香港資料私隱法:PDPO合規指南全覽(2026年)

香港《個人資料(私隱)條例》(PDPO,第486章)透過六項保障資料原則規管個人資料的收集、持有及使用,並由個人資料私隱專員負責執行。該條例自1996年12月20日起生效,是亞洲最早訂立的全面性資料私隱法例之一。
香港的資料私隱法律框架,是亞太地區歷史最悠久的框架之一。《個人資料(私隱)條例》(PDPO),編列為第486章,於1996年12月20日生效,比歐盟《通用數據保障規例》(GDPR)早訂立超過二十年,使香港成為資料私隱保障方面的早期領導者。
PDPO適用於公營及私營機構的資料使用者,透過以原則為本的框架規管個人資料的收集、持有、處理及使用。個人資料私隱專員公署(PCPD)是負責執行本條例的獨立法定監管機構。
本指南全面介紹香港的資料私隱法律框架,包括:六項保障資料原則、資料當事人的權利、訂明同意的概念、2021年反起底制度、第33條下的跨境轉移規則、資料外洩處理、資料保護主任的實務、人工智能指引、近期執法統計數字、擬議的法例修訂,以及在香港營運的機構應遵循的實務合規步驟。
快速解答:香港是否設有資料私隱法例?
有。香港自1996年起已設有全面性的資料私隱法例,主要法例為《個人資料(私隱)條例》(PDPO,第486章),由獨立法定機構PCPD負責執行。實際上,凡在香港收集、持有或處理在世人士個人資料的機構,幾乎都須受本條例規管。
PDPO是以原則為本的法例。有別於GDPR要求每項處理活動均須具備明確的法律基礎,PDPO制定了六項所有資料使用者均須遵守的保障資料原則。本條例曾兩度作出重大修訂:2012年(直接促銷條文)及2021年(反起底及擴大PCPD的執法權力)。
香港並非中國內地資料保障制度的一部分。中國《個人信息保護法》(PIPL)並不會自動適用於在香港的營運活動。同時在兩個司法管轄區營運的機構,必須分別遵守兩套法例。
PDPO(第486章):架構與適用範圍
PDPO是在法律改革委員會於1994年發表報告,建議採納經濟合作與發展組織(OECD)的私隱指引原則後制定的。本條例適用於任何人士,不論是單獨或與他人共同,控制在香港或從香港進行的個人資料收集、持有、處理或使用。條例將「個人資料」定義為關乎一名在世人士的資料,而從該資料直接或間接確定該人身分是切實可行的,前提是該資料須以能夠切實查閱或處理的形式存在。
PDPO的適用對象
PDPO適用於公營及私營界別。政府決策局、公營機構、法人團體、合夥企業及個人獨資經營者,均屬本條例的適用範圍。合規責任並無設定營業額門檻或最低僱員人數要求。收集客戶聯絡資料的小型企業,與跨國銀行同樣須遵守PDPO。
本條例並不適用於個人純粹為家庭或消閒目的而持有的個人資料,亦不適用於已故人士的資料。就防止罪案、基於公眾利益的新聞工作,以及其他若干指明情況,則設有豁免。
「資料使用者」的概念
有別於GDPR區分資料控制者與資料處理者,PDPO採用單一概念,即「資料使用者」。資料使用者是指任何控制個人資料的收集、持有、處理或使用的人士。不論處理工作是由機構內部進行,還是委託服務供應商代辦,責任均由控制資料的一方承擔。
這意味着,當機構將資料處理工作外判予第三方供應商時,該機構(作為資料使用者)在PDPO下仍須負主要責任。代表香港資料使用者處理資料的資料處理者,則屬間接受規管:PCPD建議資料使用者在供應商協議中訂立適當的合約責任條款,以確保下游各方均遵守保障資料原則。
六項保障資料原則
PDPO的規管框架以六項保障資料原則(DPPs)為核心,規管個人資料從收集到棄置的整個生命週期。
保障資料第1原則:收集的目的及方式
個人資料的收集必須基於與資料使用者的職能或活動直接有關的合法目的。收集方式必須公平,而所收集的資料相對於收集目的而言不得過量。資料使用者須在收集資料之前或當時,提供收集個人資料聲明(PICS),告知資料當事人:(a)收集的目的;(b)資料可能被轉移予的人士類別;及(c)資料當事人要求查閱及改正資料的權利。
