2019年私隐风险搜寻联合行动报告.PDFVIP

澳 门 特 别 行 政 区 政 府 Governo da Região Administrativa Especial de Macau 个 人 资 料 保护 办 公 室 Gabinete para a Protecção de Dados Pessoais 2019 年“私隐风险搜寻联合行动”报告 一、背景资料 “全球私隐执法网络”(Global Privacy Enforcement Network, GPEN) 是一 个国际性组织，旨在促进各地私隐执法机构的跨境合作，成员包括 60 多个来 自不同国家和地区的私隐执法机构。该组织每年均会开展“私隐风险搜寻联合 行动”(Privacy Sweep) 。个人资料保护办公室作为组织成员，一直积极配合有 关工作。 于2019 年9 月该组织开展了第七届“私隐风险搜寻联合行动”，本办公室 与全球约20 个私隐执法机构参与了是次行动，并按照“全球私隐执法网络” 议定的规则，在指定的期间，以问卷方式初步评估部份澳门私营机构的个人资 料处理风险，以便本办公室能掌握私隐保护工作的实际发展现况，并为业界提 供协助。 本届“私隐风险搜寻联合行动”以由所有参加者共同选出的“资料外泄通 报”作为主题。按照欧盟《数据保护总规章》的规定，负责实体在发生数据外 泄事故 72 小时内通报所属的监管当局，在特定情况下尚须通报数据当事人。 可见，“资料外泄通报”是现今国际上流行的一种个人资料监管及保障制度， 且在多个司法管辖区得到有效落实，对澳门的个人资料保护工作极具参考价值。 二、主要数据 1 澳 门 特 别 行 政 区 政 府 Governo da Região Administrativa Especial de Macau 个 人 资 料 保护 办 公 室 Gabinete para a Protecção de Dados Pessoais (一) 对象 1 第13/2019号法律《网络安全法》即将生效 ，上述法律第11条和第12条规 定，在发生网络安全事故时，关键基础设施私人营运者有义务通报相关监管实 体，以及每年向其提交网络安全报告。鉴于有关机制切合本次行动的主题，在 考虑机构的性质及处理数据数量等因素的前提下，本办公室选定了上述法律所 定义的“关键基础设施私人营运者”中的银行业及保险业作为被评估对象。 本办公室于2019年9月向本澳41 间属上述行业内的私营机构发出问卷，由 其对自身机构的个人资料处理现况按既定的指标进行评估及评分（“非常好”、 “满意”、“不满意”、“无法说明”）后，将问卷送交回本办公室，最终本办公 室合共收回33份问卷。 (二) 评估项目 依据“全球私隐执法网络”所定的规则，本办公室分别从以下五个指标开 展评估工作： 1. 对规范资料外泄法制框架的意识； 2. 处理数据外泄的内部程序； 3. 对数据外泄之反应及处理； 4. 能否实施有效管理； 5. 如何预防同类事件再次发生。 1 由于本届“私隐风险搜寻联合行动”在2019 年9 月开展，在选择被评估对象及作成本报告 时，第13/2019 号法律《网络安全法》尚未生效。本办公室按照“全球私隐执法网络”要求，于 2020 年3 月公布本报告。 2 澳 门 特 别 行 政 区 政 府 Governo da Região Administrativa Especial de Macau