已于2021年11月1日生效的《中华人民共和国个人信息保护法》(以下称《个保法》)具有境外适用性,与本澳大多数居民和公私营机构息息相关。我国《个保法》与澳门《个人资料保护法》(以下称《个资法》)所规范的处理个人资料的原则大致相同,但对某些定义作出了更明确的规定,对违法主体的处罚更严、罚款更高、处罚手段更多。本澳居民、公私营机构与内地的人文交流和商贸往来相当频繁,日常运作涉及大量个人资料处理,故本澳社会各界更应及早正确认识《个保法》,避免误触法律。
《个保法》主要在以下三方面与《个资法》有较大差异:
在处理个人资料的合法依据方面,《个保法》除规定需要取得个人的同意外,还明确规定六种“合法基础”,这与《个资法》所订定的“正当性条件”的意思基本相同。从相关条文可见,两者皆明确了处理个人资料合法的多元性,能平衡个人权益及个人资料的合理使用;其次是两者都订明当事人的同意、履行合同及履行法定义务是处理个人资料的合法依据。
在处理敏感资料方面,两部法律则有较明显的分别。在《个保法》中,敏感资料被称为“敏感个人信息”——即一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及未满十四周岁未成年人的个人信息。而《个资法》则明确规定世界观或政治信仰、政治社团或工会关系、宗教信仰、私人生活、种族和民族本源、以及与健康及性生活有关的个人资料(包括遗传资料)等六种资料为敏感资料。由此可见,《个保法》所规范的敏感资料较《个资法》更广,且作出了更严格的保护。值得注意的是,《个保法》将未成年人个人信息归入敏感个人信息,加强对未成年人个人信息保护的力度,体现了国家对儿童合法权益予以充分保护的明确取向。
在违法罚则方面,两部法律皆按违法情节的严重程度订明罚则,但《个保法》的行政处罚具有较强的威慑力,最高罚款额以违法主体的营收总额为基准,处罚力度远高于《个资法》的规定。相较于《个资法》,《个保法》的处罚手段更全面,例如没收违法所得、责令暂停相关业务或停业整顿、吊销业务许可或营业执照等。除了上述的规定外,《个保法》丰富了当事人的权利,同时强化处理者应负之义务,对某些定义作出更清晰的界定。
个人资料保护办公室认为,《个保法》是一部与时俱进、贴近现时社会经济的发展、且具有明确规定和严格罚则的法律,而本澳《个资法》所体现的立法原意亦相当严谨,所以居民或公私营机构倘能够严谨遵守《个资法》的各项规定,适时检视处理个人资料的合规性,强化保护个人资料的机制和意识,同时加强对《个保法》的正确理解,进行与内地的跨境业务或活动时依法守法,则可做好《个保法》的合规工作。
个人资料保护办公室稍后会推出优化通知、登记的计划,以协助澳门中小企业等负责实体更好地做好《个保法》的合规工作,避免因未适应《个保法》的施行而被内地相关部门处罚。
