第一编 “两岸四地”个人资料保护制度之立法现状
澳门个人资料保护制度的现状与展望
澳门的《个人资料保护法》颁布生效至今已七年多,监督该法律实施的个人资料保护办公室亦成立了六年多。在这六年多时间里,在上级的大力支持下,经过我们的不断努力,以及多个阶层、团体的通力配合,个人资料的保护制度从无到有,从鲜为人知到得到社会各阶层的普遍重视,作为监督《个人资料保护法》实施的机构,我们对已取得的成绩感到鼓舞,但对未来需要开展的工作仍深感责任重大。
澳门的《个人资料保护法》以欧盟的相关指令为蓝本,为澳门居民的个人资料私隐权提供了法律的保障,曾被澳洲的学者誉为亚太地区最严苛的个人资料保护法。
上述法律中订定了多项原则,包括:以透明的方式处理个人资料的原则,尊重私人生活的隐私和法律所保护的基本权利、自由和保障的原则,合法性原则,善意原则及适度原则;界定了公共当局的权限;对负责实体处理一般个人资料、敏感资料及怀疑从事不法活动、刑事违法行为或行政违法行为资料的正当性做出规范;对资料库互联及资料转移到澳门以外的地方进行监控;对资料当事人的资讯权、查询权、反对权、损害赔偿权等权利提供了保障;要求负责实体就个人资料处理履行通知及申报的义务;赋予公共当局事先监控的权力,包括就下列个人资料处理发出许可,即处理敏感资料、处理资料当事人信用和偿付能力资料、个人资料互联、在与收集目的不同的情况下使用个人资料;违反该法律应负的法律责任;等等。
一 《个人资料保护法》所订定的原则
《个人资料保护法》主要订定了以下原则:①以透明的方式处理个人资料的原则;②尊重私人生活的隐私和法律所保护的基本权利、自由和保障的原则;③合法性原则;④善意原则;⑤适度原则。
(一)以透明的方式处理个人资料的原则
这一原则主要体现在以下两个方面。
(1)要求负责处理个人资料的实体将相关的处理向个人资料保护办公室做出通知,并依法做出登记及向公众公开部分登记的内容,包括:负责处理资料的实体的姓名和地址,以及其代表人的姓名和地址(如适用);处理的目的;资料当事人类别及与其有关的个人资料或资料种类的描述;可被告知资料的接收者或接收者的类别,以及告知资料的条件;拟向第三国家或地区所做的资料转移。
(2)确保资料当事人的各种权利,包括:资讯权、查阅权、更正权、反对权、不受自动化约束权、损害赔偿权。根据法律对上述权利的保障,第一,除非法律有例外的规定,否则,负责实体在直接及间接收集资料时,就须向当事人提供如下资讯:①负责实体的身份,或其代表人的身份(如适用); ②处理目的;③资料接收者的类别;④当事人回复的强制性或任意性,以及因不回复可能产生的后果;⑤当事人享有查阅权、更正权和行使这些权利的条件。第二,除法律有特别规定外,当事人尚有权向负责实体了解其资料被处理的情况,包括了解资料处理的目的、被处理资料的类别、资料接收者或接收者的类别;被告知需要处理的资料及有关资料的来源;对资料进行自动化处理的原因;对不完整或不准确的资料进行更正、删除或封存,并通知曾接收相关资料的第三人进行更正、删除、销毁及封存。第三,资料当事人有反对权。对当事人有权在任何时候,以与其私人情况有关的正当和重大理由反对处理与其有关的个人资料。而对于以直接促销或其他方式的商业考察为目的而对其个人资料进行的处理,当事人有权在无须费用的情况下,提出反对。在第二种情况下,一经当事人提出反对,负责实体不得再以直接促销或其他方式的商业考察为目的而继续处理其资料。第四,不受自动化决定约束的权利。第五,损害赔偿权。该权利通过司法途径行使,只要其权利因资料的不法处理或其他违反个人资料保护范畴的法律、法规的行为而受损,当事人就有权向负责实体索偿。
(二)尊重私人生活的隐私和法律所保护的基本权利、自由和保障的原则
