POPIA 是什么
POPIA 是南非《个人信息保护法》(Protection of Personal Information Act),自 2021 年 7 月起全面生效,由 Information Regulator(信息监管机构) 负责执法,可以理解为南非版的欧盟 GDPR。它的适用范围很宽:只要你的组织在南非境内处理个人信息,就受它约束——这当然也包括中国出海企业在南非设立的本地实体、项目部和办事处。
这里说的"个人信息",不是抽象概念。员工的身份证号、工资、考勤记录,客户联系人的姓名、电话、邮箱,监控录像里能认出的人脸,远程运维设备日志里夹带的操作员标识——这些全是 POPIA 管的对象。换句话说,你不需要做数据生意,只要在正常经营,就已经在"处理个人信息"。
为什么这件事和中国出海企业高度相关
合规风险最容易被忽视的地方,恰恰是制造和工程企业觉得"和自己无关"的几个日常动作。对一家在南非有实体的中国企业来说,至少有四条暴露线:
- 远程监控 / 远程运维设备——为了在国内盯着南非现场的设备运行,很多企业把数据回传到中国总部。这些数据流里除了机器运行参数,往往还夹带操作员身份、登录账号、现场摄像头画面等个人信息,构成跨境传输。这是出海企业最容易踩、也最容易忽略合法依据的一环。
- 现场 CCTV 摄像头——工厂、仓库、项目工地的监控摄像头会拍到员工、访客、承包商。镜头一开,你就在采集生物识别和行踪信息,POPIA 对此有明确要求。
- 员工数据——招聘简历、工资单、考勤、健康与工伤记录。雇了本地员工,就背上了一整套员工个人信息的保护义务。
- 客户与联系人数据——CRM 里的客户名单、报价记录、合同、对接人电话。这些是商业资产,也是 POPIA 下要被保护的个人信息。
把这四条放在一起看就清楚了:不是"要不要合规"的问题,而是"你已经在处理,只是有没有做对"的问题。
POPIA 的核心要求(框架,以 Information Regulator 最新为准)
POPIA 规定了若干项个人信息处理条件(条件性原则),落到实务上,出海企业需要把握的是下面这几条主线:
- 合法、最小化处理——只为明确、正当的目的收集必要的信息,不多收、不滥存。
- 同意与告知——在收集个人信息时,要让当事人知道你收什么、为什么收、会怎么用,必要时取得同意。
- 目的限定——收来做 A 用途的数据,不能擅自挪去做 B 用途。
- 安全保护措施——采取合理的技术与组织措施保护数据,防止泄露、丢失和未经授权的访问。
- 数据泄露通知义务——一旦发生个人信息被未授权获取的事件,须按规定通知 Information Regulator 与受影响的当事人。
- 指定信息官(Information Officer)——每个责任主体都要有信息官,且须向 Information Regulator 登记。默认情况下,公司的最高负责人即为信息官,可另行书面授权。
- 数据主体权利——员工、客户有权查阅、更正、删除自己的个人信息,你要有渠道响应这些请求。
关键点:这套要求不是"做个隐私政策挂网上"就算完。它要求你能说清楚每一类数据从哪来、存在哪、谁能看、传去哪、出事怎么办。出海企业最常见的状态是"数据在流动,但没人能完整答出这几个问题"——这正是合规风险所在。
跨境传输:Section 72 是出海企业的重点
把个人信息从南非传到境外(比如把现场数据回传中国总部),受 POPIA Section 72 约束。简单说,向境外传输个人信息,原则上需要满足以下情形之一:
- 接收方所在地有相当水平的保护——通过法律、有约束力的公司规则或合同,确保境外接收方对数据的保护不低于 POPIA 的标准;
- 当事人同意该次跨境传输;
- 传输是履行当事人与责任主体之间合同所必需,或为当事人利益签订并履行合同所必需;或
- 其他法律规定的有限情形。
这意味着远程运维数据回传中国,不能"默认就传"。务实的做法是:先盘清回传的数据里到底有没有个人信息,能去标识化(脱敏)的尽量脱敏;确实要传的,落一份能体现"相当保护"的数据处理协议或集团内部规则,并把跨境传输写进对员工/客户的告知里。把这步当成项目上线前的设计动作,而不是出了事再补。
