歐盟的《通用數據保障條例》已於2018年5月25日生效,取代原有為處理個人資料及有關資料自由流通的個人保障而制訂的歐盟指令 95/46/EC(歐盟指令),並且涉及新的規定和加強的權利。隨著科技發展,以至歐盟的資料保障的基本權利全球化及憲法化,《通用數據保障條例》旨在協調數碼單一市場的框架,讓個人掌握他們的資料,並制定現代化的資料保障管治。
為何《通用數據保障條例》與香港的機構/企業有關?
在香港,訂立香港法例第486章《個人資料(私隱)條例》(《私隱條例》) 是為保障個人資料方面的私隱。在草擬《私隱條例》時,曾參考經濟合作及發展組織1980年的私隱指引及歐盟指令。由於《通用數據保障條例》為以歐盟指令為本的資料保障法律帶來了重大的發展及改變,因此新的監管框架內包括了《私隱條例》未有的規定。
《通用數據保障條例》對歐盟以外的資料保障局面帶來的其中一項重大發展,是明確規定在非歐盟法域管轄區內成立的機構在特定的情況下須遵從《通用數據保障條例》的規定。由於業務或交易模式多樣化(例如網上交易),香港的機構/企業必須確定《通用數據保障條例》是否對它們適用,並緊貼新的發展。
歐盟委員會採納了一套有關轉移個人資料至非歐盟地區的新版標準合約條款 (「新版標準合約條款」),有關條款已於2021年6月27日生效。由2021年9月27日起,資料輸出者及資料輸入者只可就跨境個人資料轉移簽訂採納新版標準合約條款的合約。私隱公署發佈一系列有關的常見問題資料,以介紹新版標準合約條款的實施框架和簽訂包含新版標準合約條款的跨境資料轉移協議的各合約方的責任,供公眾參考。
更多詳情,請參閲有關系列的常見問題資料:
https://www.pcpd.org.hk/tc_chi/data_privacy_law/eu/files/eu_faq.pdf
請按此閲覽「歐盟委員會有關國際間資料轉移的新版標準合約條款的簡介」。
請按此下載「歐盟的新版標準合約條款下從歐盟轉移個人資料至非歐盟地區」網上講座的演講簡報及觀看有關影片。
為了提高香港機構/企業認識《通用數據保障條例》 2016 下新制定的資料保障監管框架對它們可能帶來的影響,公署出版了以下刊物︰
![]() |
小冊子:歐洲聯盟《通用數據保障條例》2016 最新資訊 (2020年5月修訂版) |
歐洲資料保障委員會
涉及的事宜 | 建議/指引 |
---|---|
行爲守則 | 有關以行爲守則作爲轉移工具的第04/2021號指引 |
同意 | 有關同意的第05/2020號指引 |
控制者及處理者 | 有關《通用數據保障條例》下控制者及處理者的概念的第07/2020號指引 |
資料外洩事故通報 | |
資料可攜性 | 有關資料可攜權的指引 |
貫徹資料保障的設計及預設 | 有關第25條貫徹資料保障的設計及預設的第4/2019號指引 |
資料保障影響評估 | 有關資料保障影響評估的指引 |
豁免情況 | 有關《通用數據保障條例》第49條下豁免情況的第2/2018號指引 |
在提供網上服務時處理個人資料 | 有關在提供網上服務予資料當事人時根據《通用數據保障條例》第6(1)(b)條處理個人資料的第2/2019號指引 |
利用視像器材處理個人資料 | 有關利用視像器材處理個人資料的第3/2019號指引 |
限制 | 有關《通用數據保障條例》第23條下限制(資料當事人權利及控制者/處理者責任的範圍)的第10/2020號指引 |
針對社交媒體使用者 | 有關針對社交媒體使用者的第8/2020號指引 |
地域範圍 | 有關《通用數據保障條例》地域範圍(第3條)的第3/2018號指引 |
轉移工具 | 有關補充轉移工具以確保符合歐盟個人資料保障程度的措施的第01/2020號建議 |
透明度 | 有關透明度的指引 |
歐盟委員會
涉及的事宜 | 建議/指引 |
---|---|
資料保障制度 | 歐盟的資料保障制度概覽 |
《通用數據保障條例》的規定 | 《通用數據保障條例》的規定簡介 |
A. 根據《通用數據保障條例》作出的重要決定摘要
(I) 牽涉罰款的決定
作出決定的日期 | 作出決定的資料保障監管機構 | 罰則及違反規定 |
---|---|---|
2023年1月12日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) |
愛爾蘭資料保障監管機構對Whatsapp Ireland Limited (Whatsapp) 就其服務違反《通用數據保障條例》處以550萬歐元的罰款。愛爾蘭資料保障監管機構裁定Whatsapp不能以其與Whatsapp用戶的合約作為法律基礎為改善服務和保安的目的處理個人資料,因而違反了《通用數據保障條例》第6條。Whatsapp亦因為未有明確向用戶指出其處理個人資料的法律基礎而違反了公平原則及其有關透明度的責任。Whatsapp亦被指定必須在六個月內使其資料處理業務符合規定。 該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構於2023年1月12日的決定及於2023年1月19日發出的新聞稿。 |
