Transborder Data Flows and Macau SAR Data Protection Framework

Page 1


Title / 書名 / Título Transborder Data Flows and Macau SAR Data Protection Framework (Original Version) 跨境資料轉移及澳門特別行政區資料保護框架 (原始版本) Fluxos Transfronteiras de Dados Pessoais e o Quadro Geral de Protecção em Macau (Versão Original) Author / 作者 / Autor : Catarina Guerra Gonçalves Editorial Coordination / 編輯協調 / Coordenação Editorial: Filipa Guadalupe (filipa@ruicunha.org) www.creddm.org, http://ebooks-creddm.org/ 澳門法律反思研究及傳播中心 / CRED-DM Centro de Reflexão, Estudo e Difusão do Direito de Macau - www.creddm.org, http://ebooks-creddm.org/ 官樂怡基金會 / Fundação Rui Cunha 行政委員會 / Conselho de Administração: 官樂怡 / Rui Cunha (主席 / Presidente); Rui Pedro Cunha, João Tubal Gonçalves (副主席 / vice-presidentes); Isabel Cunha, Connie Kong (委員 / vogais) Translation into Chinese Language / Tradução para Língua Chinesa / 中文翻譯: Isabel Sio ( 蕭麗嫦) Translation into Portuguese Language / Tradução para Língua Portuguesa/ 葡文翻譯: Catarina Guerra Gonçalves Cover and pagination / 排版 / Capa e Paginação: FRC Global Communications Ltd, João Ruivo, Célia Brás 電話 / Telefone / Telephone: (853) 28923288 郵箱 / E-mail: cred-dm@fundacao-rc.org 郵寄 / Correio & Mail: 澳門南灣大馬路749號地下,官樂怡基金會澳門法律反思研究及傳播中心 CRED-DM – Publicações, Fundação Rui Cunha, Avenida da Praia Grande, nº 749 – R/C, RAEM, RPC 總部、行政、出版及所有權 / Sede, Administração, Publicidade e Propriedade: 澳門南灣大馬路749號地下 / Avenida da Praia Grande, nº 749 – R/C, RAEM, RPC Property and Publisher / 所有權/出版社 / Propriedade e Editora: 官樂怡基金會 / Fundação Rui Cunha Price / 澳門售價 / Preço (Macau): MOP 150 Date / 日期 / Data: 02/2017 Circulation / 發行量 / Tiragem : 100 ISBN 978-99965-665-6-1




TRANSBORDER DATA FLOWS AND MACAU SAR DATA PROTECTION FRAMEWORK

FOREWORD This book is the outcome of the meticulous research of Ms. Catarina Guerra Gonçalves for obtaining her master’s degree in International Business Law under my supervision, followed by a comprehensive update in 2016. Its subject matter of data collection and transborder transfer is highly relevant since data collection and transfer impact our daily lives, even if we are not always aware of it. Data collection and transfer of data is very commonly done by public authorities and commercial entities. Governments collect data for statistics, taxation, combating of organised crime, … Companies are interested in personal data for human resources, business operation, and marketing purposes. Despite its importance and usefulness data collection risks undermining a fundamental human right, the right to privacy, which includes the protection of personal data against unwarranted intrusion. Especially in an era were data can be easily collected and stored electronically, a robust legal protection of personal data is quintessential to avoid that personal data are misused or are illegitimately made available to others. Furthermore, a legal protection must equally include provisions on the transfer of data to other jurisdictions. In a globalised world, data can be easily transferred to other jurisdictions, which do not offer the same or similar protection of personal data. In this respect, differences in legal protection may cause significant hurdles, as Facebook experienced in the EU, when the European Court of Justice in a preliminary ruling declared that the Safe Harbour agreement between the EU and the US was invalid because the US did not have adequate safeguards to protect personal data. The book does not only explore the general problem of data protection and transfer and the right to privacy, it primarily focuses on this topic in the legal context of Macau SAR, in which the issue was not yet examined in detail. In Macau the right to privacy is enshrined in Article 30 of the Basic Law and is further protected in the Civil and Penal Code. In addition, Macau adopted Law 8/2005, which is directly based on the Portuguese Law no. 67/98 on the Protection of Personal Data, a transposition of EU Directive 95/46/EC. Macau SAR therefore follows the relatively strict protection of personal data of the EU, so that data may only in principle be transferred to jurisdictions which have adequate protection. In any event, regardless of the level of protection, data may always be collected and transferred in case of consent of the person concerned. In FEBRUARY

