早前,因應有關的投訴等,個人資料保護辦公室(下稱“個資辦”)開展了對幾個主要外賣及配送服務平台(下稱“外賣平台”)的個人資料處理事務的初步協調和監管工作。目前,有關工作基本完成,三個主要外賣平台的負責機構均被發現存在一些程序性的合規問題而被處罰,其中兩間負責機構並被處以警告的附加處罰。
隨著外賣快遞服務的興起,市民使用外賣平台手機應用程式越來越普遍,有關外賣平台的負責機構需要處理大量的用戶個人資料。然而,數個外賣平台在處理個人資料時,雖然可能在合約或條款中向用戶作出不同的個人資料保護承諾或保證,但實際上均缺乏足夠的合規意識,沒有開展令人滿意的個人資料保護合規工作,連簡單的依照《個人資料保護法》的規定履行自動化處理個人資料的通知義務的程序也沒有如期完成(有關“通知”類似內地的“報備”)。同時,就其將用戶個人資料轉移到特區以外地方的情況,兩間負責機構沒有依法履行通知義務。此外,在個資辦介入要求補正並履行通知義務時,其中一個負責機構仍不重視合規工作,在履行通知義務時提供不實資訊,誤導個資辦。
鑒於有關不履行通知義務的行爲已違反《個人資料保護法》的規定,構成行政違法,個資辦依法對三間負責機構作出處罰。
考慮到其中兩間負責機構存在資料轉移到澳門以外的情況,但對《個人資料保護法》的合規工作重視程度不足,相關管理水平有待提升,個人資料處理政策的制定與執行均有待改善,基於相關違法行為令大量資料當事人的正當權益長期處於不必要的風險之中,故根據《個人資料保護法》第43條(三)項的規定,個資辦依法作出對該兩間負責機構科處提出警告的附加處罰。
就另一間負責機構在履行通知義務時提供不實資訊的情況,個資辦接納其解釋,認定其為過失而僅構成行政違法,無需循涉嫌刑事犯罪方向處理,但對其也依法作出相應處罰。
基於權力所限,也沒有跡象顯示有用戶的資料被不法處理,個資辦暫時未能主動調查是否有具體資料被相關平台不當處理的情況,相信有關的三間機構尚能依商業的自律原則保護用戶個人資料,但其不重視個人資料保護合規工作的情況屬不可接受,必須改善。通過協調和處罰,個資辦已經要求有關負責機構加强合規意識,保護好用戶個人資料。相信有關負責機構能吸取教訓,及時作出有效改善。
個資辦會繼續關注有關各平台處理個人資料的情況,參考内地和國際的監管經驗,適時再作協調監管,儘最大努力保護市民和遊客的個人資料,使澳門的相關產業能合法合規、有理有效地走上高質量發展之路。
附:3宗已結案的相關調查個案的摘要(中文版)。