Skip to content

歐盟《通用數據保障條例》

歐盟《通用數據保障條例》

I. 歐洲聯盟(歐盟)《通用數據保障條例》

歐盟的《通用數據保障條例》已於2018年5月25日生效,取代原有為處理個人資料及有關資料自由流通的個人保障而制訂的歐盟指令 95/46/EC(歐盟指令),並且涉及新的規定和加強的權利。隨著科技發展,以至歐盟的資料保障的基本權利全球化及憲法化,《通用數據保障條例》旨在協調數碼單一市場的框架,讓個人掌握他們的資料,並制定現代化的資料保障管治。

為何《通用數據保障條例》與香港的機構/企業有關?

在香港,訂立香港法例第486章《個人資料(私隱)條例》(《私隱條例》) 是為保障個人資料方面的私隱。在草擬《私隱條例》時,曾參考經濟合作及發展組織1980年的私隱指引及歐盟指令。由於《通用數據保障條例》為以歐盟指令為本的資料保障法律帶來了重大的發展及改變,因此新的監管框架內包括了《私隱條例》未有的規定。

《通用數據保障條例》對歐盟以外的資料保障局面帶來的其中一項重大發展,是明確規定在非歐盟法域管轄區內成立的機構在特定的情況下須遵從《通用數據保障條例》的規定。由於業務或交易模式多樣化(例如網上交易),香港的機構/企業必須確定《通用數據保障條例》是否對它們適用,並緊貼新的發展。


II. 歐盟委員會根據《通用數據保障條例》就國際間資料轉移採納的新版標準合約條款


III. 《通用數據保障條例》的相關刊物及文章


IV. 歐洲聯盟發出的指引及參考資料


V. 有關《通用數據保障條例》的重要決定及主要發展摘要




II. 歐盟委員會根據《通用數據保障條例》就國際間資料轉移採納的新版標準合約條款

歐盟委員會採納了一套有關轉移個人資料至非歐盟地區的新版標準合約條款 (「新版標準合約條款」),有關條款已於2021年6月27日生效。由2021年9月27日起,資料輸出者及資料輸入者只可就跨境個人資料轉移簽訂採納新版標準合約條款的合約。私隱公署發佈一系列有關的常見問題資料,以介紹新版標準合約條款的實施框架和簽訂包含新版標準合約條款的跨境資料轉移協議的各合約方的責任,供公眾參考。

更多詳情,請參閲有關系列的常見問題資料:
https://www.pcpd.org.hk/tc_chi/data_privacy_law/eu/files/eu_faq.pdf

請按閲覽「歐盟委員會有關國際間資料轉移的新版標準合約條款的簡介」。

請按下載「歐盟的新版標準合約條款下從歐盟轉移個人資料至非歐盟地區」網上講座的演講簡報及觀看有關影片。



III. 《通用數據保障條例》的相關刊物及文章

為了提高香港機構/企業認識《通用數據保障條例》 2016 下新制定的資料保障監管框架對它們可能帶來的影響,公署出版了以下刊物︰

  eu   小冊子:歐洲聯盟《通用數據保障條例》2016 最新資訊  
(2020年5月修訂版)


IV. 歐洲聯盟發出的指引及參考資料

歐洲資料保障委員會

更多的指引及建議可參閱︰https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en?page=0

涉及的事宜 建議/指引
行政罰款 有關根據《通用數據保障條例》計算行政罰款的第04/2022號指引1
同意 有關同意的第05/2020號指引
控制者及處理者 有關《通用數據保障條例》的控制者及處理者概念的第07/2020號指引
資料外洩事故通報
資料可攜性 有關資料可攜權的指引
貫徹資料保障的設計及預設模式 有關第25條貫徹資料保障設計及預設模式的第4/2019號指引
資料保障影響評估 有關資料保障影響評估的指引
資料當事人權利 有關資料當事人權利—查閱權的第01/2022號指引
豁免情況 有關《通用數據保障條例》第49條下的豁免情況的第2/2018號指引
資訊通訊科技
一站式機制
國際轉移及工具
限制 有關《通用數據保障條例》第23條下限制(資料當事人權利及控制者/處理者責任的範圍)的第10/2020號指引
社交媒體
地域範圍 有關《通用數據保障條例》地域範圍(第3條)的第3/2018號指引
透明度 有關第2016/679號規例下的透明度的指引


