國泰洩漏940萬人資料事件引起公眾討論國泰是否會因此而受到歐盟《通用數據保護條例》巨額罰款。該條例之所以令全球跨國企業聞風喪膽,不單因其巨額罰款,還因其超越歐盟司法域區外的強大效力。

該條例第3條指,在歐盟設立的機關,而該機關又涉及處理個人資料(不論處理行為是否在歐盟境內)或即使企業沒有在歐盟設立機關,但有向歐盟人士提供服務或監察其行為,即受該條例規管。如國泰在歐盟地區有設立分支或子公司,即該分支或子公司為於歐盟設立的機關。即使國泰沒有在歐盟設立機關,從其網站上可見,其網頁有為歐盟成員國設有專屬網站、使用歐盟成員國的語言及提供以歐羅作付款。由此可以推斷,國泰有向歐盟人士提供服務。故此,在2018年5月25日該條例實施後,國泰受到該條例規管可謂無庸置異。

問題是,如資料外洩事件是在2018年5月25日前發生,國泰又是否受到該條例規管呢?首先,該條例沒有追溯力。2018年5月25日前的資料保護是受到該條例的前身《歐盟數據保護法令 95/46/EC》所規管。在2016年4月時,歐盟通過新條例就是取代該法令,並給予企業兩年時間為新條例的實施作準備。因此,在新條例實施前,該法令仍然有效。如國泰資料外洩是在2018年5月25日前發生,《通用數據保護條例》就不適用;但如在2018年5月25日仍有資料外洩發生或國泰沒有遵從該條例要求實施合適的技術及機構性措施以確保符合該條例要求,則有機會違反該條例而遭到罰款。

有趣的是,如資料外洩事件發生在2018年5月25日前,國泰又有否責任通報歐盟成員國的監管機構呢?首先,國泰從來沒有交代有否已通報歐盟成員國的監管機構。我們唯一確定是國泰沒有通報予本地私隱專員公署,而本港也沒有相關法例要求通報(私隱專員公署於2016年12月發出過有關「資料外洩事故的處理及通報指引」,但並無約束力。)。第二,該條例沒有追溯力,則舊有法令仍有效。但該法令並沒指示成員國立法強制通報。因此,國泰有否責任通報當地監察機關,乃受歐盟各國當地的資料保護法所規管。第三,該條例第33條指,機構須於「知悉」有關資料外洩的72小時內通報(”after having become aware of it”)。如國泰在本年3月發現有關資料外洩事件,而該條例又未生效,又何來違反該條例呢?當然,有人爭議在該條例生效時,國泰仍然是「知悉」該外洩事件,故須通報歐盟成員國的監管機構。

如國泰於2018年5月25日有通報責任,那國泰有須要向受影響的人士通報嗎?根據該條例34條,如有關資料外洩事件很可能使受影響人士的「權利及自由面臨高風險」,就必須通知受影響人士,但第34條並沒有列明時限,只要在沒有不必要的延誤下通知受影響人士則可。從「第29條資料保護工作小組(Article 29 Working Party)」(「歐洲資料保障委員會」前身)有關資料外洩的指引2016/679指通報受影響人士應跟通報歐盟成員國監管機構的時間相約,但建議在其之後。但在該條例第34條第3款中指,如國泰有措拖(如資料已加密)令非獲受權人取得資料後無法理解外洩的資料、或已有措施確保受影響人士的權利或自由不會造成高風險,則國泰無須通報受影響人士。

由於資料外洩事件在2018年5月25日前發生,國泰為此要面對該條例的罰款機會不高。但如國泰在2018年5月25日後有責任通報歐盟成員國監管機構及受影響人士,則有機會根據該條例第83條第4款下被罰最高1,000萬歐羅或其全球年度營業額2%的罰款。

該條例的前言第2條及第14條指,該條例保障的人士包括所有資料當事人,不論其國藉及居住地。而該條例中「個人資料」的定義是指任何一個自然人的個人資料。因此,有一說法是該條例可為全球不同國藉及非歐盟居住的人士提供保障。如此說法成立及國泰在5月25日後有責任通知受影響人士的話,它必須向歐盟境內外的所有受影響人士作出通報。

但該條例是否適用於身處歐盟境外的人士仍值得相榷。歐盟執行委員會網頁就指該條例旨在「規管個人、公司及機構處理身處歐盟人士的個人資料。」。因此,縱使該條例前言指條例保障不同國藉及居住地人士,其立法的原意只是為身處歐盟的人士提供保障,而非身處歐盟境外的香港人。

此說法在該條例多處都得以助證,最明顯的是第3條。第3條第1款就明言該條例規管「在歐盟境內」設立的機構。而第3條第2款更指明境外公司「向歐盟境內人士」提供服務,該條例才適用。第70條1(b)則指新成立的「歐洲資料保障委員會」其中一個目的是向歐盟執行委員會提供有關「於歐盟境內」個人資料保障的意見。故此,另一說法是該條例的保障只限於在歐盟境內的人士。舉個例說,如一名香港人在歐盟境內獲得服務,不論其國藉及居住地,他會被視為歐盟境內的人士,因而可受該條例保障。反過來說,如一個歐盟公民或居民在歐盟境外獲得服務,而該公司亦無意向為身處歐盟境內的人士提供服務的話,則該歐盟公民或居民可能也不受該條例保障。如此解讀成立的話及5月25日後國泰有責任向受影響人士作出通知,它則只須向歐盟境內人士發出通知。

《通用數據保障條例》生效至今5個多月,仍有很多條例有待歐洲資料保障委員會或法庭澄清,但其前膽性及對資料當事人的強大保障實在值得香港借鏡。

(原文載於2018年11月4日《蘋果日報》)