^ ]

葡文版本

澳 門 特 別 行 政 區

第8/2005號法律

個人資料保護法

立法會根據《澳門特別行政區基本法》第七十一條(一)項的規定,為實施《澳門特別行政區基本法》第三十條第三十二條第四十三條所訂定的基本制度,制定本法律。

第一章

一般規定

第一條

標的

本法律訂定個人資料處理及保護的法律制度。

第二條

一般原則

個人資料的處理應以透明的方式進行,並應尊重私人生活的隱私和《澳門特別行政區基本法》、國際法文書和現行法律訂定的基本權利、自由和保障。

第三條

適用範圍

一、本法律適用於全部或部份以自動化方法對個人資料的處理,以及以非自動化方法對存於或將存於人手操作的資料庫內的個人資料的處理。

二、本法律不適用於自然人在從事專屬個人或家庭活動時對個人資料的處理,但用作系統通訊或傳播者除外。

三、本法律適用於對可以認別身份的人的聲音和影像進行的錄像監視,以及以其他方式對這些聲音和影像的取得、處理和傳播,只要負責處理資料的實體的住所在澳門特別行政區(以下簡稱特區),或者通過在特區設立的提供資訊和電信資訊網絡服務的供應商而實施。

四、本法律適用於以公共安全為目的對個人資料的處理,但不妨礙適用於特區的國際法文書以及區際協定的特別規定、與公共安全有關的專門法律和其他相關的規定。

第四條

定義

一、為本法律的效力,下列用詞之定義為:

(一)“個人資料”:與某個身份已確定或身份可確定的自然人(“資料當事人”)有關的任何資訊,包括聲音和影像,不管其性質如何以及是否擁有載體。所謂身份可確定的人是指直接或間接地,尤其透過參考一個認別編號或者身體、生理、心理、經濟、文化或社會方面的一個或多個特徵,可以被確定身份的人;

(二)“資料當事人”:其資料被處理的自然人;

(三)“個人資料的處理”(“處理”):有關個人資料的任何或者一系列的操作,不管該操作是否通過自動化的方法進行,諸如資料的收集、登記、編排、保存、改編或修改、復原、查詢、使用,或者以傳送、傳播或其他透過比較或互聯的方式向他人通告,以及資料的封存、刪除或者銷毀;

(四)“個人資料的資料庫” (“資料庫”):任何有組織結構並可按特定標準查閱的個人資料的集合體,而不論資料庫的建立、儲存以及組織的形式或方式如何;

(五)“負責處理個人資料的實體”:就個人資料處理的目的和方法,單獨或與他人共同作出決定的自然人或法人,公共實體、部門或任何其他機構;

(六)“次合同人”:受負責處理個人資料的實體的委託而處理個人資料的自然人或法人,公共實體、部門或任何其他機構;

(七)“第三人”:除資料當事人、負責處理個人資料的實體、次合同人或其他直接隸屬於負責處理個人資料的實體或次合同人之外的、有資格處理資料的自然人或法人,公共實體、部門或任何其他機構;

(八)“資料的接收者”:被告知個人資料的自然人或法人,公共實體、部門或任何其他機構,不論其是否第三人,但不妨礙在某個法律規定或具組織性質的規章性規定中訂定被告知資料的當局不被視為資料的接收者;

(九)“資料當事人的同意”:任何自由、特定且在知悉的情況下作出的意思表示,該表示表明當事人接受對其個人資料的處理;

(十)“資料的互聯”:一個資料庫的資料與其他一個或多個負責實體的一個或多個資料庫的資料的聯繫、或同一負責實體但目的不同的資料庫的資料聯繫的處理方式;

(十一)“公共當局”:《民法典》第七十九條第三款所指的實體;