提供收集個人資料聲明的責任,是最常受審核的合規要求之一。不論資料是透過紙本表格、網站登記、會員獎賞計劃、求職申請或任何其他途徑收集,此要求均適用。
保障資料第2原則:準確性及保留
個人資料必須準確,並在適用情況下保持最新。資料使用者持有個人資料的時間,不得超過達致收集該資料的目的所需的時間。一旦達成收集目的便須刪除或匿名化資料的責任,是PCPD屢次發現違規情況的範疇之一,2024年樂施會香港勒索軟件外洩事件調查便是最矚目的例子。
條例並無訂立單一的法定保留期限。資料使用者須根據收集目的及所屬行業的任何適用監管要求,就每一類資料自行制定保留政策。
保障資料第3原則:個人資料的使用
個人資料不得用於原本收集目的或與之直接有關的目的以外的任何用途,除非資料當事人給予「訂明同意」。PDPO所指的訂明同意,是指自願給予且其後未曾以書面撤回的明示同意。
此原則旨在防止「目的蔓延」。假設一間公司為處理訂單而收集客戶的電郵地址,除非該公司(a)一開始便為此雙重目的收集資料並已取得訂明同意,或(b)在展開第二種用途之前另行徵求並取得訂明同意,否則不得使用該等電郵地址發送宣傳材料。
保障資料第4原則:資料保安
資料使用者須採取切實可行的步驟,保障個人資料不會受到未經授權或意外的查閱、處理、刪除、遺失或使用。PCPD已發出指引,建議以加密、查閱權限管制、多重因素認證、定期修補程式管理及定期保安評估作為基本措施。
樂施會香港事件正好說明本原則在實務上的運作。PCPD發現七項保安缺失,包括防火牆未有更新修補、SSL VPN接入缺乏多重因素認證,以及過度保留資料。專員就同時違反第4(1)原則(保安)及第2(2)原則(保留)發出執行通知。
保障資料第5原則:公開及透明度
資料使用者須採取切實可行的步驟,向查詢的人士提供有關其個人資料政策及慣例的資料,包括所持有個人資料的種類、資料的使用目的,以及提出查閱及改正資料要求的方式。
在實務上,公開發布的私隱政策便可符合此項要求。PCPD的指引建議私隱政策應以淺白語言撰寫,並在慣例有所改變時保持更新。
保障資料第6原則:查閱及改正
資料當事人有權提出查閱資料要求(DAR),索取資料使用者所持有其個人資料的副本,並可在資料不準確時提出改正資料要求(DCR)。資料使用者須在40天內回應。資料使用者可收取不超過遵辦該要求的成本的費用。拒絕要求時必須說明理由。
這些權利構成PDPO賦予個人權力的基礎。與GDPR不同,PDPO並無設立刪除權(被遺忘權)或資料可攜權。
主要定義
PDPO所使用的若干用語,與其他私隱法律框架所用的用語有所不同。
個人資料:直接或間接關乎一名在世人士的資料,而從該資料切實可行地確定該人身分,並以能夠切實查閱或處理的形式存在。判斷標準在於身分識別是否切實可行,而非是否確鑿無誤。
敏感個人資料:PDPO並無正式定義此概念。與GDPR不同,PDPO並未就健康資料、生物特徵資料、種族出身、政治見解或其他敏感類別另設特別分類,所有個人資料在六項保障資料原則下均獲得相同的保障。2026年正在考慮中的修訂建議,擬引入附有更嚴格同意要求的敏感資料類別。
資料使用者:單獨或與他人共同控制個人資料的收集、持有、處理或使用的人士。大致相當於GDPR所指的「資料控制者」,惟並無另設承擔獨立法定責任的「資料處理者」層級。
資料當事人:其個人資料被持有的人士。
訂明同意:自願給予且其後未曾以書面撤回的明示同意。根據第3項保障資料原則,個人資料的第二用途須取得訂明同意;根據第35C條,直接促銷用途亦須取得訂明同意。
資料當事人的權利
香港的個人在PDPO下享有多項權利。
查閱權(DAR):任何資料當事人均可向任何資料使用者提出查閱資料要求,索取其個人資料的副本。資料使用者須在40天內遵辦。可收取合理費用。就會披露舉報人身分的資料、若干法律程序的資料,以及涉及國家安全或罪案的資料,則設有豁免。
改正權(DCR):如資料當事人認為資料使用者所持有其個人資料不準確,可提出改正資料要求。資料使用者須在40天內作出改正,或說明拒絕改正的理由。
