立法會根據《澳門特別行政區基本法》第七十一條(一)項的規定,為實施《澳門特別行政區基本法》第三十條、第三十二條和第四十三條所訂定的基本制度,制定本法律。
個人資料的處理應以透明的方式進行,並應尊重私人生活的隱私和《澳門特別行政區基本法》、國際法文書和現行法律訂定的基本權利、自由和保障。
一、本法律適用於在澳門特別行政區(以下簡稱特區)全部或部份以自動化方法對個人資料的處理,以及以非自動化方法對存於或將存於人手操作的資料庫內的個人資料的處理。
二、本法律不適用於自然人在從事專屬個人或家庭活動時對個人資料的處理,但用作系統通訊或傳播者除外。
三、本法律適用於對可以認別身份的人的聲音和影像進行的錄像監視,以及以其他方式對這些聲音和影像的取得、處理和傳播,只要負責處理資料的實體的住所在特區,或者通過在特區設立的提供資訊和電信資訊網絡服務的供應商而實施。
四、本法律適用於以公共安全為目的對個人資料的處理,但不妨礙適用於特區的國際法文書以及區際協定的特別規定、與公共安全有關的專門法律和其他相關的規定。
一、為本法律的效力,下列用詞之定義為:
(一)“個人資料”:與某個身份已確定或身份可確定的自然人(“資料當事人”)有關的任何資訊,包括聲音和影像,不管其性質如何以及是否擁有載體。所謂身份可確定的人是指直接或間接地,尤其透過參考一個認別編號或者身體、生理、心理、經濟、文化或社會方面的一個或多個特徵,可以被確定身份的人;
(二)“資料當事人”:其資料被處理的自然人;
(三) “個人資料的處理”(“處理”):有關個人資料的任何或者一系列的操作,不管該操作是否通過自動化的方法進行,諸如資料的收集、登記、編排、保存、改編或修改、復原、查詢、使用,或者以傳送、傳播或其他透過比較或互聯的方式向他人通告,以及資料的封存、刪除或者銷毀;
(四)“個人資料的資料庫”(“資料庫”):任何有組織結構並可按特定標準查閱的個人資料的集合體,而不論資料庫的建立、儲存以及組織的形式或方式如何;
(五)“負責處理個人資料的實體”:就個人資料處理的目的和方法,單獨或與他人共同作出決定的自然人或法人,公共實體、部門或任何其他機構
(六)“次合同人”:受負責處理個人資料的實體的委託而處理個人資料的自然人或法人,公共實體、部門或任何其他機構;
(七)“第三人”:除資料當事人、負責處理個人資料的實體、次合同人或其他直接隸屬於負責處理個人資料的實體或次合同人之外的、有資格處理資料的自然人或法人,公共實體、部門或任何其他機構;
(八)“資料的接收者”:被告知個人資料的自然人或法人,公共實體、部門或任何其他機構,不論其是否第三人,但不妨礙在某個法律規定或具組織性質的規章性規定中訂定被告知資料的當局不被視為資料的接收者;
(九)“資料當事人的同意”任何自由、特定且在知悉的情況下作出的意思表示,該表示表明當事人接受對其個人資料的處理;
(十)“資料的互聯”一個資料庫的資料與其他一個或多個負責實體的一個或多個資料庫的資料的聯繫、或同一負責實體但目的不同的資料庫的資料聯繫的處理方式;
(十一)“公共當局”《民法典》第七十九條第三款所指的實體;
(十二)“具組織性質的規章性規定”:規範有權限作出本法所指資料處理行為或其他行為的實體,其組織或運作的法規或章程中所載的規定。
二、為上款(五)項的效力,如法律規定或具組織性質的規章性規定訂定了處理的目的和方法,則在其中應指定負責處理有關個人資料的實體。
一、個人資料應:
(一)以合法的方式並在遵守善意原則和第二條所指的一般原則下處理;
(二)為了特定、明確、正當和與負責處理實體的活動直接有關的目的而收集,之後對資料的處理亦不得偏離有關目的;
(三)適合、適當及不超越收集和之後處理資料的目的
(四)準確,當有需要時作出更新,並應基於收集和之後處理的目的,採取適當措施確保對不準確或不完整的資料進行刪除或更正
(五)僅在為實現收集或之後處理資料的目的所需期間內,以可認別資料當事人身份的方式被保存。
二、經負責處理個人資料的實體要求以及當存有正當利益時,公共當局得許可為歷史、統計或科學之目的,將上款(五)項所規定的保存期限延長。
個人資料的處理僅得在資料當事人明確同意或在以下必要的情況下方可進行:
(一)執行資料當事人作為合同一方的合同,或應當事人要求執行訂立合同或法律行為意思表示的預先措施;
(二)負責處理個人資料的實體須履行法定義務;
(三)為保障資料當事人的重大利益,而資料當事人在身體上或法律上無能力作出同意;
(四)負責處理個人資料的實體或被告知資料的第三人在執行一具公共利益的任務,或者在行使公共當局權力;
(五)為實現負責處理個人資料的實體或被告知資料的第三人的正當利益,只要資料當事人的利益或權利、自由和保障不優於這些正當利益。
一、禁止處理與世界觀或政治信仰、政治社團或工會關係、宗教信仰、私人生活、種族和民族本源以及與健康和性生活有關的個人資料,包括遺傳資料。
二、在保障非歧視原則以及第十六條所規定的安全措施的前提下,得對上款所指的資料在下列任一情況下進行處理:
(一)法律規定或具組織性質的規章性規定明確許可處理上款所指的資料;
(二)當基於重大公共利益且資料的處理對負責處理的實體行使職責及權限所必需時,經公共當局許可;
(三)資料當事人對處理給予明確許可。
三、當出現下列任一情況時,亦得處理第一款所指的資料:
(一)保護資料當事人或其他人重大利益所必需,且資料當事人在身體上或法律上無能力作出同意;
(二)經資料當事人同意,由具有政治、哲學、宗教或工會性質的非牟利法人或機構在其正當活動範圍內處理資料,只要該處理僅涉及這些機構的成員或基於有關實體的宗旨與他們有定期接觸的人士,且有關資料未經資料當事人同意不得告知第三人;
(三)要處理的資料明顯已被資料當事人公開,只要從其聲明可依法推斷出資料當事人同意處理有關資料;
(四)處理資料是在司法訴訟中宣告、行使或維護一權利所必需的,且只為該目的而處理資料。
四、如處理與健康、性生活和遺傳有關的資料是醫學上的預防、診斷、醫療護理、治療或衛生部門管理所必需的,只要由負有保密義務的醫務專業人員或其他同樣受職業保密義務約束的人進行,並根據第二十一條規定通知公共當局和採取適當措施確保資訊安全,得處理有關資料。
一、只有法律規定或具組織性質的規章性規定賦予專門權限的公共部門,在遵守現行資料保護程序和規定的情況下,可設立和保持關於懷疑某人從事不法行為、刑事或行政違法行為,以及判處刑罰、保安處分、罰金或附加刑決定的集中登記。
二、如處理是負責實體實現其正當目的所必需,且資料當事人的權利、自由和保障不優先,在遵守資料保護和資訊安全規定的情況下,得對關於懷疑某人從事不法行為、刑事或行政違法行為,以及判處刑罰、保安處分、罰金或附加刑決定的個人資料進行處理。
三、基於刑事偵查目的而處理個人資料,應僅限於預防一具體的危險或阻止一特定違法行為,以及行使法律規定或具組織性質的規章性規定所賦予的權限而必需的,並應遵守適用於特區的國際法文書或區際協定的規定。
一、法律規定或具組織性質的規章性規定未規定的個人資料的互聯,須由負責處理個人資料的實體或與其共同負責的實體根據第二十二條第一款的規定向公共當局提出請求並取得其許可。
二、個人資料的互聯應:
(一)符合法律或章程規定的目的和負責處理個人資料的實體的正當利益;
(二)不得導致歧視或削減資料當事人的權利、自由和保障;
(三)須有適當的安全措施;
(四)考慮需互聯的資料的種類。
一、當直接向資料當事人收集個人資料時,除非資料當事人已經知悉,負責處理個人資料的實體或其代表人應向資料當事人提供如下資訊:
(一)負責處理個人資料的實體的身份及如有代表人時其代表人的身份;
(二)處理的目的;
(三)其他資訊,如:
(1)資料的接收者或接收者的類別;
(2) 當事人回覆的強制性或任意性,以及不回覆可能產生的後果;
(3) 考慮到資料收集的特殊情況,為確保資料當事人的資料得到如實處理,在必要的情況下享有查閱權、更正權和行使這些權利的條件。
二、作為收集個人資料的基礎文件應包括上款所指的資訊。
三、當資料並非向資料當事人收集時,負責處理個人資料的實體或其代表,在對資料進行登記時,應向當事人提供第一款規定的資訊,但當事人已知悉者除外;或當規定需將資料向第三人通告時,應最遲在第一次通告前,向當事人提供第一款規定的資訊。
四、當在公開的網絡上收集資料時,應該告知資料當事人,其個人資料在網絡上的流通可能缺乏安全保障,有被未經許可的第三人看到和使用的風險,但當事人已知悉者除外。
五、在下列任一情況下,可免除本條所規定的提供資訊的義務:
(一)經法律規定;
(二)基於安全、預防犯罪或刑事偵查的理由;
(三)尤其是當以統計、歷史或科學研究為目的處理資料時,在不可能告知資料當事人或作出告知的成本過高,又或當法律或行政法規明確規定了資料的登記或公開時,但在該等情形下應通知公共當局。
六、在根據下條第三款規定尊重資料當事人基本權利的前提下,本條所規定的提供資訊的義務,不適用於專為新聞、藝術或文學表達目的而對資料的處理。
一、在不得拖延的合理期限內及無需支付過高費用的情況下,資料當事人享有自由地、不受限制地從負責處理個人資料的實體獲知以下事項的權利:
(一)確認與當事人有關的資料是否被處理、處理目的、被處理資料的類別、資料接收者或接收者的類別;
(二)被清楚地告知需要處理的資料及有關資料的來源;
(三)了解對與其有關的資料的自動化處理原因;
(四)對未依據本法律規定處理的資料,尤其是對不完整或不準確的資料的更正、刪除或封存;
(五)將根據上項規定對資料進行的更正、刪除或封存,通知曾知悉有關資料的第三人,第三人亦應同樣對資料進行更正、刪除、銷毀或封存,但證實不可能通知或作出通知的成本過高者除外。
二、當處理與安全、預防犯罪或刑事偵查有關的個人資料時,查閱權通過在該情形下有權限的當局行使。
三、在上條第六款規定的情況下,查閱權通過公共當局行使,以確保現行適用的規定,主要是確保言論和資訊自由、出版自由、新聞工作者的職業獨立和保密規定的實施。
