個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0013/2012/IP

標題: 將酒店顧客的個人資料轉交第三人及轉移到澳門特區以外地方

立案原因: 主動介入

個案簡介:

    因互聯網上流傳一份涉及A公司針對其董事甲的訴訟資料及調查報告,當中顯示在本地註冊且為A公司子公司的B公司涉嫌將旗下酒店顧客的個人資料轉交給在D國註冊的A公司,本辦公室遂主動介入。

分析:

    經調查發現,2011年底A公司委託C公司進行一項獨立調查,以了解甲的行為有否違反其對A公司的管理義務和有否觸犯A公司所在地的反貪法,具體調查方向是審查甲為了在E國開展業務所作之付出。為此,C公司派出調查員來澳,在B公司配合下收集了B公司酒店顧客的個人資料。C公司其後向A公司遞交的調查報告中顯示了多名人士的個人資料,當中包括曾與甲接觸且曾入住B公司酒店的E國官員的姓名、同行者姓名、其與相關官員的關係、上述人士入住酒店的詳細情況、購物和娛樂等方面的消費和支付情況、留澳的行程安排等。
  按照《個人資料保護法》第3條第1款、第4條第1款(一)項、第7條第1款的規定,B公司對酒店顧客個人資料的處理,包括處理顧客的敏感資料(例如:反映出顧客留澳期間消費情況這等與其私人生活相關的資料),受《個人資料保護法》規範。
  本案中,考慮到負責實體(B公司)和資料接收者(A公司)均為商業機構,對於不涉敏感資料的一般個人資料,B公司僅可在當事人同意、或符合《個人資料保護法》第6條(一)項或(五)項規定的情況,方具有處理的正當性。
  B公司承認在未取得當事人同意下向第三人披露其個人資料,該公司亦沒有提出任何理據證明其所作的披露,是為執行其與顧客之間的合同,因而不具有該法第6條(一)項規定的正當性條件;至於該法第6條(五)項規定的正當性條件,雖然B公司曾解釋,因甲所擁有之一系列公司使其成為B公司大部份資金之間接擁有人,甲的行為可能危害澳門公司的業務,然而,考慮到A公司向B公司收集資料的目的,是為調查甲有否違反A公司所在地的反貪法,最終目的是要維護集團的商業利益,而《個人資料保護法》第5條訂明,個人資料的處理應“適合、適當及不超越收集和之後處理資料的目的”,B公司因經營酒店業務而收集的資料,應用於經營酒店業務之目的,其為配合母公司調查而提供酒店顧客資料,已偏離有關資料的收集目的。作為B公司的酒店顧客,彼等並不會預期該公司會基於上述目的而披露其個人資料,此情況已超出了顧客的合理預期,因此,不能認為資料當事人的利益不優先,B公司不具有該法第6條(五)項規定的正當性條件。換言之,B公司不具有該法第6條規定的任一正當性條件。
  鑑於立法者對於處理敏感資料作出比一般個人資料更加嚴格的要求,在負責實體不具備處理一般個人資料的前提下,其必然不具有處理敏感資料的正當性。本案中,本辦公室亦考慮了A公司已向甲提起訴訟這情節,但因B公司並不是該訴訟程序的當事人,B公司所作的資料轉交不屬該法第7條第3款(四)項所指、容許負責實體對敏感資料作出處理的例外情況。鑑於《個人資料保護法》第6條和第7條的規定皆是為了確保負責實體須在具正當性的情況下處理個人資料,而第7條則為立法者出於加強對敏感資料的保護而作出的特別規定,因此,本案中B公司在不符合該法第6條和第7條規定的情況下處理含敏感資料在內的個人資料,應以違反較嚴重的規定──即該法第7條論處。
  另一方面,本辦公室認為,B公司向A公司指派的調查員提供顧客資料,等同於向在D國註冊的A公司提供資料,亦即是說,B公司將顧客資料轉移到澳門特區以外地方。然而,B公司一直沒有根據《個人資料保護法》第19或20條的規定,向本辦公室作出任何轉移個人資料的通知、申請許可或決定。因此,B公司將資料轉移到D國,違反了該法第19或20條的規定。

處理結果:

    考慮到B公司披露資料的方式、相關披露對資料當事人可能帶來影響、B公司行為的過錯程度、B公司屬初犯且配合本辦公室調查的情節,對於B公司在不符合《個人資料保護法》第7條規定的情況下向第三人披露含有客戶敏感資料在內的個人資料,以及在不符合該法第19條或第20條規定的情況下向澳門特區以外地方轉移資料這兩項行政違法行為,根據《個人資料保護法》第33條第2款及第34條第2款的規定,本辦公室決定向B公司分別科處澳門幣10,000元罰款,兩項行政違法行為合共科處澳門幣20,000元罰款。該處罰已經執行。

註:
參考《個人資料保護法》第 3,4,6,7,19,20,33,34 條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116