撤回直接促銷同意的權利:資料當事人可在任何時間,無須繳費,要求資料使用者停止將其個人資料用於直接促銷。資料使用者其後須遵從有關要求,並不得將資料轉交第三方作直接促銷用途。
索償權:因違反PDPO而蒙受損害(包括感受上的損害)的資料當事人,可透過法院的民事訴訟程序尋求賠償。
PDPO所欠缺的權利:PDPO並無設立刪除權、限制處理權、反對自動化決策的權利,或資料可攜權。這些權利是GDPR及中國《個人信息保護法》的特點,但並非現行PDPO框架的一部分。
法律基礎與訂明同意的概念
PDPO並無採用與GDPR第6條相同的「法律基礎」制度,亦沒有一系列可供選擇的理據(例如正當利益、公共任務、重大利益等)供資料使用者在展開處理前引用。
相反,PDPO採用容許性框架:資料使用者可為收集時所述的目的,以及與之直接有關的目的,收集及使用個人資料,而無須另行取得同意。訂明同意的要求僅在兩種特定情況下才會出現。
第一,根據第3項保障資料原則,將資料用於原本收集目的或與之直接有關的目的以外的用途,須取得訂明同意。第二,根據第35C條,資料使用者在將個人資料用於直接促銷之前,須告知資料當事人有關意向,並就該特定用途取得訂明同意(或書面確認不反對)。
在日常業務運作中,為所述目的收集及使用資料,並不需要另行取得獨立的同意。第1項保障資料原則下提供收集個人資料聲明的責任,連同第3項保障資料原則下的使用限制,合共達致在功能上相近的效果:資料當事人在收集時已知悉目的,而資料使用者未經同意不得偏離該目的。
2026年正在考慮中的修訂建議,擬就敏感個人資料引入明確的同意要求,使香港就特定類別的資料而言,更趨向GDPR式的同意模式。
跨境資料轉移與第33條
香港資料私隱框架其中一項最具特色之處,在於其對跨境資料轉移的處理方式。可參閱我們的歐盟充分性認定指南,比較歐盟的做法。
第33條:已制定但從未生效
PDPO第33條於1996年制定,旨在限制將個人資料轉移至香港以外的地方。該條文原本禁止此類轉移,除非目的地司法管轄區提供足夠水平的資料保障,或符合若干指明條件之一(例如資料當事人已作出訂明同意、轉移屬合約所必需,或資料使用者已採取合理步驟確保資料獲得保障)。
第33條從未正式生效。截至2026年年中,將個人資料從香港轉移至任何海外司法管轄區,均不受任何成文法上的限制。政府尚未公布實施第33條的時間表,但2026年的修例諮詢已將第33條列為潛在的議程項目。
自願性保障措施:PCPD於2022年發布的標準合約條款
儘管第33條處於休眠狀態,PCPD仍於2022年5月發布《個人資料跨境轉移建議使用的標準合約條款指引》。該指引提供兩套條款:一套適用於資料使用者與資料使用者之間的轉移(涵蓋兩個分別擔任資料控制者的機構之間的轉移),另一套則適用於資料使用者與資料處理者之間的轉移(涵蓋代表香港機構處理資料的海外第三方)。
使用這些標準合約條款並非法律規定,但強烈建議採用,既屬最佳實務,亦有助為日後第33條可能生效作好準備。
大灣區標準合同
2023年12月,中國國家互聯網信息辦公室與香港創新科技及工業局聯合發布《標準合同》實施指引,涵蓋粵港澳大灣區內個人信息的跨境流動。PCPD於2024年發布補充指引,說明香港資料使用者在大灣區框架下向中國內地轉移資料時,如何適用該標準合同。此機制有別於PDPO第33條,就轉移的內地一方而言,是在中國內地《個人信息保護法》框架下運作。
PCPD:監管機構
個人資料私隱專員是香港的獨立法定監管機構。專員由行政長官委任,在處理個別案件時毋須聽從任何官員的指示。
權力
PCPD可調查資料當事人提出的投訴;在有合理理由相信曾發生違規事件時,毋須待有投訴亦可主動展開調查;進行合規檢查及巡查;發出執行通知,指令資料使用者糾正違規情況;進行刑事調查及提出檢控(此權力自2021年起獲擴大);發出停止披露通知,要求移除起底內容;以及發布實務守則及指引。