四、在第二款和第三款規定的情況下,如告知資料當事人可能妨害安全、預防犯罪或刑事偵查、或者妨害言論和資訊自由或出版自由時,分別由在該情形下有權限的當局或公共當局,在不損害本款所擬保護價值的限度內,將所採取的措施告知資料當事人。
五、關於健康資料,包括遺傳資料的查閱權由資料當事人選擇的醫生行使。
六、當資料不被用作對特定的人採取措施或作出決定之用時,在明顯沒有侵犯資料當事人的權利、自由和保障,尤其是私人生活權利危險的情況下,以及當上述資料專用於科學研究,或專為統計所必須的時間內以個人資料形式儲存時,法律得限制查閱權。
一、除法律有相反規定者外,資料當事人有權在任何時候,以與其私人情況有關的正當和重大的理由反對處理與其有關的個人資料。當反對理由合理時,負責實體不得再對該等資料進行處理。
二、資料當事人亦有權在無須費用的情況下,反對負責處理資料的實體以直接促銷或其他方式的商業考察為目的而對與其有關的個人資料進行處理;或免費要求負責處理資料的實體,在基於直接促銷目的或為第三人利益使用有關資料而第一次向第三人通告前,向其作出告知,且在無須費用的情況下,明確反對負責處理資料的實體通告或使用有關資料。
一、任何人有權不受對其權利義務範圍產生效力或對其有明顯影響並僅基於對資料的自動化處理而作出的決定的約束,且有關資料僅用作對該人人格某些方面,尤其是專業能力、信譽、應有的信任或其行為方面的評定。
二、在不妨礙遵守本法律其他規定的情況下,個人得受根據第一款作出決定的約束,只要有關決定:
(一)是在訂定或執行一合同範圍內,以訂定或執行該合同的要求得到滿足為條件,或已有適當的措施保障其正當利益尤其是其申述權和表達權時;
(二)經訂明保護資料當事人權利及正當利益的保障措施的法律許可。
一、任何因資料的不法處理或其他任何違反個人資料保護範疇的法律規定或規章性規定的行為而受損害的人均有權向負責處理資料的實體要求獲得所受損失的賠償。
二、如負責處理資料的實體證實其並非引致損害事實的歸責者,得部分或全部免除責任。
三、如有次合同,適用《民法典》第四百九十二條及隨後數條關於委託關係的規定。
一、負責處理個人資料的實體應採取適當的技術和組織措施保護個人資料,避免資料的意外或不法損壞、意外遺失、未經許可的更改、傳播或查閱,尤其是有關處理使資料經網絡傳送時,以及任何其他方式的不法處理;在考慮到已有的技術知識和因採用該技術所需成本的情況下,上述措施應確保具有與資料處理所帶來的風險及所保護資料的性質相適應的安全程度。
二、負責處理個人資料的實體,在委託他人處理時,應選擇一個在資料處理的技術安全和組織上能提供足夠保障措施的次合同人,並應監察有關措施的執行。
三、以次合同進行的處理,應由約束次合同人和負責處理資料實體的合同或法律行為規範,並應特別規定次合同人只可按照負責處理資料的實體的指引行動,並須履行第一款所指的義務。
四、與資料保護有關的法律行為之意思表示、合同或法律行為的證據資料,以及第一款所指措施的要求,應由法律認可的具有證明效力的書面文件載明。
一、第七條第二款和第八條第一款所指的負責處理資料的實體應採取適當的措施,以便:
(一)控制進入設施:阻止未經許可的人進入處理上述資料的設施
(二)控制資料載體:阻止未經許可的人閱讀、複製、修改或取走資料的載體
(三)控制輸入:阻止未經許可而對已記載的個人資料加入其他資料,以及未經資料記載人許可的知悉、修改或刪除;
(四)控制使用:阻止未經許可的人透過資料傳送設施使用資料的自動化處理系統;
(五)控制查閱:確保經許可的人只可以查閱許可範圍內的資料;
(六)控制傳送:確保透過資料傳送設施可以查證傳送個人資料的實體;
(七)控制引入:確保可以在隨後查證引入了哪些個人資料、何時和由誰引入,該查證須在每一領域的適用規章所定的、與資料處理的性質相符的期間內進行;
(八)控制運輸:在個人資料的傳送和其載體的運輸過程中,阻止以未經許可的方式閱讀、複製、修改或刪除資料。
二、考慮到各負責處理資料的實體的性質和進行處理的設施的種類,公共當局在確保尊重資料當事人的權利、自由和保障的情況下得免除某些安全措施。
三、有關系統應確保將與健康和性生活有關的個人資料,包括遺傳資料,同其他個人資料分開。
四、當第七條所指的個人資料在網絡上流通可能對有關當事人的權利、自由和保障構成危險時,公共當局得決定以密碼進行傳送。
次合同人和任何隸屬於負責處理資料的實體或次合同人的人在查閱資料時,如沒有負責處理資料的實體的指引則不得對資料進行處理,但履行法定義務者除外。
一、負責處理個人資料的實體和在履行職務過程中知悉所處理個人資料的所有人士,均負有職業保密義務,即使相應職務終止亦然。
二、為公共當局從事顧問或諮詢工作的公務員、服務人員或技術員均負有相同的職業保密義務。
三、上述各款的規定不排除依法提供必要資訊的義務,但載於為統計用途所組織的資料庫者除外。
一、僅得在遵守本法律規定,且接收轉移資料當地的法律體系能確保適當的保護程度的情況下,方可將個人資料轉移到特區以外的地方。
二、上款所指的適當的保護程度應根據轉移的所有情況或轉移資料的整體進行審議,尤其應考慮資料的性質、處理資料的目的、期間或處理計劃、資料來源地和最終目的地,以及有關法律體系現行的一般或特定的法律規則及所遵守的專業規則和安全措施。
三、由公共當局決定某一法律體系是否能確保上款規定的適當保護程度。
一、當資料當事人明確同意轉移或轉移符合下列任一情況時,經對公共當局作出通知後,得將個人資料轉移到一個法律體系不能確保上條第二款規定的適當保護程度的地方:
(一)轉移是執行資料當事人和負責處理個人資料的實體間的合同所必需,或是應資料當事人要求執行訂定合同的預先措施所必需者;
(二)轉移是執行或訂定一合同所必需,而該合同是為了資料當事人的利益由負責處理個人資料的實體和第三人之間所訂立或將要訂立者;
(三)轉移是保護一重要的公共利益,或是在司法訴訟中宣告、行使或維護一權利所必需的或法律所要求者;
(四)轉移是保護資料當事人的重大利益所必需者;
(五)轉移自作出公開登記後進行。根據法律規定或規章性規定,該登記是為著公眾資訊和可供一般公眾或證明有正當利益的人公開查詢之用者,只要在具體情況下遵守法律規定的查詢條件。
二、在不妨礙第一款規定的情況下,只要負責處理資料的實體確保有足夠的保障他人的私人生活、基本權利和自由的機制,尤其透過適當的合同條款確保這些權利的行使,公共當局得許可將個人資料轉移到一個法律體系不能確保上條第二款規定的適當保護程度的地方。
三、當個人資料的轉移成為維護公共安全、預防犯罪、刑事偵查和制止刑事違法行為以及保障公共衛生所必需的措施時,個人資料的轉移由專門法律或適用於特區的國際法文書以及區際協定規範。
一、負責處理個人資料的實體或如有代表人時其代表人,應從處理開始起八日期限內以書面形式,將為了實現一個或多個相互關聯的目的而進行的一個或一系列、全部或部分自動化處理,通知公共當局。
二、當公共當局認為資料的處理不會對資料當事人的權利和自由構成影響,並基於快速、經濟和有效的原則,得許可對特定種類資料處理簡化或豁免通知。
三、許可須在《澳門特別行政區公報》上公佈,並應列明處理資料的目的、所處理的資料或其種類、資料當事人或當事人的類別、可被告知資料的接收者或接收者的類別,以及資料的保存期限。
四、當根據法律或行政法規,處理資料的唯一目的是為了維持資料的登記,而該登記是為著公眾資訊和可供一般公眾或證明有正當利益的人查詢之用時,則可豁免通知。
五、當根據第七條第三款處理個人資料時,對第七條第一款規定的個人資料的非自動化處理須作出通知。
一、除第二款之規定外,以下情況須經公共當局許可:
(一)第七條第二款所指個人資料的處理;
(二)關於資料當事人信用和償付能力資料的處理;
(三)第九條所規定的個人資料的互聯;
(四)在與收集資料的目的不同的情況下使用個人資料。
二、上款所指的處理得透過法律規定或具組織性質的規章性規定予以許可,在此情況下無需公共當局的許可。
第二十三條
意見書或許可的申請及通知的內容
向公共當局遞交的請求發出意見書或許可的申請和作出的通知應包括如下資訊:
(一)負責處理資料的實體的姓名和地址,以及如有代表人時其代表人的姓名和地址;
(二)處理的目的;
(三)資料當事人類別及與其有關的個人資料或資料種類的描述;
(四)可被告知資料的接收者或接收者的類別,以及告知資料的條件;
(五)當不是負責處理資料的實體本身處理時,承擔處理資訊的實體;
(六)個人資料處理中或有的互聯;
(七)個人資料的保存時間;
(八)資料當事人知悉或更正與其有關的個人資料的方式和條件;
(九)擬向第三國家或地區所作的資料轉移;
(十)容許初步評估適用第十五條和第十六條確保資料處理的安全而採取的措施是否適合的一般描述。
一、第七條第二款和第八條第一款所提到的法律規定或具組織性質的規章性規定、公共當局的許可和個人資料處理的登記至少應指出:
(一)資料庫負責人和如有代表人時其代表人;
(二)所處理個人資料的種類;
(三)處理資料的目的和接收資料實體的類別;
(四)行使查閱權和更正權的方式;
(五)個人資料處理中或有的互聯;
(六)擬向第三國家或地區所作的資料轉移。
二、對第一款所規定指示的任何修改須根據第二十一條和第二十二條規定的程序進行。
一、當個人資料的處理不受法律規定或具組織性質的規章性規定規範但應得到許可或作出通知時,有關處理須載於公共當局的登記內,公開讓任何人士查詢。
二、上述登記包括第二十三條(一)至(四)項和(九)項所列的資料。
三、當資料的處理無須作出通知時,負責處理資料的實體有義務以適當的方式向對其提出要求的任何人最低限度提供上條第一款所指的資料。
四、當根據法律或行政法規,處理資料的唯一目的是為了維持資料的登記,而該登記是為著公眾資訊和可供一般公眾或證明有正當利益的人公開查詢之用時,則不適用本條的規定。
五、公共當局在其年度報告中公佈所有依本法律規定編制的意見書和發出的許可,尤其是第七條第二款和第九條第一款規定的許可。
公共當局鼓勵和支持制訂行為守則,以便按不同界別的特點更好地執行本法律的規定,及從整體上更有效地自我規範及實現和保護與隱私有關的基本權利。