歐盟委員會

涉及的事宜 建議/指引
資料保障制度 歐盟的資料保障制度概覽
《通用數據保障條例》的規定 《通用數據保障條例》的規定簡介


V. 有關《通用數據保障條例》的重要決定及主要發展摘要

A. 根據《通用數據保障條例》作出的重要決定摘要

(I) 牽涉罰款的決定

作出決定的日期 作出決定的資料保障監管機構 罰則及違反規定
2023年9月1日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) 愛爾蘭資料保障監管機構就TikTok Technology Limited (TikTok)於2020年7月31日至2020年12月31日期間違反《通用數據保障條例》的規定,對TikTok作出譴責並處以3.45億歐元的罰款。愛爾蘭資料保障監管機構認為 (i) TikTok把兒童用戶帳戶的個人資料設定預設為公開,令任何人(包括TikTok用戶及非TikTok用戶)均可以查看兒童用戶發布的內容(違反條例第25(1), 25(2), 5(1)(c)及24(1)條);(ii) TikTok 沒有實施適當的技術和機構性措施來減低對使用該平台的 13 歲以下兒童造成的風險(違反條例第24(1) 條); (iii) 「家庭配對」設定允許非兒童用戶(無法驗證是否父母或監護人)連結兒童用戶帳戶並開啟年滿16歲的兒童用戶的私訊功能,對兒童用戶構成了嚴重風險(違反條例第5(1)(f) 及25(1) 條); (iv) TikTok 未能向兒童用戶提供足夠及具透明度的資訊(即個人資料接收者的類別、預設公開處理的範圍和後果)(違反條例第12(1)及13(1)(e) 條);及 ,根據歐洲資料保障委員會於2023年8月發佈具有約束力的決定,(v) TikTok實施的「暗黑模式」促使用戶在登記過程和發布影片時選擇更多侵犯私隱的選項(違反條例第5(1)(a)條)。除了發出譴責和處以 3.45 億歐元的罰款外,愛爾蘭資料保障監管機構亦指令 TikTok 須於三個月內使其資料處理符合規定。有關詳情,請參閱愛爾蘭資料保障監管機構作出的決定及於2023年9月15日發出的新聞稿
2023年6月15日 法國資料保障監管機構 (The French Data Protection Authority) 法國資料保障監管機構就Criteo (該公司專門從事「行為再定向 (behaviorial retargeting)」,通過cookie收集網上用戶的瀏覽資料,以向用戶顯示個人化的廣告 )違反《通用數據保障條例》的行為處以4,000萬歐元的罰款。Criteo被裁定 (i) 未能核實並證明有關資料處理經相關網上用戶同意(違反條例第7.1條);(ii) 未能提供清晰的私隱政策,告知用戶哪些個人資料被使用及如何使用(違反第條例12及13條);(iii) 未能尊重用戶的查閱權利,只容許用戶查閱部分個人資料(違反條例第15.1條);(iv) 未能遵從用戶撤回同意及刪除資料的權利(違反條例第7.3及17.1條);及(v) 未能在Criteo與作為聯合控制者的合作夥伴所簽訂的協議中,按《通用數據保障條例》的規定具體說明控制者的一些各自的責任(違反條例第26條)。有關詳情,請參閱法國資料保障監管機構於2023年6月22日發出的新聞稿
2023年5月12日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) Meta Platforms Ireland Limited (Meta) 的Facebook服務將個人資料從歐盟轉移至美國,違反《通用數據保障條例》第46(1)條的規定,愛爾蘭資料保障監管機構對Meta處以12億歐元的罰款,並命令它作出糾正措施。愛爾蘭資料保障監管機構認為,雖然Meta是依據歐盟委員會於2021年採納的標準合約條款作出有關轉移,並實施補充措施以應對歐洲聯盟法院在Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18)一案就美國監視法而提出的關注,但有關的資料轉移安排在這情況下並沒有對個人資料提供適當的保障。因此,Meta違反了《通用數據保障條例》第46(1)條的規定。

Meta (i) 被指令在五個月內暫停將個人資料轉移至美國;(ii) 被罰款12億歐元;及(iii) 被指令在六個月內使其資料處理業務符合《通用數據保障條例》第V章的規定。有關詳情,請參閱愛爾蘭資料保障監管機構於2023年5月12日作出的決定及於2023年5月22日發出的新聞稿
2023年4月4日 英國資料保障監管機構 (The Information Commissioner’s Office) 英國資料保障監管機構就 TikTok Information Technologies UK Limited 和 TikTok Inc (TikTok)在 2018 年 5 月至 2020 年 7 月期間違反 《英國通用數據保障條例》的行為處以 12,700,000 英鎊的罰款。英國資料保障監管機構裁定TikTok (i) 向13 歲以下的英國兒童提供服務並在未得其父母或照顧者同意或授權下處理兒童的個人資料(違反條例第 6 (1)條和第 8 條); (ii) 未能以易於理解的方式向用戶提供有關收集、使用和共享用戶資料的合適資訊,令用戶,尤其是兒童,不太可能就是否要參與及如何參與作出知情的選擇(違反條例第 12 條);及 (iii) 未能確保以合法、公平和具透明度的方式處理英國用戶的個人資料(違反條例第 5(1)(a) 條)。有關詳情,請參閱英國資料保障監管機構於2023年4月4日發出的新聞文章
2023年1月12日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) 愛爾蘭資料保障監管機構就WhatsApp Ireland Limited (WhatsApp) 的服務違反《通用數據保障條例》處以550萬歐元的罰款。愛爾蘭資料保障監管機構裁定Whatsapp不能以合約作為其處理用戶個人資料以改善服務和保安的法律基礎,因而違反了《通用數據保障條例》第6條。WhatsApp亦因為未有明確向用戶指出其處理個人資料的法律基礎而違反了公平原則及有關透明度的責任。WhatsApp被指令在六個月內使其資料處理操作符合規定。