不遵從執行通知即屬刑事罪行。首次定罪的罰則為罰款最高港幣50,000元及監禁最高2年。其後再次定罪,罰款則增至港幣100,000元,監禁增至5年。
2024年執法統計數字
PCPD於2025年1月發布關於2024年的報告,記錄了以下數字:
- 接獲3,431宗投訴(較2023年的3,582宗下跌4%)
- 處理18,125宗公眾查詢(較2023年上升14%)
- 1,158宗涉及個人資料詐騙的查詢(較2023年急升46%)
- 接獲203宗自願性資料外洩通報(較2023年的157宗上升30%)
- 處理442宗起底個案(較2023年的756宗下跌42%)
- 向20個平台發出194份停止披露通知;約5,302則起底訊息獲移除,合規率達96%
- 展開118宗涉及起底的刑事調查;拘捕20人;40宗個案轉介警方
2025年執法統計數字
PCPD於2026年2月發布關於2025年的報告,顯示數字持續上升:
- 接獲4,228宗投訴(較2024年上升23%)
- 處理17,691宗公眾查詢
- 1,163宗涉及個人資料詐騙的查詢
- 接獲246宗自願性資料外洩通報(較2024年上升21%),當中包括81宗與黑客入侵有關的事故(上升33%)
- 展開435次合規檢查(上升9%)
- 處理308宗起底個案(較2024年下跌30%)
- 展開147宗刑事調查;拘捕18名疑犯;47宗個案轉介警方
- 向13個平台發出32份停止披露通知,要求移除56則起底訊息;合規率達98%
2021年反起底修訂
《2021年個人資料(私隱)(修訂)條例》於2021年10月8日生效,是自PDPO制定以來,香港私隱執法模式最重大的一次變革。是次修訂的推動因素,是2019年社會事件期間廣泛出現的起底行為,當時個人資料(包括住址、工作資料及家庭資料)被上載至網上,目的在於促使他人受到滋擾。
兩級起底罪行
是次修訂在PDPO新訂的第64(3A)及64(3C)條下,設立了兩級刑事起底罪行。
第一級罪行涵蓋在未經資料當事人同意下披露其個人資料,並意圖對資料當事人或其家庭成員造成指定傷害。最高刑罰:罰款港幣100,000元及監禁2年。
第二級罪行涵蓋同樣的披露行為,惟該披露實際上已造成指定傷害。最高刑罰:罰款港幣1,000,000元及監禁5年。
「指定傷害」包括對資料當事人或其家庭成員造成的滋擾、侵擾、纏擾、威嚇、恐嚇、心理傷害,以及對資料當事人或其家庭成員財產的干擾。
擴大的執法權力
2021年的修訂賦予PCPD三項新權力。第一,刑事調查權:PCPD可就起底行為自行展開刑事調查,並可與警方協調合作。第二,檢控權:PCPD可以自己的名義就起底罪行提起刑事訴訟程序,毋須轉介律政司。第三,停止披露通知:PCPD可向網上平台及互聯網服務供應商發出停止披露通知,要求它們移除起底內容或限制對該等內容的查閱。不遵從停止披露通知本身即屬刑事罪行,可處罰款港幣100,000元及監禁2年。
累計執法紀錄
由2021年10月8日至2025年12月31日期間,PCPD的累計起底執法紀錄如下:
- 向57個網上平台發出2,104份停止披露通知
- 移除33,743則起底訊息
- 平台合規率超過96%
- 展開519宗刑事調查
- 150宗個案轉介警方
- 拘捕81名疑犯
- 檢控55人
- 成功定罪43宗
每年起底個案數目已由2023年756宗的高峰,下降至2024年的442宗及2025年的308宗,顯示刑事罰則及顯著的執法行動均產生了阻嚇作用。
資料外洩處理
並無強制通報要求
與GDPR、新加坡《個人資料保護法》、南韓《個人信息保護法》(PIPA)或泰國《個人資料保護法》(PDPA)不同,PDPO現時並無規定機構在發生個人資料外洩時,須通知PCPD或受影響的資料當事人。在香港,資料外洩通報現時完全屬自願性質。
PCPD已發出《資料外洩事故處理及通報指引》(2023年更新),建議資料使用者在發生具有實際重大傷害風險的外洩事故時,應盡快通知PCPD及受影響的人士。此指引並無法律約束力。
自願通報的數量