一、代表負責處理資料實體的專業團體和其他組織,如制訂行為守則草案並認為有必要,得為登記的目的將行為守則草案送交公共當局。
二、如公共當局認為草案符合個人資料保護範疇的現行法律規定和規章性規定,應作出登記。
三、行為守則的登記具有單純宣告合法性的後果,但該守則並不具有法律規範或規章規範的性質。
任何人得依法採用行政或司法途徑以確保個人資料保護範疇的法律規定和規章性規定得以遵守,但不妨礙向公共當局提出告訴的權利。
一、對法院的裁決得以違反本法律確保的基本權利為由向終審法院提出上訴,該上訴得直接提出並僅針對違反基本權利的問題,上訴具有緊急性。
二、在不妨礙上款規定的情況下,對行政行為或公權單純事實,得以違反本法律確保的基本權利為由向行政法院提出上訴,上訴具有緊急性。
三、在遵守上兩款規定的前提下,《民事訴訟法典》第七條之規定,經作出適當配合後,適用於上兩款所規定特別司法保護中的上訴程序,並分別補充適用經作出必要配合後的民事訴訟法律和行政程序法律的規定。
行政上之違法行為的一般制度,經如下條文配合後,補充適用於本節規定的違法行為。
當因不履行義務而構成行政違法行為時, 如該履行仍屬可能,執行處罰和支付罰款並不免除違法者履行該義務。
一、基於過失,實體未履行第二十一條第一款和第五款規定的將個人資料的處理通知公共當局的義務、提供虛假資訊或履行通知義務時未遵守第二十三條的規定,或者經公共當局通知之後,負責處理個人資料的實體繼續讓沒有遵守本法規定者查閱其傳送資料的公開網絡,屬行政違法行為並處以如下罰款:
(一)對自然人科處澳門幣2,000至20,000元罰款;
(二)對法人或無法律人格的實體,科處澳門幣10,000至100,000元罰款。
二、當處理的資料根據第二十二條規定受預先監控約束時,罰款的上下限各加重一倍。
一、對處理個人資料的實體不履行第五條、第十條、第十一條、第十二條、第十三條、第十六條、第十七條和第二十五條第三款規定所規定義務的行政違法行為,科處澳門幣4,000至40,000元罰款。
二、對處理個人資料的實體不履行第六條、第七條、第八條、第九條、第十九條和第二十條所規定義務的行政違法行為,科處澳門幣8,000至80,000元罰款。
一、如一事實同時構成犯罪和行政違法行為,則僅以犯罪處罰。
二、如行政違法行為競合,則各項處罰一併科處。
一、因過失實施第三十三條規定的行政違法行為者須受處罰。
二、第三十二條和第三十三條規定的行政違法行為的未遂須受處罰。
一、公共當局有權科處本法律規定的罰款。
二、如未在法定期限內並根據法律規定提出爭執,則公共當局的決定構成執行名義。
一、意圖實施下列行為者,處最高一年徒刑或一百二十日罰金:
(一)未作出第二十一條和第二十二條所指的通知或許可請求;
(二)在通知或請求許可處理個人資料時提供虛假資訊,或在處理個人資料時實施了未經使其合法化的文書允許的修改;
(三)與收集個人資料的目的不相符或在不符合使其合法化的文書的情況下移走或使用個人資料;
(四)促使或實行個人資料的不法互聯;
(五)在公共當局為履行本法律或其他保護個人資料法例規定的義務而訂定的期間完結後,仍不履行義務者;
(六)在公共當局通知不得再讓沒有遵守本法規定者查閱之後,負責處理個人資料的實體繼續讓有關人士查閱其傳送資料的公開網絡。
二、當涉及第七條和第八條所指的個人資料時,刑罰的上下限各加重一倍。
一、未經適當的許可,透過任何方法查閱被禁止查閱的個人資料者,如按特別法不科處更重刑罰,則處最高一年徒刑或一百二十日罰金。
二、在下列情況下查閱個人資料,刑罰的上下限各加重一倍:
(一)透過違反技術安全規則查閱資料;
(二)使行為人或第三人知悉個人資料;
(三)給予行為人或第三人財產利益。
三、第一款規定的情況,非經告訴不得進行刑事程序。
一、未經適當許可刪除、毀壞、損壞、消除或修改個人資料,使資料不能使用或影響其用途者,如按特別法不科處更重刑罰,則處最高二年徒刑或二百四十日罰金。
二、如引致的損害特別嚴重,刑罰上下限各加重一倍。
三、如行為人過失實施以上兩款所規定的行為,處最高一年徒刑或一百二十日罰金。
一、行為人被通知後仍不中斷、停止或封存個人資料的處理,處相當於加重違令罪的刑罰。
二、行為人被通知後仍有下列情況之一者,科處相同刑罰:
(一)無合理理由拒絕對公共當局提出的具體要求給予合作;
(二)沒有進行刪除、全部或部分銷毀個人資料;
(三)第五條規定的保存期完結後未銷毀有關個人資料。
一、根據法律規定,負有職業保密義務者,在沒有合理理由和未經適當同意情況下,披露或傳播全部或部分個人資料,如按特別法不科處更重刑罰,則處最高二年徒刑或二百四十日罰金。
二、如行為人屬下列情況,刑罰上下限各加重一半:
(一)根據刑法規定屬公務員或等同公務員者;
(二)被定為有意圖取得任何財產利益或其他不法利益者;
(三)對他人的名聲、名譽、別人對他人的觀感或私人生活的隱私造成危險者。
三、對過失行為處最高六個月徒刑或一百二十日罰金。
四、第二款規定以外的情況,非經告訴不得進行刑事程序。
根據本章第二節和第三節科處罰金或刑罰時,可一併科處以下附加刑:
(一)臨時或確定性禁止處理、封存、刪除、全部或部分銷毀資料;
(二)公開有罪判決;
(三)由公共當局對負責處理個人資料的實體提出警告或公開且譴責。
一、有罪判決的公佈是透過中文和葡文發行量較大的定期刊物為之,以及在適當地方和不少於三十日的期限內透過張貼告示為之,有關費用由被判罰者負擔。
二、該公佈以摘錄為之,其中載有違法行為、科處的處罰和行為人的身份。
一、在本法律生效日前,已存於人手操作的資料庫的資料的處理應在兩年內履行第七條、第八條、第十條和第十一條的規定。
二、在任何情況下,尤其是在行使查閱權時,資料當事人得要求更正、刪除或封存不完整、不準確或以與負責處理個人資料的實體實現其正當目的不相符的方式而儲存的資料。
三、只要有關資料不會以其他目的被再次使用,公共當局得許可已存在於人手操作的資料庫的資料和僅為歷史研究目的而保存的資料無須履行第七條、第八條和第九條的規定。
本法律於公佈後一百八十日起生效。
二零零五年 月 日通過。
二零零五年 月 日簽署。
命令公佈。
政府及其他公共實體所送交的意見
___________________
* 本附件的所有資料均由行政法務司司長辦公室提供,其中財政局對法案的意見請參閱葡文文本。
澳 門 特 別 行 政 區 政 府
行 政 法 務 司 司 長 辦 公 室
關於《個人資料保護法 》法案各部門意見綜述
1. 法案的必要性
1.1 基於《基本法》第三十條、第三十二條及《公民權利和政治權利國際公約》第十七條所規定的一般原則可以推論,個人資料的處理應以透明的方式進行,應尊重個 人生活的隱私,並應尊重居民的權利、自由和保 障。
1.2 上述原則亦見於《民法典》第七十九條和《刑法典》關於私人生活的隱私的章節內。
1.3 然而,在澳門特區法律體制中,目前欠缺一部一般性法律,系統規範個人資料的獲取、檔 案管理、處理、流通和互聯。
1.4 鑑於資訊科技的快速發展以及全球化的結果,在獲取、處理及流通個人資料方面日益便捷,有必要在個人資料保護事項進行立法。
1.5 因此,政府對法案的必要性並無異議。
2. 關於完善法案的總體建議
政府認為《個人資料保護法》法案可進一步完善澳門特區法制,但須與《基本法》的規定及適用於澳門的有關國際法文書一致,並須配合澳門的社會環境,包括法律、政治、文化、社會心理,以及各政府部門及私人機構對執行法律的配合,如人力資源、規章制度方面的配合。如果準備不 充分,將會造成政府部門正常運作的困難,並對商界、社團及普通市 民有直接影響。此外,亦須關注下述問題:
2.1 法案與現行法律制度之配合,尤其是“權限實體”之職權及該實體與其他相關機構及部門之配合。
2.2 儘管對法律穩定原則帶來一些影響,法案應找出可令到現有制度更適應社會演變及資訊科技發展的方法。
2.3 任何規範個人資料的規定應注重制訂預防和打擊國際犯罪的措施。
2.4 法案應揭示,僅在集體和公共利益要求加強民主意識之大前提下,方對個人自由、權利和保障的行使作出限制。
2.5 法案應關注特區各機構及部門運作所產生的影響,並適宜給予充分時間,讓有關機構及部門藉制訂規章或僅在操作上作出安排,尤其是確 定負責處理資料架構的運作程式。
對於一個如此重要,兼具行政及刑事處罰條文的法案,應設定較長的諮詢期,讓各界充分評估新制度給現有的法律體系和公私實體之運作帶來的影響及衝擊。同樣,只有九十天的待生效期間實屬過短。
2.6 由於法案所規範的事宜複雜,所以須更有規律地跟進整個立法的進程,以便各部門能及時制訂與之相配合的規章或提出重組其架構的方案,從而保障特區政府有效如常運作。例如,根據法案第十條、第十一條 的規定,負責處理個人資料的部門有義務告知當事人資料處埋的目的、接 收者,當事人也有權自由地、不受限制地瞭解其資料是否被處理、處理的 目的、被處理資料的類別、資料的接收者或類別。在這方面,相關部門要投入很大的人力物力再去建立一個資料庫,將相關的資料逐一記錄並逐 一 通知當事人,對於每天處理數以千計個人資料的部門來說,困難是相當大的。
2.7 關於行政違法行為處罰制度的定量,法案應與特區法制所定模式或立法技術一致。
考慮到多項重大法律中的行政上之違法行為均由行政法規訂定,為了 維持立法制度的一致性與延續性,建議本法案中第二十九條至第三十五條 (行政上之違法行為)以行政法規訂定。
3. 關於完善法案的具體建議(按條文順序)
在徵詢意見的過程申,大部分部門均表示,由於時間太緊迫,未能對法案作深入的比較研究,但仍提出了以下的建議;
3.1 關於文本之體例:
3.1.1 按照澳門立法技術,葡文本章節的小標題除詞首字母大寫,其餘 應用小寫 。
3.1.2 第十條中項以下事項的羅列,中、葡文本均宜為(1)、(2)、(3).....。
3.1.3 第三十二條之標題宜為“其他行政違法行為 ”(outras infracções administrativas)。
