歐盟《通用數據保障條例》
歐盟《通用數據保障條例》
I. 歐洲聯盟(歐盟)《通用數據保障條例》
歐盟的《通用數據保障條例》已於2018年5月25日生效,取代原有為處理個人資料及有關資料自由流通的個人保障而制訂的歐盟指令 95/46/EC(歐盟指令),並且涉及新的規定和加強的權利。隨著科技發展,以至歐盟的資料保障的基本權利全球化及憲法化,《通用數據保障條例》旨在協調數碼單一市場的框架,讓個人掌握他們的資料,並制定現代化的資料保障管治。
為何《通用數據保障條例》與香港的機構/企業有關?
在香港,訂立香港法例第486章《個人資料(私隱)條例》(《私隱條例》) 是為保障個人資料方面的私隱。在草擬《私隱條例》時,曾參考經濟合作及發展組織1980年的私隱指引及歐盟指令。由於《通用數據保障條例》為以歐盟指令為本的資料保障法律帶來了重大的發展及改變,因此新的監管框架內包括了《私隱條例》未有的規定。
《通用數據保障條例》對歐盟以外的資料保障局面帶來的其中一項重大發展,是明確規定在非歐盟法域管轄區內成立的機構在特定的情況下須遵從《通用數據保障條例》的規定。由於業務或交易模式多樣化(例如網上交易),香港的機構/企業必須確定《通用數據保障條例》是否對它們適用,並緊貼新的發展。
II. 歐盟委員會根據《通用數據保障條例》就國際間資料轉移採納的新版標準合約條款
III. 《通用數據保障條例》的相關刊物及文章
IV. 歐洲聯盟發出的指引及參考資料
V. 有關《通用數據保障條例》的重要決定及主要發展摘要
II. 歐盟委員會根據《通用數據保障條例》就國際間資料轉移採納的新版標準合約條款
歐盟委員會採納了一套有關轉移個人資料至非歐盟地區的新版標準合約條款 (「新版標準合約條款」),有關條款已於2021年6月27日生效。由2021年9月27日起,資料輸出者及資料輸入者只可就跨境個人資料轉移簽訂採納新版標準合約條款的合約。私隱公署發佈一系列有關的常見問題資料,以介紹新版標準合約條款的實施框架和簽訂包含新版標準合約條款的跨境資料轉移協議的各合約方的責任,供公眾參考。
更多詳情,請參閲有關系列的常見問題資料:
https://www.pcpd.org.hk/tc_chi/data_privacy_law/eu/files/eu_faq.pdf
請按此閲覽「歐盟委員會有關國際間資料轉移的新版標準合約條款的簡介」。
請按此下載「歐盟的新版標準合約條款下從歐盟轉移個人資料至非歐盟地區」網上講座的演講簡報及觀看有關影片。
III. 《通用數據保障條例》的相關刊物及文章
為了提高香港機構/企業認識《通用數據保障條例》 2016 下新制定的資料保障監管框架對它們可能帶來的影響,公署出版了以下刊物︰
 |
小冊子:歐洲聯盟《通用數據保障條例》2016 最新資訊 (2020年5月修訂版) |
- 《香港律師》 (2018年6月份) - 歐盟《通用數據保障條例》與香港《個人資料(私隱)條例》有甚麼分別?
