行政法论文：个人信息处理的通知与许可机制

摘要：当前我国学界对个人信息保护特别机制关注严重不足, 不利于个人信息保护体系性进展。考察“亚太地区最强的个人资料保护法”——澳门《个人资料保护法》可知, 个人信息保护特别机制主要涵括四个方面:个人信息跨境转移的法律规管机制;个人信息互联的法律规管机制;个人信息处理的通知与许可机制;个人信息违法处理的法律责任体系机制。面向未来, 我国内地宜参考澳门经验在《个人信息保护法》中对个人信息保护特别机制予以积极规范。

　　关键词：个人信息; 特别机制; 澳门; 跨境转移; 互联;

　　1 问题的提出:一项体系性的缺失

　　个人信息的法律保护机制整体上可分为一般机制和特别机制。前者侧重于从实体法律关系的角度对个人信息主体的权利义务内容进行妥适配置, 包括个人信息保护法的适用范围、个人信息主体的权利义务范畴和个人信息保护的基本原则框架等。后者侧重于从程序法律关系的角度对个人信息控制者的信息利用环节加以具体规制, 包括个人信息跨境转移、个人信息互联和个人信息处理的通知与许可等。纵观我国有关个人信息保护的研究现状可以发现, 当前我国学界对个人信息保护的研究多集中于一般机制的展开, 几乎没有针对特别机制的专门论述, 这虽是由我国对个人信息保护理论关注和立法跟进起步较晚所致, 但对于我国个人信息保护现实工作的有效运行和学理研究的系统发展可谓是一个不容被忽视的“体系性缺失”。在此背景下, 笔者选取澳门《个人资料保护法》作为特别机制研究的考察样本, 主要基于以下三点原因:其一, 相对于世界大部分国家和地区的个人资料保护法 (多制定于20世纪70年代至90年代) 而言, 出台于2005年的澳门《个人资料保护法》相对较新;其二, 澳门《个人资料保护法》具有较强的严密性与体系性, 被称为“亚太地区最强的个人资料保护法”[1], 该法对个人信息保护特别机制的规范具有殊值研析的典型性;其三, 澳门与内地拥有较为深厚的文化渊源, “虽然葡萄牙人曾管治澳门数世纪, 但澳门的居民一直都是以中国人为主, 而且占绝大多数……文化传统、生活方式、商业习惯等方面都保留着华人社会的特色”[2], 有利于增进研究时法律理念与精髓的互融共通。此外, 澳门与内地具有更为一致的语言体系和文字载体, 有利于消除因法律释义和文本解读而可能产生的歧义与障碍。因此, 在我国处于信息社会建设峰值期[3]的今天, 笔者通过对澳门《个人资料保护法》中特别机制进行考察, 以期在一定程度上弥合我国学界个人信息保护研究的“体系性缺失”, 进而为我国个人信息保护立法提供有益参考。需要说明的是, 下文括号内标注的条款皆为澳门《个人资料保护法》的相应条款。

　　2 特别机制之一:个人信息跨境转移的法律规管机制

　　个人信息跨境转移, 亦称个人信息跨境传输, 是指通过传送、告知或供人查阅等方法将个人信息转移到境外的国家或地区的行为[4]。就信息转移而言, 德国1990年《个人资料保护法》规定, 转移是指通过以下方式向第三方公开其储存的或者通过数据处理获取的个人信息:“提供数据给第三方, 或者第三方查看或者获取可以查看或者获取的数据”[5]。澳门《个人资料保护法》虽未就个人信息转移及跨境转移做出定义, 但从该法第五章内容可知个人信息跨境转移是指将个人信息转移到澳门以外的地方的行为。同时, 《个人资料保护法》针对个人信息跨境转移的一般原则和例外情况分别作出规定, 为规范个人信息跨境转移提供了基本法律依据。

　　2.1 个人信息跨境转移的一般原则

　　澳门在个人信息跨境转移事宜上遵循“严格限制”的立场, 将个人信息转移到澳门以外的地方应同时满足两个条件:其一, 接收转移信息当地的法律体系能确保适当的保护程度;其二, 信息转移行为须同时遵守《个人资料保护法》其他有关规定 (第十九条第一款) 。若不具备此两项条件, 则有关信息跨境转移行为原则上被禁止。其中, 第二项条件较易把握, 即个人信息跨境转移应属个人信息处理行为之一种, 因此《个人资料保护法》有关个人信息处理的基本原则、信息主体权利等规范同样适用于信息跨境转移行为。而第一项条件作为“落实资料转移的首要决定标准”[6], 涉及判断接收转移信息当地对个人信息的法律保护程度是否适当的决定主体及考量因素。

