《中華人民共和國個人信息保護法》(下稱《個保法》)已於11月1日正式生效,對負責實體(該法稱為“個人信息處理者”)處理個人資料提出嚴格的要求,當中包括具有一定的境外法律適用性,而處理個人信息達到規定數量或者向境外轉移相關資料時,也須通過國家網信部門進行安全評估和批准。
個人資料保護辦公室(下稱個資辦)認爲,澳門特區內的機構在進行與內地的跨境業務或活動時須做好《個保法》的合規工作,避免被嚴厲處罰。經初步評估,目前澳門機構面對的兩個較可能風險為:因爲在日常運作中使用位於內地的伺服器、客服軟件支援平台等設備或軟件,或使用內地的即時通訊軟件平台、支付平台等處理客戶資料而需遵守《個保法》;因為與內地機構合作共同處理或委託其處理個人資料而需遵守《個保法》。
一般而言,澳門機構進行上述將資料轉移到內地的處理時,是在客戶等資料當事人知情同意或有合同規範的情況下合法作出,在澳門僅需根據《個人資料保護法》(下稱《個資法》)第20條等規定履行通知義務(類似於內地的報備登記)。然而,基於各種原因,不排除有些中小企業等機構尚未依法履行通知義務。除了在澳門可能因為被投訴等而被個資辦調查、處罰外,一旦涉及內地方面的《個保法》維權、執法等行動,就可能相當被動。
為協助澳門中小企業等機構更好地做好內地《個保法》及澳門《個資法》的合規工作,避免不必要的法律風險,個資辦現推出優化通知、登記工作的計劃。計劃的主要內容是:
一、推出新的通知表格和參考樣本:在格式設計上以細分附表方式令申報內容更清晰易懂,並提供了共同實體的申報方式。
二、推出查閱登記編號、內容的優化方式:以格式化表格使負責實體或相關利益方可以更方便、準確地取得登記的編號、內容或正式證明等,以便各方在有需要時提供予內地的合作方、監管機構等作適當證明、解釋之用。
三、設置專門工作組集中處理:個資辦將在2022年6月底前集中人力資源處理通知登記工作,特別是針對類似情況之轉移到內地而未履行通知義務工作,以協助中小企等能儘快分析、評估其使用位於內地的伺服器、客服軟件支援平台、即時通訊軟件平台、支付平台等設備或軟件處理客戶資料的情況,以及與內地機構合作或委託其處理處理個人資料的情況,倘確實存在轉移個人資料到內地而尚未依法履行通知義務時,則須儘快糾正並向個資辦提交填妥的通知表。
個資辦爲此設立了專頁 “協助中小企等機構做好《中華人民共和國個人信息保護法》合規工作專頁”https://www.gpdp.gov.mo/pubinfo/notification/main.html(目前只有中文),供各方取得上述計劃的相關表格及樣本等資料。如對相關事宜存有疑問,歡迎瀏覽該專頁,個資版網站www.gpdp.gov.mo,致電查詢及投訴熱線2871 5666或親臨個資辦(中華廣場17樓)查詢。