3.2 第二條及第三條第四款中使用“... 適用於特區的國際法律文書”(instrumentos de direito internacional),而在其他條文中,如第八條第 三款及第二十條第三款則使用“國際公約或協定”。其實這兩個詞語擬指 的內容基本相同。為了保持法案的行文一致,建議全文中統一使用其中之 一。
3.3 中文本第三條第四款末尾一句中“...特別法例”與葡文本中的“legislação específica”(專門法例)不對應。依照法律術語,“特別法例”與“專門法例”含義並不一 致。
3.4 葡文本第三條第四款中的“... atinente aquele sector ...”應為“ ...atinente àquele sector...”
3.5 建議葡文本第四條中的冒號改為逗號(例如,<< Dガados pessoais>> ...),並將(一)項中的分號刪除,改為“... sendo considerada...”。
3.6 建議將第四條(三)項修改為“個人資料庫”(資料庫):任何有組織結購的個人資料的集合體,不論其設置、儲存資料、管理和查閱的形式及方式為何”(“Ficheiro de dados pessoais”(“ficheiro”):quando conjunto estruturado de dados pessoais, independentemente da forma ou modalidade da sua criação, armazenamento, organização e acesso.”。
3.7 建議將第四條(四)項最後一句“如… …”改作同條第二款“為適 用上款(四)項的規定,如 … … ”(“Para efeitos do disposto na alínea 4)do númbero anterior, smepre que ...”)。
3.8 中文本第四條(九)項中的“聯系”應改為“聯繫”。
3.9 建議在第五條(二)項中增加下劃線部分:“...... 為了特定、明 確、正當和直接與從事資料處理負責人工作有關的目的而收集 ”(“...finalidades determinadas, explitas, legítimas e directamente relacionadas com o exercício da actividade do responsável pelo tratamento, não podendo ...”。
3.10 建議將第六條(四)項中的“公眾利益”修改為“公共利益”,以便與其他條文的用詞 一致。
3.11 第七條第一款中“政黨或工會關係”(filiação partidária ou sindical),建議改為“ 政治社團或工會關係”(filiação em associações políticas ou sindicais),以配合澳門特區第2/99/M號法律(結社權規範)之相應規定。
3.12 第七條第一款及第三款(二)項葡文本中“convicções filosóficas”,及“carácter filosófico”,中文本對應之處為“哲學信仰”及“哲學性質”。中文本不太準確。因此處之“哲學”實為人生觀、世界觀之意,並非一般意義上的哲理之學。
3.13 就第十一 條第一款(五)項,建議加入劃線部分:“...... 但證實不可能通知者,或即使能通知,但須付出的努力屬過度者除外”(... comprovadamente impossível ou implicar um esforço desproporcionado ...”。
3.14 建議將第十三條的標題縮短,例如“自動化決定”(“Decisões individuais automatizadas”),並在第三款中加入劃線部分:“...... 經權限實體或法規許可........”(... quando a entidade competente ou um diploma legal o autorize, definindo...”)。
3.15 中文本第十三條第二款中的“防礙”應為“妨礙”。
3.16 統一將“其它”改為“其他”(第十六條第三款、第四十五條第 三款)。
3.7 建議將第十七條最後一句改為“... ...,但履行法定義務者除外”。
3.18 葡文本第十八條第一款中“... responsáveis do tratamento...”建議 改為“... responsáveis pelo tratamento...”。
3.19 建議刪除葡文本第十九條第二款中的分號,並改為“... transferncias de dados, devendo ser tidas em especial consideração a natureza...”。
3.20 建議將第二十條第一款首句修改為“… …符合下列任一情況時 … …”,從而刪除各款之間的“或”字。
3.21 中文本第二十條第三款中“... 防禦、保護公共安全、預防犯罪 ...”建議改為“... 維護公共安全... ”
3.22 第二十條第三款中建議在“ 公共安全、預防犯罪、刑事偵查和制止刑事違法行為”之後增列“及保障公共衛生”。
3.23 中文本第二十條第三款末尾“區際協定”建議改為“區際協議”。
3.24 第二十一條第三款中“政府公報”應改為“《澳門特別行政區公報》”,葡文本中則以斜體列印之。
3.25 建議在第二十二條第一款中增加一句“… … 但法律或規章另有規定者除外”(“Salvo disposição legal ou regulamentar em contrário...”)。
3.26 第二十二條第一款(一)項所述的“第七條第二款”是否應改為“第七條第一款”。
3.27 第二十二條第一款(四)項末尾的分號應改為句號。
3.28 建議將第二十四條第二 款中的“指示”修改為“資料”,以便與該條第一款及第二十五條第三款的表述一 致 。
3.29 建議統一“公佈 ”/ “公布 ”一詞的寫法(第二十五條第五款、 第四十四條第二款、簽署部分)。
3.30 第二十五條第四款的“... 該登是為著公眾 ...”應為“ ... 該登記是為著公眾 ...”。
3.31 建議將第二十六條的葡文本未段改為 :“...por uma maior eficácia na defesa dos direitos fundamentais ligados à protecção da privacidade”。
3.32 建議將第二十七條第一款中的“團體”改為“專業團體”。
3.33 建議將葡文本第二十八條第二款“pode semprer recorrer-se”及第三款“há recurso”改為“cabe recurso”,以及將“tendo caráter urgente”改為“e revestem sernpre carácter urgente”。
3.34 葡文本第三十一條第一款(一)項的金額是否應為澳門幣20 000,而不是澳門幣200 000。
3.35 葡文本第三十二條第一款的金額是否應為澳門幣40 000,而不是澳門幣400 000。
3.36 中文文本第三十二條第一款未尾句號應改為冒號。
3.37 法案第三十二條第一款(一)項的規定,似乎應該是“不遵守 ...的義務”,而不是“遵守”,而且該款只有一項,編寫應該與該條第二款 對稱,可以不用另項表述。
3.38 第三十八條及第三十九條,為著與《刑 法 典 》第二條及第8/2002號法律第十四條配合,建議在適當地方插入:“如按特別法不科處更重刑 罰”(se pena mais grave ao caso não couber por força de lei especial)。
3.39 中文本第四十條第二款中“ ... 仍作出下列行為...”一詞,建議 改為“有下列情況之一者”。因該款所描述者均為“不作為”情況。
3.40 建議將第四十二條修改為“本節規定的犯罪之未遂須受處罰”(“Nos crimes previstos na presente secção, a tentativa é sempre punível”)。
3.41 第四十三 條(二)項及第四十四條中“condenatoria”一詞,如屬民訴,相應的中文表述應為“給付判決”,如屬刑訴,則應為“有罪判 決”,故建議將中文本改為“給付判決或有罪判決”,以 涵蓋兩種情況。
3.42 第四十三條(三 )項中文本“遣責”應改為“譴責”。
3.43 第四十四條第一 款中“condenado”的相應中文表述應為的“被判刑人”,而非“被判者”。
3.44 第四十五條的標 題中“Disposição transitória”相應的中文表述應為“過渡規定”。
4. 需要進一步溝通的事項
4.1 本法案與現行法律體制的配合
正如前述,本法案是澳門第一個保護個人私隱的一般法律。在此之前,對於個人資料的收集、查詢等方面制 度,是 由各種法律規範組成的。雖然法案中並沒有規定如何處理與之相抵觸的條文,相信一 旦頒佈實施,可能對現行的法律制度帶來衝擊,舉例說明如下:
4.1.1 由於現行部分法規會與法案相抵觸,為免各部門在執法標準上 出現混亂,須明確列出擬廢止的法例,或明確有關例外制度,或規定必須 配合本法案的規定。
4.1.2 法案的實施可能與十月三十一日第73/89/M號法令規範的檔案法有不協調的情況。同時,亦可能與四月六日第12/98/M號法令及《刑 法典》第一百八十七條有抵觸。
4.1.3 第十一條(查閱權)第二款與司法警察局的組織法賦予該局查 閱民事及刑事身分資料之權利的關係。
4.1.4 第七條(敏感資料的處理)第二款及第三款中如何界定“重大 的公共利益”?由何機構進行界定?如存在“履行法定或規章規定的職責”但並非“基於重大的公共利益”的情況,如何處理?是否有關部門將 無法履行法定或規章規定的職責?如是,是否可以理解為權限實體的決定可以凌駕在法律規範之上,決定有關部門不可依法行使職權?