　　判断接收转移信息地法律体系是否能确保前述适当保护程度的决定主体是“公共当局” (第十九条第三款) , 即个人资料保护办公室。而个人资料保护办公室需在根据转移的所有情况或信息转移的整体进行审议的基础上方可作出是否适当的判断。具体而言, 其在判断时需考量的具体因素包括:信息的性质、处理信息的目的、期间或处理计划、信息来源地和最终目的地以及有关法律体系现行的一般或特定的法律规则及所遵守的专业规则和安全措施 (第十九条第二款) 。对于接收转移信息地是否具备个人信息保护适当程度作出判断后, 国际上惯常做法是基于政治考虑而把已经达到充分保护的国家名单列出来 (白名单) 而不是把没有充分保护的国家名单列出来 (黑名单) [5]268。但截至目前, 澳门个人资料保护办公室尚未宣告任何一个国家或地区具有适当保护程度[7]。

　　在实务中, 澳门曾发生某公司将前行政总裁甲使用的电脑内信息转移到美国的个案。在该案中, 该公司并未就有关转移向个人资料保护办公室作出任何通知、申请许可或申请作出决定, 违反了《个人资料保护法》第十九条和第二十条的规定, 因此该公司被个人资料保护办公室科处澳门币20 000元罚款[8]。此外, 澳门还发生过某公司将其旗下酒店顾客的个人资料转移到澳门以外地方的个案, 该公司同样因违法转移被个人资料保护办公室科处澳门币10 000元罚款[9]。

　　值得注意的是, 是否根据信息转移地的不同而采取不同的立场, 澳门和其《个人资料保护法》法源参考国葡萄牙的做法不同。在葡萄牙, 个人信息在欧盟成员国之间原则上可不受限制地自由转移, 而将个人信息向非欧盟成员国转移则受到与澳门类似的前述法律限制[10]。但澳门并未区分不同国家地区采取不同立场, 即使将个人信息转移至中国内地或香港特别行政区, 仍需受到严格限制。对此, 在《个人资料保护法》立法过程中就曾有人提出质疑[2]。

　　2.2 个人信息跨境转移的例外情形

　　在现代社会, 个人信息的跨境流动已相当普遍且具重要性, 过分严格的限制会不当阻碍社会中行政活动、商业活动和个体活动的正常开展。因此, 澳门《个人资料保护法》不仅对个人信息跨境转移做出原则性规定, 亦对如下三种例外情况有所涉及。在例外情况下, 个人信息可被转移至法律体系不具备适当保护程度的某个国家或地区。

　　第一, 满足法定情形且对个人信息保护主管机关作出通知后进行的个人信息跨境转移。该等法定情形包括信息主体明确同意、订立或履行合同所必需、保护重要公共利益或行使诉讼权利所必需、保护信息主体重大利益所必需以及个人信息已被合法公开登记 (第二十条第一款) 。此时信息控制者除需符合上述情形之外, 还需将拟进行的与个人信息跨境转移有关资讯通知个人资料保护办公室。

　　第二, 满足法定情形且经个人信息保护主管机关审查许可后进行的个人信息跨境转移。该等法定情形限于信息控制者“确保有足够的保障他人的私人生活、基本权利和自由的机制, 尤其透过适当的合同条款确保这些权利的行使” (第二十条第二款) 。此类情形的范围相较于前述第一类情形而言更为宽泛, 需满足的标准似更为宽松, 因此立法者在提供灵活空间的基础上加大了个人信息保护主管机关的介入力度, 以应对个人信息因此而加剧的被不当处理的风险。资料控制者于此时除需符合该类情形之外, 仍需向个人资料保护办公室申请并取得许可方可进行个人信息跨境转移, 不同于第一类情形中仅需通知而无需许可。

　　第三, 基于特定目的进行的个人信息跨境转移。该等特定目的限于“维护公共安全、预防犯罪、刑事侦查和制止刑事违法行为以及保障公共卫生所必须” (第二十条第三款) , 此时个人信息跨境转移无需个人信息保护主管机关介入 (包括做出决定、发出许可和接收通知) , 而是径行由专门法律、适用于澳门的国际法文书以及区际协议予以调整规范。