(十二)“具組織性質的規章性規定”:規範有權限作出本法所指資料處理行為或其他行為的實體,其組織或運作的法規或章程中所載的規定。

二、為上款(五)項的效力,如法律規定或具組織性質的規章性規定訂定了處理的目的和方法,則在其中應指定負責處理有關個人資料的實體。

第二章

個人資料的處理和性質以及對其處理的正當性

第五條

資料的性質

一、個人資料應︰

(一)以合法的方式並在遵守善意原則和第二條所指的一般原則下處理;

(二)為了特定、明確、正當和與負責處理實體的活動直接有關的目的而收集,之後對資料的處理亦不得偏離有關目的;

(三)適合、適當及不超越收集和之後處理資料的目的;

(四)準確,當有需要時作出更新,並應基於收集和之後處理的目的,採取適當措施確保對不準確或不完整的資料進行刪除或更正;

(五)僅在為實現收集或之後處理資料的目的所需期間內,以可認別資料當事人身份的方式被保存。

二、經負責處理個人資料的實體要求以及當存有正當利益時,公共當局得許可為歷史、統計或科學之目的,將上款(五)項所規定的保存期限延長。

第六條

個人資料處理的正當性條件

個人資料的處理僅得在資料當事人明確同意或在以下必要的情況下方可進行:

(一)執行資料當事人作為合同一方的合同,或應當事人要求執行訂立合同或法律行為意思表示的預先措施;

(二)負責處理個人資料的實體須履行法定義務;

(三)為保障資料當事人的重大利益,而資料當事人在身體上或法律上無能力作出同意;

(四)負責處理個人資料的實體或被告知資料的第三人在執行一具公共利益的任務,或者在行使公共當局權力;

(五)為實現負責處理個人資料的實體或被告知資料的第三人的正當利益,只要資料當事人的利益或權利、自由和保障不優於這些正當利益。

第七條

敏感資料的處理

一、禁止處理與世界觀或政治信仰、政治社團或工會關係、宗教信仰、私人生活、種族和民族本源以及與健康和性生活有關的個人資料,包括遺傳資料。

二、在保障非歧視原則以及第十六條所規定的安全措施的前提下,得對上款所指的資料在下列任一情況下進行處理:

(一)法律規定或具組織性質的規章性規定明確許可處理上款所指的資料;

(二)當基於重大公共利益且資料的處理對負責處理的實體行使職責及權限所必需時,經公共當局許可;

(三)資料當事人對處理給予明確許可。

三、當出現下列任一情況時,亦得處理第一款所指的資料:

(一)保護資料當事人或其他人重大利益所必需,且資料當事人在身體上或法律上無能力作出同意;

(二)經資料當事人同意,由具有政治、哲學、宗教或工會性質的非牟利法人或機構在其正當活動範圍內處理資料,只要該處理僅涉及這些機構的成員或基於有關實體的宗旨與他們有定期接觸的人士,且有關資料未經資料當事人同意不得告知第三人;

(三)要處理的資料明顯已被資料當事人公開,只要從其聲明可依法推斷出資料當事人同意處理有關資料;

(四)處理資料是在司法訴訟中宣告、行使或維護一權利所必需的,且只為該目的而處理資料。

四、如處理與健康、性生活和遺傳有關的資料是醫學上的預防、診斷、醫療護理、治療或衛生部門管理所必需的,只要由負有保密義務的醫務專業人員或其他同樣受職業保密義務約束的人進行,並根據第二十一條規定通知公共當局和採取適當措施確保資訊安全,得處理有關資料。

第八條

懷疑從事不法活動、刑事違法行為或行政違法行為

一、只有法律規定或具組織性質的規章性規定賦予特定權限的公共部門,在遵守現行資料保護程序和規定的情況下,可設立和保持關於懷疑某人從事不法行為、刑事或行政違法行為,以及判處刑罰、保安處分、罰金或附加刑決定的集中登記。

二、如處理是負責實體實現其正當目的所必需,且資料當事人的權利、自由和保障不優先,在遵守資料保護和資訊安全規定的情況下,得對關於懷疑某人從事不法行為、刑事或行政違法行為,以及判處刑罰、保安處分、罰金或附加刑決定的個人資料進行處理。

