本文件可供发布或复制作非牟利用途,但必须注明有关资讯由.PDFVIP

聲明 此文件係歐洲聯盟第二十九條資料保護工作組 (ARTICLE 29 DATA PROTECTION WORKING PARTY )所製作的 Statement on the role of a risk - based approach in data protection legal frameworks 的非正式譯本，由澳門特 別行政區政府個人資料保護辦公室 （下稱 “本辦公室”）提供，僅供感興趣人 士 參 考 。 其 英 文 原 文 可 於 http://ec.europa.eu/justice/data - protection/index_en.htm 下載，其版權屬歐洲聯盟第二十九條資料保護工作組 所有。歐洲聯盟及其相關機構，包括第二十九條資料保護工作組，對此非正式 中文譯本不承擔任何責任。 本文件只供參考，並非任何澳門特別行政區的正式法律文件，不具法律效 力 。本辦公室及澳門特別行政區內的任何官方機構不會對使用或無法使用本文 件而所採取的任何行動或作出的決定承擔責任。 本文件可供發佈或複製作非牟利用途，但必須註明有關資訊由本辦公室提 供，並註明其英文原文出處。除非事前得到本辦公室的書面授權，否則不得複 製、改編、分發、發佈或提供本文件作牟利用途；如有違反，本辦公室保留依 法追究的權利 。 澳門特別行政區政府 個人資料保護辦公室 歐洲聯盟第二十九條資料保護工作組 對資料保護法律框架中的風險為本原則的說明 於 2014 年 5 月3 0 日通過 1 第二十九條工作組對資料保護法律框架中的風險為本原則的說明 第二十九條工作組一直以來支持在歐盟資料保護法律框架中，加入風險為本 原則 (risk -based approach) 。2013 年 2 月 27 日發出的關於資料保護改革討論的 聲明中，工作組尤其針對風險為本闡述了如下意見： “工作組意識到歐洲資料保護條例草案 (proposed R egulation) 的部分條文可 能會對某些負責處理個人資料的實體帶來負擔，甚至認為負擔不對稱 (unbalanced) ，故此在早前的意見中已經表明，負責處理個人資料的實體將按其 本身和所涉及的處理活動，負有各種相應程度 (scalable) 的義務。合規性 (compliance)不僅僅因為既存規定而遵守 ，更應該為著充分保障個人資料而遵守。 故此，不同負責處理個人資料的實體應採用不同方法保障個人資料，所適用的合 規性規定也因此存在差異……但無論負責處理個人資料的實體的組織規模或其處 理的資料數量存在甚麼差別，資料當事人都應該獲得同等保護。雖然工作組認為 負責處理個人資料的實體負有相應程度的義務 ，但須以符合法律規定為前提。” 儘管如此，工作組卻注意到，隨著新的歐洲資料保護法律框架的討論範圍的 擴大，越來越多人誤以為風險為本制度能取代已確立的資料保護權利和原則，沒 有正確理解此原則只是為達到合規性而採取相應程度和適度的做法，故此，工作 組希望透過本意見書糾正此錯誤觀念。 “風險為本原則”並非新的概念，事實上此原則早已規定於歐盟第 95/46/EC 號指令，尤其涉及安全 （第17 條）和資料保護當局預先審查 （第20 條）的條文。 另外，處理特殊類型的個人資料的規定（第 8 條）也同樣包含了此原則，當中指 出一旦處理的資料會對資料當事人構成風險，就必須加強相關義務。然而，就算 已經適用了風險為本原則，就個人資料的層面而言，當事人的權利還是會無可爭 議地受到影響。因此，就算處理本身涉及 “較低風險” ，都不影響當事人利益的 重要性；而對於前述的程度相應，所指向的是以風險評估為基礎，並以調整法律 義務為目的的合規機制 (compliance mechanism) 。申言之，當負責處理個人資料 的實體的處