　　3 特别机制之二:个人信息互联的法律规管机制

　　任何推动由不同来源处大规模收集个人信息的互联的法律文件均涉及对个人信息保护及隐私的关注[11]。作为一个几近全新和前沿的概念, 在澳门《个人资料保护法》中, 个人信息互联是指一个信息库的资料与其他一个或多个信息控制者的一个或多个信息库的信息的联系、或同一信息控制者但目的不同的信息库联系的处理方式 (第四条第一款第十项) , 与之相似的概念如英美法系所称的资料比对 (Data Matching) 。欲准确把握《个人资料保护法》中的个人信息互联, 需从个人信息互联的性质、种类、价值、风险及具体规管措施等方面加以分析。

　　3.1 个人信息互联的性质与种类

　　就其性质而言, 个人信息互联有两重属性。从技术层面观之, 是指一种信息技术;从法律层面观之, 是指一种个人信息处理方式。在个人信息保护范畴内, 《个人资料保护法》自当关注第二种属性, 将个人信息互联作为一种资料处理方式对待。这一点可从该法的两处规定看出:其一, 该法规定个人信息的处理包括“传送、传播或其他透过比较或互联的方式向他人通告” (第四条第一款第三项) ;其二, 该法将个人信息互联定义为“一个资料库的资料与其他……资料库联系的处理方式” (第四条第一款第十项) 。

　　就其种类而言, 《个人资料保护法》区分了两种不同类型的个人信息互联, 即“外部互联”和“内部互联”。前者意指一个信息控制者信息库的信息与其他信息控制者信息库的信息建立联系的信息处理方式, 后者意指同一信息控制者内部对不同目的信息库中的信息建立联系的信息处理方式。二者均会增加信息处理对信息主体产生的风险, 但二者受到规范的重心有所差异。对于外部互联, 应着重厘定各个信息控制者在互联过程中各自的权责。对于内部互联, 应着重关注其隐秘性和因互联而导致的信息处理目的的不当变更。

　　3.2 个人信息互联的价值与风险

　　在价值层面, 个人信息互联在公私领域皆能为澳门的信息控制者带来显在利益。在公领域, 它是一个强大的行政及执法工具[12], 容许将不同来源的信息整合在一起, 并以比人手操作低得多的成本来服务于一系列的公共政策目的。在私领域, 个人信息互联可以综合了解一个人的情况, 包括其喜好、消费习惯、信用行为等, 也可以在基于不同目的而收集的信息之间寻找其相近或差异情况[13], 因此既可以成为商业工具, 也可以成为打击欺诈行为的武器。

　　然而, 个人信息互联亦会产生诸多问题, 包括个人信息主体丧失对个人信息控制、信息控制者仅以电子方式搜寻及确定信息、缺乏合适正确的程序、平等保护或歧视问题加剧等等。具体而言, 个人信息互联在澳门主要存有三类风险。

　　个人信息准确度风险。在不同信息库之间进行信息互联可能导致某一信息库内的信息因核对而得以更改, 但更改后的信息并非从当事人处直接收集, 因此该信息是否准确并无保障。此时若信息控制者利用互联产生的准确性有瑕疵的信息对信息主体做出某些决定, 必将对信息主体合法权益造成不利影响。

　　个人信息处理目的不当变更风险。如前述概念所揭示, 个人信息互联发生在不同的信息库之间, 而不同信息库中存储的信息往往具有各自不同的处理目的。若不加以规制, 原本用于某一特定目的的个人信息极有可能因互联而被用于其他目的, 这无疑与个人信息保护法基本原则中的目的限制原则背道而驰。

　　个人信息外泄风险。不同信息控制者之间进行互联时, 信息库中不相关或不必要的个人信息可能因互联而被大规模披露或外泄给其他信息控制者。此种风险与普通信息处理情形中将某个信息主体之个人信息外泄予他人的风险相比, 所带来的危害无疑更加严重。总之, “漫无限制之资料比对则可能侵害人民之资讯隐私权”。

