個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

调查个案摘要
Print

编号: 0158/2014/IP

标题: 网站伺服器引起的个人资料转移

立案原因: 投诉

个案简介:

    投诉人透过网上方式报名参加A社团举办的活动后,始发现网上报名系统的伺服器幷非设于澳门特区境内,认为A社团在未得报名者同意下将个人资料转移至澳门特区以外地方,违反了《个人资料保护法》的规定,遂向本办公室投诉。

分析:

    经调查,A社团的活动内容会安排参加者到内地探访,会收集报名者的身份证明文件、联络方法及其他用于筛选合适者的资料,除了填写纸本申请表外,巿民亦可于A社团的网站报名参加活动。
  根据《个人资料保护法》第4条第1款(一)项及第3条第1款的规定,A社团透过网站收集活动报名者的个人资料,属于自动化处理,须遵守《个人资料保护法》。
  本办公室收到投诉后随即发函A社团了解事件,幷提醒如果透过非设于本澳的网站或资讯设备处理个人资料,且就资料转移未取得当事人同意或不符合《个人资料保护法》第19条及第20条规定的其他情况,A社团应立即采取三项措施,(1)、停止透过相关网站及资讯设备收集个人资料,(2) 、永久性删除已转移到澳门特区以外地方的个人资料,但删除前应进行资料备份,备份资料应储存于设于澳门特区境内的资料库或资讯设备,(3) 、通知受影响的资料当事人有关个人资料的转移情况。
  翌日,本办公室收到A社团回复已把转移到境外的个人资料删除,并会通知受影响的当事人。
  关于将个人资料转移至澳门特区以外的地方,由《个人资料保护法》第19条和第20条专门规范。按第19条规定,仅得在遵守《个人资料保护法》且接收转移资料当地的法律体系能确保适当的保护程度的情况下,方可将个人资料转移至澳门特区以外的地方,而对于接收资料当地的法律体系是否能确保适当的保护程度,由本办公室决定。而第20条规定了排除适用第19条的情况,即使不能确保接收转移资料当地的法律体系具适当的保护程度,只要负责处理个人资料的实体符合该条文第1款至第3款所指的情况,亦可转移个人资料。
  A社团有关网上报名系统的伺服器设于香港特区,易言之,透过该系统处理的个人资料已被转移到澳门特区以外。由于本办公室尚未就A社团的资料转移目的地的法律体系是否具有适当保护程度作出决定,所以A社团不得援引《个人资料保护法》第19条作为转移的合法依据,只可能在符合第20条规定的情况下作出转移。
  首先,A社团没有依据《个人资料保护法》第20条第2款的规定就本案所涉及的个人资料转移预先向本办公室申请许可,亦不属于同一条文第3款规定的情况(即个人资料的转移是维护公共安全、预防犯罪、刑事侦查和制止刑事违法行为及保障公共卫生所必需的措施,由专门法律或适用于澳门特区的国际法文书及区际协定规范〕,所以A社团所作的个人资料转移并不会符合《个人资料保护法》第20条第2款或第3款的规定。
  其次,针对《个人资料保护法》第20条第1款所规定经通知本办公室后可转移资料的情况,从A社团转移报名者个人资料之目的考虑,其转移明显不符合该法律第20条第1款(三)项的后部分规定(即转移是在司法诉讼中宣告、行使或维护一权利所必需的或法律所要求者〕、(四)项规定(即转移是保护资料当事人的重大利益所必需者〕,以及(五)项规定(即转移是自作出法律或行政法规所订定的公开登记后进行〕。
  至于《个人资料保护法》第20条第1款其余各项的规定:
  (1) 转移是否得到资料当事人的明确同意:报名者自愿以网上方式报名参加活动,A社团是在报名者同意下收集其个人资料,但当事人的“同意”是否能推及至转移其个人资料到澳门特区以外的地方,就必需考虑报名者对资料转移的情况是否事先知情。A社团活动的网上报名系统使用了本澳注册的互联网域名,报名者由此不能判断到报名系统伺服器的实际所在地,加上A社团的活动章程和网上报名系统中并无提及转移一事,所以报名者在递交个人资料前无从得知其资料会被转移到澳门特区以外地方,更遑论给予同意。因此,A社团所作的资料转移并没有得到当事人的同意。
  (2) 转移是否执行或订定一合同所必需:本案完全无资料显示A社团所作的资料转移是执行与报名者之间的合同所必需,或者是为了报名者的利益而作出,因而有关转移不符合《个人资料保护法》第20条第1款(一)及(二)项的规定。
  (3) 转移是否保护一重要的公共利益:A社团并非公共实体,也没有被宣告为行政公益法人,A社团主办的活动一般不视为是保护公共利益,即使有关活动受政府资助亦然,所以A社团所作的资料转移也不符合《个人资料保护法》第20条第1款(三)项前部分的规定。
  综上所述,A社团对报名者所作的个人资料转移,不符合《个人资料保护法》第19条和第20条针对转移的规定,有关行为构成行政违法。

处理结果:

    虽然A社团首次违反《个人资料保护法》,也配合办公室的调查工作,然而,被转移的个人资料种类包含身份证明文件资料,人数多达数十名,如发生资料外泄可能对当事人造成较大的影响或损失,故本办公室根据《个人资料保护法》第33条第2款的规定,决定科处A社团澳门币12,000元罚款。

注:
参考《个人资料保护法》第3,4,19,20,33条。

返回

澳门南湾大马路804号中华广场17楼  电话:(853) 2871 6006  传真:(853) 2871 6116