Port Eng
A A A
A A A
Port Eng
法律资讯
基本概念
即第8/2005号法律。该法律订定了个人资料处理及保护的法律制度,适用於绝大部份对个人资料的处理,但不适用於自然人不用作系统通讯或传播时只在专属个人及家庭的活动 中所作的处理;例如,一般的家庭生活录像和照片,如只作为自己或亲友间分享,则不受该法律规管。
个人资料

根据《个人资料保护法》规定,“个人资料”是指和某个自然人有关的任何资讯,而且这个人的身份是已经被确定或者可以被确定的。习惯上,我们将其称之为“个人私隐”。

举例说,某市民在书店订购书籍,留下了他的姓名及订购的书名,缴付了订金。虽然他没有留下身份证号码等,但根据姓名已经可以确认他的身份,所以这些资料,包括订购的书名、订金金额及尚欠金额等,就是他的个人资料。但是,如果他没有留下姓名或其他可以确认他身份的资料,订购的书名、订金金额及尚欠金额等就不是个人资料。

因此可见,“个人资料”的定义是非常广泛的。我们每一个人,都应该认识《个人资料保护法》,在保护自已私隐的同时,也尊重别人的私隐。

(注:具体法律规定,请参阅《个人资料保护法》第四条)

敏感资料

敏感资料指世界观或政治信仰、政治社团或工会关系、宗教信仰、私人生活、种族和民族本源、以及与健康及性生活有关的个人资料(包括遗传资料)。除法律规定外,禁止处理敏感资料。

个人资料的处理(处理)

即是对个人资料作出的任何形式的行为,如收集、登记、编排、保存、改编、修改、复原、查询、使用、传送、传播、封存、删除、销毁等。这里所指的处理没有方式、载体等的限制。例如,这些处理既包括用纸张表格收集个人资料,也包括用电话或在互联网上收集资料;既包括用磁碟传送个人资料,也包括用互联网传送个人资料;既包括用纸张文件储存个人资料,也包括用个人电脑或伺服器,或用微缩菲林储存个人资料;既包括对正本的处理,也包括对副本的处理。

负责处理个人资料的实体

根据《个人资料保护法》的规定,“负责处理个人资料的实体”可以是自然人、法人、公共实体、部门或其他任何机构,其特徵是可以单独地或与他人共同地对以下事项作出决定:

  • 个人资料处理的目的;

  • 个人资料处理的方法。

在欧洲、香港等地,也将“负责处理个人资料的实体”称为“资料控制者”(Data Controller)或“资料使用者”(Data User)。

举例说,某酒店接待大量的客人,记录了有关客人姓名、证件号码、住宿房间号码、消费情况、付费方式等等资料。酒店的总管理者对这些资料进行处理,对目的和方式拥有决定权,是“负责处理个人资料的实体”。而酒店的会计部、电脑部等虽然负责具体处理相关的资料,但只是酒店的其中一个部门,他们须服从酒店总管理者的决定和管理,没有对处理目的和方式的决定权,不是 “负责处理个人资料的实体”。

(注:具体法律规定,请参阅《个人资料保护法》第四条)

资料当事人

即其个人资料被处理的自然人。因为个人资料的处理非常广泛,故每一个人都可以成为资料当事人。要判断自己在具体情况中是否资料当事人,只需考虑自己的个人资料是否被处理。例如,你在市场推广调查中向某公司提供了个人资料,即使只是一个电话号码,你也是资料当事人。

次合同人

根据《个人资料保护法》的规定,“次合同人”可以是自然人、法人、公共实体、部门或其他任何机构,其特徵是受“负责处理个人资料的实体”的委托处理个人资料,亦即我们常说的“外判机构”。因此,“次合同人”不能对以下事项作出决定:

  • 个人资料处理的目的;

  • 个人资料处理的方法。

在处理个人资料时,“次合同人”须对个人资料的安全和保密负责,因而对安全措施似乎可以有一定的决定权。但是,在法理而言,这些措施也是已经由“负责处理个人资料的实体”所决定的──法律规定,“负责处理个人资料的实体”应选择一个在资料处理的技术安全和组织上能提供足够保障措施的“次合同人”,并监察有关措施的执行。

举例说,A公司需将一批客户记录的纸本文件转换成电子文件,并将此项处理工作外判予B电脑公司,A公司就是“负责处理个人资料的实体”,B电脑公司就是“次合同人”。 按照法律规定,A公司应事先评估B电脑公司能否提供适当的资料处理安全措施,并和B电脑公司签订合同或相应的法律文件。一旦发生个人资料的不当处理,则需根据有关的法律文件来判断责任谁属。