- 公署新聞稿(2018年 4月 3日)- 香港企業應如何為即將實施的歐盟通用數據保障新條例作好準備
IV. 歐洲聯盟發出的指引及參考資料
歐洲資料保障委員會
| 涉及的事宜 | 建議/指引 |
|---|---|
| 行爲守則 | 有關以行爲守則作爲轉移工具的第04/2021號指引 |
| 同意 | 有關同意的第05/2020號指引 |
| 控制者及處理者 | 有關《通用數據保障條例》下控制者及處理者的概念的第07/2020號指引 |
| 資料外洩事故通報 | |
| 資料可攜性 | 有關資料可攜權的指引 |
| 貫徹資料保障的設計及預設 | 有關第25條貫徹資料保障的設計及預設的第4/2019號指引 |
| 資料保障影響評估 | 有關資料保障影響評估的指引 |
| 豁免情況 | 有關《通用數據保障條例》第49條下豁免情況的第2/2018號指引 |
| 在提供網上服務時處理個人資料 | 有關在提供網上服務予資料當事人時根據《通用數據保障條例》第6(1)(b)條處理個人資料的第2/2019號指引 |
| 利用視像器材處理個人資料 | 有關利用視像器材處理個人資料的第3/2019號指引 |
| 限制 | 有關《通用數據保障條例》第23條下限制(資料當事人權利及控制者/處理者責任的範圍)的第10/2020號指引 |
| 針對社交媒體使用者 | 有關針對社交媒體使用者的第8/2020號指引 |
| 地域範圍 | 有關《通用數據保障條例》地域範圍(第3條)的第3/2018號指引 |
| 轉移工具 | 有關補充轉移工具以確保符合歐盟個人資料保障程度的措施的第01/2020號建議 |
| 透明度 | 有關透明度的指引 |
歐盟委員會
| 涉及的事宜 | 建議/指引 |
|---|---|
| 資料保障制度 | 歐盟的資料保障制度概覽 |
| 《通用數據保障條例》的規定 | 《通用數據保障條例》的規定簡介 |
V. 有關《通用數據保障條例》的重要決定及主要發展摘要
A. 根據《通用數據保障條例》作出的重要決定摘要
| 作出決定的日期 | 作出決定的資料保障監管機構 | 罰則及違反規定 |
|---|---|---|
| 2022年10月17日 | 法國資料保障監管機構 (The French Data Protection Authority (CNIL)) | Clearview AI因為在沒有法律依據的情況下收集並使用生物辨識資料,非法處理個人數據,並未能以有效和令人滿意的方式考慮資料當事人的權利,特別是在處理資料當事人查閱資料的要求方面,而被法國資料保障監管機構處以2000萬歐元罰款。Clearview AI於調查期間亦沒有充分與法國資料保障監管機構合作。有關該決定的詳情,請參閱法國資料保障監管機構於 2022 年 10 月 20 日發出的新聞稿。 |
| 2022年10月4日 | 英國資料保障監管機構 (The Information Commissioner’s Office) | Easylife Ltd因在未經同意的情況下使用 145,400名客戶的個人資料以預測他們的健康狀況並在向他們提供相關的健康產品而被英國資料保障監管機構處以135萬英鎊罰款。另外,Easylife Ltd因撥打 1,345,732 個不願接收的促銷電話而被額外罰款 130,000 英鎊。有關決定的詳情,請參閲英國資料保障監管機構 於2022年10月6日發出的新聞稿。 |
| 2022年9月2日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) |
愛爾蘭資料保障監管機構早前就Meta旗下社交平台Instagram (Meta Platforms Ireland Limited (Meta IE)) 兒童用戶(13 至 17 歲的用戶)個人資料的處理進行調查。調查顯示平台允許兒童用戶使用商業帳號,以致其電郵地址及電話號碼等個人資料被公開展示;同時,平台的用戶註冊系統將兒童用戶的帳號預設為「公開」。Instagram因而被愛爾蘭資料保障監管機構處以4.05億歐元罰款,並須作出一系列的糾正措施。 該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構的決定及其於2022年9月15日發出的新聞稿。 |
| 2022年7月13日 | 希臘資料保障監管機構 (The Hellenic Data Protection Authority of Greece) | 人臉識別技術公司Clearview AI Inc. (Clearview)因違反有關合法性及透明度的原則而被希臘資料保障監管機構處以2,000萬歐元罰款。同時,希臘資料保障監管機構禁止Clearview以其人臉識別系統相關的方式收集和處理於希臘境內的資料當事人的個人資料,並命令Clearview刪除所有以有關方式收集的個人資料。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2022年5月18日 | 英國資料保障監管機構 (The Information Commissioner’s Office) | Clearview AI Inc. (Clearview) 因為收集和使用在互聯網及社交平台上公開的英國及其他地區人士的圖像於其人臉識別系統而被英國資料保障監管機構處以7,552,800英鎊罰款。同時,英國資料保障監管機構命令Clearview停止收集英國居民於互聯網上公開的個人資料,並刪除其系統中英國居民的個人資料。有關決定的詳情, 請參閲英國資料保障監管機構 於2022年5月23日發出的新聞稿。 |