个人资料私隐权是受到《中华人民共和国澳门特别行政区基本法》《民法典》等法律保护的公民基本权利,在对个人资料进行处理时,必须确保这一项基本权利得到尊重。《个人资料保护法》所遵循的原则是资料当事人意思自治原则,资料的处理以当事人的意思表示为其中一个最重要的正当性。当事人的意思表示必须是在自由的、事先知悉的情况下针对特定的个人资料的处理所做出的。如资料当事人反对,在没有法律明文规定的情况下,负责实体不得对相关资料进行处理。
法律亦充分体现出对资料当事人隐私的保护,对敏感资料做出了明确的定义,包括:世界观或政治信仰、政治社团或工会关系、宗教信仰、私人生活、种族和民族本源以及与健康和性生活有关的个人资料,包括遗传资料,订定了原则上禁止处理敏感资料的规定。而且,如果对于敏感资料处理的正当性来自当事人同意的话,要求取得当事人的明示同意,不可以推定。
对于敏感资料处理的安全措施,法律做出了严格、具体的规定:控制进入设施、控制资料载体、控制输入、控制使用、控制查阅、控制传送、控制引入、控制运输。只有个人资料保护办公室在考虑各负责处理资料的实体的性质和进行处理的设施的种类,并在确保尊重资料当事人的权利、自由和保障的情况下才可免除某些安全措施的实行。
(三)合法性原则
这是负责实体对个人资料进行处理应遵循的最基本原则,违背这一法律原则,就失去了处理资料的根基,负责实体将面临被追究行政或刑事的法律责任。“合法”,不单是指要符合《个人资料保护法》,也要符合对相关机构适用的其他法律、法规。我们分析、界定是否符合《个人资料保护法》,其中一个重要的参考是在个案中适用的其他法律、法规。例如,对于涉及电信范畴的个案,需参照相关主管部门的组织法、电信纲要法等;涉及金融领域的,需参照金融方面的法律制度等。因此,负责实体在进行个人资料处理前,首先要看相关处理是否符合对其适用的法律规定的要求,如果不能为之找到合法性依据,则不能进行相关的处理。许多时候,是否符合《个人资料保护法》取决于是否符合其他适用的法律。
举例来说,假设某一雇主被雇员投诉收取过多的资料,分析中需要先参照《劳动关系法》中的相关规定对正当性进行分析,如果其中有清晰的、具体的规定,则可以作为做出判断的依据;如果规定是原则性的,则需要再结合《个人资料保护法》的规定进行判断。
(四)善意原则
这一原则要求负责实体善意推定,善意解释法律,善意履行义务,善意行使权利。合理、客观、公正、禁止滥用权利、正当程序等,都在一定程度上体现着善意要求。
具体到《个人资料保护法》的执行,负责实体在制定处理政策时不应试图规避法律,负责实体除了从机构的利益出发来制定个人资料处理政策外,亦应同时顾及资料当事人的利益,与其建立互利、互信的关系,保障当事人的权利得以行使,确保当事人的意思自治得以实现。
举一个常见的例子,一些负责实体在为顾客提供优惠时,需要顾客通过填写表格提供个人资料。负责实体为了可以对收集到的资料作最大限度的利用,制定了一个“详尽”的、无所不包的政策,以极细小的字体将其印刷在表格中。我们不能认为这一行为符合善意的原则,政策的内容是否合法暂且不说,单从其向资料当事人展示的方式来说已经有违法律的精神。
(五)适度原则
这是一个“度”的问题,这一原则是在个人资料处理中涉及范围广,执行上较具争议的原则。
法律规定所有的个人资料处理必须是为了特定、明确、正当的目的,资料的收集及之后的处理不得超越之前订立的目的。否则,就存在“度”的问题。这里指出了资料处理的必需性,如果不是为实现目的而必需,则不应处理。我们也可以理解为最低介入的原则,也就是说,可收集可不收集的资料,不收;可做可不做的处理,不做。以对当事人造成最小的影响为标准去处理资料。离开了这个标准,就不符合适度原则。
“度”没有一个固定的量度标准,在实际操作中,负责实体往往会为了方便或者保险而选择多收集一些资料。这种做法实际上并不能为机构带来好处,相反,可能增加机构违反适度原则的风险。而且,负责实体亦可能因为处理一些处于边缘状态的资料,而引致投入更多的资源。以收取敏感资料为例,由于法律对敏感资料的处理有特别安全措施的要求,包括将其与一般的资料作逻辑分离。因此,即使得到当事人的同意,在资料处理系统的设置上,负责实体亦需要依法做出特别的安排。否则,可能构成行政违法。