虽然一般而言,“次合同人”只可以按“负责处理个人资料的实体”的指引处理个人资料,但是并不排除“次合同人”须履行法定义务等具有正当性的自主处理。在上述例子中,如果B电脑公司在工作中发现A公司实际上是在从事诈骗业务,则尽法定义务向司法警察局作出举报,并将有关文件送交司法警察局,则在此情况下,B电脑公司就在另一合法目的下成为“负责处理个人资料的实体”,其处理不须按A公司的指引进行。

(注:具体法律规定,请参阅《个人资料保护法》第四、六、十五条)
 

第三人

除资料当事人、负责处理个人资料的实体、次合同人或其他直接隶属於负责处理个人资料的实体或次合同人之外的、有资格处理资料的自然人或法人,公共实体、部门或任何其他机构。

资料的接收者

被告知个人资料的自然人或法人,公共实体、部门或任何其他机构,不论其是否第三人,但不妨碍在某个法律规定或具组织性质的规章性规定中订定被告知资料的当局不被视为资料的接收者。

资料当事人的同意

任何自由、特定且在知悉的情况下作出的意思表示,该表示表明当事人接受对其个人资料的处理。

资料的互联

一个资料库的资料与其他一个或多个负责实体的一个或多个资料库的资料的联系、或同一负责实体但目的不同的资料库的资料联系的处理方式。

具组织性质的规章性规定

规範有权限作出《个人资料保护法》所指资料处理行为或其他行为的实体,其组织或运作的法规或章程中所载的规定。

个人资料的安全

  • 一般安全措施

负责实体应采取适当的技术和组织措施保护个人资料,避免资料的意外或不法损坏、意外遗失、未经许可的更改、传播或查阅,尤其是有关处理使资料经网络传送时,以及任何其他方式的不法处理;在考虑到已有的技术知识和因采用该技术所需成本的情况下,上述措施应确保具有与资料处理所带来的风险及所保护资料的性质相适应的安全程度。(《个人资料保护法》第十五条)

亦即是说,负责实体要因应所处理资料的风险程度和所保护资料的性质,制定处理个人资料的政策和采取相应的保安措施,以保护资料的安全。这些措施应能保护个人资料,避免其意外或不法损坏,意外遗失,未经许可的更改、传播或查阅。

例如:学校用电脑处理学生的个人资料,则应为相关的电脑设定保安措施,如安装防火墙及防毒软件,以及设定登入密码等;并且应制定相关的行政措施或工作守则供员工遵守。

  • 另外,当负责实体需委托他人处理资料时,应选择一个在资料处理的技术安全和组织上能提供足够保障措施的次合同人(即受委托人),并以合同规定次合同人只可按照负责实体的指引行动;最后,还应监察有关措施的执行。
  • 在处理个人资料时,次合同人须对个人资料的安全和保密负责。

  • 特别安全措施

第七条第二款和第八条第一款所指的负责实体在处理敏感资料,怀疑从事不法活动、刑事违法行或行政违法行为资料时,应采取以下适当的安全措施:

(1)控制进入设施:阻止未经许可的人进入处理上述资料的设施;

(2)控制资料载体:阻止未经许可的人阅读、复制、修改或取走资料的载体;

(3)控制输入:阻止未经许可而对已记载的个人资料加入其他资料,以及未经资料记载人许可的知悉、修改或删除;

(4)控制使用:阻止未经许可的人透过资料传送设施使用资料的自动化处理系统;

(5)控制查阅:确保经许可的人只可以查阅许可範围内的资料;

(6)控制传送:确保透过资料传送设施可以查证传送个人资料的实体;

(7)控制引入:确保可以在随后查证引入了哪些个人资料、何时和由谁引入,该查证须在每一领域的适用规章所定的、与资料处理的性质相符的期间内进行;

(8)控制运输:在个人资料的传送和其载体的运输过程中,阻止以未经许可的方式阅读、复制、修改或删除资料。

  • 考虑到各负责实体的性质和进行处理的设施的种类,本局在确保尊重资料当事人的权利、自由和保障的情况下,得免除某些安全措施。
  • 有关系统应确保将与健康和性生活有关的个人资料,包括遗传资料,同其他个人资料作物理隔离。
  • 当敏感资料在网络上流通可能对有关当事人的权利、自由和保障构成危险时,本局得决定以密码进行传送。

