合同条款,确保接收方提供充分保护
对传输进行个人信息影响评估
考虑在南非本地或“充分保护”国家部署服务器
法律条文参考
POPIA第72-73条(跨境数据传输)。
核心规定
POPIA要求责任方在发现数据泄露后,在合理时间内通知信息监管局和数据主体。若泄露可能对数据主体造成伤害或数据被滥用,则必须通知。
实操要点
建立数据泄漏检测和响应机制
准备事件响应模版,确保及时通知
所有泄露事件须记录在案
2025/26年度已收到2,898起安全事件通报,叫四年前增长15倍
法律条文参考
POPIA第22条(安全措施义务);POPIA条例第8-11条(泄露通知程序)。
核心规定
POPIA第69条对直接营销设定了严格规定:
首次联系必须请求数据主体的同意
数据主体有权随时退订
电话营销须录音并应要求提供
监管机构可对违规行为处以1000万兰特罚款
实操建议
FT Rams Consulting因无视退订请求持续发送营销信息,被处以10万兰特罚款。信息监管局明确表示,对直接营销违规的“宽容已成为过去”。
对中国出海企业的直接影响
中企在南非通过电话、短信、邮件进行营销推广,必须:
建立明确的同意获取机制
维护退订名单,确保合规
电话营销须有录音保存机制
01
影响一
跨境传输路径受限
中国未被南非认定为“充分保护国家”,数据传输须通过主体同意或标准合同条款。
应对策略:
优先在南非本地部署服务器,减少跨境传输
如需传输,须获取数据主体的明确同意,并保存记录
采用标准合同条款等额外保障措施
定期评估跨境传输的合规状态
02
影响二
信息官注册迫在眉睫
仅约14%的公司完成了信息官注册,监管机构预计将加大执法力度。
应对策略:
任命CEO或高级管理人员为信息官
立即通过信息监管局eServices门户完成注册
如母公司位于南非境外,须授权一名南非境内人员担任信息官
确保信息官接受充分培训和资源支持
03
影响三
健康数据处理门槛提高
2026年健康信息条例对医疗、保险、金融行业提出更高要求。
应对策略:
审计健康数据处理流程,识别合规差距
实施更强的安全措施(加密、访问控制)
制定跨境传输的合规方案
建立健康信息处置程序
04
影响四
直接营销规则收紧
电话营销须录音、退订机制须完善,违规处罚已成为现实。
应对策略:
升级营销系统,实现退订功能的自动化
对营销电话进行录音并保存至少一年
建立同意获取和退订管理的书面流程
05
影响五
执法资源增强,违规成本上升
信息监管局2026/27年度预算增加,安全事件通报量已达2,898起,执法力度明显加强。
应对策略:
建立数据泄露检测和72小时响应机制
完善个人信息处理记录,准备应对监管调查
定期进行POPIA合规审计
持续跟踪信息监管局新指南和执法重点
结 语
南非信息监管局在2026年国际数据隐私日会议上,将主题定为“POPIA的12年——下一步是什么?”。这一主题本身就揭示了监管的转向:从“普法宣传”到“严格执法”的过渡已经完成。
对于在南非运营的中国企业,合规已不是“可选项”,而是决定能否在南非市场持续经营的关键因素。2,898起安全事件通报、仅14%的信息官注册率、首张10万兰特罚单——这些数字共同描绘出一个清晰的图景:执法之网正在收紧。
如需获取POPIA合规最新指南,或需要针对南非🇿🇦具体业务模式的信息官注册与数据合规方案设计,欢迎联系我们。
#出海 #南非 #出海南非 #出海非洲 #南非投资 #合规 #涉外法律 #跨境合规 #中国企业出海 #海外投资 #海外市场 #海外劳动法 #DeepSeek #环球法律动态 #出海交流社群 #合规法律咨询 #投资指南 #跨境贸易法律服务 #涉外法律交流群 #中企出海 #劳动法 #工会 #出海企业工会 #数据隐私
【关键词】POPIA,南非数据合规,个人信息保护法,信息官,跨境数据传输,直接营销,数据泄露,2026健康信息条例,南非信息监管局
[参考资料]
南非信息监管局(Information Regulator)官方网站:https://inforegulator.org.za/
[免责声明]
本文所载信息(包括但不限于法律法规解读、数据、应对建议等)仅供一般性参考,不构成法律、税务、贸易或任何其他专业领域的建议。使用者应自行核实信息来源的准确性和及时效性。我方不对因依赖本文内容而导致的任何直接或间接损失承担责任。相关政策及法规可能随时变动,请以各国政府及监管机构最新官方文件为准。
往期精选
精选合集
关于我们
LAW PURPOSE
律意是一家创新型综合性跨境法律服务平台。
基于创始团队在法律大数据及法律服务行业近20年的经验,拥有覆盖全球157个国家和地区的资深律师网络及各行业法律专家资源,已经为数十家跨境制造与消费类企业节约了50%的时间与经济成本。致力于为企业出海提供专业、完善、便捷的一站式法律服务。
联系/关注我们
小管家微信
小红书
知乎
播客
电话:+86 021 31200806
邮箱:inquiry@lawpurpose.com
地址:上海市静安区愚园路108号7楼728