自願性外洩通報數字穩步上升,反映企業的意識日漸提高:2023年為157宗、2024年為203宗、2025年則為246宗。2025年的數字當中,包括81宗與黑客入侵有關的事故,較2024年上升33%,反映影響香港機構的勒索軟件及網絡入侵事件正廣泛上升。
樂施會香港事件(2024年)
2024年樂施會勒索軟件外洩事件,是PCPD近年公布的最具影響力的資料外洩調查個案。一宗名為DarkHack的勒索軟件攻擊,透過自2023年6月起一直未有修補的防火牆漏洞,入侵了37部伺服器及24部工作站。事件中超過330GB的資料被盜取,估計影響約550,000人,當中包括521,130名捐款人。外洩的資料包括姓名、香港身分證號碼、護照號碼、出生日期、聯絡資料,以及信用卡及銀行帳戶號碼。
PCPD發現七項具體缺失:防火牆過時且未有修補;SSL VPN缺乏多重因素認證;伺服器缺少重要修補程式;偵測機制成效不足;漏洞評估範圍不足;資訊保安政策含糊不清;以及資料保留超出所需的範圍。專員就違反第4(1)原則(保安)及第2(2)原則(保留)發出執行通知。這宗個案在有關應否設立強制性外洩通報要求的討論中經常被引用。
資料保護主任:自願性質但獲建議設立
PDPO並無規定機構須委任資料保護主任(DPO)。條例中並無相當於GDPR第37條要求的成文法規定。
然而,PCPD建議機構(尤其是處理大量個人資料的較大型機構)指定專責個人或團隊,負責資料保障的合規事宜。該負責人應具備足夠的職級及權力以落實合規措施,能夠取得法律及資訊科技方面的專業意見,並能在出現查詢或投訴時直接與PCPD聯絡。
在實務上,許多在香港營運的跨國企業均會委任區域資料保護主任,兼責PDPO及其他司法管轄區的合規事宜。就同時受中國《個人信息保護法》規管的機構而言,根據該法第52條,處理大量個人信息的處理者須委任專責的個人信息保護負責人(PIPO)。
人工智能與資料私隱
自2021年起,PCPD在人工智能與資料私隱議題上日趨活躍,發布了一系列指引文件,對象為採購、開發及部署人工智能系統的機構。
2024年6月:人工智能個人資料保障模範框架
PCPD於2024年6月發布《人工智能:個人資料保障模範框架》,是其至今就人工智能發布的最全面指引。該框架的對象為採購、實施或使用人工智能系統的機構,並按採購、實施、使用及監察四個階段編排。主要主題包括資料管治(盡量減少個人資料輸入、評估訓練數據的質素)、演算法設計的透明度、對人工智能輸出結果的人手監督,以及明確的問責架構。
2025年3月:生成式人工智能員工使用指引檢查清單
PCPD於2025年3月發布《僱員使用生成式人工智能指引檢查清單》,協助機構制定內部生成式AI政策,內容涵蓋:獲批准使用的工具及用途、僱員可向生成式AI系統輸入哪些個人資料的規則、輸出結果的核實要求、查閱權限管制,以及未經授權輸入資料時的事故通報程序。
2025年5月:對60個機構進行合規檢查
PCPD於2025年年初對60個本地機構進行合規檢查,涵蓋電訊、銀行及金融、保險、美容服務、零售、運輸、教育、醫療服務、公用事業、社會服務及政府部門。是次檢查着重機構如何在使用人工智能的同時遵守PDPO。PCPD確認並未發現違反PDPO的情況,並發布報告,列明良好實務及有待持續關注的範疇。
2025年:能動式人工智能指引
PCPD亦於2025年發布專門針對能動式人工智能系統的指引,將能動式AI界定為獨立的風險類別。能動式AI工具具有自主運作能力,並擁有更高的系統存取權限,與傳統聊天機械人有本質上的分別。PCPD指出,現行PDPO的責任及人工智能模範框架均適用於能動式AI,惟其風險特性須加倍留意查閱權限管制、審計追蹤及人手監督機制。
亞太區匿名化指南(2025年)
PCPD聯同澳門個人資料保護辦公室(PDPB)及另外七個亞太區私隱監管機構,於2025年聯合發布《匿名化入門指南》,協助機構在處理大型數據集(包括用於訓練人工智能模型的數據集)時,減低私隱風險。
執法與罰則