三、基於刑事偵查目的而處理個人資料,應僅限於預防一具體的危險或阻止一特定違法行為,以及行使法律規定或具組織性質的規章性規定所賦予的權限而必需的,並應遵守適用於特區的國際法文書或區際協定的規定。

第九條

個人資料的互聯

一、法律規定或具組織性質的規章性規定未規定的個人資料的互聯,須由負責處理個人資料的實體或與其共同負責的實體根據第二十二條第一款的規定向公共當局提出請求並取得其許可。

二、個人資料的互聯應:

(一)符合法律或章程規定的目的和負責處理個人資料的實體的正當利益;

(二)不得導致歧視或削減資料當事人的權利、自由和保障;

(三)須有適當的安全措施;

(四)考慮需互聯的資料的種類。

第三章

資料當事人的權利

第十條

資訊權

一、當直接向資料當事人收集個人資料時,除非資料當事人已經知悉,負責處理個人資料的實體或其代表人應向資料當事人提供如下資訊:

(一)負責處理個人資料的實體的身份及如有代表人時其代表人的身份;

(二)處理的目的;

(三)其他資訊,如:

(1)資料的接收者或接收者的類別;

(2)當事人回覆的強制性或任意性,以及不回覆可能產生的後果;

(3)考慮到資料收集的特殊情況,為確保資料當事人的資料得到如實處理,在必要的情況下享有查閱權、更正權和行使這些權利的條件。

二、作為收集個人資料的基礎文件應包括上款所指的資訊。

三、當資料並非向資料當事人收集時,負責處理個人資料的實體或其代表,在對資料進行登記時,應向當事人提供第一款規定的資訊,但當事人已知悉者除外;或當規定需將資料向第三人通告時,應最遲在第一次通告前,向當事人提供第一款規定的資訊。

四、當在公開的網絡上收集資料時,應該告知資料當事人,其個人資料在網絡上的流通可能缺乏安全保障,有被未經許可的第三人看到和使用的風險,但當事人已知悉者除外。

五、在下列任一情況下,可免除本條所規定的提供資訊的義務:

(一)經法律規定;

(二)基於安全、預防犯罪或刑事偵查的理由;

(三)尤其是當以統計、歷史或科學研究為目的處理資料時,在不可能告知資料當事人或作出告知的成本過高,又或當法律或行政法規明確規定了資料的登記或公開時,但在該等情形下應通知公共當局。

六、在根據下條第三款規定尊重資料當事人基本權利的前提下,本條所規定的提供資訊的義務,不適用於專為新聞、藝術或文學表達目的而對資料的處理。

第十一條

查閱權

一、在不得拖延的合理期限內及無需支付過高費用的情況下,資料當事人享有自由地、不受限制地從負責處理個人資料的實體獲知以下事項的權利:

(一)確認與當事人有關的資料是否被處理、處理目的、被處理資料的類別、資料接收者或接收者的類別;

(二)被清楚地告知需要處理的資料及有關資料的來源;

(三)了解對與其有關的資料的自動化處理原因;

(四)對未依據本法律規定處理的資料,尤其是對不完整或不準確的資料的更正、刪除或封存;

(五)將根據上項規定對資料進行的更正、刪除或封存,通知曾知悉有關資料的第三人,第三人亦應同樣對資料進行更正、刪除、銷毀或封存,但證實不可能通知或作出通知的成本過高者除外。

二、當處理與安全、預防犯罪或刑事偵查有關的個人資料時,查閱權通過在該情形下有權限的當局行使。

三、在上條第六款規定的情況下,查閱權通過公共當局行使,以確保現行適用的規定,主要是確保言論和資訊自由、出版自由、新聞工作者的職業獨立和保密規定的實施。

四、在第二款和第三款規定的情況下,如告知資料當事人可能妨害安全、預防犯罪或刑事偵查、或者妨害言論和資訊自由或出版自由時,分別由在該情形下有權限的當局或公共當局,在不損害本款所擬保護價值的限度內,將所採取的措施告知資料當事人。

