第 0001/P/2013/GPDP 號
意見書
第 0001/P/2013/GPDP 號
事由:關於 A 保險公司將被保險人的資料轉交予 B 保險公司的事宜
A 保險公司決定終止該公司在澳門的一般及醫療保險業務,並計劃根據第 27/97/M 號法令第 93 條規定,將相關保險合同的法律地位移轉予 B 保險公司。為維持相關保險合同的效力,以及為履行已到期合同尚未履行的義務,A 保險公司擬將相關被保險人的姓名、地址、其他一般資訊及保險單的賠償資訊轉交予 B保險公司。就上述保險合同地位讓與的問題,A 保險公司和 B 保險公司已經與澳門金融管理局初步討論,並將向該局申請許可。就上述保險合同地位讓與涉及的個人資料轉交問題,A 保險公司根據第 8/2005 號法律(《個人資料保護法》)第 23 條規定,向本辦公室徵詢意見。
本辦公室履行第83/2007 號及第6/2010 號行政長官批示及《個人資料保護法》所賦予的職責,經分析 A 保險公司提交的資料後,現僅就當中涉及的個人資料處理問題提供如下意見︰
一、《個人資料保護法》的適用
根據《個人資料保護法》第 4 條第 1 款(一)項及第 3 條第 1 款規定,個人資料是指與某個身份已確定或身份可確定的自然人(“資料當事人”)有關的任何資訊;如全部或部分以自動化方法對個人資料作出處理,以及以非自動化方法對存於或將存於人手操作的資料庫內的個人資料作出處理,受《個人資料保護法》規範。
據 A 保險公司提供的資料顯示,該公司擬向 B 保險公司提供的資料包括被保險人的姓名、地址、其他一般資訊及保險單的賠償資訊,而被保險人包括自然人及法人。因此,如被保險人為自然人,則其上述資料屬於個人資料,對該等資料的處理受《個人資料保護法》規範。
二、個人資料處理的目的
根據《個人資料保護法》第 2 條及第 5 條規定,個人資料的處理應以透明的方式進行,並應尊重私人生活的隱私和《澳門特別行政區基本法》、國際法文書和現行法律訂定的基本權利、自由和保障,應以合法的方式並在遵守善意原則下處理,為了特定、明確、正當和與負責處理實體的活動直接有關的目的而收集,之後對資料的處理亦不得偏離有關目的。
按 A 保險公司根據《個人資料保護法》第 21 條規定向本辦公室作通知申報的登記內容,A 保險公司收集保險客戶的個人資料的目的是基於保險業務運作
(包括核保、保單服務、理賠),以及基於有關保險業務的財政運作(包括處理保費及付款)。現基於保險合同地位讓與的關係,A 保險公司需將被保險人的個人資料轉交予受讓人 B 保險公司,以維持保險合同的效力及履行保險合同的義務。由此可見,是次個人資料轉交的目的,是為了讓 B 保險公司繼續執行有關保險合同的規定,是 B 保險公司的保險業務運作及有關保險業務的財政運作所需,未見有偏離 A 保險公司原本收集資料的目的,也未見有侵犯私人生活的隱私和其他基本權利、自由等。
三、個人資料處理的正當性條件
《個人資料保護法》第 6 條至第 8 條規定了個人資料處理的正當性條件。該
法律第6 條規定,個人資料的處理必須符合該條文所規定的任一要件,方可進行。
如處理屬該法律第 7 條規定的敏感資料,即與世界觀或政治信仰、政治社團或工會關係、宗教信仰、私人生活、種族和民族本源、健康和性生活有關的個人資料,包括遺傳資料,則負責處理個人資料的實體須具備該條文所規定的正當性條件,方可作出處理。如處理屬該法律第 8 條規定的懷疑從事不法活動、刑事違法行為或行政違法行為的資料,亦必須具備該條文所規定的正當性條件。
