“数据”在澳门特别行政区(“澳门”)被称为“资料”。澳门于2002年开始启动关于个人资料保护的立法工作,以葡萄牙《个人资料保护法》(Portuguese Law 68/98)为蓝本,结合澳门本土实际情况,形成《澳门特别行政区个人资料保护法》(《个人资料保护法》,Macau Law 8/2005),并于2005年8月22日颁布。该法对自动化处理的个人资料和非自动化处理的个人资料的处理做出了规定。

2021年11月4日,澳门个人资料保护办公室发布提示,澳门居民、公私营机构与内地的人文交流和商贸往来相当频繁,日常运作涉及大量个人资料处理,故澳门社会各界更应及早正确认识于2021年11月1日生效的《中华人民共和国个人信息保护法》(“《个保法》”),避免误触法律。

《个保法》主要在以下三个方面与《个资法》有较大差异:

在处理个人信息的合法依据方面,《个保法》除规定需要取得个人的同意外,还明确规定六种“合法基础”,这与《个资法》所规定的“正当性条件”的意思基本相同。从相关条文可见,两者皆明确了处理个人资料合法的多元性,能平衡个人权益及个人资料的合理使用;其次是两者都规定当事人的同意、履行合同及履行法定义务是处理个人资料的合法依据。

在处理敏感个人信息方面,两部法律则有较明显的分别。澳门《个资法》中的敏感个人信息称为“敏感资料”。在《个保法》中,“敏感个人信息”,是指一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及未满十四周岁未成年人的个人信息。而《个资法》则明确规定世界观或政治信仰、政治社团或工会关系、宗教信仰、私人生活、种族和民族本源、以及与健康及性生活有关的个人资料(包括遗传数据)等六种数据为敏感数据。由此可见,《个保法》所规范的敏感数据较《个资法》更广,且作出了更严格的保护。值得注意的是,《个保法》将未成年人个人信息归入敏感个人信息,加强对未成年人个人信息保护的力度,体现了国家对儿童合法权益予以充分保护的明确取向。

在违法罚则方面,两部法律皆按违法情节的严重程度规定罚则,但《个保法》的行政处罚具有较强的威慑力,最高罚款额以违法主体的营收总额为基准,处罚力度远高于《个资法》的规定。相较于《个资法》,《个保法》的处罚手段更全面,例如没收违法所得、责令暂停相关业务或停业整顿、吊销业务许可或营业执照等。

除了上述的规定外,《个保法》丰富了当事人的权利,同时强化了处理者应负的义务,对某些定义作出更清晰的界定。

澳门个人资料保护办公室指出,《个保法》是一部与时俱进、贴近社会经济的发展、且具有明确规定和严格罚则的法律,而《个资法》所体现的立法原意亦相当严谨,所以居民或公私营机构严谨遵守《个资法》的各项规定,适时检视处理个人资料的合规性,强化保护个人资料的机制和意识,同时加强对《个保法》的正确理解,进行与内地的跨境业务或活动时依法守法,做好《个保法》的合规工作

《中华人民共和国个人信息保护法》及澳门特别行政区《个人资料保护法》重点内容对比

《中华人民共和国个人信息保护法》

澳门特别行政区《个人资料保护法》

处理原则

√ 应当遵循合法、正当、必要、诚信及公开、透明的原则,并且须具有明确、合理的目的;

√ 保证个人信息的准确、完整性;

√ 采取对个人权益影响最小的方式处理信息,以及最小限度保存个人信息。

(第5、6、7、8、9条)

√ 负责实体处理个人资料时应以透明的方式进行,遵守合法、善意、目的限定、适度、准确、限期保存等原则。

(第2、5条)

合法基础

(正当性条件)

√ 取得个人的同意;

√ 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

√ 为履行法定职责或者法定义务所必需;

√ 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

√ 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

√ 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

√ 法律、行政法规规定的其他情形。

(第13条)

√ 当事人明确同意;

√ 执行合同或应当事人要求执行订立合同;

√ 履行法定义务;

√ 保障无能力作出同意的当事人的重大利益;

√ 执行公共利益的任务,或行使公权力;

√ 负责处理个人资料的实体或被告知资料的第三人的正当利益。

(第6条)

敏感个人信息

(澳门《个资法》“敏感资料”)

√ 一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

(第28条)

明确规定以下六种敏感资料:

√ 世界观或政治信仰;

√ 政治社团或工会关系;

√ 宗教信仰;

√ 私人生活;

√ 种族和民族;

