澳门个人资料保护法的比较研究

澳门个人资料保护法的数据传输跨境的相关研究

个人信息跨境转移的法律规管机制个人信息跨境转移，亦称个人信息跨境传输，是指通过传送、告知或供人查阅等方法将个人信息转移到境外的国家或地区的行为。就信息转移而言，德国1990年《个人资料保护法》规定，转移是指通过以下方式向第三方公开其储存的或者通过数据处理获取的个人信息：“提供数据给第三方，或者第三方查看或者获取可以查看或者获取的数据”。澳门《个人资料保护法》虽未就个人信息转移及跨境转移做出定义，但从该法第五章内容可知个人信息跨境转移是指将个人信息转移到澳门以外的地方的行为。同时，《个人资料保护法》针对个人信息跨境转移的一般原则和例外情况分别作出规定，为规范个人信息跨境转移提供了基本法律依据。

一、基本原则及例外情形

澳门在个人信息跨境转移事宜上遵循“严格限制”的立场，将个人信息转移到澳门以外的地方应同时满足两个条件：其一，接收转移信息当地的法律体系能确保适当的保护程度；其二，信息转移行为须同时遵守《个人资料保护法》其他有关规定（第十九条第一款）。若不具备此两项条件，则有关信息跨境转移行为原则上被禁止。其中，第二项条件较易把握，即个人信息跨境转移应属个人信息处理行为之一种，因此《个人资料保护法》有关个人信息处理的基本原则、信息主体权利等规范同样适用于信息跨境转移行为。而第一项条件作为“落实资料转移的首要决定标准”，涉及判断接收转移信息当地对个

人信息的法律保护程度是否适当的决定主体及考量因素。判断接收转移信息地法律体系是否能确保前述适

当保护程度的决定主体是“公共当局”（第十九条第三款），即个人资料保护办公室。而个人资料保护办公室需在根据转移的所有情况或信息转移的整体进行审议的基础上方可作出是否适当的判断。具体而言，其在判断时需考量的具体因素包括：信息的性质、处理信息的目的、期间或处理计划、信息来源地和最终目的地以及有关法律体系现行的一般或特定的法律规则及所遵守的专业规则和安全措施（第十九条第二款）。对于接收转移信息地是否具备个人信息保护适当程度作出判断后，国际上惯常做法是基于政治考虑而把已经达到充分保护的国家名单列出来（白名单）而不是把没有充分保护的国家名单列出来（黑名单）。但截至目前，澳门个人资料保护办公室尚未宣告任何一个国家或地区具有适当保护程度。值得注意的是，是否根据信息转移地的不同而采取不同的立场，澳门和其《个人资料保护法》法源参考国葡萄牙的做法不同。在葡萄牙，个人信息在欧盟成员国之间原则上可不受限制地自由转移，而将个人信息向非欧盟成员国转移则受到与澳门类似的前述法律限制。

在现代社会，个人信息的跨境流动已相当普遍且具重要性，过分严格的限制会不当阻碍社会中行政活动、商业活动和个体活动的正常开展。因此，澳门《个人资料保护法》不仅对个人信息跨境转移做出原则性规定，亦对如下三种例外情况有所涉及。在例外情况下，个人信息可被转移至法律体系不具备适当保护程度的某个国家或地区。第

一，满足法定情形且对个人信息保护主管机关作出通知后进行的个人信息跨境转移。该等法定情形包括信息主体明确同意、订立或履行合同所必需、保护重要公共利益或行使诉讼权利所必需、保护信息主体重大利益所必需以及个人信息已被合法公开登记（第二十条第一款）。此时信息控制者除需符合上述情形之外，还需将拟进行的与个人信息跨境转移有关资讯通知个人资料保护办公室。第二，满足法定情形且经个人信息保护主管机关审查许可后进行的个人信息跨境转移。该等法定情形限于信息控制者“确保有足够的保障他人的私人生活、基本权利和自由的机制，尤其透过适当的合同条款确保这些权利的行使”第三，基于特定目的进行的个人信息跨境转移。该等特定目的限于“维护公共安全、预防犯罪、刑事侦查和制止刑事违法行为以及保障公共卫生所必须”（第二十条第三款），此时个人信息跨境转移无需个人信息保护主管机关介入（包括做出决定、发出许可和接收通知），而是径行由专门法律、适用于澳门的国际法文书以及区际协议予以调整规范。