五、關於健康資料,包括遺傳資料的查閱權由資料當事人選擇的醫生行使。

六、當資料不被用作對特定的人採取措施或作出決定之用時,在明顯沒有侵犯資料當事人的權利、自由和保障,尤其是私人生活權利危險的情況下,以及當上述資料專用於科學研究,或專為統計所必須的時間內以個人資料形式儲存時,法律得限制查閱權。

第十二條

反對權

一、除法律有相反規定者外,資料當事人有權在任何時候,以與其私人情況有關的正當和重大的理由反對處理與其有關的個人資料。當反對理由合理時,負責實體不得再對該等資料進行處理。

二、資料當事人亦有權在無須費用的情況下,反對負責處理資料的實體以直接促銷或其他方式的商業考察為目的而對與其有關的個人資料進行處理;或免費要求負責處理資料的實體,在基於直接促銷目的或為第三人利益使用有關資料而第一次向第三人通告前,向其作出告知,且在無須費用的情況下,明確反對負責處理資料的實體通告或使用有關資料。

第十三條

不受自動化決定約束的權利

一、任何人有權不受對其權利義務範圍產生效力或對其有明顯影響並僅基於對資料的自動化處理而作出的決定的約束,且有關資料僅用作對該人人格某些方面,尤其是專業能力、信譽、應有的信任或其行為方面的評定。

二、在不妨礙遵守本法律其他規定的情況下,個人得受根據第一款作出決定的約束,只要有關決定:

(一)是在訂定或執行一合同範圍內,以訂定或執行該合同的要求得到滿足為條件,或已有適當的措施保障其正當利益尤其是其申述權和表達權時;

(二)經訂明保護資料當事人權利及正當利益的保障措施的法律許可。

第十四條

損害賠償權

一、任何因資料的不法處理或其他任何違反個人資料保護範疇的法律規定或規章性規定的行為而受損害的人均有權向負責處理資料的實體要求獲得所受損失的賠償。

二、如負責處理資料的實體證實其並非引致損害事實的歸責者,得部分或全部免除責任。

三、如有次合同,適用《民法典》第四百九十二條及隨後數條關於委託關係的規定。

第四章

處理的安全性和保密性

第十五條

處理的安全性

一、負責處理個人資料的實體應採取適當的技術和組織措施保護個人資料,避免資料的意外或不法損壞、意外遺失、未經許可的更改、傳播或查閱,尤其是有關處理使資料經網絡傳送時,以及任何其他方式的不法處理;在考慮到已有的技術知識和因採用該技術所需成本的情況下,上述措施應確保具有與資料處理所帶來的風險及所保護資料的性質相適應的安全程度。

二、負責處理個人資料的實體,在委託他人處理時,應選擇一個在資料處理的技術安全和組織上能提供足夠保障措施的次合同人,並應監察有關措施的執行。

三、以次合同進行的處理,應由約束次合同人和負責處理資料實體的合同或法律行為規範,並應特別規定次合同人只可按照負責處理資料的實體的指引行動,並須履行第一款所指的義務。

四、與資料保護有關的法律行為之意思表示、合同或法律行為的證據資料,以及第一款所指措施的要求,應由法律認可的具有證明效力的書面文件載明。

第十六條

特別的安全措施

一、第七條第二款和第八條第一款所指的負責處理資料的實體應採取適當的措施,以便:

(一)控制進入設施:阻止未經許可的人進入處理上述資料的設施;

(二)控制資料載體:阻止未經許可的人閱讀、複製、修改或取走資料的載體;

(三)控制輸入:阻止未經許可而對已記載的個人資料加入其他資料,以及未經資料記載人許可的知悉、修改或刪除;

(四)控制使用:阻止未經許可的人透過資料傳送設施使用資料的自動化處理系統;

