《一般資料保護法規》:將法律的規管範圍延伸

在這個聯繫日益緊密的數碼社會中,許多機構組織所提供的服務都屬於全球性質。然而,網絡世界視有形或地域界限如無物,從而產生了應該適用甚麼法律的問題。在資料保護及私隱領域中,歐洲新制定的《一般資料保護法規》(簡稱GDPR),旨在透過其在域外的適用性來處理網上跨國資料及私隱方面的問題。

GDPR如何作出規管?

GDPR於2018年5月25日生效,它就企業及機構組織(資料掌控者)應如何處理「個人資料」(意指任何讓個別人士得以被識別的資訊)作出了規定。處置或處理個人資料的企業和機構組織,只能以合法、公正和透明的方式來處理其工作,以及通知資料當事人他們正在進行的資料處理,並於必要情況下取得資料當事人的同意。如發生資料外洩(網絡攻擊是一個明顯例子),便須在個人資料的保留及通報規定等方面設限。 GDPR預計企業將會採用新的系統和流程來保護個人資料,並在某些情況下進行影響評估。資料的傳送引發了進一步的合規問題,因為受GDPR規限的企業須確保個人資料獲得保護,並在將資料傳送給第三方前先取得相關的同意。

域外管轄權及GDPR

歐盟的《資料保護指令》現已被GDPR所取代。該指令的實施由於被限定在處理相關資料的地點而備受批評。它容許各個機構在歐盟處理個別人士的個人資料,並藉著將業務(通常是其伺服器)設置於歐盟以外的地區而得以無需遵守該項指令。 但GDPR則有所不同,它不僅考慮處理資料的地點是在何處,亦考慮正被處理個人資料的個別人士所身處的是何地方,而這顯示該指令所涵蓋的地域範圍顯著擴大。故此,它很可能會將在歐盟內、外的資料保護方式徹底改變。

歐盟以外的機構組織在以下情況處理個人資料,將受GDPR的約束:

  • 在歐盟境內設置資料掌控者或資料處理者;
  • 涉及向位處歐盟的個別人士提供商品或服務(例如,通過網站向歐盟作出交付);或
  • 涉及監測在歐盟境內的個別人士的行為(例如,通過使用cookies來追踪個別人士在互聯網上的活動)。

這將會對香港的公司企業構成影響,前提是它們須符合其中一項上述規定。這項法規將如何被實際解釋,儘管現時並沒有相關指引,但它的潛在適用範圍可以非常廣泛。

域外管轄權的驗證

在某項設置的情況下

根據GDPR的敘文,該等設置「意味著通過穩定安排而進行有效及真實的操作。該等安排的法律形式,無論是否通過分支機構或具有法人地位的子公司,都並非當中的一項決定性因素。」根據歐洲法院的判例,只要有一名單一代理人的存在便已經足夠。Weltimmo v NAIH(C-230/14)是關於該指令的一個案例。Weltimmo 在斯洛伐克註冊成立,但由於它使用了匈牙利的一個網站,而該網站為匈牙利的物業作宣傳、聘用一名當地的代理人,以及使用一個匈牙利郵寄地址和銀行賬戶,因此被認為是在匈牙利設立。

提供商品及服務

GDPR的敘文規定,以下因素是向歐盟居民提供商品或服務的強而有力指標:

語言—使用成員國的語言,而該語言與本國的客戶無關(亦即是,一家中國網店使用英文、法文及德文作為其網站語言);

貨幣—使用成員國的貨幣,而該貨幣通常不在其本國使用;

交付—給成員國提供交付服務;或

對公民的提述—提述歐盟的居民。

監測

它被描述為與在網上追踪個別人士有關,包括使用它來作決定,以分析/預測個人的偏好、行為及態度(進行剖析研究)。進行監測的例子包括:

