隨著歐盟《一般資料保護規範》(GDPR)的實施,世界各地的公司紛紛採取必要合規措施。
《一般資料保護規範》適用位於澳門處理與向歐盟 (EU) 的資料主體提供貨品或服務有關數據控制人或者處理者,無論是否需要付款,或監測處於歐盟內的資料當事人的行為。
因此,即使公司位於澳門特別行政區或中國內地,雖在歐盟沒有法人代表或公司機構,一旦進行任何上述活動,亦受《一般資料保護規範》約束。
在中國內地,最近於 6 月 10 日通過了《數據安全法》,其中包括對數據的廣泛定義,這將對全行業,尤其是運營社交媒體和電子商務平台的企業以及處理大量個人信息的企業產生影響。除此之外,這項新立法規定了在將數據傳輸到其他國家之前實施數據安全措施、數據安全檢測評估、指定數據安全負責人以及獲得中國主管部門的許可。處罰規定取決於違反的規則的不同情況。但違反國家核心數據管理制度,危害國家主權等情節嚴重的,可處以最高1000萬元的罰款,並可能被吊銷相關業務許可證或吊銷營業執照。
特別是在個人數據保護方面,自 2018 年 5 月起實施並於 2020 年 10 月修訂的《個人信息安全規範》(GB/T 35273-2020)(以下簡稱“規範”)提供了處理個人數據的指引。儘管如此,數據控制者和處理者不是強制性要遵守。
儘管如此,該《規範》仍是中國數據隱私的里程碑和與其相關的重要數據的適用規範,其用於:
與《一般資料保護規範》並行,中國制定了新的資料保護法律框架。 在2020年10月,《個人信息保護法》(PIPL)草案公開徵求公眾意見。此法案通過後,預計將對多個行業產生重大影響,尤其是電子商務和數字化商業。
《個人信息保護法》中的擬議條款預計違規的公司可能會被處以最高人民幣 1,000,000 元的基準罰款。 如果違規行為被認定為“嚴重”,罰款可提高至人民幣 50,000,000 元或公司上一年度营业额的 5%。
但《個人信息保護法》通过后,是否適用於澳門特別行政區的公司,甚至適用於歐盟或美國的公司?
是的,可能適用! 類似於《一般資料保護規範》的“長臂管轄權”,如該公司處理中國境內人士的個人資料,以向中國境內人士提供產品或服務; 或分析和評估在中國的個人活動,則《個人信息保護法》應適用。
澳門的資料保護法律框架受到歐盟法律的強烈啟發: 第 8/2005 號法律《個人資料保護法》借鑑於 1998 年通過的葡萄牙法律,間接源自歐盟第 95/46/EC 號指令。
隨著全球對資料隱私和安全問題的關注日益增加,澳門政府已經通過了一項《網絡安全法》,以保護重要基礎設施和電腦系統的信息網絡。亦促使澳門資料保護機構在資料保護權益方面變得更加積極。因此,《個人資料保護法》的更新備受期待,以應對當前和即將到來的技術發展新挑戰。
對於在中國運營的公司,《網絡安全法》、《數據安全法》以及《個人信息保護法》一經頒布,將建立一個監管框架來管理個人數據的處理以及個人和非個人數據的跨境傳輸。 對於在中國和歐洲開展業務的公司而言,完全遵守 GDPR 和 《個人信息保護法》 將由於規則相似和重疊而帶來新的挑戰。 在任何情況下,都需要採取必要措施來解決其數據隱私政策中的最終差距,並需要遵守有關個人數據處理的所有法律要求。
考慮到有關從設計著手及默認保護隱私的法律規定,適用於網絡安全、電子商務、資料隱私的不同法律框架,以及將國家法律的地域範圍擴大到位於其他國家的公司、從事應用程序開發、通過電子方式銷售產品和提供服務的公司所進行的資料處理的目前趨勢,總的來說,所有資料負責實體及數據處理者均應了解其目前和即將到來有關資料隱私方面的法律義務。