即第8/2005號法律。該法律訂定了個人資料處理及保護的法律制度,適用於絕大部份對個人資料的處理,但不適用於自然人不用作系統通訊或傳播時只在專屬個人及家庭的活動 中所作的處理;例如,一般的家庭生活錄像和照片,如只作為自己或親友間分享,則不受該法律規管。
個人資料

根據《個人資料保護法》規定,“個人資料”是指和某個自然人有關的任何資訊,而且這個人的身份是已經被確定或者可以被確定的。習慣上,我們將其稱之為“個人私隱”。

舉例說,某市民在書店訂購書籍,留下了他的姓名及訂購的書名,繳付了訂金。雖然他沒有留下身份證號碼等,但根據姓名已經可以確認他的身份,所以這些資料,包括訂購的書名、訂金金額及尚欠金額等,就是他的個人資料。但是,如果他沒有留下姓名或其他可以確認他身份的資料,訂購的書名、訂金金額及尚欠金額等就不是個人資料。

因此可見,“個人資料”的定義是非常廣泛的。我們每一個人,都應該認識《個人資料保護法》,在保護自已私隱的同時,也尊重別人的私隱。

(註:具體法律規定,請參閱《個人資料保護法》第四條)

敏感資料

敏感資料指世界觀或政治信仰、政治社團或工會關係、宗教信仰、私人生活、種族和民族本源、以及與健康及性生活有關的個人資料(包括遺傳資料)。除法律規定外,禁止處理敏感資料。

個人資料的處理(處理)

即是對個人資料作出的任何形式的行為,如收集、登記、編排、保存、改編、修改、復原、查詢、使用、傳送、傳播、封存、刪除、銷毀等。這裡所指的處理沒有方式、載體等的限制。例如,這些處理既包括用紙張表格收集個人資料,也包括用電話或在互聯網上收集資料;既包括用磁碟傳送個人資料,也包括用互聯網傳送個人資料;既包括用紙張文件儲存個人資料,也包括用個人電腦或伺服器,或用微縮菲林儲存個人資料;既包括對正本的處理,也包括對副本的處理。

負責處理個人資料的實體

根據《個人資料保護法》的規定,“負責處理個人資料的實體”可以是自然人、法人、公共實體、部門或其他任何機構,其特徵是可以單獨地或與他人共同地對以下事項作出決定:

  • 個人資料處理的目的;

  • 個人資料處理的方法。

在歐洲、香港等地,也將“負責處理個人資料的實體”稱為“資料控制者”(Data Controller)或“資料使用者”(Data User)。

舉例說,某酒店接待大量的客人,記錄了有關客人姓名、證件號碼、住宿房間號碼、消費情況、付費方式等等資料。酒店的總管理者對這些資料進行處理,對目的和方式擁有決定權,是“負責處理個人資料的實體”。而酒店的會計部、電腦部等雖然負責具體處理相關的資料,但只是酒店的其中一個部門,他們須服從酒店總管理者的決定和管理,沒有對處理目的和方式的決定權,不是 “負責處理個人資料的實體”。

(註:具體法律規定,請參閱《個人資料保護法》第四條)

資料當事人

即其個人資料被處理的自然人。因為個人資料的處理非常廣泛,故每一個人都可以成為資料當事人。要判斷自己在具體情況中是否資料當事人,只需考慮自己的個人資料是否被處理。例如,你在市場推廣調查中向某公司提供了個人資料,即使只是一個電話號碼,你也是資料當事人。

次合同人

根據《個人資料保護法》的規定,“次合同人”可以是自然人、法人、公共實體、部門或其他任何機構,其特徵是受“負責處理個人資料的實體”的委託處理個人資料,亦即我們常說的“外判機構”。因此,“次合同人”不能對以下事項作出決定:

  • 個人資料處理的目的;

  • 個人資料處理的方法。

在處理個人資料時,“次合同人”須對個人資料的安全和保密負責,因而對安全措施似乎可以有一定的決定權。但是,在法理而言,這些措施也是已經由“負責處理個人資料的實體”所決定的──法律規定,“負責處理個人資料的實體”應選擇一個在資料處理的技術安全和組織上能提供足夠保障措施的“次合同人”,並監察有關措施的執行。

舉例說,A公司需將一批客戶記錄的紙本文件轉換成電子文件,並將此項處理工作外判予B電腦公司,A公司就是“負責處理個人資料的實體”,B電腦公司就是“次合同人”。 按照法律規定,A公司應事先評估B電腦公司能否提供適當的資料處理安全措施,並和B電腦公司簽訂合同或相應的法律文件。一旦發生個人資料的不當處理,則需根據有關的法律文件來判斷責任誰屬。