怎么落地合规
不必一步到位,但下面几件事是出海企业应当尽早安排的基础动作:
- 指定并登记信息官——确定谁是 Information Officer,向 Information Regulator 完成登记。
- 隐私政策与同意机制——面向客户、员工、网站访客分别准备告知文本与同意/告知流程。
- CCTV 告示与最小化——在监控区域设置清晰告示牌,限定监控范围与录像保存期限,控制谁能调阅。
- 与本地运维 / IT 方签数据处理协议——凡是替你处理数据的第三方(运维承包商、托管商、IT 服务商)都应有书面协议,约定其保护义务。
- 跨境传输的合法依据——为每一条回传链路确定 Section 72 下的依据,并留存文件。
- 安全措施与泄露响应流程——访问控制、加密、备份,以及一份"出事后多久、向谁、怎么通知"的应急流程。
四类典型数据场景对照表(参考)
下面把出海企业最常见的四类数据场景、POPIA 的关注点和参考合规动作列在一起,供一线对照。具体处置请结合专业法律与合规意见。
| 数据场景 | POPIA 关注点 | 合规动作(参考) |
|---|---|---|
| 远程运维 / 远程监控设备数据回传 | 跨境传输(Section 72);日志夹带个人信息;缺合法依据 | 盘清回传内容、能脱敏就脱敏;落数据处理协议/集团规则体现"相当保护";把跨境写进告知 |
| 现场 CCTV 监控摄像头 | 采集人脸/行踪;最小化;告知;录像留存与调阅 | 设监控告示牌;限定拍摄范围与保存期限;控制调阅权限与用途 |
| 员工数据(招聘/工资/考勤) | 合法目的;最小化;安全保护;员工的查阅更正权 | 限定收集范围;访问控制与加密;提供查阅/更正渠道;HR 流程留痕 |
| 客户与联系人数据(CRM/报价/合同) | 告知与目的限定;不擅自他用;安全保护 | 隐私政策说明用途;不挪作无关用途;分级访问;离职即收回权限 |
这张表的重点不是逐字照搬,而是提醒:四类场景的合规逻辑各不相同,远程数据回传是出海企业独有、也最容易漏的一块,别用对待客户名单的思路一概而论。
常见的坑
坑一:以为 POPIA 与制造业无关。"我们是做设备的,又不是搞数据的"——这是最危险的总前提。只要在南非装了摄像头、雇了人、存了客户资料,你就已经在处理个人信息,POPIA 一样管得到。
坑二:远程数据回传中国没有合法依据。为了在国内监控南非现场,把数据"默认就传回总部",却没盘过里面有没有个人信息、也没落 Section 72 下的依据。这是出海企业最普遍、也最容易被监管盯上的一处。
坑三:CCTV 无告示、无最小化。摄像头一装了之,没有告示牌、不限范围、录像无限期存、谁都能调。镜头拍到的每个人都是数据主体,这种状态在 POPIA 下站不住。
坑四:没有指定、也没登记信息官。很多本地实体根本不知道自己默认就需要一个 Information Officer,更没去 Information Regulator 登记。这是合规的基础动作,缺了它,后面都无从谈起。
坑五:发生泄露不报。出了数据泄露事件,想着"内部处理掉、别声张"。POPIA 有明确的通知义务——该通知 Information Regulator 和当事人却不通知,本身就会加重责任。
坑六:把员工数据随意外传。把工资单、身份信息、考勤记录随手发给第三方、传进无防护的群和网盘,没有协议、没有授权。员工数据是 POPIA 重点保护对象,随意外传风险很高。
坑七:用国内一套隐私实践直接套南非。国内合规和南非 POPIA 在同意、跨境、告知、登记等环节要求并不相同。把国内模板原样照搬,往往既不满足 POPIA,又给自己一种"已经合规"的错觉。
数据合规和现场运维是连在一起的——你怎么远程监控设备、谁在现场操作、数据走哪条线,直接决定合规怎么做。延伸阅读:售后与运维、南非售后与备件体系、南非劳动法与用工。需要一个针对你项目的本地合规判断,联系我们。