香港企業PDPO合規指南
遵守香港《個人資料(私隱)條例》的實用指南——六項保障資料原則、洩露通報義務及合規最佳實踐。
遵守香港《個人資料(私隱)條例》的實用指南——六項保障資料原則、洩露通報義務及合規最佳實踐。
《個人資料(私隱)條例》(第486章)是香港主要的個人資料保護法例,由個人資料私隱專員公署(PCPD)執行。該條例於1996年制定,並於2012年和2021年作出重大修訂,適用於所有「資料使用者」——即在香港控制個人資料收集、持有、處理或使用的任何個人、機構或企業。與某些司法管轄區的數據保護法律不同,PDPO ↗在適用性方面沒有基於機構規模的最低門檻——獨資企業與跨國公司承擔同等義務。
2021年修訂代表自條例制定以來PDPO最重大的擴展。主要變化包括:引入強制向PCPD通報數據洩露(針對造成重大傷害真實風險的洩露);新增起底刑事罪行(披露個人資料意圖造成傷害);擴大PCPD的調查和執法權力;以及PCPD可向起底施害者和網上平台發出停止通知的權力。這些修訂標誌著企業必須在合規計劃中考慮的更強執法趨勢。
PDPO將「個人資料」定義為直接或間接與活著的個人相關,從中可切實辨識該個人的資料。這一定義廣泛,涵蓋明顯的識別符(姓名、香港身份證、電話號碼、電郵地址)以及結合後能夠識別身份的較不具體的資料組合。收集任何關於個人資料的企業——客戶、員工、網站訪問者——均在PDPO範圍內收集個人資料。問題不在於PDPO是否適用,而是如何將其正確應用於您企業收集和處理的特定個人資料類型。
保障資料原則一(目的及收集)要求個人資料為合法目的而收集,且該目的與資料使用者的職能或活動直接相關;收集必須對該目的必要或與之直接相關;收集的資料必須充分但不過多;資料必須以合法公平的方式收集;且必須在收集時告知資料當事人目的。實際上,這意味著您的客戶登記表、結賬流程或員工入職程序必須清晰披露收集哪些資料及原因——個人資料收集聲明(PICS)是標準機制。
保障資料原則二(資料的準確性及保留)要求資料準確且不超過所述目的所需的時間保留。實施這一原則意味著:為您持有的每類個人資料(員工記錄、客戶訂單、市場聯繫)確定數據保留期,刪除已達保留期限的資料,以及制定讓個人更正不準確資料的程序。保障資料原則三(資料的使用)禁止將個人資料用於超出收集時所述目的,除非獲取新的同意。對於直接促銷——PCPD ↗優先關注的合規領域——這意味著使用為其他目的(如服務提供)收集的資料進行市場推廣,需要獲取特定的促銷同意。
保障資料原則四(保安)是技術要求最高的原則。它要求採取「一切切實可行的步驟」,保護個人資料免遭未經授權或意外的存取、處理、刪除、遺失或使用。「切實可行的步驟」標準依持有資料的類型和機構的資源而定——持有健康數據的醫療診所比持有購買記錄的零售商承擔更高義務。對大多數企業而言,這意味著:加密靜態和傳輸中的個人資料、實施限制數據存取至需要者的存取管控、部署安全監控,以及維護文件化的安全政策。這一原則在數據保護合規與網絡安全投資之間建立了直接聯繫。
2021年PDPO修訂引入了強制數據洩露通報義務,這對香港企業而言是一項重大的運營變化。當數據洩露發生——定義為對個人資料的未經授權或意外的存取、處理、刪除、遺失或使用——資料使用者必須評估洩露是否對受影響的資料當事人造成「重大傷害的真實風險」。如果是,資料使用者必須在合理時間內通知PCPD。在高風險情況下,還需要直接通知受影響的個人。
確定洩露是否達到通報門檻,需要評估洩露的資料類型、受影響個人數量、傷害可能性,以及傷害是否已發生。高度敏感的資料類別——財務數據、健康信息、香港身份證號碼、登入憑證——造成更高的通報義務可能性。影響大量個人的洩露,不論資料敏感性如何,均提高門檻。PCPD已就評估框架發出指引,企業應記錄其洩露評估決定,以證明正確行使判斷。
建立洩露應對能力,需要在洩露發生前制定文件化的事故應對程序。應對流程應包括:即時遏制行動(隔離受影響系統、撤銷被入侵憑證)、了解洩露範圍和性質的取證調查、通報義務的法律和合規評估、執行PCPD通報程序,以及管理受影響個人通報。沒有內部能力的企業應提前確定外部事故應對服務提供商——在主動事故期間發現事故應對合作夥伴會顯著延遲應對。許多網絡保險保單將事故應對服務列為承保福利。
PDPO合規計劃無需複雜即可有效。對大多數中小企而言,相稱的計劃包含五個實際組成部分:記錄收集哪些個人資料、原因、存儲位置及保留時長的資料存貨;更新所有收集資料點的私隱通知和PICS;記錄應對保障資料原則四的安全管控;直接促銷同意管理流程;以及資料查閱/更正請求處理程序。記錄這五個組成部分,確保它們反映實際實踐而非期望性陳述,並每年審查,可建立可辯護的合規立場。
指定數據保護聯絡人——員工或外部數據保護顧問——提供問責制,並為行使權利的資料當事人和可能展開調查的PCPD提供單一聯絡點。對於具有重大個人資料業務的較大中小企,更正式的數據保護主任(DPO)角色可能合適。PCPD提供免費指引資源、範本文件和教育計劃,顯著降低在內部建立合規知識的成本。
與網絡安全實踐整合至關重要。PDPO保障資料原則四與網絡安全最佳實踐 ↗有大量重疊——強大的存取管控、加密、安全監控和事故應對能力同時服務於合規和運營安全目的。將網絡安全投資視為雙重用途——同時解決安全風險和PDPO合規——是資源有限的中小企最有效率的做法。使用私隱管理計劃(PMP)框架進行年度PCPD自我評估,幫助機構系統性地識別並彌補合規缺口,防止它們演變為執法問題。
