站立
法律
研究
学习
立法研究概要
刘秀丽,西南政法大学
编者按:在澳门的法律体系中,《澳门特别行政区基本法》为居民的自由和基本权利提供了根本保障。 《个人资料保护法》、《个人资料》、《个人资料保护》等事项均作出了不同的规定。作为一部专门规范基本权利的法律,《个人资料保护法》的通过和生效无疑是澳门持续发展的里程碑。澳门特别行政区个人资料保护法以具有鲜明欧盟特色的葡萄牙个人资料保护法为基础,结合本地实际进一步发展,形成了严格的保护制度,被称为“澳门特别行政区个人资料保护法”。 “亚太地区最强的个人数据保护法。”“[1]。 今年5月,全国人大常委会法制工作委员会有关部门负责人表示,我国个人信息保护法正在研究起草,目前草案已经形成。 由于澳门特别行政区与内地有相似的语言体系和文化背景,研究澳门个人资料保护法的立法历史和制度核心对于我国个人信息保护工作的发展具有较强的借鉴意义。
1. 立法历史
(一)立法动机
澳门特别行政区的个人资料保护制度已较为成熟,并已运行多年。 要想追根溯源,就必须回到历史层面。 早在1976年4月2日,葡萄牙制宪会议批准颁布的葡萄牙共和国宪法第35[2]条就为个人数据的保护提供了宪法保护。 它历来适用于澳门特别行政区。 此外,葡萄牙于1998年颁布《葡萄牙个人资料保护法》,引起澳门特别行政区立法者的高度关注。 为因应个人资料日益受到威胁的情况,为对个人资料提供更全面的保护,澳门特别行政区立法会于2002年底启动了《个人资料保护法》的工作。澳门特别行政区的《隐私权保护条例》不仅是传统意义上的隐私保护,也是一套收集和处理个人资料的规范。 归根结底,这是澳门尊重人格权和隐私权的具体体现。
(二)立法沿革
总体来看,澳门特别行政区个人资料立法保护的进程呈现“三步走”模式:第一步是在《民法典》中确立个人资料权;第二步是在《民法典》中确立个人资料权; 第二步是出台《个人信息保护法》; 第三步,进一步制定专门法律和一系列指引,全面保护个人数据。 [3]
《澳门民法典》于1999年11月1日正式通过并生效,在特定人格权范围内通过三条实质确立了个人资料权:第七十八条规定:“一、一、个人经历资料2.基于安全或司法要求,或者出于科学、文化或教学目的,或者基于本条规定,不适用被识别人的全部或部分信息。向有合理理由披露或使用某人的个人经历数据用于其他应受到重视的利益的公众人物。” 第七十九条规定:“一、任何人有权了解信息数据库或者记录中的关于其本人的资料以及这些资料的用途,并可以要求更正或者更新这些资料;有特殊规定的除外二、收集个人数据进行信息化处理时,应当严格按照收集目的进行收集,并告知当事人收集目的;三、查阅信息化数据库及记录为了了解第三方的个人信息,并与信息化数据库和记录进行通信,在每种情况下都需要获得负责监控个人信息收集、存储和使用的公共机构的许可。” 第八十一条规定:“每个人都有权受到保护,免遭他人指控与他或他的生活有关的某些虚假事实,即使这些事实不侵犯他的名誉和对他的看法,或涉及他的私生活。”
为进一步响应个人资料保护的时代要求,澳门特别行政区于2002年底开始研究个人资料保护特别法。经过三年多的咨询工作,目前《个人资料保护法》于2005年8月4日通过”,并于2006年2月19日起施行。《个人资料保护法》共有9章46条,法律结构比较完整。香港特别行政区《个人资料(私隐)条例》的出台,整部法律的立法框架和条文设计更加清晰,语言更加简洁,个人资料主体的权利更加细化。
据澳门个人资料保护办公室调查,澳门的个人资料保护制度不仅包括《个人资料保护法》,还包括相应的特别法律:《公共场所视频监控法律制度》(《 2012年第2号法)作为个人数据保护领域的一部专门法,该法第一章第一条规定:“本法规范国家安全部队、安全保卫部门在公共场所使用视频监控系统。此外,澳门个人资料保护办公室根据《个人资料保护法》,于2018年3月5日制定《个人资料保护办公室私隐政策》,为公众提供个人数据处理的基本信息,为有效落实《个人数据保护法》,个人数据保护办公室还针对不同行业制定了有针对性的指引。 虽然它们不具有法律效力,但对于个人数据的全面保护具有重要意义。 截至目前,个人数据保护办公室共发布了12条指引。