(五)控制查閱:確保經許可的人只可以查閱許可範圍內的資料;

(六)控制傳送:確保透過資料傳送設施可以查證傳送個人資料的實體;

(七)控制引入:確保可以在隨後查證引入了哪些個人資料、何時和由誰引入,該查證須在每一領域的適用規章所定的、與資料處理的性質相符的期間內進行;

(八)控制運輸:在個人資料的傳送和其載體的運輸過程中,阻止以未經許可的方式閱讀、複製、修改或刪除資料。

二、考慮到各負責處理資料的實體的性質和進行處理的設施的種類,公共當局在確保尊重資料當事人的權利、自由和保障的情況下得免除某些安全措施。

三、有關系統應確保將與健康和性生活有關的個人資料,包括遺傳資料,同其他個人資料分開。

四、當第七條所指的個人資料在網絡上流通可能對有關當事人的權利、自由和保障構成危險時,公共當局得決定以密碼進行傳送。

第十七條

由次合同人處理資料

次合同人和任何隸屬於負責處理資料的實體或次合同人的人在查閱資料時,如沒有負責處理資料的實體的指引則不得對資料進行處理,但履行法定義務者除外。

第十八條

職業保密

一、負責處理個人資料的實體和在履行職務過程中知悉所處理個人資料的所有人士,均負有職業保密義務,即使相應職務終止亦然。

二、為公共當局從事顧問或諮詢工作的公務員、服務人員或技術員均負有相同的職業保密義務。

三、上述各款的規定不排除依法提供必要資訊的義務,但載於為統計用途所組織的資料庫者除外。

第五章

將個人資料轉移到特區以外的地方

第十九條

原則

一、僅得在遵守本法律規定,且接收轉移資料當地的法律體系能確保適當的保護程度的情況下,方可將個人資料轉移到特區以外的地方。

二、上款所指的適當的保護程度應根據轉移的所有情況或轉移資料的整體進行審議,尤其應考慮資料的性質、處理資料的目的、期間或處理計劃、資料來源地和最終目的地,以及有關法律體系現行的一般或特定的法律規則及所遵守的專業規則和安全措施。

三、由公共當局決定某一法律體系是否能確保上款規定的適當保護程度。

第二十條

排除適用

一、當資料當事人明確同意轉移或轉移符合下列任一情況時,經對公共當局作出通知後,得將個人資料轉移到一個法律體系不能確保上條第二款規定的適當保護程度的地方:

(一)轉移是執行資料當事人和負責處理個人資料的實體間的合同所必需,或是應資料當事人要求執行訂定合同的預先措施所必需者;

(二)轉移是執行或訂定一合同所必需,而該合同是為了資料當事人的利益由負責處理個人資料的實體和第三人之間所訂立或將要訂立者;

(三)轉移是保護一重要的公共利益,或是在司法訴訟中宣告、行使或維護一權利所必需的或法律所要求者;

(四)轉移是保護資料當事人的重大利益所必需者;

(五)轉移自作出公開登記後進行。根據法律或行政法規,該登記是為著公眾資訊和可供一般公眾或證明有正當利益的人公開查詢之用者,只要在具體情況下遵守上述法律或行政法規訂定的查詢條件。

二、在不妨礙第一款規定的情況下,只要負責處理資料的實體確保有足夠的保障他人的私人生活、基本權利和自由的機制,尤其透過適當的合同條款確保這些權利的行使,公共當局得許可將個人資料轉移到一個法律體系不能確保上條第二款規定的適當保護程度的地方。

三、當個人資料的轉移成為維護公共安全、預防犯罪、刑事偵查和制止刑事違法行為以及保障公共衛生所必需的措施時,個人資料的轉移由專門法律或適用於特區的國際法文書以及區際協定規範。

第六章

通知和許可

第二十一條

通知的義務

一、負責處理個人資料的實體或如有代表人時其代表人,應從處理開始起八日期限內以書面形式,將為了實現一個或多個相互關聯的目的而進行的一個或一系列、全部或部分自動化處理,通知公共當局。