該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發布的。有關詳情,請參閲愛爾蘭資料保障監管機構於2023年1月12日發出的決定及2023年1月19日發出的新聞稿
2023年1月4日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) 愛爾蘭資料保障監管機構就Meta Platforms Ireland Limited (Meta)的Facebook 和 Instagram 服務違反《通用數據保障條例》,分別處以 2.1 億歐元和 1.8 億歐元的罰款。愛爾蘭資料保障監管機構裁定Meta不能以其與Facebook和Instagram用戶的合約作為法律基礎,為用戶提供個人化服務(包括根據用戶的線上活動向用戶投放定向廣告),因而違反了《通用數據保障條例》第6條。Meta亦因為未有明確向用戶指出其處理個人資料的法律基礎而違反了公平原則及有關透明度的責任。Meta被指令在三個月內使其資料處理業務符合規定。

該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構的決定(FacebookInstagram) 及於2023年1月4日發出的新聞稿
2022年11月25日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) 愛爾蘭資料保障監管機構就早前Facebook用戶個人資料洩漏至互聯網的事件進行調查,裁定Meta Platforms Ireland Limited (Meta) 違反《通用數據保障條例》下有關貫徹資料保障的設計及預設模式的規定,處以2.65億歐元的罰款,及要求Meta作出一系列的糾正措施。有關決定的詳情,請參閲愛爾蘭資料保障監管機構於2022年11月28日發出的新聞稿
2022年11月10日 法國資料保障監管機構 (The French Data Protection Authority)
 
法國資料保障監管機構對提供IP網絡語音和即時通訊服務的 Discord Inc. (Discord) 處以 80萬歐元的罰款,因為Discord未有制定書面資料保留政策,且未能向用戶提供關於資料保留時限的足夠信息,包括沒有列明具體期限或決定保留時限的準則。調查亦發現Discord未有告知用戶在關閉應用程式的視窗後,語音頻道與第三方的連接及傳輸仍會在背景運行,而Discord的密碼管理政策的強度亦有不足。 另外,Discord 未有進行資料保障影響評估。有關該決定的詳情,請參閱法國資料保障監管機構於 2022 年 11 月17 日發出的新聞稿
2022年11月2日 葡萄牙資料保障監管機構 (The Portuguese Data Protection Authority) 葡萄牙資料保障監管機構就葡萄牙國家統計局在進行2021年人口普查期間違反《通用數據保障條例》的多項規定,處以430萬歐元的罰款。葡萄牙資料保障監管機構經調查發現,人口普查中有關健康和宗教的問題在法律上應定為可選答題目,但這些問題沒有被適當地標記為可選答題目,導致受訪者無法有自由意志地自主決定是否回應收集特別類別個人資料的問題。另外,葡萄牙資料保障監管機構亦裁定國家統計局沒有提供任何有關資料處理的資訊、在選擇資料處理者時違反了盡職調查的責任、違反了有關國際資料轉移的規定,亦沒有對處理過程進行資料保障影響評估。有關決定的詳情,請參閲歐洲資料保障委員會發出的決定摘要
2022年10月17日 法國資料保障監管機構 (The French Data Protection Authority) 法國資料保障監管機構就Clearview AI Inc. (Clearview)在沒有法律依據的情況下收集及使用生物辨識資料,非法處理個人數據,並未能以有效和令人滿意的方式考慮資料當事人的權利,特別是在處理資料當事人的查閱資料要求方面,而處以2000萬歐元罰款。Clearview 於調查期間亦沒有充分與法國資料保障監管機構合作。有關該決定的詳情,請參閱法國資料保障監管機構於 2022 年 10 月 20 日發出的新聞稿
2022年10月6日 意大利資料保障監管機構 (The Italian Data Protection Authority) 意大利資料保障監管機構就社交平台 Clubhouse 的母公司 Alpha Exploration Co. Inc. 違反《通用數據保障條例》的多項規定,包括在沒有有效的法律依據的情況下以營銷、錄製、與第三方共享音頻、對用戶作出分析和共享帳戶信息為目的進行資料處理活動、未能向用戶提供有關資料處理的信息,以及未能向用戶提供有關個人資料保留期限的足夠信息,而處以 200 萬歐元的罰款並發出多項合規命令。有關決定的詳情,請參閲意大利資料保障監管機構於2022年12月5日發出的新聞稿
2022年10月4日 英國資料保障監管機構 (The Information Commissioner’s Office) 英國資料保障監管機構就Easylife Ltd未經同意而使用 145,400名客戶的個人資料以預測他們的健康狀況並向他們推銷相關的健康產品,而處以135萬英鎊罰款。另外,Easylife Ltd因撥打 1,345,732 個不願接收的促銷電話而被額外罰款 130,000 英鎊。有關決定的詳情,請參閲英國資料保障監管機構於2022年10月6日發出的新聞稿
2022年9月2日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) 愛爾蘭資料保障監管機構早前就Meta旗下社交平台Instagram (Meta Platforms Ireland Limited (Meta IE))有關兒童用戶(13 至 17 歲的用戶)個人資料的處理進行調查。調查顯示平台允許兒童用戶使用商業帳號,以致其電郵地址及/或電話號碼被公開展示;同時,平台的用戶註冊系統將兒童用戶的帳號預設為「公開」。Instagram因而被愛爾蘭資料保障監管機構處以4.05億歐元罰款,並須作出一系列的糾正措施。