然而,由於 A 保險公司沒有盡數列舉所有轉交的資料種類,本辦公室未能作出具體分析。本辦公室只能確定,一般及醫療保險合同普遍涉及被保險人的健康資訊,屬於敏感資料。考慮到 A 保險公司現時列出的資料種類並不顯示屬懷疑從事不法活動、刑事違法行為或行政違法行為的資料,故本辦公室僅以 A 保險公司是次轉交的資料不包括該類資料進行分析,僅根據《個人資料保護法》第 6 條及第 7 條的規定,分析 A 保險公司是次將資料轉交予 B 保險公司的正當性。本辦公室謹此提醒,如是次轉交的資料包括懷疑從事不法活動、刑事違法行為或行政違法行為的資料,則 A 保險公司尚應具備《個人資料保護法》第 8 條所規定的正當性條件,方可作出有關處理。
《個人資料保護法》第 6 條規定︰“個人資料的處理僅得在資料當事人明確同意或在以下必要的情況下方可進行︰(一)執行資料當事人作為合同一方的合
同,或應當事人要求執行訂立合同或法律行為意思表示的預先措施;(二)負責處理個人資料的實體須履行法定義務;(三)為保障資料當事人的重大利益,而資料當事人在身體上或法律上無能力作出同意;(四)負責處理個人資料的實體或被告知資料的第三人在執行一具公共利益的任務,或者在行使公共當局權力;
(五)為實現負責處理個人資料的實體或被告知資料的第三人的正當利益,只要資料當事人的利益或權利、自由和保障不優於這些正當利益。”
《個人資料保護法》第 7 條規定︰“一、禁止處理與世界觀或政治信仰、政治社團或工會關係、宗教信仰、私人生活、種族和民族本源以及與健康和性生活有關的個人資料,包括遺傳資料。二、在保障非歧視原則以及第十六條所規定的安全措施的前提下,得對上款所指的資料在下列任一情況下進行處理︰(一)法律規定或具組織性質的規章性規定明確許可處理上款所指的資料;(二)當基於重大公共利益且資料的處理對負責處理的實體行使職責及權限所必需時,經公共當局許可;(三)資料當事人對處理給予明確許可。三、當出現下列任一情況時,亦得處理第一款所指的資料︰(一)保護資料當事人或其他人重大利益所必需,且資料當事人在身體上或法律上無能力作出同意;(二)經資料當事人同意,由具有政治、哲學、宗教或工會性質的非牟利法人或機構在其正當活動範圍內處理資料,只要該處理僅涉及這些機構的成員或基於有關實體的宗旨與他們有定期接觸的人士,且有關資料未經資料當事人同意不得告知第三人;(三)要處理的資料明顯已被資料當事人公開,只要從其聲明可依法推斷出資料當事人同意處理有關資料;(四)處理資料是在司法訴訟中宣告、行使或維護一權利所必需的,且只為該目的而處理資料。四、如處理與健康、性生活和遺傳有關的資料是醫學上的預防、診斷、醫療護理、治療或衛生部門管理所必需的,只要由負有保密義務的醫務專業人員或其他同樣受職業保密義務約束的人進行,並根據第二十一條規定通知公共當局和採取適當措施確保資訊安全,得處理有關資料。”
據 A 保險公司提供的資料顯示,該公司將就是次保險合同地位讓與事宜向澳門金融管理局申請許可,並擬於取得該局許可後,通知被保險人有關保險合同地位讓與事宜,讓被保險人在指定的時間內作出選擇,決定是否讓 A 保險公司將其保險合同移轉予 B 保險公司,如被保險人不同意 A 保險公司移轉其保險合同,則其保險合同將被終止。
從《個人資料保護法》第 6 條及第 7 條的規定可見,個人資料處理的正當性條件不限於資料當事人的同意,還可以基於合同或法律的規定、優先的正當利益等。保險合同地位讓與涉及原保險人、受讓保險人及被保險人等各方利益,需要權衡各方利益,另外,保險合同的讓與亦需符合《個人資料保護法》第 5 條第 1款(一)項的合法性原則。由於第 27/97/M 號法令第 93 條第 1 款規定,將包括保險費、賠償或保險費及賠償在內之未滿期責任全部或部分轉移,須經澳門金融管理
局預先許可,因此,如果作為澳門保險業監管當局的澳門金融管理局許可 A 保險公司將其一般及醫療保險合同地位移轉予 B 保險公司,則相關合同地位讓與具有合法性。
另一方面,由於是次個人資料轉交是因保險合同地位讓與而生,因此,本辦公室認為有關個人資料轉交的有效性還需視乎相關保險合同地位讓與的效力。
《民法典》第 418 條及續後條文規範了合同地位讓與的一般規定,《民法典》第
