如果大家曾經在不同的網絡平台上開立帳戶，那麼於本年5月下旬時，相信大家打開電郵時，就會看到由不同公司發出的 「更新個人資料政策聲明」郵件通知。一切都源於本年5 月25 日生效的歐盟《通用數據保障條例》(General Data Protection Regulation, GDPR）而起。

GDPR 於2016年4月獲歐洲議會通過為強制性的法律，取代了歐盟1995年的《資料保護指令》(Directive 95/46/EC)。支持者視 GDPR 為保障私隱的佳音，但全球企業包括本地中小企也聞 GDPR而色變，那麼究竟它的威力何在？

GDPR 的主要特點如下：

1. 適用範疇跨越世界各地
GDPR 不但適用於歐盟境內，還有境外應用的法律效力。因此，香港的公司必須審視是否受到 GDPR 的規管。如有關的香港公司須遵從 GDPR 的規定，在處理個人資料時，香港人的個人資料亦因此間接受惠於 GDPR，獲得更大的保障。

那麼你的香港公司是否受到 GDPR 的規管？

不論處理的個人資料是否發生在歐盟境內，只要你的香港公司在歐盟成員國境內設有機關，而該機關的活動涉及處理個人資料，該香港公司同樣都受 GDPR 的規管。

即使你的香港公司在歐盟沒有設立機關，如你的公司有向歐盟人士直接提供貨品或服務或監察他們的行為，GDPR 同樣適用。在判定是否「向歐盟人士提供貨品或服務」，有否付款並非考慮因素。有關因素以整體情況作考慮，當中包括是否在提供服務及貨品時採用了歐盟成員國的語言或貨幣作交易。因此，如香港公司在提供網上服務時提供以歐元或英磅作交易的選項或在網站上語言上提供歐盟國家的語言選擇，便很大可能被判定為「向歐盟人士提供貨品或服務」，而受到 GDPR 的規管。

此外，如你的公司為歐盟資料控制者提供服務時，有處理個人資料，該歐盟資料控制者有責任確定你的公司採取符合 GDPR 的「技術及組織措施」。

相對香港《個人資料（私隱）條例》，條例只適用於在香港或由香港收集、持有、處理或使用個人料資的資料使用者（包括控制者及處理者），並無境外效力。

2.「個人資料」定義涵蓋更廣
GDPR 將個人資料的保障視為一項基本人權。所謂「個人資料」，即是可被識別的自然人的任何資料，除了姓名、證件號碼、指紋及臉部等生物辨識資料之外，在某些情況下更可能涵蓋手機號碼、網上帳號及身份、全球定位數據、cookie、網際網路考定位址（IP Address），完全緊接當今的科技發展。

除此之外，GDPR 擴大保障處理特別類別下的個人資料，即敏感資料。敏感資料包括有關種族、政見、宗教、哲學理念、工會會藉、用作辨別個人身份的遺傳及生物數據、有關個人健康、性生活及性取向的資料。除非在特定情況下，一律禁止處理敏感資料。

本港的《個人資料（私隱）條例》則沒有區分「個人資料」或「敏感資料」及其處理的法律。

3. 高額罰款
GDPR 賦予歐盟監管機構對違規的資料控制者及處理者實施行政罰款。罰款因違反的事項分為兩級，第一級罰款以該企業整個集團的年度全球總營業額 2% 或 1千萬歐元（約0.92億港元）；第二級則為該企業整個集團的年度全球總營業額 4% 或 2 千萬歐元 (約1.84億港元) 的罰款。兩級罰款皆以較高者為準。無論故意干犯與否，罰則同樣適用。

對比GDPR，香港《個人資料（私隱）條例》的罰則可謂小巫見大巫。香港私隱專員可在公司違反《個人資料（私隱）條例》時，可向該公司發出執行通知，要求作出補救措施，不跟從執行令方屬違法。法例下的刑事罪行只包括有關直接促銷的行為及披露未經資料使用者同意而取得的個人資料。私隱專員亦無權作行政罰款。

4. 明確的同意
GDPR 對「同意提供個人資料」的定義非常嚴格。收集個人資料的機構不可把這些「同意」設定為預設同意的選項，而該等同意必須由資料當事人(即被收集資料者)自由地給予具體、知情及不含糊的指示，並以聲明或清晰肯定的行動表明同意資料控制者及處理者處理其個人資料。相比之下，歐盟對「同意」的規定比香港更為嚴謹。