2022年12月31日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) |
愛爾蘭資料保障監管機構對Meta Platforms Ireland Limited (Meta)就其Facebook 和 Instagram 服務違反《通用數據保障條例》,分別處以 2.1 億歐元和 1.8 億歐元的罰款。愛爾蘭資料保障監管機構裁定Meta不能以其與Facebook和Instagram使用者的合約作為法律基礎,為使用者提供個人化服務(包括根據使用者的線上活動向用戶投放定向廣告),因而違反了《通用數據保障條例》第6條。Meta亦因為未有明確向用戶指出其處理個人資料的法律基礎而違反了公平原則及其有關透明度的責任。Meta被指定必須在三個月內使其資料處理業務符合規定。 該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構於2022年12月31日的決定(Facebook;Instagram) 及於2023年1月4日發出的新聞稿。 |
2022年11月25日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) | 愛爾蘭資料保障監管機構就早前Facebook用戶個人資料洩漏至互聯網的事件進行調查,裁定Meta Platforms Ireland Limited (Meta) 違反《通用數據保障條例》下有關貫徹私隱的設計及預設的規定,因而向Meta處以2.65億歐元的罰款,及要求Meta作出一系列的糾正措施。有關決定的詳情,請參閲愛爾蘭資料保障監管機構於2022年11月28日發出的新聞稿。 |
2022年11月10日 |
法國資料保障監管機構 (The French Data Protection Authority (CNIL)) |
法國資料保障監管機構 (CNIL) 對提供 IP 網絡語音和即時通訊服務的 Discord Inc. (Discord) 處以 80萬歐元的罰款。原因是Discord未有制定書面資料保留政策,且未能向其用戶提供足夠的關於其資料保留時限的信息,包括沒有列明具體期限或決定保留時限考慮的準則。調查亦發現Discord未有告知用戶在關閉應用程式的視窗後,語音頻道與第三方的連接及傳輸仍會在背景運行,而Discord的密碼管理政策的強度亦有不足。 另外,Discord 未有進行資料保障影響評估。有關該決定的詳情,請參閱法國資料保障監管機構於 2022 年 11 月17 日發出的新聞稿。 |
2022年11月2日 | 葡萄牙資料保障監管機構 (The Portuguese Data Protection Authority (CNPD)) | 葡萄牙國家統計局因為進行2021年人口普查期間違反多項 GDPR的規定,而被葡萄牙資料保障監管機構(CNPD)處以 430 萬歐元的罰款。CNPD經調查發現人口普查中有關健康和宗教的問題在法律上應定為可選題目,但這些問題沒有被適當地標記為可選題目,導致受訪者無法有自由意志地自主決定是否回應收集特別類別個人資料的問題。另外,CNPD亦裁定國家統計局沒有提供任何有關資料處理的資訊、在選擇資料處理者時違反了其盡職調查的責任、違反了有關國際資料轉移的規定,亦沒有對處理過程進行資料保障影響評估。有關決定的詳情,請參閲歐洲資料保障委員會發出的決定摘要。 |
2022年10月17日 | 法國資料保障監管機構 (The French Data Protection Authority (CNIL)) | Clearview AI因為在沒有法律依據的情況下收集並使用生物辨識資料,非法處理個人數據,並未能以有效和令人滿意的方式考慮資料當事人的權利,特別是在處理資料當事人查閱資料的要求方面,而被法國資料保障監管機構處以2000萬歐元罰款。Clearview AI於調查期間亦沒有充分與法國資料保障監管機構合作。有關該決定的詳情,請參閱法國資料保障監管機構於 2022 年 10 月 20 日發出的新聞稿。 |
2022年10月6日 | 意大利資料保障監管機構 (The Italian Data Protection Authority (GPDP)) | 社交平台 Clubhouse 的母公司 Alpha Exploration Co. Inc 因為違反多項 GDPR的規定,包括在處理個人資料時違反有關合法性、透明度和儲存限制原則、未能向用戶提供有關資料處理的信息或提供不完整、不清楚、不透明和難以理解的信息、未有在歐盟設立指定代表,及未有就作分析目的的資料處理進行資料保障影響評估,而被意大利資料保障監管機構處以 200 萬歐元的罰款並發出多項合規命令。有關決定的詳情,請參閲歐洲資料保障委員會發出的決定摘要。 |
