避免香港的數據外洩罰款：專家建議

避免香港的數據外洩罰款：專家建議

保護客戶資訊不僅是良好做法，更是法律規定。根據香港《個人資料（私隱）條例》（PDPO），企業必須採取合理步驟保障個人資料。單次數據外洩可能導致嚴重後果，從聲譽損害到最高 100 萬港元的罰款，若涉及刑事責任，罰款可能更高。對中小企業而言，健全的數據保護現已成為合規及維繫客戶信任的關鍵。

什麼構成數據外洩？

《個人資料（私隱）條例》並未以法定術語定義「數據外洩」，但私隱專員將其視為任何涉及個人資料的以下事件：

• 遺失
• 洩露
• 被盜
• 未經授權的查閱、處理或使用

‍

香港常見例子包括：

• 將個人資料發送給錯誤收件人（例如電郵地址錯誤）
• 未經授權的系統入侵（黑客攻擊、惡意軟件感染）
• 含有未加密個人資料的設備遺失或被盜
• 密碼安全性不足或訪問控制薄弱，導致未經授權進入
• 未經同意在網上發布個人資料

‍

注意： 即使是輕微的操作錯誤（例如在給客戶的電郵中附上錯誤文件），也可能構成《個人資料（私隱）條例》下的數據保障原則（DPPs）違規，尤其涉及原則 4（數據安全）。

違反《個人資料（私隱）條例》的法律後果是什麼？

根據《個人資料（私隱）條例》，個人資料私隱專員有權：

• 調查涉嫌違反條例的行為
• 根據第 50 條發出執法通知，指令採取補救行動
• 直接檢控特定罪行（例如第 64 條下的「起底」罪行、不遵守執法通知等），或將案件轉介司法部門或警方

‍

重要提示： 目前《個人資料（私隱）條例》並未規定強制性數據外洩通知要求，但專員強烈建議，若外洩對受影響人士構成真實傷害風險，應自願通知。政府在 2021 年提出的強制性制度建議截至 2025 年尚未生效。

企業如何預防數據外洩？

2025 年實用的數據安全措施包括：

員工培訓

• 定期提供有關依循數據保障原則處理個人資料的培訓
• 開展釣魚攻擊模擬訓練，並舉辦有關密碼安全及安全使用電郵的意識簡介會

加密敏感數據

• 對設備、數據庫及便攜式存儲設備使用強加密技術
• 要求系統訪問採用多因素認證

限制訪問權限

• 遵循「知需原則」（僅授予完成工作所需的最小權限）
• 員工離職或調動時立即撤銷訪問權限

更新軟件

• 及時安裝安全補丁
• 定期進行 IT 安全審計以識別漏洞

與數據處理商的合約保障

• 若外包數據處理工作，需訂立書面合約，要求對方遵守《個人資料（私隱）條例》下的安全義務（原則 4 (2)）

若發生數據外洩應如何處理？

若發生數據外洩：

1. 控制外洩情況：例如停用受損帳戶、將受影響系統離線、盡可能找回遺失設備。
2. 評估風險：確定涉及的數據類型、受影響人數及潛在傷害。
3. 通知私隱專員：雖非強制要求，但在存在真實傷害風險時建議通知，並使用專員的數據外洩通知表格。
4. 告知受影響人士：在適當情況下通知他們，以便採取防護措施。
5. 記錄事件：保留有關事件經過、已採取的補救措施及後續行動的記錄。
6. 檢討與改進：更新政策及培訓內容，防止再次發生。

‍

清晰的事件應對計劃可減少法律責任風險，並有助於維持客戶信任。

Ask.Legal 如何協助預防數據外洩？

Ask.Legal 提供人工智能風險評估工具，幫助企業：

• 識別數據處理中的弱點
• 生成明確的改進行動步驟以提升合規性
• 審查合約中存在缺陷的數據條款
• 即時了解香港數據外洩法例的最新法律動態

‍

這項服務高效、私密，專為忙碌的專業人士設計。

有任何法律問題？立即使用Ask.Legal——我們的人工智能法律助理24小時為您提供專業支援。

‍