418 條規定︰“一、在相互給付之合同中,任一方當事人均得將其合同地位移轉予第三人,只要他方立約人在有關合同訂立前或後同意該移轉。二、如他方立約人之同意係在讓與合同地位之前作出,則僅自該人獲通知有關讓與或承認該讓與時起,讓與方產生效力。”可見,一般合同地位讓與的效力取決於他方立約人對讓與的同意。為此,本辦公室認為,對於是次保險合同地位讓與事宜,如被保險人在 A 保險公司指定時間內同意 A 保險公司將其保險合同移轉予 B 保險公司,則可以認為有關合同地位讓與產生效力,且 A 保險公司是在被保險人明確同意下將其個人資料轉交予 B 保險公司,有關資料轉交符合《個人資料保護法》第 6條及第 7 條第 2 款(三)項的規定,A 保險公司具正當性轉交個人資料。
除此以外,本辦公室認為保險合同一般會有條款規範被保險人同意保險公司將其個人資料轉交予保險公司的承讓人及受讓人等,以便保險業務得以延續。按 A 保險公司上述通知申報的登記內容,A 保險公司會在保險客戶同意的情況下,將有關客戶的個人資料轉交予其他機構。對此,如是次移轉的保險合同內訂明,被保險人同意A 保險公司將其個人資料轉交予A 保險公司的承讓人及受讓人等,且 A 保險公司確保有關保險合同地位讓與產生效力,則是次保險合同地位讓與產生的個人資料轉交符合《個人資料保護法》第 6 條(一)項及第 7 條第 2 款(三)項規定,A 保險公司具正當性轉交個人資料。
四、將個人資料轉移到特區以外的地方
《個人資料保護法》第 19 條及第 20 條就將個人資料轉移到特區以外的地方作出了規範。對是次個人資料轉交事宜,值得指出的是,據 A 保險公司提供的資料顯示,A 保險公司及 B 保險公司的住所均不是設於澳門,前者的住所設於香港,後者的住所設於澳大利亞,兩者皆以分公司的形式在澳門從事保險業務,兩者均為第 27/97/M 號法令第 32 條及續後條文所指的住所設於外地之保險人。但縱然如此,由於 A 保險公司及 B 保險公司兩間公司都已於澳門作商業登記,在澳門具有法人資格,且是次個人資料轉交在兩間澳門分公司之間發生,不涉及兩間總公司或其他在澳門以外的公司對個人資料的處理,故此,是次個人資料轉交並不涉及《個人資料保護法》第 19 條及第 20 條所指的,將個人資料轉移到特區以外的地方的情況。
然而,倘 B 保險公司在接收有關被保險人的資料後,會再將有關資料轉交予其他澳門以外的公司(尤其位於澳大利亞的總公司),則 B 保險公司須再按《個人資料保護法》第 19 條及第 20 條的規定,向本辦公室履行相應的通知、申請許可或決定的義務。
五、其他
A 保險公司在向本辦公室請求意見書時,還向本辦公室提出了一個疑問,就是是次資料轉交是否需要本辦公室許可。
根據《個人資料保護法》的規定,須經本辦公室許可的情況有︰將個人資料轉移到澳門以外地方(見該法律第 20 條第 2 款)、當基於重大公共利益且資料的處理對負責處理的實體行使職責及權限所必需時處理敏感資料、處理信用和償付能力資料、個人資料的互聯、在與收集資料的目的不同的情況下使用個人資料(見該法律第 22 條)。
A 保險公司沒有提及須經本辦公室許可的情況,雖然該公司表明是次資料轉交不涉及任何資料的互聯,且如上文所述,是次資料轉交不涉及將個人資料轉移到澳門以外地方的情況,但由於 A 保險公司沒有盡數列舉所有轉交的資料種類,本辦公室未能全面分析是次資料轉交是否須經本辦公室許可,故 A 保險公司應自行審視實際情況。倘 A 保險公司僅就個人資料轉交的正當性提出疑問,則從上文內容可以知道,A 保險公司只要取得澳門金融管理局的預先許可、確保是次保險合同地位讓與產生效力,便具有《個人資料保護法》所規定的正當性條件,無需根據《個人資料保護法》第 22 條第 1 款(一)項及(四)項向本辦公室申請許可。