　　3.3 个人信息互联的具体规管方式

　　基于以上风险, 《个人资料保护法》通过限定个人信息互联的法定条件及订立个人信息互联的行为准则的方式对其加以规管。立法者针对个人信息互联订明了两项属预先监控的法定条件:法律规定或具组织性质的规章规定对互联做出许可;个人信息保护主管机关对互联做出许可 (第九条第一款) 。信息控制者仅在满足上述两项条件之一的情形下方可进行互联操作。此外, 信息控制者在进行个人信息互联的过程中亦需按照法定的行为准则行事, 该等行为准则包括:互联应符合法律或章程规定的目的和信息控制者的正当利益;不得导致歧视或削减信息当事人的权利、自由和保障;须有适当的安全措施;考虑需互联的信息种类 (第九条第二款) 。

　　在实务中, 澳门身份证明局曾以保证居民证申请表所载信息准确性及该等信息与依法组成卷宗之文件内信息一致性为由, 拟要求民事登记局通过计算机专线方式将澳门居民的婚姻登记信息提供予该局查核。就此, 个人资料保护办公室认为上述通过计算机专线取得婚姻信息的处理方式涉及个人信息互联, 因此须由民事登记局或民事登记局联同身份证明局就上述信息处理方式向办公室申请许可并采取适当的技术和组织措施保证有关信息的安全性和保密性。此外, 个人资料保护办公室亦建议双方应就信息互联订定“使用规则”, 以确保在法律规定的范围内对信息进行处理, 预防有关的信息被滥用[14]。

　　4 特别机制之三:个人信息处理的通知与许可机制

　　通知机制与许可机制肇端于欧盟个人信息保护法律制度, 在性质上属于个人信息处理的监管机制, 通过《个人资料保护法》的制定被澳门立法者予以本土化。两种机制的存有与推进在落实个人信息透明处理原则、敦促信息控制者主动保护个人信息和协助个人信息保护主管机关有效履行职能方面具有共通性, 但两者本身在内涵理念与适用规则等方面有所不同。

　　4.1 个人信息处理的通知机制

　　通知机制, 意指信息控制者依法以法定的通知方式向个人信息保护主管机关申报其个人信息处理情况, 而由个人信息保护主管机关对该情况予以登记。该机制所蕴含的理念为对于风险较低的个人信息处理行为需由主管机关介入, 但此介入的力度相对较小, 因此选择事后早期和形式介入, 由主管机关对申报进行程序性的形式审查后对相应的个人信息处理予以备案。在澳门, 适用通知机制的个人信息处理情形可分为四类。

　　首先, 个人信息的自动化处理。若信息控制者为了实现一个或多个相互关联的目的而对个人信息进行一个或一系列、全部或部分自动化处理, 则需依法通知个人资料保护办公室 (第二十一条第一款) 。

　　其次, 特定情形下敏感信息的非自动化处理。若信息控制者基于保护信息主体或其他人重大利益所必需且在信息主体身体上或法律上无能力作出同意时对个人敏感信息进行处理, 即使此时信息控制者采用的是非自动化处理方式, 其仍需依法通知个人资料保护办公室 (第二十一条第五款) 。究其原因, 在于个人敏感信息通常与隐私直接关联, 对敏感信息的不当处理极有可能对信息主体及其日常生活带来不可逆转的长期负面影响。因此立法者对该类资料订立更为严格的保护规则。

　　再次, 特定情形下被免除资讯提供义务。信息控制者在收集个人信息时本负有资讯告知义务, 但若信息控制者基于统计、历史或科学研究目的处理个人信息, 在不可能告知或告知信息主体的成本过高, 或法律法规对信息的登记或公开已有明文规定时, 信息控制者被免除资讯提供义务, 但此时其应依法通知个人资料保护办公室 (第十条第五款第三项) 。

　　最后, 特定情形下个人信息跨境转移。原则上信息控制者仅可在遵守《个人资料保护法》且接收地法律体系具有适当保护程度的前提下方可将个人信息转移至澳门以外的国家或地区, 若接收地不具备前述适当保护程度, 则在当事人明确同意或满足法定例外情形下, 信息控制者亦可将个人信息跨境转移, 但此时需依法通知个人资料保护办公室 (第二十条第一款) 。

　　此外, 信息控制者对上述个人信息处理情形做出通知的形式、时间和内容并非漫无条件, 而是受到法定的限制。在澳门, 信息控制者向个人资料保护办公室做出通知的形式仅包括书面形式而不包括口头形式, 做出通知的时间为事后早期, 即需在个人信息处理开始起八日以内 (第二十一条第一款) 。就内容而言, 信息控制者需在书面通知中载入与信息处理有关的十项法定资讯 (第二十三条) 。