例如,根據第62/96/M 號法令的規定,除涉及私人生活隱私保護權範 圍內之政治信仰及宗教信仰之資料,以及當法律對某些行為有相反規定時,對涉及該等行為之資料外,統計編製機關為履行職責,得要求所有當局、機關或機構以及處於澳門地區之所有自然人或在澳門地區從事活動之所有法人,在規定之期間內提供必需之資料。在統計中將涉及一些個人健康的資料,亦在 強制提供之列 。
又例如 ,根據《關於〈中華人民共和國國籍法〉在澳門實施的幾個問題的解釋》及第8/1999號法律第一條的規定,政府有關部門須確認澳門居 民是否屬有中國血統但又具有葡萄牙血統的人士,“以確 定其永久性居民身份或國籍。
本法案生效後,若上述情況不被認定為基於重大的公共利益時,統計工作將無法強制進行,而政府有關部門將無法執行上述法規。
基於以上的意見,政府認為有必要進一步明確本法案與現行法規的關係,權限實體與法律規範的關係,並需取得平衡,以免出現權力過大及因對現有的制度有太大的觸動而造成不穩定的情況。
4.2 法案未有明確規 定公共或私人機構對其屬下員工的個人資料可作何等程度的處理及如何對其私隱作出保障
4.3 法案中規定有關當事人享有查閱權,這在實際操作上可能存有一定困難,因為難以判斷有關資料(例如“社會報告”中所載的資料)是屬於當事人所有,抑或亦屬於其他人所有,而此問題將直接影響誰有查閱權。
4.4 對法案的適用範圍存疑,尤其是第三條、第四條、第 七條、第十三條所包括的情況,因為可能會令部門現有系統無法運作。
4.5 就法案第三條,怎樣才算是“人手操作的資料庫”?何謂“自動化方法”?
4.6 不明白立法者為何按資料的處理方法(自動化 / 非自動化)而對個人資料的處理作不同的規範(法案第三條 第一款)?如屬以非自動化方法處理,似乎僅限於“存於或將存於人手操作的資料庫內的個人資料”的情況?
4.7 第三條第二款中“用作系統通訊或傳播者”及第三款“錄像監視”的範圍是甚麼?是否包括私人地方?有無評估利弊?
4.8 第三條第三款未包括所有可以認別人的方式,例如 DNA。
4.9 就法案第四條,可否將“資料當事人”此一概念獨立處理?
4.10 對法案第四條(三)項(個人資料的資料庫)的定義及適用範圍存有疑問。
4.11 就法案第五條,為何不容許經權限實體許可後,保存個人資料的期限超過該條(五)項規定者,只要保存資料是基於保存歷史文獻、統計數據或科學資料為目的等?
4.12 第七條第三款(二)項提及“具有政治、哲學、宗教或工會性質的財團、非牟利的社團或機構”,界定這些組織的標準、法律依據是甚麼?是否需為此兩另行立法?如何具體操作?
4.13 第八條第一款規定:只有有關的組織法規定有特定權限的公共部門,在遵守法規訂定的保護資料的程式和規定,以及在預先聽取權限實體意見的情況下,可設立和保持關於懷疑某人從事不法行為、刑事或行政違法行為,以及判處刑罰、保安處分、罰金或附加刑決定的集中登記。”
而第四十五條第一款規定:“在本法律生效日前,已存於人手操作的資料庫的資料的處理應在兩年內履行第七條、第八條、第十條和第十一條的規定。”
換言之,權限實體不只是對將要“設立”的資料庫“預先聽取意見”,而是要“事後”對“存在”的資料庫給予意見。這有無必要?
另,由於配合該法案的規定需要消化理解相關的法規,更需要在電腦系統等方面加以修改及與相關的部門進行協調,難以在兩年內完成。
4.14 第十條中,何為“成本過高”,如何界定?第十一條第四款中規定“……僅將已採取的措施通知資料當事人”,何為“已採取的措施”?廉政公署來查過其資料,如何通知當事人?
4.15 法案第十一條第二款提及兩個實體,是否將來存在兩個實體都具 有法律賦予監察個人資料保護法例遵守職責呢?還是只有一個“權限實體”呢?
4.16 第十一 條第六款“私人生活的權利”是否改為“對私生活的權利”?
4.17 未能理解第十二條(二)項的意思。行文不清晰,當中的“無須費用”與“免費”意思相同。
4.18 第十三條第一款中“對資料的自動化處理而作出的決定” 所指為何?
4.19 第十一條第五款所指的醫生是否指當事人的主診醫生,其他醫護人員或授權人如何規範?
4.20 第十五條及第十六條第四款中“網絡”一詞似乎僅指互聯網,但應包括電子通訊方式及非電子通訊方式。
4.21 第十六條第一款(四)項應包括對資料作人手處理的情況。
4.22 第二十條中文標題是否改為“排除適用”?
4.23 第二十一條,是否對給予許可期限作出規定?
4.24 第二十一條第二款所述的“特定種類資料”未有明確說明。
4.25 第二十二條第二款規定:“上款所指的處理得透過法規予以許可,在此情況下無需權限實體的許可。”這裡的“法規”是指現有的組織法規或其他法規,還是一專門給予許可的法規?法規的類別是甚麼?
4.26 就第二十八條須考慮與《司法組織綱要法》的配合問題,尤其是該條第二款中“對法院的裁決得以......向終審法院提出上訴”需要澄清下列事項:
4.26.1 裁決是由第一審法院作出,可一直上訴至終審法院?
4.26.2 不論第一審法院是初級法院還是中級法院,均可就其裁決直接 上訴至終審法院?
4.26.3 不論法定上訴利益值(alçada),均可上訴至終審法院?
4.26.4 條文事關法院的訴訟程式,是否需要徵詢司法機關之意見?
4.27 由於現行制度對於行政行為的申訴(impugnação)包括行政和司法兩方面,故法案第三十五條第二款宜指明是何類申訴。
4.28 法案第三十六條所定的解決辦法與十月四日第52/99/M號法令(訂定行政上違法行為之一般制度及程序)第十五條所定的方法無異,故無須重覆。
4.29 宜參照《刑法典》第二百零六條及第二百零七條的規定,重新考慮有關刑幅。
4.30 第四十一條之刑罰與《刑法典》第一百八十七條、第一百八十九條及第一百九十一條能否一致?
二零零五年七月十二日於行政法務司司長辦公室。
一、《公民權利和政治權利國際公約》第十七條,基本法第三十條均就保護私人生活的隱私權做出了規定,澳門民法典第七十九條亦根據上述國際公約的精神規定個人資料保護的問題。在資訊暢通、傳播手段愈加發達的今天,在人們生活的社會化程度越來越高的情況,個人資料的使用和保存頻率也越來越高,個人、團體、公共行政當局乃至司法機關都涉及個人資料的使用,個人資料保護法的主體以及保護範圍非常廣泛,牽涉社會多個層面,因此對有關法律規範的調整對象、調整內容、調整方法都應該做全方位的考量。
二、進行本項立法需妥善處理的幾個關係
立法目的誠如法案名稱所顯示的,是為了更具體地規定對個人資料的保護措施,保護居民的基本權利,但這一基本權利能否通過這一立法得到切實的保障,就必須要處理好幾個力面的關係。
1. 保護個人權利與公共部門行使職權的關係。保護個人資料必然會加重公共部門的負擔,這是應該付出的代價;但是如果妨礙有關職權的行使,就有重新考量的必要。草案第八條規定,“有特定權限的公共部門” 就有關違法行為人的集中登記,除須遵守法規訂定的保護資料程序和規定外,還要預先聽取該實體的意見。然而我們並不知道是每一個個案都要依次聽取意見,還是一次性就隨時發生的此類登記獲得一攬子同意,前述公共部門是否包括司法機關。
2. 草案與程序法的關係。前述條文規定就該項保護所採取的特別訴訟程序一一直接向終審法院提出上訴,但條文沒有說明這一上訴是“普通上訴”還是“非常上訴,也沒有提出涉及的相關法律如《司法組織綱要法》的修改。
3. “權限實體”的法律地位及與其他部門的關係。是否特區所有部門都需要根據第二十一條的規定向權限實體履行通知的義務及獲得許可,這涉及到特區政治體制中司法權與其他權利的關係問題。對草案中所提到的 “有權限實體”的定位非常關鍵,但草案並沒有做出相應規定,這是在進行本項立法時必須要優先解決的問題 。
4. 個人資料保護與司法協助的關係。國際或區際司法協助涉及“將個人資料轉移到特區以外的地方”,草案第二十條規定:“當個人資料的轉移成為防禦、保護公共安全、預防犯罪、刑事偵查和制止刑事違法行為必需的措施時,個人資料的轉移由特定的法律或適用於特區的國際公約或協定以及區際協定規範。”是否可以認為基於刑事司法協助而轉移資料,不需第一款規定的權限實體的許可及資料當事人同意,那麼民事司法協助所需資料也應做出規定。
三、草案的文字表述需嚴謹和規範
1. 如草案第二條規定的“應以透明的方式”透明並非一固有法律概念,如果不加註釋,很難界定何謂透明的方式;第五條的標題“性質”也與條文內文不符;
2. 標準不嚴謹,如第十條第五款規定的“成本過高”;第十一條第一款“過高費用”;第十二條第一款“重大理由”;
3. 在賠償法律關係中被告不明確,因為“負責處理資料的實體”眾多,性質不同,法人、自治實體與政府部門在賠償關係以及行政處罰關係中的角色顯然不同。當身份證明同為處理資料的實體時,應由特區政府作為被告承擔責任,如果依照第三十二條“行政違法行為”作出罰款,再依照第三十六條“基於科處罰款所得的款項歸特區所有”有何意義?
