2020年11月13日

《一般数据保护规例》(“GDPR”)在香港的适用

除香港现有的《个人资料(私隐)条例》(“ PDPO”)外,自2018年5月25日起生效的欧盟GDPR亦因其广泛的地域适用性及可能所施加的沉重罚款,被认为是数据私隐法律的一项重要突破。罚款额度之重— 能体现于近期一宗德国案件中,一间国际零售商因其位于纽伦堡的分支在管控和处理数百员工的个人数据上曾采纳不恰当的措施而遭到罚款3,530万欧元。

数据处理基本原则有那些?

GDPR要求数据管控者及处理者遵守数据处理基本原则并就此承担法律责任。基本原则包括合法、公平和透明、目的限制、数据最少搜集、准确性、存储限制及完整性和保密性[1]。例如,当一间公司要履行遵守数据完整性和保密性原则的义务时,该公司需要建立适当的网络和数据安全措施,实际措施包括在与数据处理者的合同中增加更为严格的数据安全条款。

香港的公司会受到多大程度影响?

GDPR具有域外效力。香港公司在以下情况下可能需要遵守GDPR:

1. 在欧盟没有设置机关[2],但向欧盟人士提供商品或服务,或监视他们的行为; 或

2. 在欧盟内设有机关,该机关的活动涉及处理个人数据,不论是否确实在欧盟境内处理数据。[3]

数据管控者和处理者在处理从相关活动所搜集到的个人数据时均会受到监管。

GDPR规管的例子:

  • 一家香港的线上销售平台,提供英文作网站语言和以欧盟成员国为运输目的地
  • 一个香港的应用程式,可为香港游客在欧盟境内旅行中提供定位服务
  • 一家位于欧盟的集团,共享并传输其数据到香港子公司进行存储和分析

然而,只有当与商品和服务供应有关的数据处理活动以欧盟境内人士为目标时,相关的处理活动才会被纳入规管。如果数据处理仅涉及原意为向在欧盟境外人士提供的服务,而即使该服务在境外人士进入欧盟范围时未有中止,相关数据处理活动亦不受GDPR约束。[4]

超出GDPR范围的例子:

  • 一个香港的手机新闻应用程式,向香港用户(在订阅服务时提供香港手机号码)提供中文的每日新闻更新。当香港用户进入欧盟领土时,有关新闻更新服务不受GDPR规管。

如果一间公司的数据处理行为低于GDPR标准,这将会带来什么后果?

违反GDPR的行政罚款分为两级,具体取决于违规的类型。较低级别的罚款为最高1000万欧元,或前一个财政年度(对于企业而言)全球总营业额的2% ,以较高者为准。[5]较高级别的罚款金额为最高2,000万欧元,或前一个财政年度(对于企业而言)全球年度总营业额的4%,以较高者为准。[6]

公司在什么情况下会被罚款?

如公司不遵守以下规定(非详尽无遗),则可处以较低的罚款:

1. 获取父母的同意下处理儿童的个人数据;

2. 如果不需要识别数据当事人,则匿名处理个人数据;

3. 发出数据泄露通知;

4. 委任数据保护主任;或

5. 其他。[7]

如公司不遵守以下规定(非详尽无遗),则可能处以较高的罚款:

1. 遵守数据处理的基本原则,例如在处理之前获得同意;

2. 保障数据当事人的权利,例如被遗忘权、反对处理权;

3. 通过合法机制将个人数据传输予第三国收取人;或

4. 其他。[8]

欧盟GDPR中的「数据管控者」和「数据处理者」与香港PDPO中的「数据使用者」有何不同?

简而言之,「数据管控者」通常是指决定如何处理个人数据以及出于何种目的处理个人数据的人员或公司,而「数据处理者」是指为管控者处理数据的人员或公司。[9]一间公司可以同时拥有两者身份。

而「数据使用者」则是香港《个人资料(私隐)条例》中所使用的概念。这是一个统称,涵盖GDPR中的「数据管控者」和「数据处理者」。GDPR会同时监管这两种角色,然而香港的PDPO并不直接规管「数据处理者」。

「同意」是在GDPR下数据处理的一个法律基础。这与香港现行获取同意的做法有何等不同?

在香港,客户在网页上剔选同意框的做法通常是与相关公司需要将客户的个人数据用于直接营销有关。客户的同意并不是搜集个人数据的先决条件,但若将搜集到的数据用于其他目的如直接营销时,则需要取得客户的同意。[10]

根据上述的法律原则,公司可选择不同的法律基础来搜集和处理个人数据。取得「同意」是其中之一,亦可能是最普遍的基础,但前提是所取得的「同意」必须是在自由、具体及知情的情况下给予,并且必须是明确的表达。[11]

若干其他GDPR所要求而PDPO并不强制的重要公司措施

以下(非详尽无遗)的措施并非PDPO所强制,但对证明遵守GDPR是有必要的:-

数据保护主任

如果公司的核心活动包括处理有系统大规模监控数据当事人而获得的数据,例如线上追踪,特征分析(即对个人偏好的预测),或处理大量敏感个人数据,则无论公司的规模大小,都必须任命数据保护主任。

数据保护主任负责监察公司对GDPR的遵守情况,并与监管机构联系。

数据泄露通知和补救措施

数据管控者必须在没有不当拖延的情况下就数据泄露(且在可行的情况下,在知悉此事后72小时之内)通知欧盟监管机构,除非该泄露不太可能对个人的权利和自由产生风险。

其他重要的公司措施包括(但不限于):

  • 内部数据保护政策
  • 数据保护影响评估
  • 在IT系统的设计中纳入私隐考量及预设私隐设定

本文由史蒂文生黄律师事务所的诉讼团队合伙人洪玉晖律师、刘嘉熙律师及卢建华见习律师共同合着。鉴于2019冠状病毒疫情的影响,GDPR对公司处理员工健康数据的潜在影响受到关注。如果你对这方面有任何疑问,请联系洪玉晖律师。

本文仅供参考之用。本文之内容不构成亦不应被视为法律意见。对于任何因根据或倚赖本文件所载资料所作决定,行动或不行动而引致的损失或损害,史蒂文生黄律师事务所概不负责。


[1] 詳見《一般數據保護規例》笫5條
[2] 設立機關的例子包括, 為向歐盟人士宣傳、售賣、推廣或銷售貨品或服務而設有銷售辦事處、為以上目的委任銷售代理
[3] 詳見《一般數據保護規例》笫3條
[4] 詳見《有關《一般數據保護規例》地域範圍(第3條)的第3/2018號指引》(版本2.1)笫15頁
[5] 詳見《一般數據保護規例》笫83條笫4款
[6] 詳見《一般數據保護規例》笫83條笫5款
[7] 詳見《一般數據保護規例》笫8、11、25至29、41、42、43條及笫83條笫4款
[8] 詳見GDPR笫5、6、7、9、12至22、44至49、58條、笫84條笫5款及笫9章
[9] 詳見《一般數據保護規例》前言(7)及(8)
[10] 詳見《個人資料(私隱)條例》的資料保障原刖3
[11] 詳見《一般數據保護規例》笫4條笫11款