√ 与健康及性生活有关的个人资料(包括遗传资料)。

(第7条)

对负责实体的罚款

√ 最高人民币五千万元以下或上一年度营业额百分之五以下罚款。

(第66条)

√ 最高可被科处二十万澳门元罚款。

(第32条)

对责任人的处罚

√ 人民币十万元以上一百万元以下罚款。

(第66条)

√ 暂无明确规定。

附:澳门个人资料保护制度要点

一、《个资法》要点

(一)保护客体

个人资料的保护客体包含全部或一部以自动化设备处理之个人资料,及非使用自动化设备处理之个人资料。此外,对于可识别个人的声音、影像进行之录音录影资料,以及关于该资料的取得、处理与传递亦受到本法规范。所谓个人资料系指身份已确认或可得确认并与当事人有关的任何个人资料,亦包含声音及影像等。身份可确定指可以透过直接或间接的方式,例如识别编号或透过身体、生理、心理、经济、文化或社会方面的一个或多个特征,可以确定身份的。

有关于个人世界观或政治信仰、政治社团或工会关系、宗教信仰、私人生活、种族和民族本源、与健康、性生活和遗传资讯有关的个人资料,属于敏感性资料,原则上禁止处理。

(二)资料处理原则

1. 目的明确与资料正确

处理个人资料应有特定、明确及正当之目的性,不得偏离或逾越处理资料之原本目的,并应基于使用目的,对于不完整和不正确之相关个人资料予以删除或更正。

2. 当事人同意

个人资料的处理仅得在资料当事人明确同意下进行,或于以下特殊情况下为之:

(1)依法行使公权力;

(2)为保障资料当事人之重大利益,且当事人无法做出同意;

(3)执行法定义务;

(4)为其他正当利益并显然优于资料当事人利益

3. 事前报备

负责处理个人资料的实体或有代表人时,应在处理前,将有关处理之资料、处理之方法以及处理之目的通知公共当局。另外关于通知书或是许可书的作成所应记载事项,例如资料处理的负责人、处理目的、资料当事人应有权利等等,则规定于第23条、第24条。

(三)敏感资料的处理

1. 禁止处理的例外

关于个人的世界观、政治信仰、政治社团与工会关系、宗教信仰、私人生活、种族本源、健康和性生活以及遗传资料等具有敏感性资料之处理原则上禁止,除非有以下状况而得例外为资料之处理。

(1)当事人为明确同意。

(2)基于法律规定授权得处理之资料。

(3)基于重大公益的需求经由公共当局的许可。

(4)为了保障无行为能力之当事人的重大利益。

(5)非营利性的政治、宗教、工会团体对其成员的个人资料为必要之处理。

(6)资料显系已公开。

(7)为司法上目的行使法律请求权有必要,并且仅限于该司法上之目的者。

2. 医疗资料处理人员的规定

如基于医学上的预防、诊断、医疗护理、治疗或卫生部门管理所必需而处理有关健康、性生活和遗传的资料,必须由负有保密义务的医事专业人员或其他同样受职业保密义务约束的人进行,并通知公共当局和采取适当措施确保资讯安全,方得处理有关资料。

(四)个人资料的跨境传输

依据该法,个人资料原则上仅在遵守本法规定且转移地达到适当保护程度的情况下方可转移到特区以外的地方。一国或地区是否达到“适当保护程度”由澳门公共当局决定。这种途径与欧盟的“充分性保护认定决定”相似。

通常采用的方法,是根据互惠的原则把已经达到适当保护水平的国家/地区名单列入“白名单”。而直至目前为止,澳门未将任何国家或地区列入“白名单”。

如资料转移的目的地对个人资料没有适当保护程度,则在符合以下法律规定的前提下,实体仍可以将个人资料转移,但须通知公共当局,即使不确定资料转移的目的地是否对个人资料有适当保护程度,也可以选择直接作出通知:

1. 当资料当事人明确同意转移;转移是执行资料当事人和负责实体间的合同所必需,或是应资料当事人要求执行订定合同的预先措施所必需者;

2. 转移是执行或订定一合同所必需,而该合同是为了资料当事人的利益由负责实体和第三人之间所订立或将要订立者;

3. 转移是保护一重要的公共利益,或是在司法诉讼中宣告、行使或维护一权利所必需的或法律所要求者;

4. 转移是保护资料当事人的重大利益所必需者;

5. 转移自作出公开登记后进行。根据法律或行政法规,该登记是为着公众资讯和可供一般公众或证明有正当利益的人公开查询之用者,只要在具体情况下遵守上述法律或行政法规订定的查询条件。

