周强院长、首席大法官，各位最高法院首席大法官、最高法院院长，各位高级大法官，女士们、先生们，非常感谢给我机会参加此次论坛。

　　信息传播技术的进步极大推动了全球化进程。在经济竞争日益激烈的形势下，商事交易比以往任何时候都更加依赖于收集到的消费者信息。毫无疑问，数据是一种可以产生收益的潜在资产。全球化的激烈竞争，导致了数据滥用的可能性，这在个人信息方面尤为显著。

　　因此，我们需要建立一个能够有效监管个人信息收集和处理的系统。我们知道，有关数据保护的监管，能够为个人信息的收集、存储、使用和交互提供了规范和保护。法律需要处置的问题不仅限于是否可以获取信息，还包括是否应该获取信息，在何处获取信息，如何使用信息，以及可以向谁反馈这些信息。如果法律允许收集个人信息，那么数据收集和使用的公平性、完整性和有效性也应受到保护。

　　南非通过宪法和其他与公民隐私权保护有关的法律，直接或间接处理涉及公民隐私权保护，以及信息收集、保存和处理等各个方面的问题。南非花费了很长时间颁布了一项《个人信息保护法》（“POPIA”），专门规定国家数据隐私问题。

　　《个人信息保护法》是南非关于数据保护的最新法律，我想简要介绍一下南非数据保护的整体框架。

　　在南非，宪法是最高法律，任何与宪法相抵触的行为均无效。南非公民基本权利以《权利法案》的形式列入宪法。《权利法案》为公民隐私的基本权利提供了保护，明确规定不得侵害公民的通信隐私。一经宪法明确规定，就意味着不得颁布侵害隐私权的下位法，也不予许侵犯或不合理限制个人隐私权，并导致个人隐私受到损害，这是一个大的背景。宪法权利概括保护了隐私权的各个方面，同时也为更广泛的数据保护立法提供了前提。

　　《促进信息获取法》（“PAIA”）就是其中之一。它规定公民为了行使或保护其他权利，享有获取由国家或他人掌握信息的基本权利。《促进信息获取法》禁止对第三方有关个人信息的不合理披露，以这种方式践行数据保护原则。

　　此外，我们还制定了《国家信用法案》（“NCA”） ，其旨在促进公平和非歧视性地获取消费者信贷市场信息。该法案规定了更高的消费者信息标准，其中包括对信用信息的监管。《国家信用法案》旨在规范接收、编辑、保存或报告涉及消费者保密信息的人的行为，以维护信息的保密性。

　　同样，《通信截取和提供通信相关信息条例》（“RICA”）禁止拦截和监视直接或间接通信行为。这有助于犯罪侦查和预防。《通信截取和提供通信相关信息条例》规定了电信服务商获取和保存客户特定信息的义务。《通信截取和提供通信相关信息条例》在有组织犯罪不断增加的背景下颁布，有助于更好打击和预防此类犯罪。

　　此外，《电子通信和交易法》（“ECTA”）是保护个人电子数据的另一项法律。该法规定了有关促进和规范电子通信及交易的相关内容。

　　尽管南非尊重公民隐私权，也颁布以上涉及隐私权各方面的法律法规，但这并不足以为南非的个人信息处理提供充分的数据保护。这些立法仅提供部分数据保护，随着其他技术和立法方面的发展，对全面数据保护立法的需求迫在眉睫，对此我们出台了《个人信息保护法》。

　　《个人信息保护法》借鉴了欧盟的数据保护法规，具体为欧盟《数据保护通用条例》（GDPR）。它是一种现代化的以问责制为基础的数据保护的条例，而且它有很大的开创性的影响力，提出了一系列的措施，让数据主体对个人信息有更多的控制权。应该说，OECD准则确定了八项关于数据保护的“基本原则”，即：（1）收集限制原则; （2）数据质量原则；（3）明确目的原则；（4）使用限制原则；（5）安全保障原则；（6）开放性原则；（7）公民参与原则；（8）问责原则。

　　《个人信息保护法》与1998年英国《数据保护法》（DPA）非常相似。《个人信息保护法》目的是实现普通法和宪法上的隐私权，并规范个人信息所涉及的公民（也称为数据主体）的个人信息可以被“处理”的方式，即由数据控制者（在《个人信息保护法》中称为“责任方”）收集、持有、使用、公开或转移。数据责任方作为决定如何以及为何处理此类信息的主体，《个人信息保护法》主要通过赋予数据责任方义务的方式实现这一目的。《个人信息保护法》不会从根本上改变普通法和宪法关于隐私权的现有规定，但会完善个人信息保护的执法机制。我们还需要有个人信息保护法的实施条例，因为他们是相辅相成的，南非为此还要设立专门进行数据和信息监管的机构，但是该机构迟迟没有建立，所以法律其实还没有完全实施，但是毕竟我们迈出了重要的一步，这充分说明南非高度重视保护公民和其他组织的数据权利，这是宪法赋予的权利。