二、澳门《个人资料保护法》主要内容
(一)适用范围
该法适用于完全或部分自动化的个人数据处理,以及通过非自动化方法存储或将存储在手动操作数据库中的个人数据的处理; 或家庭活动,但系统通讯或传播除外; 该法适用于对可识别身份的人的声音和图像进行视频监控,以及以其他方式获取、处理和传播这些声音和图像,只要负责处理该数据的实体在澳门特别行政区有住所,或通过在特别行政区设立的提供信息和电信信息网络服务来实现; 本法适用于为公共安全目的处理个人数据,但不妨碍适用于特区的国家法律文书和区域间协议的特别规定、与公共安全有关的特别法律和其他相关规定。
(二)敏感数据处理规定
澳门《个人资料保护法》中有关敏感资料的规定是参考香港的类似法律。 该法律首先定义了敏感数据的范围:与世界观或政治信仰、政治协会或工会关系、宗教信仰、私人生活、种族和民族血统以及健康和性生活有关的个人数据,包括遗传数据。
其次,该法规定了处理敏感数据的一般情况和例外情况,以及强制处理敏感数据的情况。 处理敏感数据的一般情况包括: 法律规定或组织性质的监管规定明确允许的处理; 当处理是基于重大公共利益,并且在公共当局的授权下,数据处理对于负责处理的实体履行职责和能力是必要的; 数据主体明确同意处理。 处理敏感数据的例外情况包括:为保护数据主体或其他人的切身利益所必需的,并且数据主体在身体上或法律上无法给予同意; 非营利法人或机构在其合法活动范围内处理数据,只要处理仅涉及这些机构的成员或为相关实体的目的而与他们经常联系的人员,以及数据未经数据主体同意,不会透露给第三方; 待处理的数据已由数据主体明确披露,前提是可以从数据主体的声明中合法地推断出数据主体同意处理; 数据处理对于在司法程序中主张、行使或捍卫权利是必要的,并且仅在处理数据时为此目的。 此外,法律还规定,与健康、性生活和遗传学有关的数据的处理是卫生部门医疗预防、诊断、医疗保健、治疗或管理所必需的,只要由专业人员或其他平等人员处理即可。受专业义务约束的人员可以通过通知通知机构并采取适当措施确保信息安全来处理相关数据。
(三)基本原则
个人数据保护的基本原则可谓个人数据保护法律体系的核心和灵魂。 澳门特别行政区以具体法律细则对个人资料保护原则作出规定。
(四)个人数据主体的权利
《个人数据保护法》第三章集中规定了个人数据主体享有的权利,主要包括知情权、查阅权、反对权、不受自动决策约束的权利、以赔偿损失。
1.知情权。 负责处理个人数据的组织必须履行相关义务,确保数据主体的“知情权”。 直接从数据主体收集个人数据时,负责处理个人数据的实体或其代表应向数据主体提供以下信息: 该实体的身份以及数据代表(如有); 处理的目的; 数据的接收者或接收者类别; 受试者反应的强制性或任意性以及不反应可能产生的后果; 询问权、纠正权以及行使这些权利的条件。
但有下列情形之一的,可以免除上述义务:法律规定的; 出于安全、预防犯罪或刑事调查的原因; 特别是在出于统计、历史或科学研究目的处理数据时,无法告知数据主体或发出通知时,或者法律、行政法规明确规定数据登记或公布时,但在这种情况下如有情况,应通知公共当局。