当转移的目的地对个人资料没有适当保护程度,且有关转移不符合上述第1-5点的规定,则实体在确保有足够的保障他人的私人生活、基本权利和自由的机制,尤其透过适当的合同条款确保这些权利的行使的情况下,可申请许可,在获公共当局许可后方可将个人资料转移。(《个人资料保护法》第二十条第二款)

如当个人资料的转移成为维护公共安全、预防犯罪、刑事侦查和制止刑事违法行为以及保障公共卫生所必需的措施时,个人资料的转移如由专门法律或适用于特区的国际法文书以及区际协定规范,则无需向公共当局申请许可。(《个人资料保护法》第二十条第三款)

(五)当事人权利

1. 资讯知悉权

资料处理者对资料当事人有告知义务,提供当事人相关资讯,包含:

(1)负责人身份;

(2)资料处理之目的;

(3)资料当事人应享有查阅权、更正权和行使这些权利的条件。

当在公开的网络上搜集资料时,应该告知资料当事人,其个人资料在网络上的流通可能缺乏安全保障,有受未经许可的第三人看到和使用的风险。

资料处理者在以下情况亦得免除其告知资料当事人相关资讯的义务:

(1)法律规定;

(2)基于安全、预防犯罪或刑事侦查的理由;

(3)以统计、历史或科学研究为目的处理资料时;

(4)在不可能告知资料当事人,或作出告知的成本过高时,于通知

公共当局之后,亦得免除其告知之义务

2. 查阅权、补正权与删除权

资料当事人享有随时查阅并知悉其资料是否被处理、处理目的与原因、被处理资料的类别及范围、资料接收者或接收者的类别。对于不完整、不正确的个人资料有补正及删除的权利。关于健康资料(包括遗传资料)的查阅权由资料当事人选择的医生行使。

3. 请求停止处理

除法律特别规定,当事人基于个人重大理由,有随时选择退出资料处理的权利。当理由为合理时,资料处理者不得再对当事人的资料为使用、处理、储存、传递。

4. 不受自动化决定约束的权利

个人资料透过之自动化处理所产生之决定,任何人皆有权不受其影响个人之权利义务,尤其是对个人的专业能力、信誉、应有的信任或其行为方面的评定。

5. 权利救济

(1)损害赔偿请求权

资料当事人因资料受不法之处理情事、或有违反个人资料保护相关规范情事致生有损害个人权益者,资料当事人得向资料处理者请求损害赔偿。

(2)行政处罚

对于行政机关有未履行本法义务的行为或其行政行为有瑕疵,第30条至第36条设有行政处分。

(3)刑罚

本法第37条至第42条设有刑罚规定。此外,对于未经当事人许可而查阅当事人资料、或违反保密义务规定泄漏个人资料致生对资料当事人名誉、隐私及社会观感有所影响者,皆加重原本应处之刑罚。

二、个人资料主管部门

澳门的个人资料主管部门是一个独立的数据保护机构,名为个人资料保护办公室(简称:个资办,GPDP),也是《个资法》中所称的“公共当局”。

GPDP是根据澳门特别行政区第83/2007号行政长官批示设立,在行政长官监督下独立运作。GPDP是澳门《民法典》第79条第3款及第8/2005号法律(《个人资料保护法》)所指之公共当局,并行使该等法律所赋予的职权,负责监察、协调对《个人资料保护法》的遵守和执行,以及订定保密制度、监察该等制度的实施等。

办公室的主要职能包括:

监察协调:监察、协调对《个人资料保护法》的遵守和执行;接受个人资料处理的通知,并作出登记;审批许可申请和其他申请;根据申请发出意见书;颁布关于履行通知义务的许可,包括豁免许可及以简化方式履行通知义务的许可,简化个人资料处理的通知及申报手续,节省行政资源。

订定制度:订定保密制度,监察该等制度的实施。

处理投诉:接受有关个人资料保护方面的查询、投诉或举报,开立调查卷宗对违反《个人资料保护法》的行政违法行为作出调查及处罚。

宣传教育:以开办讲座、讲解会、研讨会、课程,制作刊物、单张等宣传品及在媒体进行宣传的方式向公众推广《个人资料保护法》,令市民及负责处理个人资料的实体提升保护私隐的意识。

分析研究:对个人资料保护领域进行理论研究,不断完善相关的制度和规定。

声明:本文来自下一代互联网广州创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。