《中华人民共和国个人信息保护法》(下称《个保法》)已于11月1日正式生效,对负责实体(该法称为“个人信息处理者”)处理个人资料提出严格的要求,当中包括具有一定的境外法律适用性,而处理个人信息达到规定数量或者向境外转移相关资料时,也须通过国家网信部门进行安全评估和批准。
个人资料保护办公室(下称个资办)认为,澳门特区内的机构在进行与内地的跨境业务或活动时须做好《个保法》的合规工作,避免被严厉处罚。经初步评估,目前澳门机构面对的两个较可能风险为:因为在日常运作中使用位于内地的伺服器、客服软件支援平台等设备或软件,或使用内地的即时通讯软件平台、支付平台等处理客户资料而需遵守《个保法》;因为与内地机构合作共同处理或委托其处理个人资料而需遵守《个保法》。
一般而言,澳门机构进行上述将资料转移到内地的处理时,是在客户等资料当事人知情同意或有合同规范的情况下合法作出,在澳门仅需根据《个人资料保护法》(下称《个资法》)第20条等规定履行通知义务(类似于内地的报备登记)。然而,基于各种原因,不排除有些中小企业等机构尚未依法履行通知义务。除了在澳门可能因为被投诉等而被个资办调查、处罚外,一旦涉及内地方面的《个保法》维权、执法等行动,就可能相当被动。
为协助澳门中小企业等机构更好地做好内地《个保法》及澳门《个资法》的合规工作,避免不必要的法律风险,个资办现推出优化通知、登记工作的计划。计划的主要内容是:
一、推出新的通知表格和参考样本:在格式设计上以细分附表方式令申报内容更清晰易懂,并提供了共同实体的申报方式。
二、推出查阅登记编号、内容的优化方式:以格式化表格使负责实体或相关利益方可以更方便、准确地取得登记的编号、内容或正式证明等,以便各方在有需要时提供予内地的合作方、监管机构等作适当证明、解释之用。
三、设置专门工作组集中处理:个资办将在2022年6月底前集中人力资源处理通知登记工作,特别是针对类似情况之转移到内地而未履行通知义务工作,以协助中小企等能尽快分析、评估其使用位于内地的伺服器、客服软件支援平台、即时通讯软件平台、支付平台等设备或软件处理客户资料的情况,以及与内地机构合作或委托其处理处理个人资料的情况,倘确实存在转移个人资料到内地而尚未依法履行通知义务时,则须尽快纠正并向个资办提交填妥的通知表。
个资办为此设立了专页 “协助中小企等机构做好《中华人民共和国个人信息保护法》合规工作专页”https://www.gpdp.gov.mo/pubinfo/notification/main.html(目前只有中文),供各方取得上述计划的相关表格及样本等资料。如对相关事宜存有疑问,欢迎浏览该专页,个资版网站www.gpdp.gov.mo,致电查询及投诉热线2871 5666或亲临个资办(中华广场17楼)查询。