因此,负责实体在订定资料处理政策时,应慎重考虑,尽量少收集及处理个人资料,以降低违法的风险。
二 公共当局的权限与职责
个人资料保护办公室是《个人资料保护法》所指的公共当局,根据行政长官批示成立,负责监察、协调对该法律的遵守和执行以及订定保密的相关制度、监察其执行。由于个人资料保护办公室以项目组的方式成立,未颁布组织法,现时,其根据《个人资料保护法》及第83/2007号行政长官批示执行上述的权限。
个人资料保护办公室的职责主要有以下几项。
(一)向社会各界进行普法宣传
个人资料保护办公室成立后,秉承以宣传教育为主、处罚为辅的原则从零开始展开工作。为了使公营机构可以在执行《个人资料保护法》的过程中起到表率的作用,个人资料保护办公室在公营机构中全面展开上述法律的普及工作,除了一般的讲解会、培训课程外,还在公营机构全面展开个人资料处理的通知、申报工作。通过这个程序的完成,公营机构可以全面检视其内部的个人资料处理情况,按照法律的原则去分析相关的处理是否符合法律的要求,特别是是否符合适度原则、是否具有正当性、是否确保了资料当事人的权利等。在公营机构的大力配合下,经过一段时间的梳理,按照预定的计划完成了申报程序,为个人资料处理登记库的建立奠定了坚实的基础。2012年年底,上述资料库公开予公众查询,为确保个人资料处理的公开、透明迈出了可喜的一步。从成立到2013年5月31日,个人资料保护办公室已经向近一万五千人次进行了普法宣传。
对于私营机构,由于各行各业的资料处理有相当大的差别,个人资料保护办公室从行业的需求出发,分门别类进行宣传及指导。在这个过程中,我们在许多行业组织的大力协助下,得以直接与业界面对面地就《个人资料保护法》的执行进行讨论,为业界更好地遵守法律规定提供了指引。
另外,个人资料保护办公室通过印制宣传单、宣传品、年报,在各种场所放置宣传资料供市民索取等方式扩大宣传的范围,力求使社会的各个层面都了解保护个人资料私隐权的重要性。
(二)行政违法调查
个人资料保护办公室另一个主要的职责是对违反《个人资料保护法》的行为进行行政违法调查。根据上述法律的规定,构成行政违法的主要有:履行义务的不作为,或有瑕疵的履行(违反第21条第1款及第5款,违反第23条的规定);不履行第5条、第10条、第11条、第12条、第13条、第16条、第17条及第25条第3款规定的义务;不履行第6~9条、第19及20条规定的义务。
单项行政违法的罚款金额为四千至二十万元澳门币。如果属行政违法竞合,则各项处罚一并科处。
由成立至2013年5月,个人资料保护办公室共立案400多宗,经调查构成行政违法并予以处罚的共12宗。
(三)发出指引
个人资料保护办公室成立以来,共发出了11份指引,其包括《关于工作场所个人资料保护原则——雇主对雇员活动监察的指引》《关于职业介绍所处理顾客个人资料的实务注意事项》《使用指纹/掌形考勤设备的问题》《有关采用指纹/掌形以外识别生物特征技术之考勤设备的问题》《关于应用面型特征资料考勤系统的查询》《关于涉及个人资料的公共档案的保存期的意见》《间接收集个人资料中的资讯权问题》《在互联网上发布个人资料的注意事项》《非高等教育机构处理个人资料的注意事项》《商户处理支付卡持卡人身份证明文件资料的指引》《为选举宣传目的处理个人资料的指引》。
个人资料保护办公室的指引是根据《个人资料保护法》的规定而制定的,虽然指引不具有强制性,但社会各界可据此了解到其行为的准则,了解如何处理个人资料才符合法律的要求。有时候,在执行《个人资料保护法》时,负责实体都存在一个误区,认为事无大小都要个人资料保护办公室发出指引,执行起来就一定不会有问题。其实,负责实体最应该做的是制定自己的个人资料处理政策,通过政策的制定,认真检视现时及将来对个人资料的处理是否符合法律的要求。例如,资料为什么目的而收集及处理,相关的处理是否符合法律的原则,是否具有正当性;收集资料及之后的处理是否为实现相关的目的所必需;当事人的权利能否得到保障;资料保护措施是否与资料的性质相配合;资料交给第三人或转移到澳门以外的地方是否符合法律的规定;等等。