二、當公共當局認為資料的處理不會對資料當事人的權利和自由構成影響,並基於快速、經濟和有效的原則,得許可對特定種類資料處理簡化或豁免通知。

三、許可須在《澳門特別行政區公報》上公佈,並應列明處理資料的目的、所處理的資料或其種類、資料當事人或當事人的類別、可被告知資料的接收者或接收者的類別,以及資料的保存期限。

四、當根據法律或行政法規,處理資料的唯一目的是為了維持資料的登記,而該登記是為著公眾資訊和可供一般公眾或證明有正當利益的人查詢之用時,則可豁免通知。

五、當根據第七條第三款(一)項處理個人資料時,對第七條第一款規定的個人資料的非自動化處理須作出通知。

第二十二條

預先監控

一、除第二款之規定外,以下情況須經公共當局許可:

(一)第七條第二款所指個人資料的處理;

(二)關於資料當事人信用和償付能力資料的處理;

(三)第九條所規定的個人資料的互聯;

(四)在與收集資料的目的不同的情況下使用個人資料。

二、上款所指的處理得透過法律規定或具組織性質的規章性規定予以許可,在此情況下無需公共當局的許可。

第二十三條

意見書或許可的申請及通知的內容

向公共當局遞交的請求發出意見書或許可的申請和作出的通知應包括如下資訊:

(一)負責處理資料的實體的姓名和地址,以及如有代表人時其代表人的姓名和地址;

(二)處理的目的;

(三)資料當事人類別及與其有關的個人資料或資料種類的描述;

(四)可被告知資料的接收者或接收者的類別,以及告知資料的條件;

(五)當不是負責處理資料的實體本身處理時,承擔處理資訊的實體;

(六)個人資料處理中或有的互聯;

(七)個人資料的保存時間;

(八)資料當事人知悉或更正與其有關的個人資料的方式和條件;

(九)擬向第三國家或地區所作的資料轉移;

(十)容許初步評估適用第十五條和第十六條確保資料處理的安全而採取的措施是否適合的一般描述。

第二十四條

強制性指示

一、第七條第二款和第八條第一款所提到的法律規定或具組織性質的規章性規定、公共當局的許可和個人資料處理的登記至少應指出:

(一)資料庫負責人和如有代表人時其代表人;

(二)所處理個人資料的種類;

(三)處理資料的目的和接收資料實體的類別;

(四)行使查閱權和更正權的方式;

(五)個人資料處理中或有的互聯;