　　4.2 个人信息处理的许可机制

　　许可机制, 在欧洲被称为“预先监控机制” (Prior Checking) , 在澳门《个人资料保护法》第二十二条中亦有“预先监控”之名。该机制意指信息控制者依法就特定的个人信息处理以法定形式向个人信息保护主管机关提出许可申请, 由个人信息保护主管机关对申请进行审查并予批准后, 其方可进行相应的个人信息处理。该机制所蕴含的理念为对于风险较高的个人信息处理行为需由主管机关介入, 且此介入的力度相对较大, 因此选择事前介入, 由主管机关对许可申请进行实质审查并做出是否批准的决定。

　　在澳门, 适用许可机制的个人信息处理情形包括六类, 分别为个人信息保存期限延长 (第五条第二款) 、特定情形下个人信息跨境转移 (第二十条第二款) 、特定情形下敏感信息处理、信用和偿付能力信息处理、个人信息互联和个人信息处理目的改变 (第二十条第一款第一项至第四项) 。上述个人信息处理对于信息主体合法权益之侵害而言具有较高风险。以信用和偿付能力信息处理为例, 如果信息控制者对有关信息主体信用和偿付能力的信息进行收集和处理, 则信息控制者很有可能基于该等信息而对信息主体的信用和偿付能力做出判断进而做出某些决定, 该等判断和决定往往对信息主体的利益 (例如缔结合同、享受福利) 产生负面影响。我国内地就曾发生某高校拟将大学生恋爱忠诚度纳入其信用档案的事情, 引发较大争议[15]。在邻近的香港, 申诉专员公署曾为解决大学生拖欠学生贷款问题而建议将某些学生借款人的拖欠还款信息交予信贷资料机构, 但未获时任香港个人资料私隐专员蒋任宏的支持[16]。

　　与作出通知的形式一样, 信息控制者应采用书面形式提出许可申请, 并在其书面申请中载明与前述书面通知相同的十项法定资讯。但与作出通知的时间不同, 信息控制者应在个人信息处理开始之前就提出许可申请而非擅自处理之后才向个人资料保护办公室提出许可申请。

　　4.3 个人信息处理中通知与许可的豁免和简化

　　鉴于通知与许可机制属于相对严格的个人信息处理规管机制, 因此为减轻信息控制者作出通知与申请许可的负担并为缓和个人信息保护主管机关处理通知与审批许可的压力, 立法者通过在《个人资料保护法》中规定豁免与简化来补充通知与许可机制的灵活性。

　　对于通知机制, 其机制设计目的在于由个人信息保护主管机关对某些对信息主体权利和自由产生潜在消极影响的个人信息处理行为加以规制。因此, 若有关的信息处理行为不具备前述影响, 则简化或豁免其通知。具体而言, 《个人资料保护法》既规定了通知的豁免, 亦规定了通知的简化, 前者包括法定豁免和许可豁免, 后者仅包括许可简化。就法定豁免而言, “当根据法律或行政法规, 处理资料的唯一目的是为了维持资料的登记, 而该登记时为着公众资讯和可供一般公众或证明有正当利益的人查询之用时” (第二十一条第四款) , 可以依法豁免信息控制者的通知义务, 该等豁免通常适用于风险极低且在社会中较具普遍性的个人信息处理情形。就许可豁免和许可简化而言, 其通常适用于风险稍高但在社会中亦较具普遍性的个人信息处理情形。许可的主体是个人资料保护办公室, 许可的考量因素包括“公共当局认为资料的处理不会对资料当事人的权利和自由构成影响”和“快速、经济和有效的原则” (第二十一条第二款) 。截至目前, 澳门个人资料保护办公室共发出十份豁免履行通知义务的许可及两份以简化方式履行通知义务的许可。

　　对于许可机制, 其机制设计目的在于严格规管某些具有高风险的个人信息处理行为, 而豁免与简化的基础在于“资料的处理不会对资料当事人的权利和自由构成影响”。因此, 在许可机制中并不存在豁免和简化的适用余地, 《个人资料保护法》亦未规定许可机制的豁免和简化。

　　5 特别机制之四:民事、行政和刑事一体的法律责任机制

　　5.1 个人信息违法处理的民事责任

　　澳门《个人资料保护法》第十四条规定的损害赔偿权应属个人信息被违法处理或信息控制者违反个人信息保护法时信息主体所享有的民事救济权。在信息控制者违法实施侵犯信息主体个人信息权益的行为时, 信息主体依法享有损害赔偿请求权。对该项权利的理解宜结合澳门《民法典》相关规定加以把握。

