歐盟《通用數據保障條例》與香港《個人資料(私隱)條例》有甚麼分別?

歐盟的《通用數據保障條例》已於2018年5月25日生效,當中涉及新的規定和加強的權利。隨著科技發展,以至歐盟的資料保障的基本權利全球化及憲法化,《通用數據保障條例》旨在協調數碼單一市場的框架,讓個人掌握他們的資料,並制定現代化的資料保障管治。

為何《通用數據保障條例》與香港的機構/企業有關?

在香港,訂立香港法例第486章《個人資料(私隱)條例》(《私隱條例》) 是為保障個人資料方面的私隱。在草擬《私隱條例》時,曾參考經濟合作及發展組織1980年的私隱指引及歐盟指令。故此,《私隱條例》與《通用數據保障條例》有很多共通點。由於《通用數據保障條例》為以歐盟指令為本的資料保障法律帶來了重大的發展及改變,因此新的監管框架內包括了《私隱條例》未有的規定。

《通用數據保障條例》對歐盟以外的資料保障局面帶來的其中一項重大發展,是明確規定在非歐盟法域管轄區內成立的機構在特定的情況下須遵從《通用數據保障條例》的規定。由於業務或交易模式多樣化(例如網上交易),香港的機構/企業必須確定《通用數據保障條例》是否對它們適用,並緊貼新的發展。

略述歐盟《通用數據保障條例》及香港《個人資料(私隱)條例》的主要分別

應用

歐盟: 資料處理者或控制者:

• 在歐盟設立公司,或

• 在歐盟以外設立公司,提供貨品或服務,或監察歐盟人士的行為。 [第3條]

香港:

• 資料使用者(控制者/處理者),獨自或聯同其他人或與其他人共同控制個人資料在香港或由香港收集、持有、處理或使用個人資料。 [第2(1)條]

個人資料

歐盟: 「個人資料」為:

• 任何有關一名已被識別或可被識別的自然人的資訊;而一名可被識別的自然人是指可直接或間接地被識別的。

• 可被明確地識別身份的個人資料的例子延伸至包括位置資料及網上識別符。[第4(1)條]

香港:「個人資料」為指符合以下說明 的任何資料:

• 直接或間接與一名在世的個人有關的;

• 從該資料直接或間接地確定有關的個人的身分是切實可行的;及

• 該資料的存在形式令予以查閱及處理均是切實可行的。 [第2(1)條]

問責與管治

歐盟: 以風險為本;資料控制者須:

• 實施技術性及機構性措施以確保循規 [第24條];

• 採取預設貫徹私隱的設計及預設 [第25條];

• 為高風險的處理活動進行資料保障評估 [第35條];及

• (若屬某些類型的機構)委任保障資料主任。 [第37條]

香港:

• 沒有明確列明問責原則及相關的私隱管理措施。

• 私隱專員倡議採納私隱管理系統以顯示問責原則。委任保障資料主任及進行私隱影響評估是為達致問責而建議的良好行事方式。

敏感個人資料

歐盟:

• 敏感個人資料的類別被擴大。

• 只在特定情況下才容許處理敏感個人資料。 [第9條]

香港:

• 沒有以任何目的區分敏感及非敏感個人資料。

同意

歐盟:

• 同意必須是

• 自願給予、具體及知情;

• 以聲明或清晰明確的行動不含糊地指明資料當事人的意願,表示同意處理其個人資料 [第4(1)條];及

• 由16歲(或13歲)以下兒童給予的同意須有家長授權。

香港:

• 同意不是收集個人資料的先決條件,除非個人資料是用於新目的。[保障資料第1及3原則] 在其他情況,若須徵求同意,同意是指自願作出的明示同意。

• 沒有規定需要家長同意。

通報資料外洩事故

歐盟:

• 資料控制者須向監管機構通報資料外洩事故,不可不當地延誤(例外情況適用)。

• 如事故很可能對資料當事人的權利及利益造成高度風險,資料控制者須通知受影響的資料當事人,除非例外情況適用。[第33-34條]

香港:

• 沒有強制性規定,但考慮到所有持份者包括資料使用者/控制者/當事人的利益,應通報私隱專員(及資料當事人,如適用)。

資料處理者

歐盟:

• 資料處理者負上額外責任以保存處理記錄、確保處理安全、通報資料外洩事故、委任保障資料主任等。[第30, 32-33, 37條]

香港:

• 資料處理者不是直接受規管。[第2(12)條]

• 資料使用者須採取合約或其他方式以確保資料處理者循規。 [保障資料第2(3) 及4(2)原則]

資料當事人新增及提升的權利

歐盟:

• 就資料處理獲通知的權利 [第13-14條]

• 刪除個人資料權(「被遺忘權」) [第17條]

• 限制處理及資料可攜權[第18及20條]

• 反對處理(包括個人概況彙編)的權利 [第21條]

香港:

• 對資料使用者/控制者就通知的要求相對未有如此廣泛

• 沒有刪除權,但資料不得保留超過所需的時間 [第26條及保障資料第2(2)原則]

• 就資料處理沒有限制及沒有資料可攜權,但需遵從查閱資料及改正資料的權利 [保障資料第6原則,第5部]

• 沒有反對處理資料的權利(包括個人概況彙編),但可拒絕直銷活動 [第35G及35L條],而《條例》中亦有條文規管資料核對程序 [第30-31條]

認證、印章、及行為守則

歐盟:

• 設有明確認可機制以證明資料控制者及處理者合規。[第42條]

香港:

• 沒有正式的認證或私隱印章機制以證明合規。私隱專員在諮詢後可核准實務守則。 [第12條]

司法管轄區之間的資料轉移

歐盟:

• 述明認證及依從核准的行為守則作為其中一項資料轉移的法律基礎。[第46條]

香港:

• 認證制度及依從實務守則未有明確定為法律基礎。

懲罰

歐盟:

• 資料保障機構獲授權可判處資料控制者及處理者行政罰款。 [第58條]

• 視乎違規的性質,罰款可達二千萬歐元或全球年度總營業額的 4%。[第83條]

香港:

• 私隱專員沒有獲賦權施加行政罰款或刑罰。

• 私隱專員可向資料使用者送達執行通知,在完成司法程序後違法者可能被判罰。 [第50條]

公署有關《通用數據保障條例》的刊物和活動

為了提高香港機構/企業認識《通用數據保障條例》下新制定的資料保障監管框架對它們可能帶來的影響,及協助它們了解《通用數據保障條例》的域外應用以及就當中部分主要的規定與《個人資料(私隱)條例》 作出比較,香港個人資料私隱專員公署(公署)刊發了《歐洲聯盟《通用數據保障條例》2016》小冊子,有關小冊子可在公署的網站下載。

(www.pcpd.org.hk/tc_chi/data_privacy_law/eu/files/eugdpr_c.pdf )