該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構的決定及於2022年9月15日發出的新聞稿
2022年7月13日 希臘資料保障監管機構 (The Hellenic Data Protection Authority of Greece) 希臘資料保障監管機構就人臉識別技術公司Clearview AI Inc. (Clearview)違反有關合法性及透明度的原則而處以2,000萬歐元罰款、禁止Clearview以人臉識別服務的方式收集和處理於希臘境內的資料當事人的個人資料,並命令Clearview刪除以有關方式收集及處理的個人資料。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要
2022年5月18日 英國資料保障監管機構 (The Information Commissioner’s Office) 英國資料保障監管機構就Clearview AI Inc. (Clearview) 在互聯網及社交平台收集英國及其他地區人士的圖像並用於人臉識別而處以7,552,800英鎊罰款。同時,英國資料保障監管機構命令Clearview停止收集及使用網上公開的英國居民個人資料,並刪除其系統中的英國居民資料。有關決定的詳情, 請參閲英國資料保障監管機構 於2022年5月23日發出的新聞稿
2022年3月15日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) 愛爾蘭資料保障監管機構就Meta Platforms (前稱 Facebook)違反《通用數據保障條例》第5(2)條(有關目的限制原則)而處以1,700萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要 
2022年2月10日 意大利資料保障監管機構 (The Italian Data Protection Authority) 意大利資料保障監管機構就Clearview AI Inc. 在欠缺適當法律基礎下不合法地處理個人資料及違反有關透明度、目的限制及儲存限制等原則而處以2,000萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要
2022年1月14日 荷蘭資料保障監管機構 (The Dutch Data Protection Authority) DPG Media Magazines因不必要地索取身分証明文件副本而被荷蘭資料保障監管機構處以52.5萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要
2021年12月22日 奧地利資料保障監管機構 (The Austrian Data Protection Authority) 奧地利資料保障監管機構裁定奧地利一名網站營運者在網站内使用 Google Analytics,轉移個人資料至美國的 Google LLC,違反《通用數據保障條例》第44條。 奧地利資料保障監管機構認爲該網站營運者和 Google LLC之間簽訂的標準合約條款未有提供足夠程度的保障予相關個人資料。有關決定的詳情, 請參閲奧地利資料保障監管機構發出的決定摘要
2021年8月20日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) 愛爾蘭資料保障監管機構就 WhatsApp Ireland Ltd.在提供服務資訊予歐洲用家方面違反透明度原則等作出最後決定,向 WhatsApp Ireland Ltd.處以2億2,500萬歐元罰款,並對它作出譴責及命令它執行一連串指定的補救措施,以確保其處理活動符合規定。該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構的決定及於2021年9月2日發出的新聞稿

註: WhatsApp Ireland Ltd.正就愛爾蘭資料保障監管機構的決定提出上訴。
2021年6月21日 瑞典資料保障監管機構 (The Swedish Authority for Privacy Protection) 瑞典資料保障監管機構就於斯德哥爾摩營運公共運輸的 SL在公共交通工具上不合法使用隨身攝像機而處以1,600萬瑞典克朗罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要
2021年4月29日 荷蘭資料保障監管機構 (The Dutch Data Protection Authority) 荷蘭資料保障監管機構就市政府採用無線追蹤技術(能夠追蹤在市中心購物 ˴ 居住或工作的人士)而處以60萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要


(II) 《通用數據保障條例》的詮釋

日期 裁決
2023年7月4日 歐洲聯盟法院裁定國家競爭規管機構可以判定競爭案件中違反《通用數據保障條例》的行為

2023年7月4日,歐洲聯盟法院裁定在濫用支配優勢的調查中,(相關歐盟成員國的)競爭規管機構可能有必要審查公司的行為是否符合競爭法以外的規則,包括《通用數據保障條例》。

不過,歐洲聯盟法院亦指出,競爭規管機構不會取代相關歐盟成員國的資料保障機構。事實上,在考慮是否有遵從《通用數據保障條例》時,競爭規管機構必須與資料保障機構真誠協商和合作,考慮它曾否在類似案件中作過決定,並且不得背離這些決定。

在目前關於德國聯邦卡特爾辦公室於2019年禁止Meta的Facebook服務在未經用戶的同意下結合不同來源的用戶資料進行個人化廣告的案件中,歐洲聯盟法院對Meta的資料處理做法作出總體評論。它指出,只有在資料處理對合約的主要事宜屬客觀上不可或缺時,才可以援引合約履行作為根據《通用數據保障條例》處理資料的法律基礎。就這一點而言,歐洲聯盟法院懷疑Meta的個人化廣告是否符合準則,並將個案發回德國法院裁決。