2017

7


THESES COLLECTION • CATARINA GUERRA GONÇALVES

such instances, there cannot be any violation of the right to privacy since as an individual I can determine freely to whom I share my personal data with or to whom those data can be transferred. However, from a legal perspective when is consent freely and unambiguously given? Did the users of social media platforms consent to the collection and transfer of their data by making an account and accepting the terms and conditions? Can an employee freely consent to the collection and transfer of his personal data at the request of his employer? How to prove that consent was freely and unambiguously given? Another option provided by Law 8/2005 in the absence of adequate safeguards is that the data controller itself provides for such safeguards, raising the question how to determine if the data controller’s standards meet the required threshold. From this overview, Macau SAR seems to have a strict regulation of data collection and transfer. However, any legal protection is just as strong as its enforcement. Therefore, the author has critically looked into the decisions of Macau SAR’s data protection body, the Office for Personal Data Protection, which are extensively discussed and analysed. Finally, the book looks at the future and reconnoiters whether the Macau SAR legal framework should maintain its regulatory approach of protection of transborder data flows or adopt a market economy approach? Should the focus be on social protection of personal data or the free flow of information, whereby personal data are protected through the freely negotiated contracts? What are the benefits and disadvantages to both approaches? The book in this regard takes a clear position that a regulatory approach remains desirable in light of the fundamental rights involved, thereby taking an outspoken position in the continuing debate. Macau, 25 July 2016 Sten Verhoeven

8

MACAO


ACKNOWLEDGEMENTS This study was originally written as a master’s thesis in International Business Law, presented at the Faculty of Law of the University of Macau in May 2015. For the purpose of this publication, it has been revised and updated up to 20 June 2016. I would like to express my genuine gratitude to Professor Sten Verhoeven, for his assistance and guidance in the completion of this project, as I benefited enormously from his advice and editing, and to my dear friend Ljupka Grujoska for the English language revision of this updated version. I would also like to thank my husband Daniel. His support, encouragement and patience were fundamental throughout the process until the conclusion of this study. Finally, I would also like to thank my parents and sister, Irene, António and Joana, for their faith in me and for encouraging me to pursue this goal.

The author



INDEX INTRODUCTION

15

1 – Macau SAR informational privacy laws 23 2 – Transborder data flows: concept and international regulation 34 A. Concept of transborder data flows

35

B. International instruments regulating transborder data flows

37

B.1 Human Right Treaties

37

B.2 OECD Privacy Guidelines

37

B.3 Convention No. 108 and Additional Protocol

39

B.4 APEC Privacy Framework

42

B.5 EU Directive

43

B.6 EU General Data Protection Regulation

51

3 – Transborder data flows: local regulation 54 A. Local instrument regulating transborder data flows:

54

A.1 The adequacy model

54

A.2 Derogations

59

A.3 The “Safe Harbor” and the EU-US Privacy Shield

66

A.4 Adequate safeguards

69

A.5 Authorization Decisions

71

A.6 Enforcement and Compliance

84


4 – Types of approaches to protect transborder data flows 88 A. Prevailing perception of informational privacy