以上意見,僅供參考。
對個人資料給予進一步的保護,應予以肯定。
澳門於回歸前為當時生效的重大法典進行本地化時,曾考慮到葡萄牙 憲法將不再在澳門生效,因此將載於葡萄牙憲法內的相當部分有關保障個人基本權利的規範加入《澳門 民法典》之內,其中亦包括了個人資料的保護。不能忽略的是,有關規範既以法律的形式納入澳門的法律秩序,一旦個人基本權利受到侵害,例如個人資料被不當使用,便可根據《民法典》的規定追究行為人的侵權責任,不論行為人是公共部門 / 機構,又或是私人。當然,《民法典》的相關規定的確較為概括,操作性不強,所以透過立法來進一步規範對個人資料的保護,將會使《澳門特別行政區基本法》(下稱“基本法”)所確立的、屬個人權利、自由和保障一部分的隱私權得到更大的維護,這是毋庸置疑的。
在確認對個人資料給予進一步保護而進行立法有其重要意義的同時,須考慮澳門的政治體制、法律秩序及《基本法》的規定。經分析《個人資料保護法》法案(下稱“法案”)後,發現存在下列值得關注的問題:
一、法案主要內容取材自葡萄牙的相關法規;
二、歐盟及葡萄牙的政治及社會環境與澳門有很大的差異;
三、葡萄牙的《個人資料保護法》主要是由“資料保護國家委員會”執行;
四、歐盟設有“關於個人資料處理的個人保護工作小組”以協調各成 員國《個人資料保護法》的實施;
五、法案未能配合澳門的政治及社會狀況;
六、具體條文所反映的問題。
一、法案主要內容取材自葡萄牙的相關法規
經比較分析後,發現除有關執行機關的規定外,法案在內容上基本與 葡萄牙10月6日第 67/98號法律《個人資料保護法》相同,只是在技術上稍作一些配合及增加少量規定,如第4條(10)項有關權限實體的定義,第14條第3款有關委託人和受託人之間的連帶責任,第28條第2款及第3款有關司法管轄權的規定等。至於香港《個人資料(私隱)條例》的規定,則未見引入。
二、歐盟及葡萄牙的政治及社會環境與澳門有很大的差異
葡萄牙10月 6日第67/98號法律《個人資料保護法》係基於歐盟第95/46/CE號指令制訂的。歐盟及葡萄牙均奉行西方三權分立的政治模式,而葡萄牙實行半總統制,雖然設有總統一職,但政府是由議會大多數黨所組成,至於澳門則是實行一國兩制下的行政、立法及司法機構互相獨立,互相制約,互相配合,又要保障行政權主導政治體制運作的模式 ,行政主導的主要特點是以行政長官為核心,行政長官是澳門特別行政區的首長 ,也是澳門特別行政區政府的首長 。所以澳門在政治體制上與葡萄牙存在看很大的差異。
雖然葡萄牙人曾管治澳門數世紀,但澳門的居民一直都是以中國人為主,而且佔絕大多數,因此,澳門在語言、文化傳統、生活方式、商業習慣等方面都保留看華人社會的特色。
如將一套專為西方三權分立的政治社會結構而設的保障個人資料法律制度“轉入”澳門的法律秩序,這又是否恰當呢?尤須強調,有關制度是為歐盟而設的,歐盟成員國之問的個人資料是自由流通的 ,向第三國轉移才受限制。按照法案第19條規定,澳門擬將個人資料轉移至國內或香港,亦受法案所指的權限實體監控,這又是否符合澳門作為中華人民共和國的一個特別行政區的政治體制呢?
三、蔔萄牙的《個人資料保護法》主要是由“資料保護國家委員會”執行
葡萄牙的《個人資料保護法》第21條及隨後條文規定設立“資料保護國家委員會”,並對其組成 、職責和權限等作出規範。
資料保護國家委員會係由7名公認廉潔、有功績的人員組成:3名由葡萄牙議會透過選舉產生,當中1人更擔任主席;2名為具有超過10年經驗的司法官(法院司法官、檢察院司法官各 1名);其餘 2名則由政府指定公認有能力的人士擔任。
換言之,資料保護國家委員會的成員係由立法、司法及行政當局的代表所組成,議會代表占多數,而且又有資深的司法官員參與,所以不難明白立法者為何賦予該委員會如此大的權力以執行對個人資料保護的規定。試想想,澳門的政治社會結構是否適合設立類似組成模式的委員會,即是由立法、司法及行政當局代表所組成、並向立法會負責的獨立委員會呢?尤須考慮的是,即使在回歸前已成立、向立法會負責、且職能包括促使人的權利、自由、保障及正當利益受保護的反貪污暨反行政違法性高級專員公署,亦已因應澳門特別行政區的成立和《基本法》的規定而由廉政公署取代,並轉變為僅向行政長官負責的獨立機構。
綜合上述分析,法案所指的權限實體並不適宜按葡萄牙相關執行機構的組成模式來設立和運作。
另一方面,該權限實體又是否適宜成為行政架構的部分而按司、局、廳、處任一的模式設立和運作呢?如不以司、局、廳、處任一的模式設立和運作,採納以一個向行政長官負責的獨立委員會的模式存在的話,又是否適宜由這樣的委員會行使其約束力的許可權(法案第7條第 2款、第8條第2款及第13條第3款)、豁免權(法案第16條第2款及第21條第2款)和發表意見權(法案第8條第1款)呢?
尤須考慮的是,法案擬設立的制度適用於刑事調查工作。按照《刑事訴訟法典》第42條第2款b項及第 246條的規定,刑事案件由檢察院領導偵查,並由刑事警察機關輔助;雖然刑事警察機關屬行政部門人員,但須在檢察院直接指引、且在職務上從屬檢察院下行動。檢察院有權審查由刑事警察機關所採取的偵查措施是否適宜,特別是按照具體偵查的犯罪及當事人的基本權利(包括個人資料的隱私)之間的輕重作考慮。如其的成立有關委員會,當出現委員會與檢察院立場不一致的情況時,委員會便無疑干預了司法機關的領導偵查職能。如委員會並不倣效葡萄牙的做法由立法、司法及行政當局的代表所組成,委員會的干預又是否具有足夠的公信力呢?
另一個值得研究的問題是,究竟法案所指的權限實體在體制上屬何種性質的機關呢?毫無疑問,該權限實體不可能是立法機關 ,因為不具有且不應具有立法職能;也不可能是司法機關,因為《基本法》訂明澳門特別行政區的司法機關只有法院和檢察院。那麼,又可否成立一 個性質與廉政公署或審計署相若、不被納入行政體系的具有特別公權力的實體呢?我們認為答案應是否定的,因為廉政公署及審計署乃唯一在《基本法》第四章(政治體制)第一節(行政長官)所規範的特別權力實體,屬行政長官作為特區首長下的機,而非狹義的政府部門 ,其據位人更具有主要官員身份 。
因此,該有關權限實體只可以是行政機關,其據位人亦不可能具有主要官員身份。倘一個不屬主要官員的行政機關可干預在檢察院直接指引,且在職務上從屬檢察院下行動的刑事警察機關的工作,又或干預負責領導偵查且具有與檢察院相同的主要取證權力的廉政公署的工作,這又是否恰當呢?由該有關權限實體監控檢察院領導的偵查或負責刑偵的主要官員的行為又是否違反《基本法》呢?