雖然一般而言,“次合同人”只可以按“負責處理個人資料的實體”的指引處理個人資料,但是並不排除“次合同人”須履行法定義務等具有正當性的自主處理。在上述例子中,如果B電腦公司在工作中發現A公司實際上是在從事詐騙業務,則盡法定義務向司法警察局作出舉報,並將有關文件送交司法警察局,則在此情況下,B電腦公司就在另一合法目的下成為“負責處理個人資料的實體”,其處理不須按A公司的指引進行。

(註:具體法律規定,請參閱《個人資料保護法》第四、六、十五條)
 

第三人

除資料當事人、負責處理個人資料的實體、次合同人或其他直接隸屬於負責處理個人資料的實體或次合同人之外的、有資格處理資料的自然人或法人,公共實體、部門或任何其他機構。

資料的接收者

被告知個人資料的自然人或法人,公共實體、部門或任何其他機構,不論其是否第三人,但不妨礙在某個法律規定或具組織性質的規章性規定中訂定被告知資料的當局不被視為資料的接收者。

資料當事人的同意

任何自由、特定且在知悉的情況下作出的意思表示,該表示表明當事人接受對其個人資料的處理。

資料的互聯

一個資料庫的資料與其他一個或多個負責實體的一個或多個資料庫的資料的聯繫、或同一負責實體但目的不同的資料庫的資料聯繫的處理方式。

具組織性質的規章性規定

規範有權限作出《個人資料保護法》所指資料處理行為或其他行為的實體,其組織或運作的法規或章程中所載的規定。

個人資料的安全
  • 一般安全措施

負責實體應採取適當的技術和組織措施保護個人資料,避免資料的意外或不法損壞、意外遺失、未經許可的更改、傳播或查閱,尤其是有關處理使資料經網絡傳送時,以及任何其他方式的不法處理;在考慮到已有的技術知識和因採用該技術所需成本的情況下,上述措施應確保具有與資料處理所帶來的風險及所保護資料的性質相適應的安全程度。(《個人資料保護法》第十五條)

亦即是說,負責實體要因應所處理資料的風險程度和所保護資料的性質,制定處理個人資料的政策和採取相應的保安措施,以保護資料的安全。這些措施應能保護個人資料,避免其意外或不法損壞,意外遺失,未經許可的更改、傳播或查閱。

例如:學校用電腦處理學生的個人資料,則應為相關的電腦設定保安措施,如安裝防火牆及防毒軟件,以及設定登入密碼等;並且應制定相關的行政措施或工作守則供員工遵守。

  • 另外,當負責實體需委託他人處理資料時,應選擇一個在資料處理的技術安全和組織上能提供足夠保障措施的次合同人(即受委託人),並以合同規定次合同人只可按照負責實體的指引行動;最後,還應監察有關措施的執行。
  • 在處理個人資料時,次合同人須對個人資料的安全和保密負責。
  • 特別安全措施

第七條第二款和第八條第一款所指的負責實體在處理敏感資料,懷疑從事不法活動、刑事違法行或行政違法行為資料時,應採取以下適當的安全措施:

(1)控制進入設施:阻止未經許可的人進入處理上述資料的設施;

(2)控制資料載體:阻止未經許可的人閱讀、複製、修改或取走資料的載體;

(3)控制輸入:阻止未經許可而對已記載的個人資料加入其他資料,以及未經資料記載人許可的知悉、修改或刪除;

(4)控制使用:阻止未經許可的人透過資料傳送設施使用資料的自動化處理系統;

(5)控制查閱:確保經許可的人只可以查閱許可範圍內的資料;

(6)控制傳送:確保透過資料傳送設施可以查證傳送個人資料的實體;

(7)控制引入:確保可以在隨後查證引入了哪些個人資料、何時和由誰引入,該查證須在每一領域的適用規章所定的、與資料處理的性質相符的期間內進行;

(8)控制運輸:在個人資料的傳送和其載體的運輸過程中,阻止以未經許可的方式閱讀、複製、修改或刪除資料。

  • 考慮到各負責實體的性質和進行處理的設施的種類,本局在確保尊重資料當事人的權利、自由和保障的情況下,得免除某些安全措施。
  • 有關系統應確保將與健康和性生活有關的個人資料,包括遺傳資料,同其他個人資料作物理隔離。
  • 當敏感資料在網絡上流通可能對有關當事人的權利、自由和保障構成危險時,本局得決定以密碼進行傳送。

(《個人資料保護法》第十六條)