2. 访问权。 需要说明的是,《个人信息保护法》第十一条虽然名为“查阅权”,但其具体内容包括查阅权、更正权、删除权、删除权等多项权利。密封权。 首先,关于查阅权的权利客体,数据主体查阅的内容包括:数据主体的相关数据是否被处理、处理的目的、处理数据的类别、数据的接收者。数据或接收者的类别; 需要处理的数据及相关数据的来源; 自动处理数据的原因。 关于更正权、删除权和封存权,法律仅在第十一条第一款第一款第(四)项第(五)项中简单规定:“对于未依照本法规定处理的数据,特别是对不完全更正的数据, 、删除或者封存不准确或者不准确的数据;按照上述规定对数据进行更正、删除或者封存的,应当通知已知有相关数据的第三方,该第三方还应当更正、删除或者销毁该数据。数据或被密封,除非通知被证明是不可能的或者这样做的成本过高。”
3. 反对权。 行使反对权的一般情况是,数据主体有权在任何时候以与其个人情况相关的合法且严重的理由反对处理与其相关的个人数据。 此外,该条还规定,在直接营销的情况下,数据控制者可以出于直接营销或其他商业调查目的而处理数据,或者将数据用于直接营销或为第三方的利益而使用。派对。 一旦通知第三方,数据主体可以明确行使反对权。
4. 不受自动决策影响的权利。 该权利是指任何人不受对其权利和义务范围有效或产生重大影响的决定约束的权利,这些决定仅基于仅用于该人格的某些方面的数据的自动处理,特别是专业能力、声誉、可信度或其行为方面的评级。 该权利的例外情况包括:(一)在合同订立或者执行的范围内,满足了合同订立或者执行的条件,或者采取了适当措施保护其利益,特别是代表权。和表达; ; (二)法律允许,有明确的保障措施,保护数据主体的权利和合法利益。
5. 损害赔偿权。 任何一方因非法处理数据或任何其他人违反个人数据保护法范围内的法律或监管规定而遭受损失的,有权提出损害赔偿请求,以弥补所遭受的损失。 要求赔偿的前提是:该组织存在非法处理个人数据或者有其他违反个人数据保护范围的行为; 数据主体因此受到损害。 该条第二款还规定,损害赔偿责任原则是过错推定原则,即负责处理数据的单位证明其不是造成损害事实的责任人,可以部分或全部免除责任。
3. 澳门个人资料保护局
(一)个人信息保护办公室
个人资料保护办公室根据澳门特别行政区行政长官第83/2007号批示成立,在行政长官监督下独立运作。 个人资料保护办公室是《民法典》第79条第3款和第8/2005号法律(“个人资料保护法”)所指的公共机关,并行使这些法律赋予的职权,以及负责监督、协调《个人资料保护法》的遵守和实施,以及制定保密制度并监督其执行情况等。
个人信息保护办公室的主要职责包括: (一)监督协调:监督协调《个人信息保护法》遵守和实施情况; 接受个人数据处理通知和注册; 批准牌照申请和其他申请; 出具意见书; 颁布履行告知义务的许可,包括免予许可和允许以简化方式履行告知义务,简化个人数据处理的告知和报告程序,节省行政资源。 (二)制定制度:制定保密制度并监督保密制度的执行情况。 (三)处理投诉:受理与个人信息保护相关的询问、投诉或举报,立案调查,查处违反《个人信息保护法》的行政违法行为。 (四)宣传教育:通过组织讲座、研讨会、研讨会、课程,制作刊物、传单等宣传材料,在媒体上宣传等方式,向社会公众宣传《个人资料保护法》,让公民和公民有责任处理个人数据的实体提高隐私保护意识。 (五)分析研究:开展个人数据保护领域的理论研究,不断完善相关制度和规定。
在国际和跨区域交流方面,自2008年以来,个人资料保护办公室以观察员身份积极参与“亚太隐私组织论坛”和“国际隐私与数据保护组织会议”,希望利用一系列国际和跨区域交流活动,与世界各地个人数据保护机构建立密切联系,加强合作,妥善处理和共同打击跨境违法活动,进一步与国际社会接轨,提高个人数据保护水平。澳门的资料保护工作。 经过多年努力,澳门个人资料保护办公室于2012年7月正式接纳为“全球私隐执法网络”及“亚太私隐机构组织”成员。成为国际组织成员,维持与有关国际组织成员保持良好的合作关系。
(二)案例分析
