本辦公室關注到近日社會各界就澳門基金會推出“家國情懷──國慶六十周年暨特區成立十周年慶祝活動”資助而引發的有關個人資料保護的討論。 本辦公室提醒全體市民,《個人資料保護法》已經於2006年2月生效,所有的公私營機構及個人都必須遵守此法律。違反《個人資料保護法》的行為,可構成行政違法或犯罪。如屬前者,最高處罰是罰款澳門幣二十萬元;如屬後者,最高處罰是四年徒刑或四百八十日罰金,且可一併科處附加刑。本辦公室為該法所指的公共當局,根據該法第二十八條的規定,任何市民“得依法採用行政或司法途徑以確保個人資料保護範疇的法律規定和規章性規定得以遵守”,並有權向本辦公室提出告訴。 一般而言,收集及處理個人資料的機構必須注意:
一. 根據《個人資料保護法》第二條及第五條的規定,
1. 應以透明的方式進行,尊重私人生活的隱私及法律訂定的基本權利、自由和保障;
2. 必須以合法的方式進行收集和處理;
3. 必須遵守善意原則;
4. 必須是為了特定、明確、正當及與該機構的活動直接有關的目的而收集,且之後對資料的處理不得偏離有關的目的;
5. 必須遵守適度原則,不得過度收集和處理個人資料;
6. 必須盡力確保資料的準確;
7. 資料的保存期不得超出為實現該目的而所需的期間。
二. 根據同一法律第十條的規定,資料當事人享有資訊權,機構有責任向其提供一系列的資訊,包括:
1. 相關機構的身份,
2. 收集和處理其個人資料的目的,
3. 資料接收者的類別,
4. 當事人的查閱權及更正權等。 如有收集個人資料的基礎文件,該文件應包括上指資訊。如在公開的網絡上收集個人資料,應該告知當事人相關的使用風險。 三. 根據同一法律第四章的規定,機構及其工作人員對其收集和處理的個人資料負有職業保密義務,及需要確保資料的安全和保密。機構必須採取適當的技術和組織措施保護個人資料,該等措施應確保具有與資料處理所帶來的風險及所保護資料的性質相適應的安全程度。如需委託他人代為收集及處理,應選擇可靠的機構或人士及作出具體處理指引,並需注意可能要為受委託人士的違法行為承擔連帶責任的法律風險。 對於申請澳門基金會相關慶祝活動資助的機構,本辦公室建議其除了以上一般注意事項外,在資料安全上還應特別留意:
1. 需制定個人資料保安政策及要求所有工作人員(包括機構負責人、全職或兼職僱員、義工及其他受委託人士等)執行,及需制定相關的違反紀律之處分措施;
2. 需將登錄有參加者身份證號碼及聯絡電話的紙本文件保管在合適的場所(例如,有保安人員當值或有可靠保安措施的辦公室等),必要時應上鎖存放,切勿被無權接觸這些資料的人士翻閱。
3. 需保護記錄有參加者身份證號碼及聯絡電話的電子文件,例如:只容許有限的人員進行輸入、查閱、修改、複制及刪除等操作,將其保管在有可靠保安措施的電子載體(如有裝設保安軟件的電腦),必要時可以加入密碼作保護。另外,也應該避免透過公開網絡對上述資料進行傳遞。
4. 應提醒工作人員,如因不當查閱、更改、毀壞個人資料或違反保密義務而觸犯《個人資料保護法》,最高可被判處四年徒刑或四百八十日罰金。 本辦公室呼籲各機構及個人嚴格遵守《個人資料保護法》,依法收集和處理個人資料。