　　损害赔偿责任主体。进行个人信息不法处理或实施其他任何违反个人信息保护范畴法律的行为而使信息主体受有损失的信息控制者是该责任的责任主体 (第十四条第一款) 。其中, 当信息控制者是公法人时, 亦需按照澳门《民法典》第四百九十四条规定对该等损害承担民事责任。此外, 若个人信息侵权行为由受信息控制者之托而进行信息处理的受托人实施, 按照《民法典》第四百九十三条关于委托关系之规定, 仍需由委托人即信息控制者承担赔偿责任。

　　损害赔偿归责原则。一般情况下, 侵权责任之归责原则采用过错责任原则, 即由受害人证明侵害人之过错。但立法者考虑到信息主体在信息处理关系中处于明显弱势地位且搜集和提供有关证据的难度较大, 故《个人资料保护法》为个人信息侵权设定了过错推定责任原则 (第十四条) 。信息主体不负有证明信息控制者过错的举证责任, 相反, 应由信息控制者承担证明其不存在过错的举证责任。若信息控制者未能证明其对损害的发生不存在故意或过失, 即应对所生损害承担赔偿责任。

　　损害赔偿范围。受损害的信息主体有权向实施侵权行为的信息控制者要求获得所受损害的赔偿 (第十四条第一款) , 但所受损害是否包括非财产损害《个人资料保护法》未予明定。结合《民法典》关于侵权责任非财产损害的第四百八十九条第一款规定“在定出损害赔偿时, 应考虑非财产之损害, 只要基于其严重性而应受法律保护者”可知, 在个人信息侵权具有严重性时, 信息主体亦有权请求非财产损害赔偿。因此, 个人信息侵权的损害赔偿范围同时包括财产损害和非财产损害。

　　5.2 个人信息违法处理的行政责任

　　若信息控制者不法处理个人信息的行为构成行政上之违法行为, 需承担相应的行政责任。在澳门《个人资料保护法》制定过程中, 曾有意见认为有关行政违法行为和罚则可抽离出来, 留待政府以行政法规订定。但澳门立法会第三常设委员会经反复讨论及对照现实情况后认为:首先, 此问题并非法律技术问题而是立法政策问题;其次, 立法会完全有权就行政违法行为和罚则进行立法, 即立法会有此方面的立法权限;最后, 在保护个人信息此一基本权利事宜上, 将有关行政违法行为及罚则以立法形式作出规范是完全应该的, 亦使法律制度更加一致与完整[17]。因此, 有关行政违法行为和罚则的内容被保留在了澳门《个人资料保护法》中。

　　就行政违法行为种类而言, 主要分为两类。其一, 不履行法定义务。包括信息控制者不履行《个人资料保护法》在基本原则、信息主体权利、信息处理特别安全措施、信息处理公开、个人信息互联和个人信息跨境转移等部分规定的义务 (第三十三条) 。其二, 履行义务的不作为或有瑕疵的履行。包括信息控制者未依法将其个人信息处理情形通知个人资料保护办公室、通知时提供虚假资讯以及作出通知时其书面通知所载资讯不满足法律要求等 (第三十二条) 。

　　就行政违法形态而言:在客观方面, 既遂形态和未遂形态均受法律规制;在主观方面, 故意形态和过失形态亦同受法律调整 (第三十五条) 。此外, 若同一行为事实产生行政违法行为竞合形态, 则相应的各项行政处罚需一并科处而非择一科处 (第三十四条第二款) 。

　　就行政责任形式而言, 《个人资料保护法》确立了以罚款为主、附加罚为辅的行政责任形式, 后者包括临时或确定性禁止处理、封存、删除、全部或部分销毁信息以及由个人资料保护办公室对信息控制者提出警告或公开谴责 (第四十三条) 。虽然附加罚不会直接导致或增加受罚信息控制者金钱上的损失, 但有助于强化惩罚效果并在一定程度上发挥社会教育功能。

　　5.3 个人信息违法处理的刑事责任

　　针对信息控制者具有严重社会危害性的不法信息处理行为及其他违反个人信息保护法律的行为, 立法者订立了较为充分和严格的刑事责任。从罪名来看, 《个人资料保护法》共列明五项个人信息犯罪, 分别为“未履行资料保护的义务罪”“不当查阅罪”“个人资料的更改或毁坏罪”“加重违令罪”和“违反保密义务罪” (第三十七条至第四十一条) 。从犯罪形态来看, 既遂和未遂均受处罚 (第四十二条) 。从刑罚种类来看, 包括徒刑、罚金以及附加刑 (第四十三条) 。