　　《个人信息保护法》适用于通过自动或非自动方式处理由数据控制者输入或用于数据控制者记录中的个人信息，包括数据控制者住所地在南非，或者住所地虽不在南非但在南非境内通过自动或非自动方式处理个人信息。但是，《个人信息保护法》不适用于仅通过南非转发或从南非经过的任何个人信息。

　　《个人信息保护法》中定义的数据主体信息是指能识别到个人（在某些情况下包括公司）的任何信息。《个人信息保护法》还规定了敏感个人信息的特殊类别，在该法案中被称为“特殊个人信息”。《个人信息保护法》中单独规定了这类信息的处理，并有相当严格的要求。

　　在以下情况下，一般可以处理个人信息：（1）数据主体自愿、明示、知情地许可数据处理；（2）数据主体为了订立或履行合同而必须进行数据处理；（3）数据处理符合法律规定的责任主体义务；（4）数据处理可以保护数据主体的合法权益；（5）数据处理是公共机构正确履行公法职责所必需的；（6）为了保护提供信息的责任方或第三方的合法利益，有必要进行处理。此外，只有在所有有效处理措施均符合八项“合法处理个人信息的条件”的情况下，才能处理个人信息。这些条件以《数据保护法令》的规定为蓝本，即：问责制、处理限制、目的规范、进一步处理限制、信息质量、开放性、安全保障措施和数据主体参与。

　　另一方面，处理敏感个人信息是被明令禁止的，除非获得数据主体的同意或符合《个人信息保护法》规定，例如，信息监管机构已授权处理等。

　　这些只是《个人信息保护法》的部分条款，我认为通过这些条款可以清楚地理解南非立法者的意图，即保护公民隐私权不受不公平的侵害。我认为，《个人信息保护法》是朝着正确方向迈出的重要一步，尤其在这个个人信息以电子手段流转最为频繁的时代。

　　如前所述，《个人信息保护法》适用于在南非各行各业的所有公司，但对某些行业的影响更大。我认为，金融服务业就是其中之一。为什么？首先，金融服务提供者（即银行、保险公司等）搜集非常私人的敏感信息。其次，如果金融服务提供商的安全性出现问题，可能给其客户带来严重后果。 最后，南非信息监管机构表示，金融服务将成为其首要关注重点，因为已经发起的大多数投诉都针对金融服务提供商。

　　目前（直到《个人信息保护法》全面启动之前），《电子通信和交易法》定义了将个人信息用于直接营销目的的行为。该法规定，仅需向电子通信的预期接收者提供一个选择拒绝接收进一步通讯的机会即可。《消费者保护法》（“CPA”）对所有直接营销通讯施加了一般性限制。人们发现这两项立法是有限的，特别是涉及金融服务提供商买卖数据主体个人信息（或在未获得特定许可情况下使用个人信息）时。

　　但是，《个人信息保护法》引入了有关金融服务提供商通过电子通信（电子邮件、文本消息和自动语音消息，但不包括电话）将个人信息用于直接营销目的的具体条款。根据《个人信息保护法》第69条，金融服务提供商或直接营销商只有在获得目标接受者的明确同意后，才能将其个人信息（例如，姓名、联系方式和其他个人信息）用于任何此类直接营销。换句话说，必须征得个人选择同意接受后，直接营销信息的发送才是合法的。数据控制者只能与信息主体（且其之前未曾拒绝接受）接触一次，以请求其同意将个人信息用于直接营销目的。

　　《个人信息保护法》解决了三个问题，朝着保护数据主体个人信息的正确方向迈出的一步。首先，《个人信息保护法》使金融服务提供商难以买卖个人信息，而买卖个人信息的做法是金融服务业的惯常做法。《个人信息保护法》未将买卖个人信息定为非法，但实际上，将来很难再进行此种买卖。其主要障碍是，《个人信息保护法》要求金融服务提供商在向第三方分享潜在客户的个人信息前，必须告知潜在客户。这对个人消费者而言非常重要，作为消费者，通常非常关心个人信息将分享给谁，而我们不太信任未经同意就与第三者共享个人信息的公司。

　　其次，《个人信息保护法》改变了直接营销的方式。企业买卖个人信息的根本原因是进行直接营销。《个人信息保护法》则制定了有关直接营销的新规则，使得在将个人详细信息用于直接营销之前必须征得信息主体的许可。这个规则也绝对适用于短信、电子邮件和自动语音邮件等。此许可必须以信息主体“主动选择接受”的形式获得。许可必须是自愿、知情和具体的。例如，必须为：“我同意将我的信息出售给其他金融服务提供商以进行直接营销。”因此，这意味着没有默示同意和例如“通过向我们提供您的个人信息，您同意我们在认为适当的情形下处理您的信息”此类条款。