有關判決詳情,請參閱(1) 歐洲聯盟法院裁決;及(2) 歐洲聯盟法院於202374日發出的新聞稿
2023年6月22日 歐洲聯盟法院裁定資料當事人有權查閱其個人資料曾被查看的日期和原因

2023 年 6月 22 日,歐洲聯盟法院就《通用數據保障條例》第15(1)條(資料當事人的查閱權)的解釋等作出裁決。案件涉及Pankki S(銀行)的一名同時是其前僱員及客戶的資料當事人,要求該銀行告知他曾查看其客戶資料的人士的身份、確實的查看日期,以及處理該些資料的目的(要求的資料)。

由於未能從該銀行獲得要求的資料,也未能從芬蘭資料保護監察辦公室尋求同等效力的命令,該資料當事人向東芬蘭行政法院提起訴訟。東芬蘭行政法院把案件轉介至歐洲聯盟法院,以澄清《通用數據保障條例》第15(1)條的解釋,包括︰(i) 由於相關的處理活動在 《通用數據保障條例》生效(即2018年5月25日)之前進行,《通用數據保障條例》是否適用於該查閱要求;(ii) 該資料當事人是否有權根據《通用數據保障條例》第15(1)條獲取要求的資料;及(iii) 控制者是銀行,以及資料當事人是銀行的客戶兼僱員,在界定查閱權的範圍上是否有關。

歐洲聯盟法院裁定,即使相關處理是在《通用數據保障條例》生效之前進行,《通用數據保障條例》第15條適用於該條例生效後作出的查閱要求,並裁定跟查看個人資料的日期及目的有關的資料,屬於資料當事人有權向控制者獲取的資料。然而,《通用數據保障條例》並沒有確立查閱依從控制者的指示而進行上述資料查閱的人士身份的權利,除非 (i) 有關資料是令資料當事人有效地行使《通用數據保障條例》賦予他們的權利所必需的,及(ii) 有關僱員的權利及自由已獲充分考慮。最後,歐洲聯盟法院裁定,資料控制者從事銀行業並在受監管活動的框架內行事,而資料當事人是該資料控制者的客戶兼僱員,在原則上不影響《通用數據保障條例》第15條賦予該資料當事人的權利的範圍。有關判決詳情,請參閱(1) 歐洲聯盟法院的裁決;及(2) 歐洲聯盟法院於2023年6月22日發出的新聞稿
 
2023年5月4日 歐洲聯盟法院裁定僅僅違反《通用數據保障條例》並不會引致獲得賠償的權利

2023 年 5 月 4 日,歐洲聯盟法院就《通用數據保障條例》下有關非物質損失的賠償作出裁決。案件涉及一名資料當事人投訴奧地利郵政於2017年收集有關奧地利居民政治傾向的個人資料。這些資料其後被售予不同機構,令它們得以發送有關政治選舉的目標式廣告。該資料當事人根據《通用數據保障條例》第82條申索1,000歐元的非物質損失賠償。

該案件被轉介至歐洲聯盟法院,以澄清 (1) 如資料當事人沒有因對方違反《通用數據保障條例》而受到傷害,他/她是否有權根據第82條僅因對方違反《通用數據保障條例》而獲得賠償;及(2) 非物質損害的賠償申索是否必須達到某嚴重程度的門檻,而非純粹因違反《通用數據保障條例》而引起的情感傷害便可作出賠償申索。

歐洲聯盟法院裁定第82條規定的賠償須符合三項條件︰(1) 處理個人資料的方式違反《通用數據保障條例》;(2) 資料當事人遭受物質或非物質損害;及(3) 該項違規與所蒙受的損害之間存在因果關係。因此,並非所有違反《通用數據保障條例》的情況都會引致獲得賠償的權利。

法院亦裁定,資料當事人不一定要蒙受一定嚴重程度的非物質損害才享有獲得賠償的權利。《通用數據保障條例》並不包含任何此規定,如設下此限制會違反歐盟立法機構對「損害」所採用的廣泛概念。

最後,法院留意到《通用數據保障條例》並不包含任何規管損害評估的規則。因此,在符合等同性及有效性的原則下,各成員國的法律體系應就擬為保障個人在《通用數據保障條例》下的權利而採取的行動訂明詳細的規則,尤其是訂明在相關的情況下應支付的賠償範圍的準則。

歐洲聯盟法院表明是次裁決確保《通用數據保障條例》為所蒙受的損害提供充分有效的賠償。有關判決詳情,請參閱(1) 歐洲聯盟法院的裁決;及(2) 歐洲聯盟法院於2023年5月4日發出的新聞稿
2023年3月2日 歐洲聯盟法院釐清在民事訴訟中呈堂包含個人資料的證據的規則

2023 年 3 月 2 日,歐洲聯盟法院就 《通用數據保障條例》在民事訴訟中的披露程序的適用性作出裁決。一間建築公司與其客戶發生付款糾紛,當中的爭議是為稅務目的而收集的個人資料是否可以在民事訴訟中呈堂。該議題由瑞典最高法院提交歐洲聯盟法院作初步裁決。