另一方面,本辦公室謹此提醒,倘 B 保險公司是次接收有關被保險人的資料後,會在上述須經本辦公室許可的情況下處理有關資料(例如以互聯的方式處理該等資料),則 B 保險公司須另行根據《個人資料保護法》的規定向本辦公室申請許可。此外,根據《個人資料保護法》第 21 條第 1 款規定,“負責處理個人資料的實體或如有代表人時其代表人,應從處理開始起八日期限內以書面形式,將為了實現一個或多個相互關聯的目的而進行的一個或一系列、全部或部分自動化處理,通知公共當局。”因此,如 B 保險公司其後會以自動化方式處理是次接收的個人資料,則 B 保險公司亦須另行再向本辦公室作通知申報。
六、結論
綜上所述,A 保險公司是次將一般及醫療保險合同的法律地位移轉予 B 保險公司,由於涉及合同地位讓與及未滿期保險責任之轉移,故根據《個人資料保護法》、《民法典》及第 27/97/M 號法令的相關規定,A 保險公司須取得澳門金融
管理局的預先許可、確保是次保險合同地位讓與產生效力,方具有《個人資料保護法》所規定的合法性及正當性條件,可以轉交有關個人資料。
此外,如 B 保險公司在接收有關個人資料後,會將有關的資料轉移到特區以外的地方,又或以須預先監控的方式或自動化的方式處理有關資料,則 B 保險公司須根據《個人資料保護法》的相關規定,向本辦公室履行相應的義務。
主 任x x x
2013 年 1 月 7 日
意見書
第 0002/P/2013/GPDP 號
事由:A 學校將資料轉移到澳門特區以外
A學校因使用X軟件套件而將資料儲存在澳門特區以外的計算機服務器的雲計算。A學校根據《個人資料保護法》第23條規定,就當中的資料轉移到澳門以外的地方的事宜,向本辦公室徵詢意見。
按 A 學校所提供的資料如下:
1. 負責實體的姓名和地址:A 學校,位於澳門 Y 街道。
2. 處理的目的:是購買和使用 X 軟件套件以整合有關的教學程序,及有效地達到非高等教育的目標。
3. 資料當事人類別:所有學生、其父母或監護人及所有僱員。
4. 個人資料的種類:由教育暨青年局和人力資源辦公室要求提供的資料,當中並沒有收集和處理敏感資料。
5. 資料接收者:澳門特區的政府部門。
6. 次合同人:Z 公司。Z 公司使用 W 服務作為雲計算儲存服務。
7. 互聯:處理的個人資料沒有互聯。
8. 保存期:A 學校並沒有提供保存期。
9. 行使查閱權及更正權:資料當事人將持續通過 X 軟件系統更正有錯誤的個人資料。
10. 轉移資料到澳門以外的地方:印度以及 W 服務所提供的雲計算的服務所涉及的不確定的國家和地區。
11. 安全措施:附件列出由 W 服務啟動的安全協議。經分析有關資料後,本辦公室提供意見如下:
一、 《個人資料保護法》的適用
根據第 8/2005 號法律(《個人資料保護法》)第 4 條第 1 款(一)項及第 3
條規定,個人資料是指“與某個身份已確定或身份可確定的自然人有關的任何資訊”;若全部或部份以自動化方法對個人資料的處理,以及以非自動化方法對存於或將存於人手操作的資料庫內的個人資料的處理,須受《個人資料保護法》規範。因此,在本案中之 A 學校的個人資料處理,受《個人資料保護法》規範。
二、將個人資料轉移到澳門特區以外的地方
1. 針對將個人資料轉移到本澳以外的地方,《個人資料保護法》第 19 及第 20條專門對此作出了規範,當中規定由本辦公室按照第19 條第2 款所指的情況,就接收資料當地的法律體系是否能確保適當的保護程度作出決定。在此前提下,負責實體須提交下述資料予本辦公室進行審議:包括轉移實體名稱、轉移個人資料的種類、目的、方式、轉移資料雙方有否處理個人資料的正當性
(就正當性作xx及說明)、接收方當地法律體系對個人資料的保護規定、處理轉移資料的期間及處理計劃,以及就轉移資料所採取的保安措施及資訊安全政策及指引作扼要說明等。但本辦公室至今並沒有宣告任何一個國家或地區是有適當的保護程度。在本個案中,也涉及了不確定的國家和地區。