2022年10月4日 | 英國資料保障監管機構 (The Information Commissioner’s Office) | Easylife Ltd因在未經同意的情況下使用 145,400名客戶的個人資料以預測他們的健康狀況並在向他們提供相關的健康產品而被英國資料保障監管機構處以135萬英鎊罰款。另外,Easylife Ltd因撥打 1,345,732 個不願接收的促銷電話而被額外罰款 13萬英鎊。有關決定的詳情,請參閲英國資料保障監管機構 於2022年10月6日發出的新聞稿。 |
2022年9月2日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) |
愛爾蘭資料保障監管機構早前就Meta旗下社交平台Instagram (Meta Platforms Ireland Limited (Meta IE)) 兒童用戶(13 至 17 歲的用戶)個人資料的處理進行調查。調查顯示平台允許兒童用戶使用商業帳號,以致其電郵地址及電話號碼等個人資料被公開展示;同時,平台的用戶註冊系統將兒童用戶的帳號預設為「公開」。Instagram因而被愛爾蘭資料保障監管機構處以4.05億歐元罰款,並須作出一系列的糾正措施。 該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構的決定及其於2022年9月15日發出的新聞稿。 |
2022年7月13日 | 希臘資料保障監管機構 (The Hellenic Data Protection Authority of Greece) | 人臉識別技術公司Clearview AI Inc. (Clearview)因違反有關合法性及透明度的原則而被希臘資料保障監管機構處以2,000萬歐元罰款。同時,希臘資料保障監管機構禁止Clearview以其人臉識別系統相關的方式收集和處理於希臘境內的資料當事人的個人資料,並命令Clearview刪除所有以有關方式收集的個人資料。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
2022年5月18日 | 英國資料保障監管機構 (The Information Commissioner’s Office) | Clearview AI Inc. (Clearview) 因為收集和使用在互聯網及社交平台上公開的英國及其他地區人士的圖像於其人臉識別系統而被英國資料保障監管機構處以7,552,800英鎊罰款。同時,英國資料保障監管機構命令Clearview停止收集英國居民於互聯網上公開的個人資料,並刪除其系統中英國居民的個人資料。有關決定的詳情, 請參閲英國資料保障監管機構 於2022年5月23日發出的新聞稿。 |
2022年3月15日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) | Meta Platforms (前稱 Facebook)因違反《通用數據保障條例》第5(2)條(有關目的限制原則)而被愛爾蘭資料保障監管機構處以1,700萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要 。 |
2022年2月10日 | 意大利資料保障監管機構 (The Italian Data Protection Authority (GPDP)) | Clearview AI Inc. 因在缺乏適當法律基礎的情況下不合法地處理個人資料及違反有關透明度 ˴目的限制及儲存限制等原則而被意大利資料保障監管機構(GPDP)處以2,000萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
2022年1月14日 | 荷蘭資料保障監管機構 (The Dutch Data Protection Authority) | DPG Media Magazines因不必要地索取身份証明文件副本而被荷蘭資料保障監管機構處以52.5萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
2021年12月22日 | 奧地利資料保障監管機構 (The Austrian Data Protection Authority (DSB)) | 奧地利資料保障監管機構 (DSB)裁定奧地利一名網站營運者在網站内使用 Google Analytics,轉移個人資料至位於美國的 Google LLC,違反《通用數據保障條例》第44條。 DSB認爲該網站營運者和 Google LLC之間簽訂的標準合約條款未有提供足夠程度的保障予相關個人資料。有關決定的詳情, 請參閲 DSB 發出的決定摘要。 |