歐洲聯盟法院裁定,任何個人資料的處理,包括由法院等公共機構所作出的處理,都必須基於《通用數據保障條例》第 6 條規定的法律依據而作出。歐洲聯盟法院檢視了《通用數據保障條例》第 6(1)(e) 條(為公共利益而作出的處理)和第 6(3) 條(歐洲聯盟成員國可就為公共利益而作出的個人資料處理採取更具體的規定,前提是此更具體的法律符合《通用數據保障條例》的公共利益目標並且與所追求的公共利益相稱),認為由於瑞典法律規定有義務向法院提交可被視為具有證明價值的證據,因此符合了《通用數據保障條例》第 6(3) 條的要求。

歐洲聯盟法院亦裁定,該些文件的披露為《通用數據保障條例》第 6(4) 條下所允許的進一步處理,而該進一步處理如為基於國家法律並且為民主社會為了保障 《通用數據保障條例》 第 23(1) 條的目標之一而作出的必要和相稱的措施便會獲允許。在其決定中,歐洲聯盟法院指出,該些目標包括《通用數據保障條例》第 23(1)(f) 條(保護司法獨立和司法程序)和第 23(1)(j) 條(民事索償的執行)。然而,歐洲聯盟法院強調,應由轉介法院檢視《通用數據保障條例》 第 6(4) 條及第 23(1) 條的要求是否經已符合。

有關判決詳情,請參閱歐洲聯盟法院2023年3月2日的裁決
2023年2月9日 歐洲聯盟法院就解僱保障資料主任及利益衝突作出裁決

2023年2月9日,歐洲聯盟法院就根據《通用數據保障條例》第38(3)條解僱保障資料主任的條件及第38(6)條下利益衝突的定義作出一項裁決。案件涉及一名德國企業集團的保障資料主任於2018年5月《通用數據保障條例》剛生效時遭到解僱,他同時亦是該集團的「勞資聯合委員會主席」。該保障資料主任向德國法院提出法律訴訟,尋求法院宣布有關解僱無效,而該公司則援引利益衝突作為解僱的正當理由。德國聯邦最高勞工法院把案件轉介至歐洲聯盟法院作出澄清,當中包括︰(i)第38(3)條是否禁止成員國進一步訂立解僱保障資料主任的條件;及 (ii)第38(6)條所指的利益衝突在多大程度上能夠成為解僱保障資料主任的合理理由。

就第38(3)條,歐洲聯盟法院裁定成員國可自由「就解僱保障資料主任訂立更多保護性的具體條文」,只要這些條文不會「損害實現《通用數據保障條例》的目的」。至於第38(6)條,歐洲聯盟法院裁定保障資料主任應該「以獨立態度履行其職責及工作」,而在保障資料主任被「分派會促使[他們]決定處理個人資料的目的及方式的工作或職責」時,才產生第38(6)條所定義的利益衝突。

有關判決詳情,請參閱歐洲聯盟法院2023年2月9日的裁決
2023年1月12日 歐洲聯盟法院裁定《通用數據保障條例》的行政和民事補救方法可同時並獨立行使

2023年1月12日,歐洲聯盟法院就《通用數據保障條例》的行政和民事補救方法之間的關係作出裁決。該案件涉及一名股東要求公司提供股東大會的錄音。該公司僅向該股東提供了他於會議上發言的錄音。該股東其後向匈牙利資料保障監管機構要求該公司提供有關錄音。在匈牙利資料保障監管機構拒絕其要求後,該股東就該決定提出行政上訴,並同時於匈牙利的民事法院提出訴訟,反對該公司的決定。雖然行政上訴程序仍在進行中,但民事法院已裁定該公司侵犯了該股東查閱其個人資料的權利。布達佩斯高等法院因此將有關案件轉介至歐洲聯盟法院,以澄清在審視國家監管機構所作決定的合法性下,它是否受民事法院就相同事實背景及相同侵權指控的最終判決約束,以及其中一種補救措施是否優先於另一種補救措施。

在判決中,歐洲聯盟法院認為《通用數據保障條例》沒有規定任何優先權或專屬權限或管轄權,也沒有規定任何關於監管機構或法院就是否存在侵權進行的評估的排名。因此,《通用數據保障條例》規定的行政和民事補救方法可以同時並獨立行使。每個成員國須確保同時並獨立行使的補救方法不會影響《通用數據保障條例》的有效性及對權利的有效保護、其條款被一致地應用,以及在法庭上獲得有效補救的權利。

有關判決的詳情,請參閱(1) 歐洲聯盟法院的裁決; 及(2) 歐洲聯盟法院於2023年1月12日發出的新聞稿
2023年1月12日 歐洲聯盟法院確認資料當事人有權獲知其個人資料已被披露或將會被披露予的特定接收者的資料