二、欧美对于数据跨境转移的相关规定

欧盟2012年启动个人数据保护立法改革时，曾全面梳理了现有的个人数据保护制度呈现出的种种缺陷。其中最为突出的问题即是：日益增长的全球数据流动与现有监管制度之间的不适应。几乎所有的欧盟企业都涉及到向欧盟境外传输数据，然而1995指令中关于跨境流动的规则早已难以适应数据国际流动。因此，欧盟即将生效的个人数据保护新法规——《通用数据保护条例》（GDPR）对跨境数据流

动政策进行了大幅优化改革，特别着力于提升政策的灵活度：（1）明确禁止各成员国不得以许可方式管理跨境数据流动。2016年《数据保护通用条例》重点简化了数据跨境传输机制，明确禁止了许可管理做法，只要符合了《条例》中跨境数据流动的合法条件，则成员国不得再通过许可方式予以限制。（2）增加了充分性认定的对象类型。除了对国家可以作出评估外，还可以对一国内的特定地区、行业领域以及国际组织的保护水平作出评估判断，以进一步扩展通过“充分性”决定覆盖的地区。（3）扩展“标准合同条款”，除了保留目前已生效的3个标准合同范文。《条例》增加了成员国数据监管机构可以指定其他标准合同条款的渠道，以为企业提供更多的，符合实际需求的跨境转移合同文本选择。（4）发挥行业协会等第三方监督与市场自律作用。条例规定数据控制者可以成立协会并提出所遵守的详细行为准则。该行为准则经由成员国监管机构或者欧盟数据保护委员认可后，可通过有约束力的承诺方式生效。

欧盟数据跨境转移政策主要体现在个人数据保护制度中，相应地，其实施机制也依附于个人数据保护执法体系。如上述，数据控制者实施个人数据跨境流动活动时，有三种合法方式：（1）数据传输至“充分性认定”地区；（2）例外场景（包括用户同意，或者执行合同需要等）；（3）充分保障措施。考虑到“例外情形”可适用场景少，并不能够为日常化、规模化的数据跨境转移提供稳定的合法性基础，以下主要介绍“充分性认定机制”和“充分保障措施”机制。“充分性认定”是一个白名单机制。欧盟委员会负责根据第三国的个人信息

保护立法状况、执法能力，以及是否存在有效的救济机制等因素，做出综合评估。截止到目前为止，仅有阿根廷、加拿大等不超过20个国家或地区通过了欧委会认定。此外，对于美国这一重要的贸易伙伴，欧盟还发展出“安全港框架”，以便针对性的解决与美国之间的数据流动问题。

三、我国个人信息跨境转移的有益借鉴

中国数据跨境流动政策更多是在斯诺登事件后，基于国家网络安全视角而提出。但实际上这种政策视角在2013年前已显露雏形。如2011年中国人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》已要求个人金融信息的储存、处理和分析应当在中国境内进行；2013年《征信业管理条例》规定征信机构对在中国境内采集的信息的整理、保存和加工，应当在中国境内进行；此后，处于数据安全目的，本地化要求进一步被写入网络监管立法中，除《网络安全法》外，包括：2014年国家卫计委颁布《人口健康信息管理办法（试行）》、2015年《地图管理条例》、2016年《网络出版服务管理规定》、2016年《网络预约出租汽车经营服务管理暂行办法》等都不同程度提出了数据本地化要求。

我国目前初步建立的数据跨境流动政策，如将数据出境安全评估作为单一合规机制，在现实中恐难以适应海量数据跨境管理需求。建议参考欧盟及其他国家经验，设立符合我国国情需要的多样化合法流动机制，例如：（1）建立白名单机制。根据个人信息保护状况及对等措施，将部分地区纳入可自由流动的国家与地区。（2）根据安全评估