| 2022年3月15日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) | Meta Platforms (前稱 Facebook)因違反《通用數據保障條例》第5(2)條(有關目的限制原則)而被愛爾蘭資料保障監管機構處以1,700萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要 。 |
| 2022年2月10日 | 意大利資料保障監管機構 (The Italian Data Protection Authority (GPDP)) | Clearview AI Inc. 因在缺乏適當法律基礎的情況下不合法地處理個人資料及違反有關透明度 ˴目的限制及儲存限制等原則而被意大利資料保障監管機構(GPDP)處以2,000萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2022年1月27日 | 希臘資料保障監管機構 (The Hellenic Data Protection Authority of Greece) | 經接獲一宗個人資料外洩事故通報後,希臘資料保障監管機構就電訊公司 Cosmote及 OTE違反合法性及透明度的原則 ˴ 執行不足的保安措施等,向其處以共925萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2022年1月14日 | 荷蘭資料保障監管機構 (The Dutch Data Protection Authority) | DPG Media Magazines因不必要地索取身份証明文件副本而被荷蘭資料保障監管機構處以52.5萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2021年12月22日 | 奧地利資料保障監管機構 (The Austrian Data Protection Authority (DSB)) | 奧地利資料保障監管機構 (DSB)裁定奧地利一名網站營運者在網站内使用 Google Analytics,轉移個人資料至位於美國的 Google LLC,違反《通用數據保障條例》第44條。 DSB認爲該網站營運者和 Google LLC之間簽訂的標準合約條款未有提供足夠程度的保障予相關個人資料。有關決定的詳情, 請參閲 DSB 發出的決定摘要。 |
| 2021年12月16日 | 意大利資料保障監管機構 (The Italian Data Protection Authority (GPDP)) | Enel Energia因進行積極的電話推銷及不恰當地處理資料當事人提出查閲資料要求及反對處理其個人資料作推銷用途的個案,而被意大利資料保障監管機構(GPDP)處以2,650萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2021年8月20日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) |
愛爾蘭資料保障監管機構就 WhatsApp Ireland Ltd.在提供服務資訊予歐洲用家方面違反透明度原則等作出最後決定,向 WhatsApp Ireland Ltd.處以2億2,500萬歐元罰款,並對它作出譴責及命令它執行一連串指定的補救措施,以確保其處理活動符合規定。該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構的決定及其於2021年9月2日發出的新聞稿。
註: WhatsApp Ireland Ltd.正對愛爾蘭資料保障監管機構針對它作出的決定提出上訴。 |
| 2021年6月21日 | 瑞典資料保障監管機構 (The Swedish Authority for Privacy Protection (IMY)) | 在斯德哥爾摩營運公共運輸的 SL因在公共交通工具上不合法使用隨身攝像機而被瑞典資料保障監管機構(IMY)處以1,600萬瑞典克朗罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2021年4月29日 | 荷蘭資料保障監管機構 (The Dutch Data Protection Authority) | 荷蘭資料保障監管機構就市政府採用無線追蹤技術(當中可追蹤在市中心購物 ˴ 居住及工作的人士)而對其處以60萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
B.《通用數據保障條例》下的主要發展
| 日期 | 主要發展 |
|---|---|
| 2022年12月8日 |