2023年1月12日,歐洲聯盟法院就歐盟《通用數據保障條例》第15(1)(c)條下資料當事人查閱有關已經接收或將會接收其個人資料的接收者或接收者類別的資料的權利作出裁決。在該案件中,負責奧地利郵政服務的Österreichische Post AG,在回應一名資料當事人有關其個人資料的接收者的查閱資料要求時,僅提供了接收者類別的描述,而沒有透露特定接收者的身分。奧地利最高法院將有關案件轉介至歐洲聯盟法院,要求就歐盟《通用數據保障條例》第15(1)(c)條作出詮釋。

在判決中,歐洲聯盟法院裁定,為確保歐盟《通用數據保障條例》賦予資料當事人的其他權利(包括歐盟《通用數據保障條例》第 16 條、第 17 條、第 18 條和第 21 條下的更正權、刪除權、限制處理權和反對權)的有效性,資料當事人必須有權獲知其個人資料已被披露或將會被披露予的特定接收者的資料。

儘管如此,歐洲聯盟法院指出有關權利在特定的情況下可能會受到限制,例如無法披露特定接收者的身分,尤其是在未知他們的身分的情況下,或者資料控制者可以證明資料當事人的要求,按照歐盟《通用數據保障條例》 第 12(5) 條的含義,是明顯沒有根據或過度的。

有關判決的詳情,請參閱(1) 歐洲聯盟法院裁決; 及(2) 歐洲聯盟法院於2023年1月12日發表的新聞稿
2022年12月8日 歐洲聯盟法院確立「刪除權」(「被遺忘權」)涵蓋刪除明顯不實資訊

2022年12月8日,歐洲聯盟法院作出有關「刪除權」(「被遺忘權」)的裁判。該案件中的兩名投資經理要求Google移除根據他們的名字進行搜尋所顯示有關批評他們投資模式的某些文章的連結。他們表示有關文章包含不實的指控。他們同時要求Google從搜尋結果中刪除他們的照片縮圖。Google拒絕有關要求,並聲稱未有察覺該些文章包含不實資訊。德國聯邦最高法院將有關案件轉介至歐洲聯盟法院,要求就歐盟《通用數據保障條例》第17(3)(a)條有關行使刪除權和言論及資訊自由權作出詮釋。

在判決中,歐洲聯盟法院指出保障個人資料的權利並非絕對,行使有關權利必須要考慮它在社會的功能,以及根據相稱原則與其他基本權利取得平衡。雖然歐盟《通用數據保障條例》明確規定,如處理有關資料是行使言論及資訊自由權所必需的,則刪除權被排除在外,但言論及資訊自由的權利並不包括發表至少有一部分(非為不重要的事實)被證實為不實的資訊。

歐洲聯盟法院裁定,如果提出要求者提出相關及足夠的證據證明有關資訊明顯不實,搜尋引擎營運商必須要刪除有關被連結的不實資料。為免加重提出要求者的舉證責任,歐洲聯盟法院表示,有關證明不必來自對有關網絡發布者的司法判決,提出要求者只需要提供可以合理要求他/ 她試圖找到的證據。

關於照片縮圖的搜尋結果,歐洲聯盟法院認為有關展示對資料當事人的私生活及他們的個人資料構成重大影響。因此,歐洲聯盟法院需按有關照片的個別發布情況(是否在原有的文章以闡述資訊或發表意見,抑或是在其他情況發布),單獨權衡各方的權利和利益。

有關判決的詳情,請參閱(1) 歐洲聯盟法院的裁決; 及(2) 歐洲聯盟法院於2022年12月8 日發出的新聞稿


B.《通用數據保障條例》下的主要發展

日期 主要發展
2023年7月10日 有關歐盟-美數據私隱框架的足夠保障程度決

2023年7月10日歐盟委員會採納關於歐盟-美國數據私隱框架(數據私隱框架)的足夠保障程度決定,作出美國會向由歐盟的資料控制者或處理者根據數據私隱框架轉移至美國認證機構的個人資料提供與歐盟基本上相同的保護水平的結論。具體而言,足夠保障程度決定容許此類資料轉移可於無需取得任何進一步授權的情況下進行。

數據私隱框架引入了一些具約束力的新保護措施,包括︰
  • 限制美國情報部門只可查閱必需及適度的歐盟資料當事人的個人資料,以保護國家安全(根據美國《關於加強美國信號情報活動的保障措施》的行政命令);
  • 向其資料將根據數據私隱框架轉移到美國的歐盟資料當事人提供多項新權利(即查閱其資料、改正或刪除不準確或被非法處理的資料);及
  • 為歐盟資料當事人設立兩級申訴機制(即歐盟資料當事人的投訴首先會由美國情報機構的公民自由保護官調查,其後資料當事人可以就公民自由保護官的決定向獨立且新成立的數據保護審查法院提出上訴)。
美國機構可以根據數據私隱框架進行自我認證,承諾遵守一系列詳盡的私隱責任(例如︰限制目的、蒐集最少資料、不再需要時立即刪除資料、有關資料安全及與第三方共享資料的具體責任等)。認證必須每年更新一次。機構如被發現持續不遵守這些原則,會從數據私隱框架名單中被刪除,並且必須歸還或刪除根據數據私隱框架獲取的個人數據。