88

B. Prevailing perception of informational privacy

92

C. A similar but yet imperfect regulatory approach:

103

D. The self-regulatory approach: United States

108

CONCLUSION

125

BIBLIOGRAPHY 129 SOURCES 135




跨境資料轉移及澳門特別行政區資料保護框架

序言 此書為Catarina Guerra Gonçalves在本人的指導下,獲得其在國際商法之碩 士學位的精心研究成果,隨後在2016年進行了全面更新。有關資料收集及跨境 資料轉移之問題密切關聯,由於資料的收集及轉移影響到我們的日常生活,即 使我們不總能意識到此問題。由公共部門和商業機構作出的資料收集和資料轉 移非常普遍。各國政府收集資料用作統計、稅收及打擊有組織犯罪......,公司有 意把個人資料用於人力資源、商業運作和市場營銷的目的上。儘管有著重要性 和實用性,但資料收集冒著逐漸削弱基本人權及隱私權的風險 ,當中包括對個 人資料在不必要的情況下免受侵犯的保護。尤其是在現今世代,資料可以很容 易地以電子的方式被收集和存儲,嚴謹的個人資料保護法律乃是精髓所在,以 避免個人資料被濫用或非法地被提供予他人。此外,法律保護同樣必須包括資 料被轉移到其他司法管轄區的規定。在一個全球化的世界裡,資料很容易就可 以被轉移到其他並不能提供相同或類似個人資料保護的司法管轄區。有關這方 面,歐洲法院初步裁決宣布歐盟和美國之間的安全港協議無效,由於美國未能 提供適當的個人資料保障措施,而保護法律的差異亦可造成巨大的障礙,就以 社交網站臉書 (Facebook)在歐盟裡的經驗來說。 這本書不僅只探討資料保護和轉移與隱私權的一般問題,其主要集中於 澳門特別行政區的法律背景這一主題,這是一個還未被詳細研究的問題。在澳 門,隱私權被載入基本法第30條中,並在民法和刑法中受到進一步的保護。另 外,澳門通過了第8/2005號法律,其直接以葡萄牙個人資料保護法第67/98號法 律作為依據,是歐盟指令95/46 / EC的轉化。因此,澳門特別行政區遵循歐盟 相對嚴格的個人資料保護,在原則上資料只能被轉移到其他具有適當保護的司 法管轄區。在任何情況下,無論何等保護水平,資料總是要在獲得有關當事人 的同意下,方可被收集及轉移。在此種情況下,不可能存在對隱私權的任何侵 犯,由於作為個人,我可以自由地決定我的個人資料將與誰分享及該些資料可 被轉移給誰。然而,在法律的角度上何時的同意是自由而明確地作出的?是否 所有社交平台的用戶開啟帳戶及接受有關條款及條件之時便同意其資料可被收 集及轉移?僱員可否在應徵職位之時自由地同意其個人資料被收集及轉移?如 何證明同意是自由及明確地作出?在缺乏適當的保障措施之時,第8/2005號法律 提供了另一個選擇,由資料支配者自身提供該些保障措施,此舉觸發出一個問 題,就是如何去確定資料支配者之標準符合所規定之門檻。從這概述中,澳門 特別行政區似乎對資料採集和轉移有著嚴格的監管。不管怎樣,任何法律的保 二月• 二零一七

151


論文集 • CATARINA GUERRA GONÇALVES

護力度與執法的力度是相扶相乘的。因此,作者對澳門特別行政區的資料保護 機構 - 個人資料保護辦公室之決定進行檢討,對有關決定作出了廣泛的討論和分 析。 最後,此書著眼於未來,並探究澳門特別行政區的法律框架是否應保留其 跨境資料轉移的監管方式的做法,抑或採取市場經濟的做法?應把重點放在個 人資料在社會上的保護,抑或信息的自由轉移,即個人資料都可透過自由協商 的合同來保護?這兩種方式各有什麼好處和缺點?此書在這方面,採取一個明 確的立場,根據所涉及的基本權利,該監管方式仍然是可取的,從而在持續的 辯論中採取直言不諱的立場。 2016年7月25日,澳門 Sten Verhoeven

152

澳門


跨境資料轉移及澳門特別行政區資料保護框架

感言 本項研究最初是為國際商法碩士論文所寫,並於2015年5月提交給澳門大 學法學院。為著此出版目的,論文於2016年6月20日作出修訂及更新。 本人希望特此對 Sten Verhoeven 教授表示衷心感謝,他所提供之協助和意 見指導促使了此專項研究的完成,由於本人從其編排及建議中獲益不淺,更希 望感謝本人的摯友Ljupka Grujoska為最後的英語版本作出修訂。 同時,希望感謝本人丈夫 Daniel為著本研究之完成所給予的支持、鼓勵及 耐心。最後,本人同時藉此感謝本人的父母及姐妹、Irene、António 及 Joana, 他們給予了我信心和鼓勵,驅使我去實現這一目標。