四、歐盟設有“關於個人資料處理的個人保護工作小組”以協調各成員國《個人資料保護法》的實施
根據歐盟第95/46/CE號指令(葡萄牙10月6日第67/98號法律所奠基的指今)第 29條及第 30條的規定,歐盟設立了“關於個人資料處理的個人保護工作小組”,此乃具有諮詢性質的獨立工作小組,權限範圍包括分析及監察任何按照上述指令制訂的國內法的相關問題,並致力令該等規範在執行上達至統一,以及為歐盟成員國或第三國提供技術意見等。
澳門的情況與葡萄牙不同,法案的規定技術性高,當中又帶有不少甚為抽象的規定,如何確保得到適當的執行實成疑問,下列以底線標示的可作為一些不確定概念的參考例子:
第 6條(5)項:「‥‥‥只要資料當事人的利益或權利、自由和保障不優於這些正當利益。」
第 8條第 2款:「‥‥‥且資料當事人的權利、自由和保障不優先‥‥‥」
第9條第 2 款:「‥‥‥亦不得導致歧視或削減資料當事人的權利、自由和保障‥‥‥」
第10條第 6款;「‥‥‥在尊重資料當事人基本權利的前提下‥‥‥」
第11條第 6款:「‥‥‥在沒有明顯侵犯資料當事人的權利、自由和保障,尤其是私人生活權利危險的情況下‥‥‥」
第16條第2款:「‥‥‥權限實體在確保尊重資料當事人的權利、自由和保障的情況下‥‥‥」
事實上,葡萄牙的《個人資料保護法》,除了是由一個立法、司法及行政當局代表所組成的國家委員會執行外,還有歐盟的“關於個人資料處理的個人保護工作小組”提供技術支援,以確保在釋法上有統一標準,從而讓《個人資料保護法》得到妥善的執行。在澳門,是否適宜由一個非司 法機關在具體的刑案件中作出具約束力的決定呢?尤須注意的是,即使是按照《基本法》規定成立的廉政公署,肩負托P使人的權利、自由、保障及正當利益免受政府侵害的職責,也不能在具體的個案中作出具約束力的決定。
五、法案未能配合澳門的政治及社會狀況
法案適用於公共及私人機構的個人資料處理,其範圍之廣足以涵蓋各行各業、學校、社團組織、公共部門,甚至是刑偵部門的日常運作,因為彼等一般都設有手寫 的或 已電子化的個人資料庫 。然而,澳門尚未制定工會法,規範社團成立和運作的法規又被普遍評論不完善,現在法案對個人資料的處理作出如此深入的規範,這樣單純地套用葡國的制度不但有可能對一 國兩制下的行政權及司法權造成衝擊,亦會對各行各業、學校、社團組織、公共部門(尤其是執法部門)造成深遠重大的影響。
毫無疑問,個人資料應得到法律的保障,而事實上,澳門 的法律亦已對一些較重要的個人資料作出適當的保護,如病歷、銀行帳戶、通訊等。在澳門,一般的個人資料被濫用 的情況尚未十分嚴重,因此,目前是否急需就個人資料的保護而直接採納歐盟的相關制度呢?還是適宜就澳門具體的政治和社會環境制定一個符合一國兩制、行政主導模式的保護制度呢?特別是先以一個循序漸進的方式去加強對個人資料的保護,例如先作框架 式立法,考慮設立一個針對個人資料是否得到適當的處理而具有給予意見、勸喻或諮詢功能的機構;又或訂定簡便程序,以方便市民在面對私人機構濫用其個人資料時能及時有效地維護自已的權益。
六、具體條文所反映的問題;
除了從法案的整體內容進行分析而得出上述結論外,公署亦嘗試從具體條文內容進行分析,特別是考慮到過去多年來,公署從實際處理市民投訴的具體個案中所掌握到的澳門實際情況,然而,在分析過程中,卻出現了不少困難,這堬切|數項:
1. 法案中經常提及的“法律規定”、“法規”、“法律”、“特別法例”等的涵義不清晰,尤其是考慮到根據《基本法》的規定,立法權屬立法會所有,特區政府則有權制定行政法規,法案中所用的“法”究竟是否包括行政法規在內,經參考中、葡文的用詞,往往產生疑問。
鑑於公署肩負監督政府有否行政違法的職責,一旦證實政府所制定的行政法規超越《個人資料保護法》所設定的範圍,即政府不當地透過行政法規制定了根據《個人資料保護法》的規定應由立法會透過制定法律規範的事宜,便存在行政違法,公署依法有權介入,因此,公署對法案中的有關用詞甚為關注。
2. 法案中部分條文的中葡文涵義有差異。
3. 法案第 7條第1款及第3款所提及的“工會關係”和“工會性質”概念難以釐定,因特區仍未制定工會法,但社會上普遍接受存在“具有工會”性質的“社團”,但如何將之與普通社團區分,實成疑問。
4. 法案第 8 條所指的行政違法行為,是否包括公共行政領域的違紀行 為?但不要忽略現行的公職法律制度將紀律程序的進行局限於涉嫌違紀者所屬的部門範圍,且具有機密性質,如何確保紀律程序的有效進行,是今 日任何一個講求問責及有效率的公共行政所應關注的問題。
5. 法案第10條第5款、第11條第2款及第4款均提及“安全”— “segurança”與預防犯罪及刑事偵查均屬一些需特別考慮的要素,但此“安全”的概念太空泛, 葡國的相關規定指的是“segurança do Estado,即“國家安全”,現在法案中刪除了“do Estado”,是否意味着任何層次的“安全”“segurança”均屬特別考慮的要素呢?
6. 第11條第5款規定“關於健康資料,包括遺傳資料的查閱權由資料當事人選擇的醫生行使”。這規定在澳門是否切合實際?當事人不能自己行使查閱權,必須要委託醫生查閱,儘管是委託中醫查閱屬“西醫”範疇的健康資料?
……
鑑於從具體條文內容所發現的問題甚多,而諮詢期所給予的時間不足,未能將各項問題一一細列,至於公署從具體個案接觸中所掌握的實際情況,特別是各行政部門在執法過程中所碰到的問題及不能回應市民普遍索求的原因,亦未能在本意見書中詳述,祈予理解。倘日後委員會在審議法案的過程中認為有需要,公署務當秉持開放態度,樂於就工作經驗及分析所得與委員會分享。
法務局屬下的物業登記局、商業及動產登記局、民事登記局及公證署分別就《個 人資料保護法 》法案對登記及公證範疇工作的影響作出意見書,其內容綜述如下:
一、物業登記局就《個人資料保護法》作出的意見:
基於《公示原則 》,不動產登記的主要目的是公開房地產的法律狀況,保障交易的安全。因應申請人請求,物業登記局就已確認的登記資料繕發書面報告(查屋紙)和物業證明,當中公開的不僅是不動產在形體上的識別資料,還會涉及業權人個人的身份識別資料。
在分析過 《個 人資料保護法 》法案的內容後,物業登記局考慮到在工作上對“個人資料進行處理”、內部建立“個 人資料庫”,並向司法機關和特區政府其他行政實體提供“資料之互聯”,假如法案獲准通過,上述各項行為是否須經“權限實體”事先批准才可進行?物業登記局的基本運作模式應否需因應有關法律規範而作出改變來配合?
二、商業及動產登記局就《個人資料保護法 》作出的意見:
該法案的規範在某程度上將引致行政當局某些部門在實務工作上處於進退維谷之境,這種現象可從下述例子中得到反映:
法案所界定的敏感資料包括私人生活的資料,如社團關係、婚姻關係等等 ,這些資料與日常登記公證體系公開性資料息息相關,單是商業登記局的資訊中便載有公司中各股東的資料,包括個人姓名、配偶姓名、夫妻財產制度及住所等,藉以公開商業企業主及企業的法律狀況,從而保障受法律保護的交易安全。誠然,根據該法案第十條第五款的規定:在“……,……法律明確規定了資料的登記或公開時,通知……可……免除。”但我們永遠不能排除別有用心的人利用這個公開訊息的渠道來達到其不欲為人所知的目的而損害他人的利益。如何能同時平衡交易安全與個 人私隱的保有,確實令人費煞思量。因此在上述法律一旦實施後,登記公證體系將陷於左右為難的窘境。一方面需依法公開有關資訊,另一方面則因為需依法成為保護私隱的缺口而受壓。
三、民事登記局就《個人資料保護法 》作出的意見民事登記周是根據 《個人資料保護法》法案第三條第一款及第四條各款的規定,所指的 “負 責處理個人資料的實體”,並受有關法律規範所調整。
民事登記局在進行日常的出生、結婚、離婚及死亡等事項的登記過程 中,無可避免地要查核市民的個人資料,甚至根據《民事登記法典 》第八十一條第三款的規範,為核實出生嬰兒的親子關係而進行調查,需要處理法案第七條第一款禁止處理的有關遺傳學上的資料。另外,現行《民事登記法典 》第一百一十三條賦予民事登記局在核實結婚人的身份及結婚能力 時 :“得向有權限當局收集資料、要求提供證人及補充書證 … … ”。同 一法典第 一百七十三條對在民事登記局組成的民事登記專有程序,“在調查過程中登記局局長得聽取他人的陳述意見,要求提供資料,索取文件或命令採取各項認為必要之措施。
綜合以上的種種規定,不難發現民事登記局在獲取一 些個人資料或敏 感資料時不一 定會得到法案第七條第二款所指的“資料當事人明確表示同 意”。如果每一個個案都得依照法案中所規定的經“權限實體許可”的話,將會對民事登記局工作帶來極大不便;雖然法案同一條第二款及第三 款(四)項中規定經“法律規定”或“在司法訴訟中”可處理關資料。鑑於民事登記局的工作性質不能等同於司法訴訟,而所謂的“法律規定”也 沒有明確表示民事登記局在法案生效後,是否繼續可以行使上一段內容中 所提及到的職權。