PDPO的執法模式依靠附有刑事制裁支持的行政通知,而非GDPR所採用的巨額行政罰款,這是修訂建議旨在填補的結構性缺口。
刑事罰則
| 罪行 | 最高罰款 | 最高監禁刑期 |
|---|---|---|
| 不遵從執行通知(首次定罪) | 港幣50,000元 | 2年 |
| 不遵從執行通知(其後定罪) | 港幣100,000元 | 5年 |
| 起底:第一級罪行 | 港幣100,000元 | 2年 |
| 起底:第二級罪行(已造成傷害) | 港幣1,000,000元 | 5年 |
| 不遵從停止披露通知 | 港幣100,000元 | 2年 |
| 未經授權出售個人資料 | 港幣1,000,000元 | 5年 |
| 違反直接促銷相關規定 | 港幣500,000元 | 3年 |
民事補救
資料當事人可就因違反PDPO而蒙受的損害,對資料使用者提出民事訴訟索償。賠償範圍明確涵蓋感受上的損害,而不僅限於金錢損失。
近期發展及修訂建議
修例一度擱置(2024年)並於2026年重啟
2023年年底及2024年年初,政府推展修訂PDPO的建議,擬引入:強制性資料外洩通報;明確的行政罰款(建議為港幣1,000萬元或年度營業額10%,以較高者為準);附有更嚴格同意要求的敏感個人資料類別;資料保留政策責任;以及可能啟動第33條。這些建議原本計劃於2024年年底前提交立法會。
政府於2024年11月宣布有關修例建議暫緩推行,原因是擔心對小型及微型企業造成合規負擔,並傾向採取分階段推行的方式。
截至2026年2月,PCPD已重啟修例議程,並正就重新提出修訂建議諮詢立法會議員。現正討論的外洩通報框架,將規定機構在發生具有實際重大傷害風險的外洩事故時,須盡快通知PCPD及受影響人士,並無論如何須在5個工作天內作出通知。行政罰款框架將首次賦予PCPD直接的制裁權力,標誌着執法模式的根本轉變。截至2026年年中,正式提交修訂的時間表尚未確定。
立法會人工智能辯論(2025年7月)
立法會於2025年7月就「制定個人資料保障制度框架以應對人工智能時代的挑戰」進行辯論。是次辯論反映立法機關日益關注PDPO以原則為本的框架,能否應付人工智能時代的資料處理風險,以及應否在條例中加入特定的人工智能條文。
歐盟充分性認定背景
香港並未獲得GDPR下正式的歐盟充分性認定。歐盟委員會尚未裁定香港就GDPR第45條而言提供足夠水平的資料保障。歐盟機構向香港轉移個人資料時,須依賴標準合約條款或GDPR下其他轉移機制。
比較:PDPO、GDPR與中國《個人信息保護法》
在國際上營運的機構,須了解香港PDPO與其他主要私隱法律框架之間的關係。
| 特點 | 香港PDPO | 歐盟GDPR | 中國PIPL |
|---|---|---|---|
| 處理方式 | 以原則為本(六項保障資料原則) | 以權利為本;六項合法處理基礎 | 以權利為本;以同意為主 |
| 敏感資料 | 無特別分類(修例建議中) | 九個特別類別,附加額外保障 | 具體定義;須另行取得同意 |
| 跨境轉移 | 現時並無限制(第33條尚未生效) | 須有充分性認定/標準合約條款/約束性企業規則 | 須進行安全評估、簽訂標準合同或取得認證 |
| 外洩通報 | 並非強制;僅屬自願性指引 | 72小時內通知監管機構;高風險時須通知個人 | 須通知監管機構及個人;大規模外洩須即時通知 |
| 資料當事人的權利 | 查閱、改正、拒收直接促銷 | 查閱、更正、刪除、可攜、反對 | 查閱、更正、刪除、可攜、要求解釋自動化決策 |
| DPO要求 | 並非強制;屬自願最佳實務 | 在指明情況下須設立 | 處理大量資料的處理者須設個人信息保護負責人 |
| 最高罰則 | 無行政罰款;刑事罰款最高100萬港元 | 全球年度營業額4%或2,000萬歐元 | 5,000萬元人民幣或年度營業額5% |
| 歐盟充分性認定 | 無充分性認定 | 不適用 | 無充分性認定 |