2021年8月20日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) |
愛爾蘭資料保障監管機構就 WhatsApp Ireland Ltd.在提供服務資訊予歐洲用家方面違反透明度原則等作出最後決定,向 WhatsApp Ireland Ltd.處以2.25億歐元罰款,並對它作出譴責及命令它執行一連串指定的補救措施,以確保其處理活動符合規定。該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構的決定及其於2021年9月2日發出的新聞稿。
註: WhatsApp Ireland Ltd.正對愛爾蘭資料保障監管機構針對它作出的決定提出上訴。 |
2021年6月21日 | 瑞典資料保障監管機構 (The Swedish Authority for Privacy Protection (IMY)) | 在斯德哥爾摩營運公共運輸的 SL因在公共交通工具上不合法使用隨身攝像機而被瑞典資料保障監管機構(IMY)處以1,600萬瑞典克朗罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
2021年4月29日 | 荷蘭資料保障監管機構 (The Dutch Data Protection Authority) | 荷蘭資料保障監管機構就市政府採用無線追蹤技術(當中可追蹤在市中心購物 ˴ 居住及工作的人士)而對其處以60萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
(II) 《通用數據保障條例》的詮釋
日期 | 裁決 |
---|---|
2023年1月12日 |
歐洲聯盟法院裁定《通用數據保障條例》的行政和民事補救方法可同時並獨立行使 2023年1月12日,歐洲聯盟法院就《通用數據保障條例》的行政和民事補救方法之間的關係作出裁決。該案件涉及一名股東要求公司提供股東大會的錄音。該公司僅向該股東提供了他於會議上有貢獻的部分錄音。該股東其後向匈牙利資料保障監管機構要求該公司提供有關錄音。在匈牙利資料保障監管機構拒絕其要求後,該股東針對該決定提出行政上訴,並同時於匈牙利的民事法院提出訴訟,指該公司侵犯了其查閱資料的權利。雖然行政上訴程序仍在進行中,但民事法院已裁定該公司侵犯了該股東的權利。布達佩斯高等法院因此將有關案件轉介至歐洲聯盟法院,以澄清在審視國家監管機構決定的合法性的背景下,它是否受民事法院就相同事實背景及相同侵權指控的最終判決約束,以及其中一種補救措施是否優先於另一種補救措施。 在判決中,歐洲聯盟法院認為《通用數據保障條例》沒有規定任何優先權或專屬權限或管轄權,也沒有規定任何關於監管機構或法院就是否存在侵權進行的評估的排名。因此,《通用數據保障條例》規定的行政和民事補救方法可以同時並獨立行使。每個成員國須確保同時並獨立行使的補救方法不會影響《通用數據保障條例》的有效性及對權利的有效保護、其條款被一致地應用,以及在法庭上獲得有效補救的權利。 |
2023年1月12日 |
歐洲聯盟法院確認資料當事人有權獲知其個人資料已被披露或將會被披露予的特定接收者的資料 2023年1月12日,歐洲聯盟法院就歐盟《通用數據保障條例》第15(1)(c)條下資料當事人查閱有關已經接收或將會接收其個人資料的接收者或接收者類別的資料的權利作出裁決。在該案件中,負責奧地利郵政服務的Österreichische Post AG,在回應一名資料當事人有關其個人資料的接收者的資料查閱要求時,僅提供了接收者類別的描述,而沒有透露其個人資料的特定接收者的身份。奧地利最高法院將有關案件轉介至歐洲聯盟法院,要求就歐盟《通用數據保障條例》第15(1)(c)條作出詮釋。 在判決中,歐洲聯盟法院裁定,為確保歐盟《通用數據保障條例》賦予資料當事人的其他權利(包括歐盟《通用數據保障條例》第 16 條、第 17 條、第 18 條和第 21 條下的更正權、刪除權、限制處理權和反對權)的有效性,資料當事人必須有權獲知其個人資料已被披露或將會被披露予的特定接收者的資料。
儘管如此,歐洲聯盟法院指出有關權利在特定的情況下可能會受到限制,例如如果特定接收者的身份無法被披露,尤其是在未知他們的身份的情況下,或者資料控制者可以證明資料當事人的要求,按照歐盟《通用數據保障條例》 第 12(5) 條的含義,是明顯沒有根據或過度的。 |
2022年12月8日 |