足夠保障程度決定即時生效,而數據私隱框架會在美國機構認證後開始適用。同時,歐盟委員會將定期檢討足夠保障程度決定,第一次檢討將於生效後一年內進行。

有關數據私隱框架的詳情請參閱2023年7月10日公布的歐盟-美國數據私隱框架的足夠保障程度決定全文
2022年3月25日 歐盟及美國之間新的跨大西洋數據私隱框架

2020年7月16日,歐洲聯盟法院在Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems and intervening parties一案中推翻了歐盟-美國「私隱保護盾」 的框架(常稱為「Schrems II判決」)。該框架自2016年實施以來為歐盟公司轉移個人資料至美國公司的主要機制。

歐盟委員會與美國經持續討論後,於2022年3月25日宣布雙方原則上已就一個新的跨大西洋數據私隱框架達成協議( 「新框架」),以期重新建立一個從歐盟轉移個人資料至美國的法律機制。

重點來說,新框架確保(i) 由美國進行的信號情報活動須在以達致合法的國家安全目標方面而言屬必要及相稱的;(ii) 將設立一個獨立及具約束力的申訴機制,為受影響的歐盟公民制訂補救措施;及(iii) 美國的情報機關將採取程序以確保能有效地監督新的私隱及公民自由標準的執行。

就下一階段而言,歐盟委員會與美國將會繼續準備雙方為落實新框架所需的法律文件。

有關新框架的詳情,請參閱(1) 歐盟委員會與美國有關跨大西洋數據私隱框架的聯合聲明;及(2) 美國白宮發出的新聞稿。該兩份文件均於2022年3月25日發出。
2022年3月21日 適用於從英國轉移個人資料的新轉移文件

《通用數據保障條例》被保留為英國的當地法律,稱為《英國通用數據保障條例》。《英國通用數據保障條例》第46(1)條容許在指定的情況下在國際間轉移個人資料,其中包括資料輸出者提供適當的保障措施(包括採納由資訊專員發出的標準數據保障條款等)。

2022年3月21日,兩項新轉移文件,即由資訊專員發出的(i) 國際數據轉移協議及(ii) 國際數據轉移附錄 (附於歐盟委員會在2021年6月就國際間轉移資料採納的標準合約條款) ,開始生效。其中,新轉移文件的目的是取代英國現行的標準合約條款,即歐盟在《通用數據保障條例》生效前採納的標準合約條款( 「舊版標準合約條款」)。

採納國際數據轉移協議及國際數據轉移附錄對資料轉移者及資料接收者的實際影響如下:

  • 於2022年9月21日或之前依據舊版標準合約條款簽訂的合約就《英國通用數據保障條例》而言,將會繼續提供適當的保障措施(前提是作為合約主題事項的處理活動維持不變),直至2024年3月21日。
  • 由2022年9月22日起,有關根據《英國通用數據保障條例》在國際間轉移個人資料的新合約必須採納國際數據轉移協議或國際數據轉移附錄。
  • 由2024年3月22日起,舊版標準合約條款就《英國通用數據保障條例》而言,將不再被視為提供「適當的保障措施」。所有採納舊版標準合約條款的合約須於2024年3月21日或之前以國際數據轉移協議或國際數據轉移附錄替代。
有關國際數據轉移協議及國際數據轉移附錄的詳情,請參閱英國資訊專員辦公室的介紹
2021年12月17日 有關南韓的足夠保障程度決定

2021年12月17日,歐盟委員會採納有關由歐盟轉移個人資料至南韓機構的足夠保障程度決定,相關個人資料受《個人資料保護法》保障,有關額外保障措施以及官方的申述 ˴ 保證和承諾反映在決定當中。

有關南韓的足夠保障程度決定的詳情,請參閲歐盟委員會法律事務委員Didier Reynders與南韓個人資料保護委員會主席Yoon Jong In共同發出的新聞稿
2021年6月28日 有關英國的足夠保障程度決定

2021年6月28日,歐盟委員會採納兩個分別根據《通用數據保障條例》及執法指令所作的有關轉移個人資料至英國的足夠保障程度的決定。當英國確保個人資料得到歐盟法律所保證的相等程度的保障,個人資料便可從歐盟自由流通至英國。

有關英國的足夠保障程度決定的詳情,請參閲歐盟委員會發出的新聞稿

1 歐洲資料保障委員會於指引中臚列了五個計算行政罰款的步驟︰
(1) 識別相關的處理程序,並評估《通用數據保障條例》第83(3)條的應用;
(2) 確定進一步計算罰款的起點,方法包括︰考慮《通用數據保障條例》第83(4)-(6)條下的違規類別、違規性質及嚴重程度,以及企業的營業額;
(3) 衡量《通用數據保障條例》第83(2)條所列的加重處罰或減輕處罰因素;
(4) 確定罰款的法定最高金額(固定及動態最高金額)(以較高者為準);及
(5) 考慮罰款的有效性、相稱性及警示性。
有關詳情,請參閱該指引。