个人资料保护办公室制定的指引,一般都是原则性的,负责实体需根据自己的实际情况将指引具体化,将指引的精神体现在处理政策中,方可确保在执行中不产生问题。
个人资料处理政策的制定,可以分三个层次:①最详尽的政策,供负责实体的管理层使用;②上述版本的简化版,让实体的雇员了解及执行;③最简单的版本,对外向资料当事人公布,以满足其资讯权。
在实际执行中,负责实体出现较多的问题是:没有制定政策,或政策没有得到执行,或实际执行的措施与政策相矛盾。在这些情况下,很容易因触犯法律而构成行政违法或犯罪。例如,部门虽有安全措施,但执行者并不了解,或没有进行培训,导致资料被不当查阅,构成行政违法。像这种情况,“政策”只是一纸空文,没有被执行,负责实体须承担相关的法律责任。
(四)发出意见书
一般情况下,发出意见书是指个人资料保护办公室应负责实体的要求,就具体的个人资料处理发出意见书。负责实体在提出要求时,须按《个人资料保护法》第23条的规定提供下列资料:负责实体的资料;处理目的;资料当事人的类别及与其有关的个人资料或资料种类的描述;可被告知资料的接收者或接收者的类别,以及告知资料的条件;当不是负责处理资料的实体本身处理时,承担处理资讯的实体;个人资料处理中或有的互联;个人资料的保存时间;资料当事人知悉或更正与其有关的个人资料的方式和条件;拟向第三国家或地区做出的资料转移;容许初步评估适用第15条及第16条确保资料处理的安全而采取的措施是否适合的一般描述。
随着保护个人资料意识的不断增强,向个人资料保护办公室寻求法律意见的机构越来越多,主要是就处理个人资料的正当性及适度性要求提供意见。
在要求发出意见书方面,也有不少机构存在误区,认为只有听取监管机构的意见才能确保万无一失。实际上,机构首先要做的还是制定自己的个人资料处理政策,对处理的目的、资料的种类、资料接收者等方面做出规范。除非属于履行法定义务,否则,机构可以在政策范围内做出决定,如果相关处理在政策之外,如要求提供资料的机构不属于相关政策中规定的资料接收者,则可以不提供资料。
(五)发出许可
根据《个人资料保护法》的规定,不少个人资料的处理属于预先监控的范围,需要事先得到个人资料保护办公室的许可的,包括:①基于重大的公共利益,且资料的处理是负责处理的实体行使职权及权限所必需时,处理敏感资料;②处理关于资料当事人信用和偿付能力的资料;③法律或具组织规章性质的法规没有规定的资料互联;④在与收集资料的目的不同的情况下使用个人资料;⑤个人资料转移到澳门以外的地方;⑥为历史、统计或科学的目的,许可将资料保存期延长。
目前,个人资料保护办公室发出较多的是第3点所指的互联许可,这是由于《个人资料保护法》颁布后,才有法律规定了资料转交方式的限制。在资讯高度发达的今天,许多公私营机构为了运作的快捷和节省资源,一般都采取专线或其他电子的方式传送资料。这种方式有上面所说的好处,但亦同时会产生资料安全及资料转交的适度性问题。世界各地都不断地发生因系统被黑客攻击或因机构的疏忽,使大量的资料被盗取的事件。因此,有必要对资料互联,特别是资料的种类、传输的安全进行规限。
对于把资料转移到澳门特区以外的地方,上述法律也做了严格的规范,只有在符合第19条及第20条规定的情况下方可将资料转移到澳门以外的地方。
第19条规定的是目前不少国家及地区所采取的方式,赋予监管机构确认其他国家或地区的法律系统对个人资料具有适当的保护程度的权利。这种确认是在互惠、互利的前提下做出的,一般只做出“有适当保护程度”(白名单)的确认,而不会做出“没有适当保护程度”(黑名单)的确认。由于各种条件的限制,澳门目前尚未确认任何一个国家或地区的法律体系具有适当的保护程度。
在这一情况下,机构需要将资料转移到澳门以外的主要途径是取得当事人的同意或个人资料保护办公室的许可。