(六)擬向第三國家或地區所作的資料轉移。

二、對第一款所規定指示的任何修改須根據第二十一條和第二十二條規定的程序進行。

第二十五條

資料處理的公開性

一、當個人資料的處理不受法律規定或具組織性質的規章性規定規範但應得到許可或作出通知時,有關處理須載於公共當局的登記內,公開讓任何人士查詢。

二、上述登記包括第二十三條(一)至(四)項和(九)項所列的資料。

三、當資料的處理無須作出通知時,負責處理資料的實體有義務以適當的方式向對其提出要求的任何人最低限度提供上條第一款所指的資料。

四、當根據法律或行政法規,處理資料的唯一目的是為了維持資料的登記,而該登記是為著公眾資訊和可供一般公眾或證明有正當利益的人公開查詢之用時,則不適用本條的規定。

五、公共當局在其年度報告中公佈所有依本法律規定編制的意見書和發出的許可,尤其是第七條第二款和第九條第一款規定的許可。

第七章

行為守則

第二十六條

行為守則

公共當局鼓勵和支持制訂行為守則,以便按不同界別的特點更好地執行本法律的規定,及從整體上更有效地自我規範及實現和保護與隱私有關的基本權利。

第二十七條

行為守則草案的提交

一、代表負責處理資料實體的專業團體和其他組織,如制訂行為守則草案並認為有必要,得為登記的目的將行為守則草案送交公共當局。

二、如公共當局認為草案符合個人資料保護範疇的現行法律規定和規章性規定,應作出登記。

三、行為守則的登記具有單純宣告合法性的後果,但該守則並不具有法律規範或規章規範的性質。

第八章

行政和司法保護

第一節

行政和司法保護

第二十八條

一般原則

任何人得依法採用行政或司法途徑以確保個人資料保護範疇的法律規定和規章性規定得以遵守,但不妨礙向公共當局提出告訴的權利。

第二十九條

特別司法保護

一、對法院的裁決得以違反本法律確保的基本權利為由向終審法院提出上訴,該上訴得直接提出並僅針對違反基本權利的問題,上訴具有緊急性。

二、在不妨礙上款規定的情況下,對行政行為或公權單純事實,得以違反本法律確保的基本權利為由向行政法院提出上訴,上訴具有緊急性。

三、在遵守上兩款規定的前提下,《民事訴訟法典》第七條之規定,經作出適當配合後,適用於上兩款所規定特別司法保護中的上訴程序,並分別補充適用經作出必要配合後的民事訴訟法律和行政程序法律的規定。

第二節

行政上之違法行為

第三十條

補充法例

行政上之違法行為的一般制度,經如下條文配合後,補充適用於本節規定的違法行為。

第三十一條

履行未履行的義務

當因不履行義務而構成行政違法行為時,如該履行仍屬可能,執行處罰和支付罰款並不免除違法者履行該義務。

第三十二條

履行義務的不作為或有瑕疵的履行

一、基於過失,實體未履行第二十一條第一款和第五款規定的將個人資料的處理通知公共當局的義務、提供虛假資訊或履行通知義務時未遵守第二十三條的規定,或者經公共當局通知之後,負責處理個人資料的實體繼續讓沒有遵守本法規定者查閱其傳送資料的公開網絡,屬行政違法行為並處以如下罰款:

(一)對自然人科處澳門幣2,000至20,000元罰款;

(二)對法人或無法律人格的實體,科處澳門幣10,000至 100,000元罰款。

二、當處理的資料根據第二十二條規定受預先監控約束時,罰款的上下限各加重一倍。

第三十三條

其他行政違法行為

一、對處理個人資料的實體不履行第五條、第十條、第十一條、第十二條、第十三條、第十六條、第十七條和第二十五條第三款規定所規定義務的行政違法行為,科處澳門幣4,000至40,000元罰款。

二、對處理個人資料的實體不履行第六條、第七條、第八條、第九條、第十九條和第二十條所規定義務的行政違法行為,科處澳門幣8,000至80,000元罰款。

第三十四條

違法行為的競合

一、如一事實同時構成犯罪和行政違法行為,則僅以犯罪處罰。

二、如行政違法行為競合,則各項處罰一併科處。

第三十五條

過失和未遂的處罰

一、因過失實施第三十三條規定的行政違法行為者須受處罰。

二、第三十二條和第三十三條規定的行政違法行為的未遂須受處罰。

第三十六條

科處罰款

一、公共當局有權科處本法律規定的罰款。

二、如未在法定期限內並根據法律規定提出爭執,則公共當局的決定構成執行名義。

第三節

犯罪

第三十七條

未履行資料保護的義務

一、意圖實施下列行為者,處最高一年徒刑或一百二十日罰金:

(一)未作出第二十一條和第二十二條所指的通知或許可請求;

(二)在通知或請求許可處理個人資料時提供虛假資訊,或在處理個人資料時實施了未經使其合法化的文書允許的修改;

(三)與收集個人資料的目的不相符或在不符合使其合法化的文書的情況下移走或使用個人資料;

(四)促使或實行個人資料的不法互聯;

(五)在公共當局為履行本法律或其他保護個人資料法例規定的義務而訂定的期間完結後,仍不履行義務者;