歐洲聯盟法院確立「刪除權」(「被遺忘權」)涵蓋刪除明顯不實資訊 2022年12月8日,歐洲聯盟法院作出有關「刪除權」(「被遺忘權」)的裁判。該案件中的兩名投資經理要求Google移除根據他們的名字進行的搜尋所顯示有關批評他們投資模式的某些文章的連結。他們表示有關文章包含不實的指控。他們同時要求Google從搜尋結果中刪除他們的照片縮圖。Google拒絕履行有關要求,並聲稱未能核實該些文章是否包含不實資訊。德國聯邦最高法院將有關案件轉介至歐洲聯盟法院,要求就歐盟《通用數據保障條例》第17(3)(a)條有關行使刪除權及言論及資訊自由權作出詮釋。 在判決中,歐洲聯盟法院指出保障個人資料的權利並非絕對,行使有關權利必須要考慮社會的運作,以及根據相稱原則與其他基本權利取得平衡。雖然歐盟《通用數據保障條例》明確規定,如處理有關資料是行使言論及資訊自由權所必需的,則刪除權被排除在外,但言論及資訊自由的權利並不包括發表至少有一部分(非為不重要的事實)被證實為不實的資訊。 歐洲聯盟法院裁定,如果提出要求者提出相關及足夠的證據證明有關資訊明顯不實,搜尋引擎營運商必須要刪除有關被連結的不實資料。為免加重提出要求者的舉證責任,歐洲聯盟法院表示,有關證明不必來自對有關網絡發布者的司法判決,提出要求者只需要提供可以合理要求他/ 她試圖找到的證據。 就有關照片縮圖搜尋結果,歐洲聯盟法院認為有關展示對資料當事人的私生活及他們的個人資料構成重大影響。因此,歐洲聯盟法院需按所述照片的個別發布情況(是否在原有的文章以闡述文章或意見發表內容,抑或是其他情況發布),單獨權衡各方的權利和利益。 有關判決的詳情,請參閱(一)歐洲聯盟法院裁決; 及(二)歐洲聯盟法院於2022年12月8 日發表的新聞稿。 |
B.《通用數據保障條例》下的主要發展
日期 | 主要發展 |
---|---|
2022年3月25日 |
歐盟及美國之間新的跨大西洋數據私隱框架 2020年7月16日,歐洲聯盟法院在Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems and intervening parties一案中推翻了歐盟-美國「私隱保護盾」 的框架(常稱為「Schrems II判決」)。該框架自2016年實施以來為歐盟公司轉移個人資料至美國公司的主要機制。 歐盟委員會及美國經持續討論後,於2022年3月25日宣布雙方原則上已就一個新的跨大西洋數據私隱框架達成協議( 「新框架」),以期重新建立一個從歐盟轉移個人資料至美國的法律機制。 重點來說,新框架確保(一)由美國進行的信號情報活動須在以達致合法的國家安全目標方面而言屬必要及相稱的;(二)將設立一個獨立及具約束力的申訴機制,為受影響的歐盟公民制訂補救措施;及(三)美國的情報機關將採取程序以確保能有效地監督新的私隱及公民自由標準的執行。 就下一階段而言,歐盟委員會及美國將會繼續準備雙方為落實執行新框架所需的法律文件。 有關新框架的詳情,請參閱(一)歐盟委員會及美國有關跨大西洋數據私隱框架的聯合聲明;及(二)美國白宮所發表的新聞稿。該兩份文件均於2022年3月25日發出。 |
2022年3月21日 |
適用於從英國轉移個人資料的新轉移文件 《通用數據保障條例》被保留於英國的當地法律作《英國通用數據保障條例》。《英國通用數據保障條例》第46(1)條容許在指定的情況下作國際間的個人資料轉移,其中包括當資料輸出者提供適當的保障措施(包括採納由資訊專員發出的標準數據保障條款等等)。 2022年3月21日,兩項新轉移文件,即由資訊專員發出的(一)國際數據轉移協議及(二) 國際數據轉移附錄 (附於歐盟委員會在2021年6月就國際間資料轉移採納的標準合約條款) ,開始生效。其中,新轉移文件的目的是取代英國現行的標準合約條款,即歐盟在《通用數據保障條例》生效前採納的標準合約條款( 「舊版標準合約條款」)。 採納國際數據轉移協議及國際數據轉移附錄對資料轉移者及資料接收者的實際影響如下:
有關國際數據轉移協議及國際數據轉移附錄的詳情,請參閱英國資訊專員辦公室的介紹。 |
2021年12月17日 |
有關南韓的足夠保障程度決定 2021年12月17日,歐盟委員會採納有關由歐盟轉移個人資料至大韓民國機構的足夠保障程度決定,相關個人資料受個人資料保護法保障,有關額外保障措施以及官方的申述 ˴ 保證和承諾反映在決定當中。 有關南韓的足夠保障程度決定的詳情,請參閲歐盟委員會法律事務委員Didier Reynders及大韓民國個人資料保護委員會主席Yoon Jong In共同發出的新聞稿。 |
2021年6月28日 |
有關英國的足夠保障程度決定 2021年6月28日,歐盟委員會採納兩個分別根據《通用數據保障條例》及執法指令所作的有關轉移個人資料至英國的足夠保障程度的決定。當英國確保個人資料得到歐盟法律所保證的相等程度的保障,個人資料便可從歐盟自由流動至英國。 有關英國的足夠保障程度決定的詳情,請參閲歐盟委員會發出的新聞稿。 |