另外,对于各个领域的日常运作必须处理的个人资料,基于简化行政程序、节省资源的目的,个人资料保护办公室可以发出许可,豁免或简化个人资料处理的通知手续,以下将会另作介绍。目前,简化通知手续只有为安保目的而设置摄录监察系统的相关资料处理。
(六)促进行业行为守则的制定
行为守则是为了更好地执行《个人资料保护法》,按照不同的界别制定的守则,目的在于在整体上更有效地自我规范,以实现和保护与私隐有关的基本权利。
行为守则是行业自律的有效方式,是业界自身为遵守法律规范而设定的底线。对于有行业公会的国家和地区来说,某些行业,特别是从事该行业的机构均被强制性要求加入行业公会,公会可以运用其权力对行业的一些规范做出决定,决定有强制性,公会的成员机构必须执行公会的决定。否则,成员机构不但有可能触犯《个人资料保护法》,而且,亦可能因违反公会所订定的守则而受到其处罚。在这种情况下,制定行业守则相对容易,而且守则可以覆盖所有的同类机构,真正起到统一行业行为准则的作用。现时,在欧盟的一些国家已有成功的经验,如荷兰已制定金融界的个人资料保护行业守则。
由于澳门的行业公会没有上述所说的权力,更多是行业之间联谊的组织,不能强制要求所有该行业的机构加入公会,对成员机构更没有处罚权,其制定的行业守则亦不具有强制力,加上并非所有该类机构均被强制要求加入行业公会,即使制定了守则,其覆盖面也有限。
在这种情况下,个人资料保护办公室推动行为守则的制定存在困难。虽然已与某些行业组织展开了商谈,但成果仍不明显。
(七)接收通知及其他申请
接收通知及其他申请主要包括个人资料处理的申报、通知等。根据《个人资料保护法》的规定,负责处理个人资料的实体在开始处理个人资料8日内,须向个人资料保护办公室做出通知,否则,有可能构成行政违法,甚至犯罪。2008~2010年,个人资料保护办公室首先在公营机构展开了个人资料处理的通知、申报工作,在机构的配合下,已经完成了相关的工作。在履行法定的义务的同时,可使公营机构对其现时进行的个人资料处理的状况进行分析、梳理,发现及纠正其中的问题。
由于私营机构的数目庞大,个人资料保护办公室将按照不同的领域、范畴分阶段展开相关的工作。前不久,个人资料保护办公室公布了许可,在符合条件的前提下,简化了以保安为目的通过录像监察系统处理个人资料的通知申报手续,以鼓励中小型的机构履行法定义务。这一简化措施,对通知、申报起到了很大的促进作用。
另外,在过去的几年,个人资料保护办公室亦相继公布了10个豁免个人资料处理通知的许可,其包括:招聘资料的处理,教育机构对招生资料的处理,顾客、供货商和服务提供商的联络资料及收支凭证的处理,教育机构对学生资料的处理,图书馆及档案室对用户资料的处理,对进出物业访客资料的登记及处理,工作人员的报酬、给付及福利资料的处理,工作人员及服务提供商的行政管理资料处理,非牟利法人会费的收取及会员或成员的联络资料的处理,为选举宣传目的进行个人资料处理。
上述资料的处理基本上为相关机构日常运作需处理的基本资料,对资料当事人的权利影响不大,豁免申报可以起到简化行政程序及节省行政成本的作用。
(八)建立及更新个人资料处理登记库
上述登记库的建立是建基于负责处理个人资料的实体对其资料处理的通知和申报,也包括个人资料保护办公室所发出的许可摘要。《个人资料保护法》第21条第1款规定:负责处理个人资料的实体或如有代表人时其代表人,应从处理开始起8日期限内以书面形式,将为了实现一个或多个相互关联的目的而进行的一个或一系列、全部或部分自动化处理,通知公共当局。
上述实体在向个人资料保护办公室进行通知时,须提交的资料包括:①负责处理资料的实体的姓名和地址,以及如有代表人时其代表人的姓名和地址;②处理的目的;③资料当事人类别及与其有关的个人资料或资料种类的描述;④可被告知资料的接收者或接收者的类别,以及告知资料的条件;⑤当不是负责处理资料的实体本身处理时,承担处理资讯的实体;⑥个人资料处理中或有的互联;⑦个人资料的保存时间;⑧资料当事人知悉或更正与其有关的个人资料的方式和条件;⑨拟向第三国家或地区所作的资料转移;⑩容许初步评估适用第15条和第16条确保资料处理的安全而采取的措施是否适合的一般描述。