個人資料的外洩

資料外洩是指負責實體在沒有任何正當性條件(合法性依據)、安全措施(組織措施及技術措施)不足或風險與措施不相符的情況下不當披露或傳播個人資料,又或負有職業保密義務者不當披露或傳播個人資料。

如資料外洩,負責實體須承擔倘有之法律責任,即使過失亦然;除非負責實體能證明資料的外洩是由他人造成的。

例如:因員工的人為錯誤而造成某公司的客戶資料外洩,如不能證實是員工違反了公司指引,或證實員工沒有違反公司任何指引,責任主要是在公司。如證實是員工違反了公司指引,責任主要是在員工。

另外,《個人資料保護法》第十八條規定,負責實體及在履行職務過程中知悉所處理個人資料的所有人士,均負有職業保密義務,即使相應職務終止亦然。
 

職業保密義務為一終生的義務,凡負有職業保密義務的人士,即使他日離職,仍須對當初因履行職務過程中所知悉所的個人資料負保密義務。

為公共當局從事顧問或諮詢工作的公務員、服務人員或技術員均負有相同的職業保密義務。 違反職業保密義務,可構成犯罪。(《個人資料保護法》第四十一條)

根據法律規定,負有職業保密義務者,在沒有合理理由和未經適當同意情況下,披露或傳播全部或部分個人資料,如按特別法不科處更重刑罰,則處最高二年徒刑或二百四十日罰金。屬此情況,非經告訴不得進行刑事程序。

如行為人屬下列情況,刑罰上下限各加重一半:

根據刑法規定屬公務員或等同公務員者;

被定為有意圖取得任何財產利益或其他不法利益者;

對他人的名聲、名譽、別人對他人的觀感或私人生活的隱私造成危險者。

對過失行為處最高六個月徒刑或一百二十日罰金。

將個人資料轉移到特區以外的地方

(《個人資料保護法》第二十條第一款)

只有在遵守《個人資料保護法》的規定,且接收轉移資料當地的法律體系能確保適當的保護程度的情況下,才可以將個人資料轉移到特區以外的地方。(《個人資料保護法》第十九條第一款)將個人資料轉移至澳門以外的國家和地區的依據,是接收資料的目的地的法律體系對個人資料有適當保護程度;而根據法律規定,資料接收地是否有適當保護程度是由本局決定。(《個人資料保護法》第十九條第二款、第三款)

通常採用的方法,是根據互惠的原則把已經達到適當保護水平的國家/地區名單列入“白名單”。而直至目前為止,本局未將任何國家或地區列入“白名單”。

如資料轉移的目的地對個人資料沒有適當保護程度,則在符合以下法律規定的前提下,實體仍可以將個人資料轉移,但須通知本局,即使不確定資料轉移的目的地是否對個人資料有適當保護程度,也可以選擇直接作出通知:

  • 當資料當事人明確同意轉移;轉移是執行資料當事人和負責實體間的合同所必需,或是應資料當事人要求執行訂定合同的預先措施所必需者;

  • 轉移是執行或訂定一合同所必需,而該合同是為了資料當事人的利益由負責實體和第三人之間所訂立或將要訂立者;

  • 轉移是保護一重要的公共利益,或是在司法訴訟中宣告、行使或維護一權利所必需的或法律所要求者;

  • 轉移是保護資料當事人的重大利益所必需者;

  • 轉移自作出公開登記後進行。根據法律或行政法規,該登記是為著公眾資訊和可供一般公眾或證明有正當利益的人公開查詢之用者,只要在具體情況下遵守上述法律或行政法規訂定的查詢條件。

當轉移的目的地對個人資料沒有適當保護程度,且有關轉移不符合上述第2點的規定,則實體在確保有足夠的保障他人的私人生活、基本權利和自由的機制,尤其透過適當的合同條款確保這些權利的行使的情況下,可申請許可,在獲本局許可後方可將個人資料轉移。(《個人資料保護法》第二十條第二款)  

如當個人資料的轉移成為維護公共安全、預防犯罪、刑事偵查和制止刑事違法行為以及保障公共衛生所必需的措施時,個人資料的轉移如由專門法律或適用於特區的國際法文書以及區際協定規範,則無需向本局申請許可。(《個人資料保護法》第二十條第三款)

負責處理個人資料的實體的責任
  • 訂立正當的目的

  • 制訂完善的政策

  • 遵守法定的原則

  • 確保資料的安全

  • 履行申報的義務

地址:澳門南灣大馬路804號中華廣場17樓

電話:(853)28716006

傳真:(853)28716116