南非个人信息保护法 (POPIA)
遵守南非个人信息保护法的关键条款
2013 年 11 月,南非共和国议会颁布了 2013 年南非个人信息保护法 (POPIA):
南非个人信息保护法旨在促进保护公营和私营机构处理的个人信息;引入某些条件,以确定处理个人信息的最低要求;规定设立信息监管机构,以根据该法案和 2000 年促进获取信息法行使某些权力和履行某些职责及职能;规定颁布行为守则;规定个人就未经请求的电子通信和自动决策方面所享有的权利;管制跨越共和国边界的个人信息流动;并就有关事宜作出规定。
违反南非个人信息保护法的潜在后果
南非个人信息保护法第 100 – 106 条涉及当事方认为自己“违规”的情况。 具体而言,第 105 条(责任方与账号有关的非法行为)规定:“责任方必须...已经知道或应该知道...[侵犯个人数据隐私] 可能会对数据主体造成重大损害或困扰。”
此外,第 106 条(第三方与账号有关的非法行为)规定:“未经责任方同意,任何人故意或鲁莽...获取或披露数据主体的账号...或者促使他人披露数据主体的账号...即属犯罪。”
第 107 条详细说明了各项罪行适用的处罚。 具体而言,“任何被定罪的人...可处以...罚款或不超过 10 年的监禁,或同时处以罚款和监禁;或...罚款或不超过 12 个月的监禁,或同时处以罚款和监禁。”
如此南非规定第 109 条所述,最高罚款“不超过 1000 万兰特”。
法规
以下材料直接摘自南非个人信息保护法
关于个人信息完整性和机密性的安全措施
19. (1) 责任方必须采取适当、合理的技术和组织措施,确保其拥有或控制的个人信息的完整性和机密性,以防止:
- 个人信息的丢失、损坏或未经授权的销毁;以及
- 非法访问或处理个人信息。
为使第 (1) 款生效,责任方必须采取合理措施,以:
- 识别其拥有或控制的个人信息的所有合理可预见的内外部风险;
- 建立并维护适当的保障措施,以防范所识别的风险;
- 定期核查保障措施是否得到有效执行;以及
- 确保保障措施不断更新,以应对以前实施的保障措施中发现的新风险或缺陷。
关于运营商处理信息的安全措施
21. (1) 责任方必须根据责任方与运营商之间的书面合同,确保为责任方处理个人信息的运营商建立并维护第 19 条所述的安全措施。
(2) 如果有合理理由相信有任何未经授权的人员访问或获取了数据主体的个人信息,运营商必须立即通知责任方。
安全隐患通知
22. (1) 如果有合理理由相信有任何未经授权的人员访问或获取了数据主体的个人信息,必须立即通知责任方;
- 监管机构;以及
- 数据主体(在不违反第 (3) 款的情况下),除非该数据主体的身份无法确定。
(4) 向数据主体发出的通知...必须采用书面形式,并至少通过以下一种方式传达给数据主体:
- 邮寄至数据主体最后已知的实际地址或邮政地址;
- 通过电子邮件发送至数据主体最后已知的电子邮件地址;
- 在责任方网站上的显著位置发布;
- 在新闻媒体上发表;或
- 根据监管机构的其他指示。
民事救济
99. (1) 数据主体,或根据数据主体的要求,监管机构可以向有管辖权的法院提起民事诉讼,要求责任方赔偿因违反第 73 条所述此南非规定而造成的损害,无论责任方是否故意或疏忽。
(3) 根据第 (1) 款进行的法庭听证程序有权裁定公正公平的赔偿金额,包括:
- 支付损害赔偿金,作为因违反此南非规定而使数据主体遭受可继承和不可继承损失的赔偿;
- 加重损害赔偿金,数额由法院酌情决定;
- 利息;以及
- 按法院决定的比例计算的诉讼费。
合规性
Entrust nShield® HSM 可以帮助您遵守 POPIA 并免遭数据违规通知要求
虽然 POPIA 未明确什么是访问和获取主体数据,但全球关于个人信息保护的法规都规定,如果数据已经假名化或非法检索者无法读取,则无需报告数据泄露;被盗的敏感数据已视为对盗窃分子无用,且对数据主体无害。
假名化有两种被广泛接受的最佳实践方法,分别是加密和令牌化。 两者都使用加密密钥将纯文本转换为不可读的密文,然后再转换回明文。 如果“网络盗窃分子”盗取了密钥以及加密或令牌化的数据,则可以将数据转换回纯文本。 因此,将密钥与其保护的数据分离,并为密钥本身提供额外安全性至关重要。
Entrust 加密密钥安全解决方案
加密密钥安全的最佳实践在于将这些密钥存储在硬件安全模块 (HSM) 中。 Entrust nShield HSM 是经过加固、防篡改的硬件设备,可生成、保护和管理用于加密和解密数据以及创建数字签名和证书的密钥,从而保护加密过程。 这些 HSM 经过了最高安全标准的测试、验证和认证,包括 FIPS 140-2 和通用标准。 Entrust nShield HSM 使组织能够:
- 满足甚至超越现行和新兴的数据隐私监管标准
- 实现更高级别的数据安全和信任
- 保持高服务级别和业务敏捷性
nShield as a Service 是一种基于订阅解决方案,它通过专用的 FIPS 140-2 3 级认证 nShield Connect HSM,生成、访问和保护加密密钥材料,使其与敏感数据分隔开来。 该解决方案提供了与本地 HSM 相同的特性和功能,并结合了云服务部署的优势。 这使得客户能够实现云优先目标,并将这些设备的维护工作交给 Entrust 的专家处理。
资源中心
合规性简介: 南非 POPIA
南非 POPIA 旨在保护个人信息,违规可能导致罚款和民事诉讼。
手册: Entrust nShield HSM 系列手册
Entrust nShield HSM 解决方案为密码处理、密钥生成和保护、加密等的安全性创造了更加稳固、防篡改的环境。 Entrust nShield HSM 解决方案具有三种经过 FIPS 140-2 认证的外形规格,支持各种部署方案。
数据表:nShield as a Service
nShield as a Service 为基于订阅的解决方案,它通过专用的 FIPS 140-2 3 级认证 nShield Connect HSM,生成、访问和保护加密密钥材料。