2018年5月,欧盟《通用数据保护条例》(GDPR)正式生效,其取代了欧盟的《数据保护指令》。该条例是一套关于数据隐私与保护的法律框架,旨在完善欧洲的数据隐私法律。此外,GDPR与南非的《2013年个人信息保护第四法案》(ProtectionofPersonalInformationAct4of2013,POPIA)也极为相似。尽管目前POPIA仅实施了部分条款,但其将适用于南非所有因与本国消费者互动而需要收集并处理个人信息的企业与组织机构。
POPIA的条款仅适用于在南非境内注册并成立的企业及相关机构。而GDPR则适用于处理欧盟公民的个人信息或监测其网络活动的非洲所有的组织机构。这意味着向欧盟公民销售产品的南非网络购物网站将需要符合GDPR的规定。
对于那些处理与收集全球用户个人数据(包括欧盟公民的个人数据)的金融服务行业而言,GDPR同样具有至关重要的意义。如果不遵守GDPR的规定,这些金融机构将会面临如下后果:书面警告;定期数据保护审查;高达1000万欧元或全球年营业额的2%的罚款(取两者中的较高者)。那些因不遵守GDPR的规定而导致数据外泄的组织机构将遭受最严重的处罚。
POPIA需要与GDPR共同发挥作用以改善南非的贸易状况。由于POPIA在很大程度上是对欧盟《数据保护指令》的“模仿”,因此POPIA与GDPR的相似性要远远超过其差异性。尽管如此,二者之间的差异如下:GDPR包含了《数据保护指令》中未涵盖的其他数据保护要求,而POPIA并未包含此类规定;GDPR仅保护自然人的个人数据而不会为法人提供此类保护,而POPIA可同时为自然人和法人提供保护。
GDPR中所涵盖的基本用户权利被誉为保护数据主体(其个人信息已进入数字化世界中)权利的全球标准。非洲的企业与组织机构应遵循如下基本权利标准:
透明与信息权
相关组织机构必须向数据主体提供如下信息:谁访问了其个人信息;个人信息将会被用于何种目的;信息的接收者将会是谁;信息将被保留多久。这些机构必须以一种清晰且透明的方式并使用简洁明了的语言向数据主体提供此类信息。
被遗忘权
数据主体有权基于如下理由来要求相关组织机构删除其个人信息,且不得无故拖延:个人数据的使用与其最初被收集或处理的目的已不再相关;数据主体已撤回对其信息进行处理的准许;相关组织机构根据本国或外国的法律必须删除相关个人信息。
限制处理权
数据主体有权基于如下理由要求相关组织机构停止处理其个人信息:信息的精确性遭到数据主体的质疑;信息的处理是非法的,数据主体请求限制对其信息的使用。
数据迁移权
数据主体有权从某一个组织机构处接收到其个人数据,然后将此类信息传输给其他的组织机构。该权利并不适用于以下情况:信息的处理是出于公共利益或实施官方权利的目的。
反对权
数据主体有权基于以下两种情况反对相关组织机构对其个人信息进行处理:数据主体已经同意相关组织机构对其个人信息进行处理,当其希望撤回处理准许时,其有权提出反对;信息处理是用于直接营销的目的。
涉及自动化处理与分析决定的权利
根据GDPR的规定,数据主体不受仅基于自动化处理而作出的决定的影响。这种决定主要是基于分析而作出的,并且会因自动化而对数据主体造成一定的法律后果。
访问权
当相关组织机构处理数据主体的个人信息时,此类主体有权获得相关通知以接收到其个人信息的副本、得知信息的来源并获得机会针对此类信息的收集与处理提出起诉。
总之,GDPR为非洲各国政府提供了衡量自身隐私法律的标准,并为非洲的组织机构提供了可供采用的国际标准以获得国际社会的信任。此外,对于非洲数字化安全的未来以及所有非洲居民而言,GDPR的实施象征着一个全新的开端。(编译自www.lexology.com)
翻译:李艳秋 校对:刘鹏
