個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0158/2014/IP

標題: 網站伺服器引起的個人資料轉移

立案原因: 投訴

個案簡介:

    投訴人透過網上方式報名參加A社團舉辦的活動後,始發現網上報名系統的伺服器並非設於澳門特區境內,認為A社團在未得報名者同意下將個人資料轉移至澳門特區以外地方,違反了《個人資料保護法》的規定,遂向本辦公室投訴。

分析:

    經調查,A社團的活動內容會安排參加者到內地探訪,會收集報名者的身份證明文件、聯絡方法及其他用於篩選合適者的資料,除了填寫紙本申請表外,巿民亦可於A社團的網站報名參加活動。
  根據《個人資料保護法》第4條第1款(一)項及第3條第1款的規定,A社團透過網站收集活動報名者的個人資料,屬於自動化處理,須遵守《個人資料保護法》。
  本辦公室收到投訴後隨即發函A社團了解事件,並提醒如果透過非設於本澳的網站或資訊設備處理個人資料,且就資料轉移未取得當事人同意或不符合《個人資料保護法》第19條及第20條規定的其他情況,A社團應立即採取三項措施,(1)、停止透過相關網站及資訊設備收集個人資料,(2) 、永久性刪除已轉移到澳門特區以外地方的個人資料,但刪除前應進行資料備份,備份資料應儲存於設於澳門特區境內的資料庫或資訊設備,(3) 、通知受影響的資料當事人有關個人資料的轉移情況。
  翌日,本辦公室收到A社團回覆已把轉移到境外的個人資料刪除,並會通知受影響的當事人。
  關於將個人資料轉移至澳門特區以外的地方,由《個人資料保護法》第19條和第20條專門規範。按第19條規定,僅得在遵守《個人資料保護法》且接收轉移資料當地的法律體系能確保適當的保護程度的情況下,方可將個人資料轉移至澳門特區以外的地方,而對於接收資料當地的法律體系是否能確保適當的保護程度,由本辦公室決定。而第20條規定了排除適用第19條的情況,即使不能確保接收轉移資料當地的法律體系具適當的保護程度,只要負責處理個人資料的實體符合該條文第1款至第3款所指的情況,亦可轉移個人資料。
  A社團有關網上報名系統的伺服器設於香港特區,易言之,透過該系統處理的個人資料已被轉移到澳門特區以外。由於本辦公室尚未就A社團的資料轉移目的地的法律體系是否具有適當保護程度作出決定,所以A社團不得援引《個人資料保護法》第19條作為轉移的合法依據,只可能在符合第20條規定的情況下作出轉移。
  首先,A社團沒有依據《個人資料保護法》第20條第2款的規定就本案所涉及的個人資料轉移預先向本辦公室申請許可,亦不屬於同一條文第3款規定的情況(即個人資料的轉移是維護公共安全、預防犯罪、刑事偵查和制止刑事違法行為及保障公共衛生所必需的措施,由專門法律或適用於澳門特區的國際法文書及區際協定規範〕,所以A社團所作的個人資料轉移並不會符合《個人資料保護法》第20條第2款或第3款的規定。
  其次,針對《個人資料保護法》第20條第1款所規定經通知本辦公室後可轉移資料的情況,從A社團轉移報名者個人資料之目的考慮,其轉移明顯不符合該法律第20條第1款(三)項的後部分規定(即轉移是在司法訴訟中宣告、行使或維護一權利所必需的或法律所要求者〕、(四)項規定(即轉移是保護資料當事人的重大利益所必需者〕,以及(五)項規定(即轉移是自作出法律或行政法規所訂定的公開登記後進行〕。
  至於《個人資料保護法》第20條第1款其餘各項的規定:
  (1) 轉移是否得到資料當事人的明確同意:報名者自願以網上方式報名參加活動,A社團是在報名者同意下收集其個人資料,但當事人的“同意”是否能推及至轉移其個人資料到澳門特區以外的地方,就必需考慮報名者對資料轉移的情況是否事先知情。A社團活動的網上報名系統使用了本澳註冊的互聯網域名,報名者由此不能判斷到報名系統伺服器的實際所在地,加上A社團的活動章程和網上報名系統中並無提及轉移一事,所以報名者在遞交個人資料前無從得知其資料會被轉移到澳門特區以外地方,更遑論給予同意。因此,A社團所作的資料轉移並沒有得到當事人的同意。
  (2) 轉移是否執行或訂定一合同所必需:本案完全無資料顯示A社團所作的資料轉移是執行與報名者之間的合同所必需,或者是為了報名者的利益而作出,因而有關轉移不符合《個人資料保護法》第20條第1款(一)及(二)項的規定。
  (3) 轉移是否保護一重要的公共利益:A社團並非公共實體,也沒有被宣告為行政公益法人,A社團主辦的活動一般不視為是保護公共利益,即使有關活動受政府資助亦然,所以A社團所作的資料轉移也不符合《個人資料保護法》第20條第1款(三)項前部分的規定。
  綜上所述,A社團對報名者所作的個人資料轉移,不符合《個人資料保護法》第19條和第20條針對轉移的規定,有關行為構成行政違法。

處理結果:

    雖然A社團首次違反《個人資料保護法》,也配合辦公室的調查工作,然而,被轉移的個人資料種類包含身份證明文件資料,人數多達數十名,如發生資料外洩可能對當事人造成較大的影響或損失,故本辦公室根據《個人資料保護法》第33條第2款的規定,決定科處A社團澳門幣12,000元罰款。

註:
參考《個人資料保護法》第3,4,19,20,33條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116