作者

二月• 二零一七

153



跨境資料轉移及澳門特別行政區資料保護框架

目錄 前言

159

一 澳門特別行政區資料隱私法律

167

二 跨境資料轉移: 概念及國際法規

176

A. 跨境資料轉移的概念

177

B. 約束跨境資料轉移之國際文書

179

B.1《人權條約》

179

B.2《經合組織隱私權保護指南》

179

B.3《第108號公約》及附加議定書

181

B.4《亞太經合組織隱私框架》

183

B.5《歐盟指令》

184

B.6《歐盟一般資料保護規章》

190

三 跨境資料轉移–本地法規 –

192

A. 本地規範跨境資料轉移的文書﹕第8/2005號法律

192

A.1 適當保護模式

192

A.2 排除適用

196

A.3 《安全港》及《歐盟-美國隱私護盾》

202

A.4 適當的保護措施

205

A.5 許可決定

206

二月• 二零一七

155


論文集 • CATARINA GUERRA GONÇALVES

156

四 保護跨境資料轉移的各種措施

220

A. 現行的資料隱私概念

220

B. 監管措施 : 歐盟、葡萄牙和澳門特別行政區

223

C. 相類似但不完善的監管措施 : 香港特別行政區

232

D. 自律監管措施 : 美國

236

結論

249

參考書目

252

資料來源

258

澳門




FLUXOS TRANSFRONTEIRAS DE DADOS PESSOAIS E O QUADRO GERAL DE PROTECÇÃO EM MACAU

PREFÁCIO

Este livro é o resultado da meticulosa investigação da Sra. Catarina Guerra Gonçalves para a obtenção do mestrado em Direito Comercial Internacional, sob a minha supervisão, à qual se seguiu uma actualização exaustiva em 2016. O seu objecto, a recolha e a transmissão além fronteiras de dados, é extremamente pertinente uma vez que as mesmas têm um impacto diário nas nossas vidas, mesmo que nem sempre estejamos conscientes disso. A recolha e a transferência de dados é feita por parte de autoridades públicas e entidades comerciais de forma regular. O Governo recolhe dados para fins estatísticos, fiscais, de combate ao crime organizado,... As empresas estão interessadas nos dados pessoais para fins relacionados com recursos humanos, operação comercial e marketing. Apesar da importância e utilidade da recolha de dados, os seus riscos enfraquecem um direito fundamental do homem, o direito à privacidade, o qual abrange a protecção de dados pessoais contra intromissões injustificadas. Especialmente numa era onde os dados podem ser facilmente recolhidos e armazenados electronicamente, uma protecção legal rigorosa dos dados pessoais é essencial para prevenir que os dados pessoais sejam usados indevidamente ou sejam disponibilizados de forma ilegítima a terceiros. Para além disso, a protecção legal deverá incluir igualmente provisões relativas à transferência de dados para outras jurisdições. Num mundo globalizado, os dados podem ser facilmente transferidos para outras jurisdições, as quais não oferecem o mesmo grau ou sequer um grau similar de protecção. Sobre esta questão, as diferenças na protecção legal poderão criar entraves significativos, como o Facebook verificou na UE, quando o Tribunal de Justiça Europeu, numa decisão prejudicial, declarou inválido o Acordo de Safe Harbour entre a UE e os EUA, uma vez que os EUA não tinham mecanismos de garantia adequados para proteger os dados pessoais. Este livro não se limita a explorar o problema global da protecção de dados e da sua transferência e o direito de privacidade, mas concentra-se neste tópico, sobretudo, no contexto legal da RAE de Macau, na qual o assunto ainda não foi examinado em pormenor. Em Macau, o direito de privacidade está consagrado no Artigo 30º da Lei Básica e a sua protecção é reforçada no Código Civil e no Código Penal. Além disso, Macau adoptou a Lei 8/2005, a qual se baseia directamente na Lei Portuguesa n.º 67/98 relativa à Protecção de Dados Pessoais e que constitui a transposição da Directiva da FEVEREIRO