(《个人资料保护法》第十六条)

个人资料的外洩

资料外洩是指负责实体在没有任何正当性条件(合法性依据)、安全措施(组织措施及技术措施)不足或风险与措施不相符的情况下不当披露或传播个人资料,又或负有职业保密义务者不当披露或传播个人资料。

如资料外洩,负责实体须承担倘有之法律责任,即使过失亦然;除非负责实体能证明资料的外洩是由他人造成的。

例如:因员工的人为错误而造成某公司的客户资料外洩,如不能证实是员工违反了公司指引,或证实员工没有违反公司任何指引,责任主要是在公司。如证实是员工违反了公司指引,责任主要是在员工。

另外,《个人资料保护法》第十八条规定,负责实体及在履行职务过程中知悉所处理个人资料的所有人士,均负有职业保密义务,即使相应职务终止亦然。
 

职业保密义务为一终生的义务,凡负有职业保密义务的人士,即使他日离职,仍须对当初因履行职务过程中所知悉所的个人资料负保密义务。

为公共当局从事顾问或谘询工作的公务员、服务人员或技术员均负有相同的职业保密义务。 违反职业保密义务,可构成犯罪。(《个人资料保护法》第四十一条)

根据法律规定,负有职业保密义务者,在没有合理理由和未经适当同意情况下,披露或传播全部或部分个人资料,如按特别法不科处更重刑罚,则处最高二年徒刑或二百四十日罚金。属此情况,非经告诉不得进行刑事程序。

如行为人属下列情况,刑罚上下限各加重一半:

根据刑法规定属公务员或等同公务员者;

被定为有意图取得任何财产利益或其他不法利益者;

对他人的名声、名誉、别人对他人的观感或私人生活的隐私造成危险者。

对过失行为处最高六个月徒刑或一百二十日罚金。

将个人资料转移到特区以外的地方

(《个人资料保护法》第二十条第一款)

只有在遵守《个人资料保护法》的规定,且接收转移资料当地的法律体系能确保适当的保护程度的情况下,才可以将个人资料转移到特区以外的地方。(《个人资料保护法》第十九条第一款)将个人资料转移至澳门以外的国家和地区的依据,是接收资料的目的地的法律体系对个人资料有适当保护程度;而根据法律规定,资料接收地是否有适当保护程度是由本局决定。(《个人资料保护法》第十九条第二款、第三款)

通常采用的方法,是根据互惠的原则把已经达到适当保护水平的国家/地区名单列入“白名单”。而直至目前为止,本局未将任何国家或地区列入“白名单”。

如资料转移的目的地对个人资料没有适当保护程度,则在符合以下法律规定的前提下,实体仍可以将个人资料转移,但须通知本局,即使不确定资料转移的目的地是否对个人资料有适当保护程度,也可以选择直接作出通知:

  • 当资料当事人明确同意转移;转移是执行资料当事人和负责实体间的合同所必需,或是应资料当事人要求执行订定合同的预先措施所必需者;

  • 转移是执行或订定一合同所必需,而该合同是为了资料当事人的利益由负责实体和第三人之间所订立或将要订立者;

  • 转移是保护一重要的公共利益,或是在司法诉讼中宣告、行使或维护一权利所必需的或法律所要求者;

  • 转移是保护资料当事人的重大利益所必需者;

  • 转移自作出公开登记后进行。根据法律或行政法规,该登记是为着公众资讯和可供一般公众或证明有正当利益的人公开查询之用者,只要在具体情况下遵守上述法律或行政法规订定的查询条件。

当转移的目的地对个人资料没有适当保护程度,且有关转移不符合上述第2点的规定,则实体在确保有足够的保障他人的私人生活、基本权利和自由的机制,尤其透过适当的合同条款确保这些权利的行使的情况下,可申请许可,在获本局许可后方可将个人资料转移。(《个人资料保护法》第二十条第二款)  

如当个人资料的转移成为维护公共安全、预防犯罪、刑事侦查和制止刑事违法行为以及保障公共卫生所必需的措施时,个人资料的转移如由专门法律或适用於特区的国际法文书以及区际协定规範,则无需向本局申请许可。(《个人资料保护法》第二十条第三款)

负责处理个人资料的实体的责任

  • 订立正当的目的

  • 制订完善的政策

  • 遵守法定的原则

  • 确保资料的安全

  • 履行申报的义务

地址:澳门南湾大马路804号中华广场17楼

电话:(853)28716006

传真:(853)28716116