虽然云服务在2020年之前在南非得到了小规模的应用，但在新冠肺炎大流行之后，国家工作环境受到了封锁法规的根本挑战。由于员工必须呆在家里，许多组织不得不将数据转移到云平台上，以便员工继续工作。在许多情况下，这一紧急操作修改没有考虑到数据迁移的立法影响，并且随着锁定法规的放松，公司被迫考虑迁移的风险和合规性方面。

在这篇洞察文章中，VDT Attorneys Inc.的PR De Wet和David Olën揭示了云服务提供商和使用云服务的组织的监管立场。为了阐明这一现象，本文首先概述了有关云存储设施的最相关立法规定，然后介绍了监管框架的适用操作方面。

POPIA的适用性

在基础层面，个人信息的处理受南非2013年第4号《个人信息保护法》（“POPIA”）的监管。POPIA则遵循《南非共和国宪法》第14节，该节规定了所有人的隐私权。POPIA是南非专门考虑数据的立法的第一个体现。

在具体考虑POPIA对云服务的影响之前，必须认识到，无论组织类型如何，无论是云服务提供商（“CSP”）还是任何其他公司，POPIA要求，尤其是与信息处理相关的要求仍然适用。因此，当南非公司使用CSP时，其作为责任方的义务不会转移到CSP。POPIA第4（1）节规定的责任方合法处理个人信息的条件仍然有效，并适用于责任方。同样，在南非开展业务的CSP也需要遵守POPIA对其自身业务运营的要求；然而，客户服务提供商和责任方之间的关系产生了客户服务提供商的大部分义务，这将在下文中变得清楚。

POPIA的调节框架和关键部分

数据处理

本文专门讨论与云监管相关的问题。POPIA第19节和第21节与CSP关系最相关，将首先讨论。POPIA第72节与CSP在共和国境外处理数据的情况特别相关，下文将对此进行讨论。

首先，POPIA第19节考虑了确保个人信息完整性和保密性所需的安全措施，并认为责任方必须采取适当、合理的技术和组织措施，以防止非法处理、访问或更改数据。为了实施这一要求，责任方必须识别其持有的个人信息的风险，建立风险防范措施，并定期确保在新风险出现时有效实施和更新保障措施。特定行业，如银行业，有其他可能进一步适用的公认安全惯例和程序。

无论责任方是否使用CSP，第19节中包含的要求均适用。然而，在履行这一义务的前提下，POPIA第19节对于考虑CSP的组织至关重要，因为它要求责任方管理与数据处理相关的风险。从本质上讲，第19条体现了确保责任方与责任方而非任何CSP的信息安全的义务。因此，在采购顾客服务提供商时，责任方需要认识到，仍需确保遵守第19条提出的具体义务。

责任方和顾客服务提供商之间合规关系的管理在POPIA第21节中进一步展开。POPIA第21节要求考虑CSP的组织确保在任命CSP时已采取必要的尽职调查，该CSP能够遵守POPIA的第19节规定的要求。获取CSP服务的组织还需要确保适用的CSP符合第19节中详述的安全要求。反过来，如果有合理的理由相信数据受到任何类型的未授权访问，CSP需要立即通知责任方。未经授权访问数据可能构成刑事犯罪，并将在此处提供的单独洞察文章中进一步考虑。除POPIA第19和21节外，第72节也特别相关，将在本文的下一节中讨论，然后根据POPIA讨论CSP的运营考虑。

地理考虑

除了POPIA创建的处理要求外，还有一组要求适用于共和国境外处理数据的情况。POPIA第72条禁止责任方在没有某些保护措施的情况下将数据主体的任何个人信息转移给共和国境外的第三方。值得注意的是，这些要求中的每一项都授权数据的跨境传输，责任方无需遵守以下列出的所有要求。

首先，责任方需要确保第三方受到类似或更严格的数据处理要求的约束，这些要求支持上述合理处理原则。这些要求可能由第三方境内的数据处理法律、具有约束力的协议或具有约束力的公司规则（“BCR”）通知。此外，数据主体可以同意将其数据转移到南非境外，或者作为数据主体与责任方之间履行合同的一部分，可能需要进行转移。同样，如果是为了数据主体的利益，或者是为了履行责任方与第三方之间为数据主体利益订立的合同，则可以允许进行转让。最后，如果为了数据主体的利益而获得数据主体的同意并非合理可行，并且如果数据主体可能会提供其同意，则可以允许跨境数据传输。

其他司法管辖区的实践往往表明，对类似或更强数据处理要求的要求最容易用于跨境数据传输，并根据POPIA第72（a）（i）条建立。《一般数据保护条例》（欧盟第2016/679号条例）（“GDPR”）中也有类似的规定，该条例构成了数据保护专员诉Facebook爱尔兰有限公司（Maximillian Schrems）（C-311/18）（“Schrems II案”）中考虑的一部分。在Schrems II案中，欧盟法院（CJEU）发现，美国的监控法律没有为欧洲公民提供GDPR方面的充分保护。如果POPIA第72节与其GDPR对应部分相似，有意向美国传输数据的责任方最好根据POPIA的第72节考虑其他要求。

业务考虑

从监管框架过渡到商业组织内相关的实际因素，本节考虑了上述立法中的一些最相关因素。通过依次考虑顾客服务提供商和责任方的角色，然后考虑他们的共同角色来解决这个问题。

CSP和责任方的角色有一些交叉点，但POPIA的上述章节建立了广泛的角色划分。首先，需要告知责任方CSP在存储和访问数据时使用的流程和方法。根据POPIA第21条，双方将被要求签订合同，确保个人信息的处理符合上述与POPIA的第19条相关的安全措施。然而，如果与CSP签订合同，数据安全的治理和数据安全措施的风险评估将继续由责任方负责。因此，建议责任方根据数据泄露的总潜在风险（根据任何特定数据库中信息的范围和类型）对协议进行分类和管理。责任方还可能需要修改其隐私政策，以允许第三方处理数据及其对客户同意的可能影响。最后，责任方可能需要考虑其客户基础以及GDPR的可能适用性。

如果购买了CSP服务，责任方仍需要确保访问CSP服务的组织网络是安全的，并且只有允许的安全设备才能访问这些网络。反过来，客户服务提供商需要确保其提供的数据的安全性，并确保其按照与负责方签订的关于数据存储的合同执行。CSP还需要确保仅按责任方的要求提供访问，并确保责任方数据的完整性得到保障。此外，客户服务提供商需要在有合理理由怀疑发生了数据泄露时立即通知责任方。

除了责任方和客户服务提供商的单独角色外，还存在一些重叠义务。客户服务提供商和责任方都需要跟上信息监管机构（“监管机构”）制定的任何规定，因此，双方都需要确保定期检查国家及其适用行业监管框架的更新。其中的一个例子是最近在南非公共服务中增加了云计算指令，要求所有政府部门根据该指令重新考虑其CSP。

总结

本文概述了责任方在与任何第三方开展云数据服务时应考虑的关键立法方面。它强调，POPIA对责任方产生的义务不会因任命CSP而解除；相反，主要数据处理责任仍然由责任方承担。提醒责任方注意数据泄露的声誉影响及其对其客户的影响。因此，责任方需要特别注意适用于客户服务提供商的数据处理要求，以及（如适用）将进行处理的地区的相关地理因素。最后，本文考虑了POPIA的一些业务影响。

本文：https://cioctocdo.com/south-africa-cloud-regulation-and-popia-what-remo…