2017

275


COLECÇÃO TESES • CATARINA GUERRA GONÇALVES

UE 95/46/EC. Consequentemente, a RAE de Macau segue o modelo de protecção de dados relativamente estrito da EU pelo que, em princípio, os dados só poderão ser transferidos para jurisdições que assegurem adequada protecção. De todo o modo, independentemente do nível de protecção, os dados poderão sempre ser recolhidos e transferidos caso haja consentimento da pessoa a que os mesmos dizem respeito. Nestes casos, não poderá qualquer violação do direito de privacidade uma vez que enquanto indivíduo posso determinar livremente com quem partilho os meus dados pessoais ou para quem é que esses dados poderão ser transferidos. No entanto, de uma perspectiva legal, quando é que o consentimento é dado de forma livre e inequívoca? Ao abrir uma conta e aceitar os seus termos e condições, os utilizadores das redes sociais consentiram na recolha e transferência dos seus dados? Um trabalhador pode dar um consentimento de forma livre à recolha e transferência dos seus dados pessoais quando o pedido parte do seu empregador? Como se pode provar que o consentimento foi dado de forma livre e inequívoca? Outra opção estabalecida na Lei 8/2005, no caso de inexistência de protecção adequada, é ser o próprio responsável pelo tratamento a providenciar mecanismos de garantia adequados, colocando-se a questão de como determinar se os critérios do responsável do tratamento preenchem os requisitos exigidos. Desta síntese, parece resultar que a RAE de Macau regulamenta de forma estrita a recolha e transferência de dados. No entanto, qualquer protecção legal estabelecida é apenas tão forte quanto a sua aplicação. Assim, a autora considerou de forma crítica as decisões do orgão de protecção de dados da RAE de Macau, o Gabinete de Protecção de Dados Pessoais, as quais são extensivamente discutidas e analisadas. Finalmente, o livro olha em direcção ao futuro e questiona se, no que diz respeito à protecção dos fluxos transfronteiras de dados, o quadro jurídico da RAE de Macau deverá manter uma abordagem de regulamentação ou se deve adoptar uma abordagem de mercado. Deverá o foco incidir na protecção social dos dados pessoais ou no fluxo livre de informação, caso em que os dados pessoais são protegidos através de contratos livremente negociados? Quais os benefícios e desvantagens das duas abordagens? O livro neste aspecto assume uma posição clara no sentido de que uma abordagem de regulamentação permanece desejável face aos direitos fundamentais em causa, assim se posicionado explicitamente no debate em curso.

Macau, 25 de Julho de 2016 Sten Verhoeven

276

MACAU


FLUXOS TRANSFRONTEIRAS DE DADOS PESSOAIS E O QUADRO GERAL DE PROTECÇÃO EM MACAU

NOTA PRÉVIA

Este estudo corresponde à tese original do mestrado em Direito Comercial Internacional (International Business Law), apresentada na Faculdade de Direito da Universidade de Macau em Maio de 2015. Com o objectivo da sua publicação foi revista e actualizada até 20 de Junho de 2016. Gostaria de expressar a minha genuína gratidão ao Professor Sten Verhoeven, pela sua assistência e orientação neste projecto, de cujos conselhos e edição beneficiei enormemente, e à minha querida amiga Ljupka Grujoska, pela revisão da versão actualizada da tese em língua inglesa. Gostaria também de agradecer ao meu marido Daniel. O seu apoio, incentivo e compreensão foram fundamentais durante o processo para a conclusão deste estudo. Finalmente, gostaria também de agradecer aos meus pais e irmã, Irene, António e Joana, por acreditarem em mim e por me incentivarem a concretizar este objectivo.

A Autora

FEVEREIRO

2017

277



FLUXOS TRANSFRONTEIRAS DE DADOS PESSOAIS E O QUADRO GERAL DE PROTECÇÃO EM MACAU

ÍNDICE INTRODUÇÃO 283 1 - As leis da RAE de Macau sobre a protecção da privacidade da informação 293 2 - Fluxos transfronteiras de dados: conceito e legislação internacional 305 A. Conceito de fluxo transfronteiras de dados

306

B. Instrumentos internacionais que regulam os

fluxos transfronteiras de dados

308

B.1 Tratados de Direitos Humanos

308

B.2 Linhas directrizes da OCDE

309

B.3 Convenção 108 e Protocolo Adicional

311

B.4 Quadro de Privacidade da APEC

314

B.5 Directiva da União Europeia

315

B.6 Regulamento Geral sobre a Protecção de Dados da UE

324

3 - Fluxos transfronteiras de dados: legislação local 327 A. Instrumento local de regulação dos fluxos transfronteiras de dados: Lei 8/2005

327

A.1 O modelo da protecção adequada

327

A.2 Derrogações

332

FEVEREIRO

2017

279


COLECÇÃO TESES • CATARINA GUERRA GONÇALVES

A.3 O “Porto Seguro” e o “Escudo de Privacidade” entre a

UE e os EUA (EU-US Privacy Shield)

340

A.4 Mecanismos de Garantia Adequados

344

A.5 Autorizações

346

A.6 Aplicação e Cumprimento

360

4 - Tipos de Abordagens para protecção de

fluxos transfronteiras de dados 364

A. Percepção prevalecente de privacidade da informação

364

B. Abordagens regulamentares:

União Europeia, Portugal e a RAE de Macau

368

C. Uma abordagem regulamentar similar mas imperfeita:

a RAE de Hong Kong

380

D. Uma abordagem de auto-regulamentação:

os Estados Unidos da América

386

CONCLUSÃO 404 BIBLIOGRAFIA 409 FONTES

280

415

MACAU



Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.