本部分选取2020年个人信息保护办公室审结的典型案件进行分析,展示个人信息保护办公室在不同类型案件中的处理方式。 在疏忽未履行告知义务(第0122/2019/IP)的情况下,个人资料保护办公室主动介入,要求A公司按照第二十一条第款的规定,通过视频监控实现监控系统自动化。 《个人资料保护法》第 1 条。 有关个人数据处理的通知义务。 但A公司在两次受理后仍未履行这一义务,也未做出任何书面回应,并辩称其已提前向办公室提交了相关视频监控系统的位置和截图,认为其已履行了通知义务。义务,所以收到的信被忽略了。 个人信息保护办公室认为,A公司因疏忽未履行告知义务,构成行政违法。
在社交网站发布微信对话截图(编号:0085/2016/IP)的案件中,投诉人在驾驶朋友的车时与A的私家车相撞。 由于某种原因,A没有回复。 阿认为赔偿事故发生了变化,并通过社交网站上的通讯应用发布了两人的对话截图。 该截图明显包含投诉人的头像和昵称,投诉人认为这对他造成了负面影响。 随后向个人信息保护办公室投诉。 办公室认为,A公司发布的个人数据不符合处理个人数据的合法性条件,违反了《个人数据保护法》第六条的规定。
在销售电话频繁的情况下(号码:0104/2016/IP),投诉人经常接到A公司人员的销售电话,希望为他们提供免费的家庭清洁服务。 投诉人曾从来电者处得知,该电话号码是其两名朋友向A公司提供的。 然而,投诉人多次拒绝A公司的促销,并要求不再致电,但他仍不断接到A公司的来电。向个人资料保护办公室投诉。 本署认为,A公司未能证明其处理投诉人个人资料是经投诉人明示同意,违反个人资料保护法第六条规定。
在未经同意在社交网站发布他人敏感信息的案件(编号:0097/2018/IP)中,投诉人与A的丈夫发生争执,A其后在社交网站上公开发布了投诉人的照片。帖子描述此事时,除了指责投诉人的行为和性格有问题外,还指出投诉人有心理健康问题。 虽然帖子内容仅提及了投诉人的部分姓名并遮住了一只眼睛,但结合相关信息可以识别投诉人的身份。 数据保护办公室投诉。 公署认为,A某在针对投诉人的社交网站公开帖子提及投诉人的私生活及心理健康,该等信息属于个人资料保护法第七条第一项所称敏感数据。 A必须遵守个人资料保护法第七条第二项至第四项所规定的例外情形,否则禁止处理敏感资料。 据此,A某发布的帖子涉及投诉人的敏感数据,无理处理该敏感数据,违反了个人数据保护法第七条的规定,构成行政违法行为。
从上述案例分析可以看出,个人数据保护办公室仅有权查处行政违法行为,而无权查处刑事违法行为。 个人信息保护办公室认定某项数据处理行为构成行政违法的,有权作出责令停止违法行为、限期改正、罚款等决定,该决定具有行政处罚的效力。强制执行。 同时,与过去相比,个人数据保护办公室在个人数据保护方面逐渐从事后惩罚转向主动、主动干预。 公民的权利意识也大大提高,投诉举报数量也有一定程度的增加。 对我国个人信息保护工作的发展也具有一定的借鉴意义。
笔记
[1] 澳门特别行政区政府个人资料保护办公室:《2012年度报告》,第1页。 5.
[2] 葡萄牙共和国宪法第35条: 1. 每个公民都有权了解有关其本人的数据记录的内容以及这些数据的预期用途,并可以要求对这些文件进行更正和补充。 2. 除法定特殊情况外,禁止第三方查阅文件。 3.有关政治或哲学信仰、政党或工会成员身份、宗教信仰或私人生活的信息不得纳入档案,但与个人无关的统计信息的分类处理除外。 4. 以数据记录为目的的个人档案的概念由法律规定。 5.禁止为公民制定特殊的国家号码。
[3]杨傲宇:《澳门特别行政区个人资料保护法的文本与实践》,西南政法大学硕士学位论文,2017年3月,第1页。
编者按:本文由西南政法大学刘秀丽撰写,华东政法大学副教授、互联网法治研究院(杭州)秘书长石晓翔审阅,网络法治研究院(杭州)秘书处徐静赛主编。
文章最初发表于《互联网法治研究》。 欲了解更多信息,请点击下方“阅读原文”。
责任编辑:李群涛
发表评论