  • 網上的行為宣傳;
  • 使用一個城市的公共交通系統的個別人士的行程資料(例如透過所使用的交通服務卡來進行追踪);
  • 為風險評估之目的而進行的剖析研究及評分(例如,為信用評分目的而設訂保險費、防止欺詐、洗錢偵測);
  • 通過例如流動應用程式來進行所身處地方的追踪;及
  • 透過可穿戴的裝置來監測健康、身體狀況及健康資料。

實際的域外管轄權例子

情境1

A公司是一個跨國機構,在全球多個司法管轄區設有分支。它在香港設立了一個服務共享中心,向集團內的企業(包括向該英國集團實體)提供若干支援服務,而其中一些該等支援服務涉及代表該英國實體來處理個人資料。

域外管轄權的適用

GDPR適用於在該英國實體的業務範圍內所處理的個人資料(無論該等資料處理是否在歐盟境內進行)。目前雖然仍然沒有相關的解釋指引,但GDPR亦將適用於該香港實體的英國相關業務。

情境2

B公司位於中華人民共和國境內,而它並沒有直接向歐盟宣傳或推銷其商品。然而,該公司的網站設有英文網頁,而英國的客戶可以訂購和獲得運送該公司的產品到英國。

域外管轄權的適用

GDPR適用於B公司處理歐盟資料當事人的個人資料,而所處理的工作,是與向在歐盟的資料當事人提供商品或服務有關。如果B公司是向在歐盟境內的資料當事人提供商品和服務,那麼是否存在直銷的情況便沒有太大關係。因此,GDPR將會適用於中國企業處理與其歐盟客戶有關的個人資料上。

域外管轄權對非歐盟企業的實際影響

需要注意的一點是,在海外工作的歐盟公民如果並非身處歐盟/居於歐盟的話,GDPR將不予適用。GDPR不適用於香港實體處理與其僱員有關的個人資料,如果該等僱員是居於香港的歐盟公民的話。

可強制執行性

目前在海外強制實施GDPR義務的機制仍然有欠清晰。該針對非歐盟企業制度之可強制執行性的尚未回問題表明:儘管罰款及制裁權力已有所加強,但聲譽仍是歐盟境外的市場領導者在私隱合規方面的關鍵驅動元素。

儘管如此,但GDPR規定,非歐盟的資料掌控者及資料處理者在向歐盟居民提供商品及服務或在監測其行為時,必須同時在歐盟指派一名代表,而該名代表必須:

  • 共同處於該資料當事人所在的成員國,而「該資料當事人的個人資料,是就該等向其提供的商品或服務或受監測的行為而作出處理」;及
  • 資料掌控者或資料處理者命令,「為確保遵從有關法規,除了資料掌控者或資料處理者外,所有與該等資料處理有關的問題,皆改為由(特別是)監管機構及資料當事人負責」。

被指派的代表,不得對可能向資料掌控者或資料處理者採取的法律行動構成妨礙。然而,情況看來是,在歐盟境內的代表,可能需要為其非歐盟主事人的違規行為承擔法律責任。鑒於域外管轄權法規的可強制執行性,歐盟的監管機構和法院對於在境外執法的成效倘若存疑,便有可能傾向追究位於歐盟境內的一方,而這將會產生會否有人願意擔任這一代表角色的問題。尤其是,作為代表的,他們不能迫使其主事人遵從有關規定,但自身卻須承擔不遵從有關規定的法律後果。

結論

撇開執法的問題不談,GDPR顯然會對非歐盟實體產生深遠的影響,故全球各地的機構組織不能對其規定掉以輕心,而香港的公司和企業亦應評估其業務會否導致它們被置於GDPR及歐盟監管機構的規管範圍內,並必須為此作好相應的準備。

Jurisdictions: 

史密夫斐爾律師事務所 專業支援顧問

Phillips女士為其律師事務所的「另類爭議解決程序」及「企業犯罪與調查」等重要業務提供支援,亦為其在法律支援、交叉實務、跨區域項目等方面的工作,建立了突出的市場形像。