(六) 在公共當局通知不得再讓沒有遵守本法規定者查閱之後,負責處理個人資料的實體繼續讓有關人士查閱其傳送資料的公開網絡。

二、當涉及第七條和第八條所指的個人資料時,刑罰的上下限各加重一倍。

第三十八條

不當查閱

一、未經適當的許可,透過任何方法查閱被禁止查閱的個人資料者,如按特別法不科處更重刑罰,則處最高一年徒刑或一百二十日罰金。

二、在下列情況下查閱個人資料,刑罰的上下限各加重一倍:

(一)透過違反技術安全規則查閱資料;

(二)使行為人或第三人知悉個人資料;

(三)給予行為人或第三人財產利益。

三、第一款規定的情況,非經告訴不得進行刑事程序。

第三十九條

個人資料的更改或毀壞

一、未經適當許可刪除、毀壞、損壞、消除或修改個人資料,使資料不能使用或影響其用途者,如按特別法不科處更重刑罰,則處最高二年徒刑或二百四十日罰金。

二、如引致的損害特別嚴重,刑罰上下限各加重一倍。

三、如行為人過失實施以上兩款所規定的行為,處最高一年徒刑或一百二十日罰金。

第四十條

加重違令罪

一、行為人被通知後仍不中斷、停止或封存個人資料的處理,處相當於加重違令罪的刑罰。

二、行為人被通知後仍有下列情況之一者,科處相同刑罰:

(一)無合理理由拒絕對公共當局提出的具體要求給予合作;

(二)沒有進行刪除、全部或部分銷毀個人資料;

(三)第五條規定的保存期完結後未銷毀有關個人資料。

第四十一條

違反保密義務

一、根據法律規定,負有職業保密義務者,在沒有合理理由和未經適當同意情況下,披露或傳播全部或部分個人資料,如按特別法不科處更重刑罰,則處最高二年徒刑或二百四十日罰金。

二、如行為人屬下列情況,刑罰上下限各加重一半:

(一)根據刑法規定屬公務員或等同公務員者;

(二)被定為有意圖取得任何財產利益或其他不法利益者;

(三)對他人的名聲、名譽、別人對他人的觀感或私人生活的隱私造成危險者。

三、對過失行為處最高六個月徒刑或一百二十日罰金。

四、第二款規定以外的情況,非經告訴不得進行刑事程序。

第四十二條

犯罪未遂的處罰

本節所規定犯罪之未遂須受處罰。

第四節

附加刑

第四十三條

附加刑

根據本章第二節和第三節科處罰金或刑罰時,可一併科處以下附加刑:

(一)臨時或確定性禁止處理、封存、刪除、全部或部分銷毀資料;

(二)公開有罪判決;

(三)由公共當局對負責處理個人資料的實體提出警告或公開且譴責。

第四十四條

有罪判決的公佈

一、有罪判決的公佈是透過中文和葡文發行量較大的定期刊物為之,以及在適當地方和不少於三十日的期限內透過張貼告示為之,有關費用由被判罰者負擔。

二、該公佈以摘錄為之,其中載有違法行為、科處的處罰和行為人的身份。

第九章

最後及過渡規定

第四十五條

過渡規定

一、在本法律生效日前,已存於人手操作的資料庫的資料的處理應在兩年內履行第七條、第八條、第十條和第十一條的規定。

二、在任何情況下,尤其是在行使查閱權時,資料當事人得要求更正、刪除或封存不完整、不準確或以與負責處理個人資料的實體實現其正當目的不相符的方式而儲存的資料。

三、只要有關資料不會以其他目的被再次使用,公共當局得許可已存在於人手操作的資料庫的資料和僅為歷史研究目的而保存的資料無須履行第七條、第八條和第九條的規定。

第四十六條

生效

本法律於公佈後一百八十日起生效。

二零零五年八月四日通過。

立法會主席 曹其真

二零零五年八月十日簽署。

命令公佈。

行政長官 何厚鏵