此外,基於民事登記局固有的工作性質,在執行職務期間不可避免地 要涉及法案第十條第 三款指出的“當資料並非向當事人收集”及“將資料 向第三人通告”等情況,但礙於調查的需要又不能“向當事人提供第 一款規定的資訊”。因此,目前法案上的不少規定,在未來肯定會對民事登記 周的工作造成影響。民事登記局雖然不是司法機關(法院及檢察院),也不是執法機關(治安警察局及司法警察局),但民事登記局執行與一般行政行為有別的準司法行為,以及履行《民事登記法典 》賦予的職責,如準確地對個人的民事身份資料進行登記、發出證明、核查當事人的個人資料、結婚能力等;每項工作均分不開與市民的個人資料產生接觸。所以,希望法案的內容能充分考慮民事登記局確有處理個人資料及敏感資料的需要,令民事登記局在法案通過後仍然可以暢順地繼續履行現行法律所賦予的職能。
四、公證署就《個人資料保護法 》作出的意見:
公證署的意見書中就澳門現行公證及登記體制內容提出一 點反思。
目前世界各國和地區對個人隱私權越來越重視,並通過法律的手段予以保障。在這種形勢下,公證署認為有必要檢討現行澳門的公證及登記體制中的一些內容,達到法律須“與時俱進”的目標。
二零零五年七月十五日。
澳門立法會
曹其真主席 台鑒
事由:個人資料保護法
尊敬的曹主席:
就上述法案最初文本,敝司認為適用於第二十二條(預先監控)第一款所指的資料處理的權限實體許可,其批給手續應有高透明度及高效率, 以適應社會的實際正常需要。
以上意見,敬請查察為荷。
祝
台安
行政總栽
葉樹勳謹啟
數碼還流動通訊( 澳門)股份有限公司
二零零五年七月十四日
澳門特別行政區立法會:
中國聯通是內地唯一的綜合性電信運營公司,為客戶提供移動通信、數據、固定通信、長途電話、互聯網及 IP 電話等業務。中國聯通的移動通信用戶總數超過1億戶,為世界第三大移動通信運營商。其中,CDMA 用戶數已超過 2500 萬,CDMA 用戶規模居全球第二。中國聯通( 澳門 ) 有限公司是中國聯還在澳門的分支機構,與二零零四年獲得在澳門特別行政區經營一個碼分多址(CDMA2000 1X)公共地面流動電信網絡及提供跨域流動電信服務的牌照。知悉政府正在制定《個人資料保護法》,我司對此非常重視和關心,該法案將對我公司未來在澳門的運營和客戶服務產生一定的影響 。本司取得有關政府正就《個人資料保護法》法案在立法會網站發出的最初文本後,經本司技 術人員及法律專家分析,本司認為《個人資料保護法》的出臺,是在新科技不斷發展的情況下切實有效地規範和保障個人隱私資料的有力措施,它有效填補了現有法律的空白。我們深知,其立法目的並亦是為了廢除或限制自由,而是保護和擴大居民所享有之自由。對出我們深表擁護。但是,對於如何在保護個人隱私權的同時,確保社會經濟秩序的良好運行,保障廣大用戶得到更優質的服務,亦是本司一向經營宗旨,故本司對該法案的部分條文還存在幾點意見。現將我公司的相關意見報告如下:
“禁止處理與哲學或政治信仰、政黨或工會關係、宗教信仰、私 人生活、種族和民族本源以及與健康和性生活有闋的個人資料,包括 遺傳資料”中,“私人生活”缺乏明確及具體的定義,容易導致負責處理個人資料的實體在實際資料處理操作過程中難以掌握有關概念之“尺度”,容易誤墮法網,嚴重者引致實體與個人之心理及財產損失。
另外,在資料處理中瞭解客戶的種族、宗教信仰等資訊,將有助於負責處理個人資料的實體為資料當事人提供更好的服務,並避免在服務過程中由於未能充分考慮到客戶的“種族、宗教”等問題引發資料當事人的不滿。因此,我們建議將本款修改為:“未經資料當事人同意,禁止處理與哲學或政治信仰、政黨或工會關係、宗教信仰、種族和民族本源以及與健康和性生活有關的個人資料,包括遺傳資料。
“個人資料的互聯應符合法律或章程規定的目的和負責處理個 人資料的實體的正當利益,亦不得導致歧視或削減資料當事人的權 利、自由和保障,並須有適當的安全措施及考慮需互聯的資料的種類” 一款,建議更改為“個人資料的互聯應符合法律或章程規定的目的和負責處理個人資料的實體的正當利益,亦不得導致歧視或削減資料當事人的基本權利、自由和保障,並須有適當的安全措施及考慮需 互聯的資料的種類。但資料當事人存在損害負責資料處理的實體或他 人利益的行為時除外”。因為根據客戶的消費行為及消費金額大小、信用程度高低等將客戶分為不同的等級,並提供不同的服務是國際通行商業準則。對高價值、高信用度客戶提供更優質服務之營銷策略,當中不存在損害普通客戶的基本權利、自由和保障, 反而更創造一個適合及適當之服務指標配合相應之消費者。
“任何人有權不受對其權利義務範圍產生效力或對其有明顯影響並僅基於對資料的自動化處理而作出的決定的約束,且有關資料僅用作對該人人格某些方面,尤其是專業能力、信譽、應有的信任或其行為方面的評定。 " 建議將本款該為 : 任何人有權不受對其權利義務範圍產生效力或對其有明顯影響並僅基於對資料的自動化處理而 作出的決定的約束,且有關資料僅用作對該人人格某些方面,尤其是專業能力、信譽、應有的信任或其行為方面的評定。但當資料當事人存在損害負責處理資料的實體或他人的利益的行為時除外 "
“在進行一個或一系列、全部或部分自動化處理之前,且有關處理是為了實現一個或多個相互關聯的目的時,負責處理個人資料的實體或如有代表人時其代表人應通知權限實體。”建議對該條在通知時限、通知方式、通知渠道、批准時間等作進一步的明確。
本司對上述之意見,懇請立法者在審閱及通過有關法案、未來之 更修中作為參閱之用,特此報告。
澳門特別行政區立法會
先生 / 女士 :
《個人資料保護法》法案諮詢文本
澳門和記電訊作為澳門電信業的主要營運者,希望藉此機會,就最近在立法會網址 www.al.gov.mo 發佈的《個人資料保護法》法案諮詢文本,提交一些關於該法案某些條文的初步意見,請予考慮。
第一章
■ 第三條第二款 —— 第一條訂明法案的標的限於個人資料,因此,為了保持內容一致,應將第三條第二款“家庭活動 " 的 表述刪除。
■ 第三條第三款 ——“.......的取得 ; 處理和傳播.......”應改為
“.......的取得、處理或傳播.......”
第二章
■ 第五條 —— 整體地,法案沒有提及負責處理個人資料的實體有權在處理個人資料過程中刪除有關資料。若該等實體認為適當時,應可行使此權利。
■ 第五條(一)項 —— 需闡釋“善意原則”。
■ 第五條(四) 項 —— 收集得來的資料的準確性和完整性取決 於資料當事人所提供的個人資料。採取措施刪除或更正不準確或不完整資料的責任不應只加於負責處理個人資料的實體。
■ 第五條(五)項 —— 從資料當事人收集得來的個人資料,只容許在所需期間內予以保存。但從信用管理或電信監管的角度看,服務終止後可能仍然需要該等資料,又或需用作存檔。
■ 第六條 ——因“資料當事人的同意”為一明確用語,應將“資料當事人明確同意”這一句中的“明確”刪除。第七條第二款應作同樣的刪除。再者,取得明確同意的要求似乎過於嚴苛,且可能會影響正常的營銷活動。
■ 第六條(五)項 —— 請闡釋和說明“只要資料當事人的利益或權利、自由和保障不優於這些正當利益。”
■ 第七條第一款 —— 法案主要針對個人資料的問題,對某些敏感資料的處理的禁止可能不適合載於本法案。另外,請闡釋甚麼是“私人生活”,它可能與“個人資料”的定義重疊。 是否包括客戶調查,例如興趣,首選度假目的地?
■ 第九條第一款 —— 我們注意到除非取得法案第二十一條的負責保護私隱的權限實體的許可,否則資料不可以互聯。但 許可程序可能會減低運作效率。對第二十一條第一至第三款 和第二十二條第一款( 一 )項及第二款也有同樣的憂慮。而且,為了電信監管和流動電話號碼可攜的目的,我們目前需 向電信暨資訊科技發展辦公室和其他營運商提交客戶的資料,那麼有可能需要指明,為免延誤,哪些情況可獲得豁免。
■ 第九條第二款 —— 請闡釋“亦不得導致歧視或削減資料當事人的權利、自由和保障 " 是甚麼意思。
第三章
■ 第十一條第一款 —— 資料當事人不受限制地有權查閱存放在負責處理個人資料的實體的資料。此權利應有限制,且應在合理的基礎上付合理的費用才能行使。除此之外,除非第五條第五款容許負責處理個人資料的實體保存該等資料的記錄,否則,負責處理個人資料的實體可能不能完全遵守第十一條第一款的規定。
■ 第十一條第六款 —— 請說明和解釋第十一條第六款是否意圖限制第十一條第一款規定的資料當事人的權利。
■ 第十三條第一款 —— 請給予闡釋和說明。第十三條第一款的適用範圍似乎有點含糊。
■ 第十四條第一款 —— 第十四條第一款規定的對資料當事人作出的賠償,應只限於當違反本法案規定時為之。
第五章
■ 第十九條 —— 我們認為若澳門以外的接收轉移資料當地的 法律體系有相同或類似的私隱保護法律(如中華人民共和國 的法律)保護從澳門轉移到該等地方的個人資料,這是較為適當的。
■ 第二十條第二款 —— 請闡釋“私人生活、基本權利和自由的機制”是甚麼意思。
第六章
■ 第二十一條第五款 —— 請解釋第二十一條第五款的適用範圍,尤其是為了遵從這款的規定,應作出哪類通知。
■ 第二十二條第二款 —— 請解釋第二十二條第二款的適用範圍。
第八章
■ 第三十七條和第三十八條 —— 建議的最高刑罰和刑期似乎偏高。因法案沒有明確列明罰款金額,建議訂定刑罰和刑期前應考慮和比較海外就相同的違反的罰則。
■ 第三十九條 —— 同樣地,建議的最高刑罰和刑期似乎偏高。當記錄的刪除或毀壞是由負責處理個人資料的實體的合理控制範圍以外的因素引起時,這情況尤為明顯。
我們相信法案對澳門的商業有深遠的影響,因此,我們促請貴會考慮就法案建議的適用範圍舉行全面的解釋會議,並進行多輪的諮詢,改善法案的行文。
貴會如欲進一步討論此事宜,請致電(853)xxxxxxx 與本人聯絡。