如欲了解中國PIPL框架的完整資料,請參閱我們的中國資料私隱法指南。有關香港錄音法律責任,請參閱我們的香港錄音法指南。
機構實務合規指南
收集個人資料聲明:為每一個收集資料的渠道(網上、紙本、電話或親身)準備清晰的收集個人資料聲明。聲明必須涵蓋收集目的、資料接收者的類別,以及資料當事人要求查閱及改正資料的權利。每當收集目的有所改變,均應檢視聲明的用語。
資料保留時間表:為每一類個人資料訂立與收集目的及所屬行業監管要求相對應的保留期限,並以文件記錄。建立在保留期限屆滿時及時刪除或匿名化資料的程序。樂施會執法個案正好說明,超出目的持有資料所帶來的監管風險。
直接促銷合規:在將個人資料用於直接促銷之前,須取得訂明同意。每一項促銷訊息均應提供免費的拒收機制。應迅速處理撤回要求,並確保在接獲要求後,不再將該資料用於促銷用途。
保安措施:實施與所持有資料的敏感程度及數量相稱的管制措施,包括:儲存及傳輸中的資料須加密、遙距存取須設多重因素認證、定期進行修補及漏洞評估,以及按最低權限原則設定查閱權限管制。應將這些措施以文件記錄,以便日後如獲PCPD查詢時可作證明。
資料外洩應變計劃:制定並測試一套以文件記錄的事故應變計劃,涵蓋偵測及遏止、評估受影響資料的性質及範圍、就重大外洩事故自願通知PCPD及受影響人士,以及事後檢討。PCPD的《資料外洩事故處理指引》提供了一個實用的框架。
跨境轉移保障措施:即使第33條尚未生效,在將資料轉移至海外時仍應採取合約保障措施,並以PCPD於2022年發布的建議標準合約條款作為基本標準。此舉既符合最佳實務建議,亦有助機構為日後第33條可能生效作好準備。
人工智能管治:對照PCPD於2024年6月發布的人工智能模範框架,檢視人工智能的採購及部署情況。就僱員使用的生成式AI工具,應制定與PCPD於2025年3月發布的檢查清單相符的內部政策。在部署大規模處理個人資料的人工智能系統之前,應進行資料保障影響評估。
留意修例建議:外洩通報及行政罰款的修訂建議一旦通過,將需要作出重大的營運改變。應在整個2026年持續留意PCPD的公布及立法會的相關程序,並及早展開準備評估,尤其是就外洩通報的門檻及時限而言。
考慮自願委任資料保護主任:就處理大量個人資料的機構而言,自願委任指定的資料保護主任或合規主管,有助減低遺漏履行責任的風險,並為PCPD的查詢提供明確的聯絡窗口。
Sources and References
- 香港電子版香港法例 - 《個人資料(私隱)條例》(第486章)(elegislation.gov.hk).gov
- 香港電子版香港法例 - 《2021年個人資料(私隱)(修訂)條例》(elegislation.gov.hk).gov
- PCPD - 六項保障資料原則(pcpd.org.hk).gov
- PCPD - 《個人資料(私隱)條例》概覽(pcpd.org.hk).gov
- PCPD - 關於個人資料私隱專員公署(pcpd.org.hk).gov
- PCPD - 個人資料私隱專員發表2025年工作報告(pcpd.org.hk).gov
- PCPD - 個人資料私隱專員發表2024年工作報告(2025年1月)(pcpd.org.hk).gov
- PCPD - 資料外洩通報指引(pcpd.org.hk).gov
- PCPD - 跨境資料轉移指引(第33條)(pcpd.org.hk).gov
- PCPD - 跨境轉移建議使用的標準合約條款指引(2022年)(pcpd.org.hk).gov
- PCPD - 《人工智能:個人資料保障模範框架》(2024年6月)(pcpd.org.hk).gov
- PCPD - 人工智能指引及刊物(pcpd.org.hk).gov
- PCPD - 完成人工智能保安合規檢查(2025年5月)(pcpd.org.hk).gov
- PCPD - 直接促銷指引(2023年4月)(pcpd.org.hk).gov
- PCPD - 2025年人工智能合規檢查報告(pcpd.org.hk).gov