　　我认为，没有多少人允许一个公司通过分享自己的个人信息而获利。这意味着金融服务提供商将必须寻找方法说服客户其所购买和出售的个人信息符合客户的利益，并且客户希望接受直接营销。对于个人信息受到大企业滥用的个人而言，这是非常令人鼓舞的。

　　此外，令人鼓舞的是，关于《个人信息保护法》的新要求还必须与《消费者保护法》中有关直销的要求一并适用。这些要求包括允许数据主体有机会停止任何直接营销方法、根据南非国家消费者委员会制定或认可的官方选择退出注册表（罗宾逊列表）从内部营销列表中退出、或限定与数据主体取得联系的时间。

　　第三个也是最后一个问题是，《个人信息保护法》要求企业向客户明确，为防止后者个人信息被第三方访问而采取的安全措施。在这方面，应该指出，根据《个人信息保护法》，公司要扮演一个或两个主要角色，以确保安全措施的实施并确保第三者不会非法访问客户的个人信息。在以下情况中，这些角色是：（1）根据《个人信息保护法》，公司是责任主体或数据控制者（即公司直接处理从客户、供应商或雇员中获得的个人信息）；（2）第二个角色是运营商，即公司为另一责任主体或数据控制者提供服务。

　　公司充当数据控制者角色时，根据《个人信息保护法》，该公司必须确保已实施足够的安全措施保障其处理的个人信息的完整性和机密性，这可能要求公司采取适当、合理的技术手段和系统措施防止个人信息丢失、损坏、未经授权的破坏以及对个人信息的非法访问或处理。

　　在公司需要另一家公司的服务来处理其客户个人信息的情况下，该公司必须确保该服务提供商对个人信息的处理受公司与服务提供商（数据处理者）之间书面合同的约束。即要求服务提供商建立并维护信息的机密性，并采取相关安全性措施保障信息的完整性。

　　《个人信息保护法》的正面影响是，如不遵守上述要求，可能会对公司造成许多不良影响。《个人信息保护法》赋予南非监管机构采取一系列补救措施的权力，包括在情节严重时实施罚款和判处监禁。其他负面影响可能来自对公司产生信任危机的客户、员工、供应商或投资者，从而导致公司声誉受损和收入受损，我认为许多公司不愿经历这种情况。

　　但是，我们仍面临挑战，尽管这些挑战与《个人信息保护法》条款自身缺陷无关。我们面临的挑战是《个人信息保护法》的实施和启动。

　　《个人信息保护法》由总统批准，并于2013年11月26日在政府公报上发布。但是，尽管《个人信息保护法》的某些规定目前已经生效（即定义部分、数据保护授权办公室部分，比如信息监管机构，以及在《个人信息保护法》之下制定相关法规部分），但《个人信息保护法》的实质性条款，包括关于合法处理个人信息有关要件的条款等尚未生效。

　　这是我们在南非面临的挑战。我认为，延迟生效的原因是建立信息监管机构的时间过长，其中包括信息监管机构的设立、权力、职责和职能。尽管信息监管机构已于2016年12月由南非总统任命，但有关当局为《个人信息保护法》快速及时启动所做的工作有限。自成立以来，信息监管机构根据《个人信息保护法》第112条的规定，于2018年12月14日发布了《 2018年个人信息保护条例》（《个人信息保护法》的实施条例）。这是在信息监管机构成立两年后才完成的。

　　值得赞扬的是，《个人信息保护法》实施条例最终已经颁布，但它们仍然不能发挥任何作用，因为实施条例只有在信息监管机构在政府公报中正式宣布生效日期后才能生效，目前尚不清楚具体日期。曾经，有人预计《个人信息保护法》实施条例将在2018年生效，但并未实现。《个人信息保护法》实施条例至今也没有生效，从《个人信息保护法》于2013年公布以来就一直是这种情况。实际上，《个人信息保护法》成为法律已经迎来了第六个年头，但我们仍在等待其全面生效。

　　问题在于，《个人信息保护法》迟迟未能实施，但试图谋取利润的大公司却一直在不公平地处理着公民的个人信息。例如，据报道，2017年，信息监管机构收到107宗关于非法处理和获取个人信息的投诉，其中许多与银行、保险和电信公司有关。根据该报道，这些投诉大多与未经同意，通过电子通信进行直接营销有关，即营销者通过电子邮件和电话对公民进行轰炸。

　　无论如何，不可否认的是，关于《个人信息保护法》的实施进程并没有像我们国家所希望的那样快速。我认为这可能归因于我们政府程序的民主本质。最终，我们都必须遵循相关程序。

　　即使面临挑战，我们也可以说：“我们已经确保朝着其他发达国家的方向前进”。隐私权是南非宪法的核心，我认为南非立法者发布《个人信息保护法》，表明了南非对隐私权的重视。