而在个人资料保护办公室建立的个人资料处理登记库中,包括下列内容:①资料库负责人和如有代表人时其代表人;②所处理个人资料的种类;③处理资料的目的和接收资料实体的类别;④行使查阅权和更正权的方式;⑤个人资料处理中或有的互联;⑥拟向第三国家或地区所作的资料转移。
上述登记库中第1~4项和第9项所列的资料属于公开的资料,民众可以进行查阅。
至2013年5月31日,个人资料保护办公室已建立了上述公开资料库,共有250个实体就1100多项个人资料处理进行了登记。
三 个人资料法律体系的未来发展
个人资料的保护涉及社会生活的各个领域,单靠一个《个人资料保护法》难以全面覆盖。一个成熟的个人资料保护的法律体系应该由在不同的领域、不同的范畴规范个人资料保护的法律、法规组成。以葡萄牙为例,在通信、录像监察、健康资料等领域均制定了专门的法律。
目前,澳门特区的这个体系仍处于初级的阶段。在这个体系中,除了《个人资料保护法》之外,只有2012年颁布的第2/2012号法律——《公共地方录像监视法律制度》可以说得上是为规范相关领域的个人资料处理而制定的专门法律。在通信、医疗卫生、金融、教育、劳动等领域,法律、法规也有一些条文对机构保护个人资料的义务做出规定,但条文都相对简单,而且这些法律、法规的制定大多在《个人资料保护法》颁布之前,或者颁布的初期,未能够参照这个法律的精神去做出更详尽的规范。
而由于澳门特区的《个人资料保护法》源于葡萄牙,其规范十分严格,虽然构成行政违法的罚款金额不算太高,但大家可以看到,在这个法律短短的46条条文中,违反其中16条条文的规定都是构成行政违法的。例如,违反适度原则;不具有处理资料的正当性;违反关于资料当事人的资讯权、查阅权及反对权的规定;违反法律规定将个人资料转移到澳门以外;等等。此外,还有关于构成未履行资料保护的义务、不当查阅、个人资料的更改或毁坏、加重违令罪、违反保密义务这几种犯罪的规定。
另外,个人资料保护办公室是一个有存续期的机构,权限仅来源于《民法典》《个人资料保护法》及行政长官批示,需要由组织法做出详尽的规范。
基于此,本人认为,为了更全面、长期、有效地保护个人资料私隐权,澳门今后迫切需要检讨、修订现行的《个人资料保护法》,并在一些领域(如电讯)制定专门的法律保护个人资料。这些特定领域的法律,可以在《个人资料保护法》的基础上,根据相关领域的情况制定出适合其实情的个人资料保护制度,可以更具体、更切实地落实《个人资料保护法》的规定。
与此同时,澳门需要建立一个常设的个人资料保护机构,具体规范其职责及权限,加大执法的力度。执法机构的地位及权力是政府保护个人资料力度的体现。在世界上实行个人资料保护的国家和地区中,个人资料保护的监管机构一般以两种方式设置:一是设立专门的监管机构,如澳大利亚、新西兰、韩国、加拿大、马来西亚等;二是由各职能部门根据各自的权限进行监管,如中国台湾、日本等。前面一种设置权限集中于一个专责的部门,有利于权限的行使和达到执法标准、执法程序的统一。而且,国际趋势是将个人资料保护的监管机构与资讯公开的监管机构置于同一机构之下,以便统一执法的标准,避免出现部门之间的不协调现象。
澳门是一个日趋国际化的城市,在个人资料的处理日益国际化的今天,澳门个人资料保护机构的设置必须与国际模式接轨,才可以取得国际组织的认同。在资料保护工作中取得其他监管机构的协助,进而在适当的时机展开与其他国家及地区进行法律系统具有适当保护程度的互认,以提升澳门的国际地位及形象,促进澳门与其他国家和地区进行各方面的交流和合作,进而促进澳门经济的多元发展。
我们期待着澳门的个人资料保护体系,在社会各个阶层不断认识和了解个人资料保护的重要性、不断提升对个人资料保护的自觉性的情况下,相关的法规和监管体系都能逐步得到发展和完善,以便从各个领域更好地保护居民这一方面的基本权利。