個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0068/2012/IP

標題: A公司將前行政總裁甲使用的電腦內的資料轉移到美國

立案原因: 主動介入

個案簡介:

    本辦公室獲悉,A公司將前行政總裁甲使用的電腦內的資料轉移到美國,涉嫌在未知會本澳有權限當局或未取得有關當局許可下轉移上述資料。考慮到上述事件涉及A公司對個人資料之處理,而有關處理受《個人資料保護法》約束,故本辦公室主動立案跟進。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款的規定,本案中有關資料的處理受《個人資料保護法》規範。
  A公司承認曾將前行政總裁甲使用的電腦內的資料轉移至美國B公司,一方面是為對甲有可能提起之針對A公司的司法訴訟作出抗辯,另一方面是為控告其盜取機密資料和違反職業保密義務作準備,故屬於為實現其正當利益的情況。
  本辦公室認為,在轉移資料當時,甲根本未有向法院提起任何訴訟,A公司只是單憑主觀推測有關訴訟可能被提起的情況下便將資料轉移到美國。事實上,即使甲針對A公司向美國法院提起訴訟,當有需要時,有關資料亦應送交司法機關,而非向另一間私人機構提供。另一方面,A公司為一間澳門註冊公司,在澳門經營和運作,而涉案人士亦為A公司的前行政總裁,因此,A公司是完全可以在澳門對訴訟作準備,根本無須將資料轉移到美國。
  針對A公司提出的第二個理由,亦即是為控告甲盜取機密資料和違反職業保密義務作準備,值得強調的是,任何人都不會預期,A公司作為一間在澳門註冊的公司,發現其前行政總裁甲涉嫌盜取機密資料和違反職業保密義務時,卻選擇向美國法院提起訴訟。而且,一旦提起訴訟,其個人資料很有可能會送交美國法院並接受司法審判。事實上,甲涉嫌在澳門盜取機密資料和違反職業保密義務,在無證據顯示A公司並不可在澳門提起訴訟的前提下,尋求澳門以外的司法機構介入,明顯缺乏合理依據的支持。
  而且,A公司沒有對有關資料進行任何揀選或過濾,便全部批量式地轉移到美國。從資料種類可見,轉移的資料包括與訴訟無關的第三人的資料,而資料當事人是在不知情的情況下,被A公司將資料向另一間美國私人機構提供,更有可能用作支持訴訟的證據。可見,A公司只為實現和顧及自身的利益,而對資料當事人的利益、保障和所產生的相應後果採取忽視和放任之態度,有違善意。
  本辦公室認為,A公司對有關資料的處理,包括將資料轉移到美國,並非在必要的情況下進行,對上述資料的處理不符合《個人資料保護法》第6條所規定的任一正當性條件,根據同一法律第33條第2款的規定,有關行為已構成行政違法。
  另一方面,A公司將資料轉移到美國,屬於將個人資料轉移到澳門特區以外地方的情況,受《個人資料保護法》第19條和第20條所約束。基於此,負責實體須因應本身的情況而向本辦公室作出通知、申請許可或申請作出決定,方可作出轉移。經查證,A公司轉移個人資料時,未有向本辦公室作出任何通知、申請許可或申請作出決定,已違反《個人資料保護法》第19條和第20條的規定,根據同一法律第33條第2款的規定,有關行為同樣構成行政違法。

處理結果:

    本辦公室考慮到以下多方面的因素:A公司的主觀過錯,轉移資料的數量、受影響資料當事人的數目和程度的不確定性,接收資料之目的地和隨後接收資料的實體等因素。
  因此,本辦公室決定:
  就A公司在不具《個人資料保護法》第6條任一的正當性條件的情況下處理個人資料,根據《個人資料保護法》第33條第2款的規定,向A公司科處澳門幣20,000元 (澳門幣貳萬元正) 罰款。
  就A公司將個人資料轉移到澳門特區以外的地方 (美國),但並未就有關轉移向本辦公室作出任何通知、申請許可或申請作出決定,上述行為違反了《個人資料保護法》第19條和第20條的規定,根據《個人資料保護法》第33條第2款的規定,向A公司科處澳門幣20,000元 (澳門幣貳萬元正) 罰款。
  綜上所述,就有關之行政違法行為,根據《個人資料保護法》第34條第2款的規定,合共向A公司科處澳門幣40,000元 (澳門幣肆萬元正) 罰款。該處罰已經執行。

註:
參考《個人資料保護法》第 3,4,6,19,20,33,34 條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116