歐洲聯盟法院確立「刪除權」(「被遺忘權」)涵蓋刪除明顯不實資訊 於2022年12月8日,歐洲聯盟法院作出有關「刪除權」(「被遺忘權」)的裁判。該案件中的兩名投資經理要求Google移除根據他們的名字進行的搜尋所顯示有關批評他們投資模式的某些文章的連結。他們表示有關文章包含不實的指控。他們同時要求Google從搜尋結果中刪除他們的照片縮圖。Google拒絕履行有關要求,並聲稱未能核實該些文章是否包含不實資訊。德國聯邦最高法院將有關案件轉介至歐洲聯盟法院,要求就歐盟《通用數據保障條例》第17(3)(a)條有關行使刪除權及言論及資訊自由權作出詮釋。 在判決中,歐洲聯盟法院指出保障個人資料的權利並非絕對,行使有關權利必須要考慮社會的運作,以及根據相稱原則與其他基本權利取得平衡。雖然歐盟《通用數據保障條例》明確規定,如處理有關資料是行使言論及資訊自由權所必需的,則刪除權被排除在外,但言論及資訊自由的權利並不包括發表至少有一部分(非為不重要的事實)被證實為不實的資訊。 歐洲聯盟法院裁定,如果提出要求者提出相關及足夠的證據證明有關資訊明顯不實,搜尋引擎營運商必須要刪除有關被連結的不實資料。為免加重提出要求者的舉證責任,歐洲聯盟法院表示,有關證明不必來自對有關網絡發布者的司法判決,提出要求者只需要提供可以合理要求他/ 她試圖找到的證據。 就有關照片縮圖搜尋結果,歐洲聯盟法院認為有關展示對資料當事人的私生活及他們的個人資料構成重大影響。因此,歐洲聯盟法院需按所述照片的個別發布情況(是否在原有的文章以闡述文章或意見發表內容,抑或是其他情況發布),單獨權衡各方的權利和利益。 |
| 2022年3月25日 |
歐盟及美國之間新的跨大西洋數據私隱框架 2020年7月16日,歐洲聯盟法院在Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems and intervening parties一案中推翻了歐盟-美國「私隱保護盾」 的框架(常稱為「Schrems II判決」)。該框架自2016年實施以來為歐盟公司轉移個人資料至美國公司的主要機制。 歐盟委員會及美國經持續討論後,於2022年3月25日宣布雙方原則上已就一個新的跨大西洋數據私隱框架達成協議( 「新框架」),以期重新建立一個從歐盟轉移個人資料至美國的法律機制。 重點來說,新框架確保(一)由美國進行的信號情報活動須在以達致合法的國家安全目標方面而言屬必要及相稱的;(二)將設立一個獨立及具約束力的申訴機制,為受影響的歐盟公民制訂補救措施;及(三)美國的情報機關將採取程序以確保能有效地監督新的私隱及公民自由標準的執行。 就下一階段而言,歐盟委員會及美國將會繼續準備雙方為落實執行新框架所需的法律文件。 有關新框架的詳情,請參閱(一)歐盟委員會及美國有關跨大西洋數據私隱框架的聯合聲明;及(二)美國白宮所發表的新聞稿。該兩份文件均於2022年3月25日發出。 |
| 2022年3月21日 |
適用於從英國轉移個人資料的新轉移文件 《通用數據保障條例》被保留於英國的當地法律作《英國通用數據保障條例》。《英國通用數據保障條例》第46(1)條容許在指定的情況下作國際間的個人資料轉移,其中包括當資料輸出者提供適當的保障措施(包括採納由資訊專員發出的標準數據保障條款等等)。 2022年3月21日,兩項新轉移文件,即由資訊專員發出的(一)國際數據轉移協議及(二) 國際數據轉移附錄 (附於歐盟委員會在2021年6月就國際間資料轉移採納的標準合約條款) ,開始生效。其中,新轉移文件的目的是取代英國現行的標準合約條款,即歐盟在《通用數據保障條例》生效前採納的標準合約條款( 「舊版標準合約條款」)。 採納國際數據轉移協議及國際數據轉移附錄對資料轉移者及資料接收者的實際影響如下:
有關國際數據轉移協議及國際數據轉移附錄的詳情,請參閱英國資訊專員辦公室的介紹。 |
| 2021年12月17日 |
愛爾蘭資料保障監管機構(Data Protection Commission of Ireland)出版有關兒童私隱的指引 2021年12月17日,愛爾蘭資料保障監管機構出版指引“Fundamentals For A Child-oriented Approach To Data Processing”, 就有關在資料處理活動中保障兒童的個人資料私隱提供指引及建議最佳行事方式。有關該指引的詳情,請參閲愛爾蘭資料保障監管機構發出的摘要。 |
| 2021年12月17日 |
有關南韓的足夠保障程度決定 2021年12月17日,歐盟委員會採納有關由歐盟轉移個人資料至大韓民國機構的足夠保障程度決定,相關個人資料受個人資料保護法保障,有關額外保障措施以及官方的申述 ˴ 保證和承諾反映在決定當中。 有關南韓的足夠保障程度決定的詳情,請參閲歐盟委員會法律事務委員Didier Reynders及大韓民國個人資料保護委員會主席Yoon Jong In共同發出的新聞稿。 |
| 2021年6月28日 |
有關英國的足夠保障程度決定 2021年6月28日,歐盟委員會採納兩個分別根據《通用數據保障條例》及執法指令所作的有關轉移個人資料至英國的足夠保障程度的決定。當英國確保個人資料得到歐盟法律所保證的相等程度的保障,個人資料便可從歐盟自由流動至英國。 有關英國的足夠保障程度決定的詳情,請參閲歐盟委員會發出的新聞稿。 |