在有關兒童「同意」中，香港《個人資料(私隱)條例》並無規定需獲得該兒童的家長同意。GDPR 則規定在獲取 16 歲（或13歲）以下的兒童的同意時，須有家長授權。

香港《個人資料(私隱)條例》除在收集個人資料用作直接促銷下，有明文要求資料使用者須收到資料當時人的同意方可用作該用途外，現時香港只規定資料使用者須把收集目的告知資料當事人。如將個人資料用於原本收集目的無直接關係的用途時，資料使用者則須取得資料當事人的「訂明同意」，即自願給予的明確同意。

5. GDPR 下的新權利
GDPR 引入多項資料當事人的新權利，包括「被遺忘權」、「資料可攜權」及「反對資料處理權」。

「被遺忘權」：在符合某些條件下，資料當事人有權要求相關資料收集方甚至其他第三方(例如Google搜尋引擎)刪除他的個人資料。

「資料可攜權」：資料當事人有權要求資料收集者將其個人資料傳送給另一個控制者，亦享有向資料收集方索取備份、查詢資料用途、或是更改錯誤的資料等權利。

「反對資料處理權」：資料當事人可隨時反對其個人資料被處理及不被用作自化個人決策，包括剖析（意即不經人手地以資料當事人的個人資料作出決定，而此決定對資料當事人在法律上或重大的影響）。資料收集者有責任在收集個人資料前清楚通知資料當事人這項權利及反對方法。

香港現行的《個人資料(私隱)條例》尚未包括以上三項新的權利。

6. 傳輸至歐盟境外的規定
除獲得資料當事人的同意外，GDPR 允許企業通過標準合同條款傳輸資料當事人的個人資料到非歐盟國家。同一企業下，只要獲得歐盟監管機構認可及遵守有關的企業約束規則，該企業就可以傳送個人資料至於非歐盟國家的成員公司作處理。

本港《個人資料(私隱)條例》內雖有「禁止除在指明情況外將個人資料移轉至香港以外地方」的條例，但條例一直尚未實施。私隱專員則於2014年發出《保障個人資料：跨境資料轉移指引》為有關法律條例實施作準備。

7. 企業處理資料管治責任
GDPR 要求企業證明並遵從處理個人資料原則、實施技術及機構措施及處理資料時加入資料保障。

第一，如企業的核心作業流程有需要管有及處理個人資料並受 GDPR規管，便須按GDPR規定任命任「保障資料主任」(Data Protection Officer, 簡稱「DPO」)及/或歐盟當地代表人(適用於歐盟境外機構)，並直屬於公司領導層。一旦出現違反GDPR的事故，這些人員便須負責。除不得無故拖延，有關機構必須採取積極主動的措施及守則，確保個人資料將預設地受到保護，並符合GDPR的規定。

第二，企業須為公司進行「資料保障影響評估」（Privacy Impact Assessment），辨別管理個人資料時的風險及應該採取的措施。

第三，企業處理個人資料時應實施「私隱設計」及「私隱預設」，在服務及產品設計時加入私隱保護私概念。

第四，GDPR 強制企業通報資料外洩事件，要求涉事公司必須於最初發現資料外洩的72小時內向歐盟的監管機構提交報告。如有關個人資料外洩的事故有很大機會危及個人的權利及自由，該機構亦有責任通知相關的個別人士。

最後，企業須為處理資料的有關活動及流程作記錄，制定相關政策。

以上種種企業處理資料管治的要求，在香港的《個人資料(私隱)條例》內並無明文規定必須執行。如本地企業想多了解企業處理資料管治，可參考香港私隱專員發出的《私隱影響評估》單張、《私隱管理系統 - 最佳制事方式指引》及《資料外洩事故的處理及通報指引》，有關指引只屬自願性質。

雖然GDPR 是歐盟的法例，但歐盟作為自由市場的重要經濟體，如何處理其境內約5 億居民的個人資料將影響到全球企業收集個人資料的手法及合規制度。雖然，香港也有《個人資料(私隱)條例》，但歐盟更嚴格的要求及罰則，將在可預見的將來成為國際標準。新例短期內看似過於嚴苛的洪水猛獸，但當我們未來的生活都逐漸離不開電子支付、電子認證、電子交易及電子傳訊，一部具前瞻性的個人資料保障法例，將未雨綢繆地保障我們的私隱不受大型企業濫用 (尤其是部分企業可能與某國政府關係密切或間接持有)。

黃峻顯律師
蔡騏法政匯思召集人（Certified Information Privacy Professional in Europe, the United States and Asia）