2. 此外,法律同時亦規定了一些排除適用的情況,即使不能確保接收資料當地 的法律體系具適當的保護程度,只要符合《個人資料保護法》第 20 條第 1 款 有關規定,當資料當事人明確同意轉移或轉移符合下列任一情況:(一)轉移 是執行資料當事人和負責實體間的合同所必需,或是應資料當事人要求執行 訂定合同的預先措施所必需者;(二)轉移是執行或訂定一合同所必需,而該 合同是為了資料當事人的利益由負責實體和第三人之間所訂立或將要訂立者; (三)轉移是保護一重要的公共利益,或是在司法訴訟中宣告、行使或維護一 權利所必需的或法律所要求者;(四)轉移是保護資料當事人的重大利益所必 需者;(五)轉移自作出公開登記後進行。根據法律或行政法規,該登記是為 著公眾資訊和可供一般公眾或證明有正當利益的人公開查詢之用者,只要在 具體情況下遵守上述法律或行政法規訂定的查詢條件。負責實體可在向本辦 公室作出通知後轉移有關資料。
據 A 學校提供的資料顯示,處理的個人資料在 W 服務的服務器託管,費用為每年六百元美金;而資料在 A 學校校園內託管,費用為每年二千元美金。可見,資料在澳門或澳門以外的地方託管,A 學校可自由選擇,但 A 學校並沒有就資料託管於境外服務器的必要性作出解釋。上述法律第 20 條第 1款(一)至(四)項所述的排除適用,均有“必需”的條件,而有關資料也非同一款(五)項所述的公開登記資料。故在本個案中,只有當事人明確同意,A 學校才可在向本辦公室作出通知後將資料轉移到澳門以外的地方。但
A 學校必須注意,《個人資料保護法》第 4 條第 1 款(九)項訂明,“當事人的同意”應該是明確的,且屬“自由、特定且在知悉的情況下”作出。當事人可隨時自由地將轉移其資料到澳門以外地方的同意收回。倘當事人收回該同意,A 學校便不再符合同上法律第 20 條第 1 款的規定將資料轉移到澳門以外的地方。
3. 另外,負責實體亦可按照同一法律第 20 條第 2 款規定,在能夠“確保有足夠的保障他人的私人生活、基本權利和自由的機制”,向本辦公室申請許可,將個人資料轉移到一個法律體系不能確保第19 條第2 款規定的適當保護程度的地方。
4. 據 A 學校提供的資料,次合人 Z 公司是在印度成立的公司,而次合同人 Z 公司使用 W 服務作為雲計算儲存服務,有關資料可被轉移至不確定的國家和地區。基此,A 學校在符合《個人資料保護法》第 19 及第 20 條規定的情況下方可將資料轉移到澳門以外,如果屬須作出通知或申請許可的情況,A 學校必須向本辦公室作出通知或申請許可,方可將資料轉移。
三、其他
根據《個人資料保護法》,負責實體須具有該法第 6 條規定的任一正當性條件,在當事人明確同意或在其他法定的情況(例如:執行合同或執行訂立合同的預先措施)下,方能對個人資料作出處理。在具備正當性的前提下,負責實體亦須遵守同一法律第 2 及第 5 條所指的資料處理原則,包括適度原則等。
此外,根據《個人資料保護法》第 15 條的規定,負責實體亦有責任確保個人資料的安全。A 學校應清楚知悉資料儲存的位置,以確保資料的安全管理與應用,以避免資料的意外或不法損壞、意外遺失、傳播或查閱,以及進行任何其他方式的不法處理。此外,A 學校須注意在操作中採取適當的措施保護有關的個人資料,該措施應確保具有與資料處理所帶來的風險及所保護的性質相適應的安全程度。有關資料涉及委託次合同人處理,A 學校亦須遵守《個人資料保護法》第 15 條及第 17 條的規定。
四、結論
綜上所述,就 A 學校將資料轉移到澳門特區以外地方的事宜,本辦公室認為,A 學校須遵守《個人資料保護法》第 19 及第 20 條的規定,如果屬須作出通知或申請許可的情況,A 學校必須向本辦公室作出通知或申請許可,方可將資料
轉移。
主 任xxx
2013 年 4 月 19 日