　　6 澳门个人信息保护特别机制对内地的启示

　　内地目前尚未出台统一的个人信息保护法, 亦未设立专责性的个人信息保护主管机关, 因此个人信息保护的特别机制在我国现行法制框架中难觅踪迹。但从2012年之前《居民身份证法》和《刑法修正案 (七) 》对个人信息保护的零散规定, 到2012年之后《关于加强网络信息保护的决定》和《电信和互联网用户个人信息保护规定》的出台, 尤其是2017年《民法总则》《网络安全法》和《关于侵犯公民个人信息刑事案件适用法律若干问题的解释》的颁布实施, 表明在“是否通过立法保护个人信息”的问题上, 内地秉持了肯定立场。因此, 未来内地在个人信息保护法的制度设计上可参考澳门经验对个人信息保护的特别机制, 从以下四个方面予以积极安排和规范。

　　首先, 明确个人信息跨境转移的条件。原则上仅允许个人信息被依法转移至其法律体系能够确保适当保护程度的国家和地区, 并规定相应的例外条款。其次, 重视对个人信息互联的规管。原则上仅在法律许可或个人信息保护机关许可的情况下, 方可将一个信息控制者信息库的信息与其他一个或多个信息控制者一个或多个信息库的信息相联系与比对、或将同一信息控制者但目的不同的信息库相联系与比对。再次, 确立个人信息处理的通知机制与许可机制。根据不同信息处理行为风险程度高低分别规定信息控制者向个人信息保护机关履行通知或申请许可义务, 同时在法定或个人信息保护机关决定的情形下豁免或简化某些通知与申请许可义务。最后, 健全违反个人信息保护法的法律责任体系。民事责任层面, 将个人信息侵权损害赔偿责任归责原则设定为过错推定责任原则, 损害赔偿范围同时包括物质损害和精神损害。行政责任层面, 对于既遂、未遂和故意、过失的行政违法行为均予处罚, 责任形式以罚款为主。刑事责任层面, 为具有严重社会危害性的个人信息违法行为设定具体刑事罪名, 同时补充刑法有关个人信息犯罪规定的不足。

　　参考文献

　　[1].澳门特别行政区政府个人资料保护办公室.2012年度报告[R/OL]. (2013-12-09) [2017-07-23].http://www.gpdp.gov.mo/index.php?m=content&c=index&a=show&catid=137&id=198.
　　[2] .澳门特别行政区廉政公署.个人资料保护法 (法案) 意见书[Z/OL]. (2005-07-28) [2017-07-23].http://www.al.gov.mo/file/colect/col_lei-08/cn/3a.htm.
　　[3] .中国信息社会测评研究课题组.中国信息社会建设十大趋势[N].人民邮电报, 2013-09-09 (006) .
　　[4] .齐爱民.大数据时代个人信息保护法国际比较研究[M].北京:法律出版社, 2015:154.
　　[5] .库勒.欧洲数据保护法——公司遵守与管制[M].旷野, 杨会永, 等, 译.北京:法律出版社, 2008:85-88.
　　[6] .澳门特别行政区立法会第三常设委员会.第3/II/2005号意见书[Z/OL]. (2005-07-28) [2017-07-23].http://www.al.gov.mo/file/colect/col_lei-08/cn/3.htm.
　　[7] .澳门特别行政区政府个人资料保护办公室.第0010/P/2014GPDP号意见书[Z/OL]. (2014-07-28) [2017-07-24].http://www.gpdp.gov.mo/uploadfile/2014/0821/20140821095515475.pdf.
　　[8] .澳门特别行政区政府个人资料保护办公室.第0068/2012/IP调查个案摘要[Z/OL].[2017-07-23].http://www.gpdp.gov.mo/index.php?m=content&c=index&a=show&catid=134&id=233.
　　[9] .澳门特别行政区政府个人资料保护办公室.第0013/2012/IP调查个案摘要[Z/OL].[2017-07-24].http://www.gpdp.gov.mo/index.php?m=content&c=index&a=show&catid=134&id=230.
　　[10] .周汉华.域外个人数据保护法汇编[M].北京:法律出版社, 2006:283.