香港數據保護法例：2025 年指南

香港數據保護法例：2025 年指南

若你的企業在香港收集或使用客戶資訊，遵守《個人資料（私隱）條例》（PDPO）並非可選項 —— 而是法律規定。2025 年，監管機構對中小企業（SMEs）的審查更趨嚴格，數據保護已成為所有行業的首要任務。不合規的懲罰可能相當嚴厲，嚴重個案的罰款可高達 100 萬港元或以上，同時還會造成長期的聲譽損害。

什麼是《個人資料（私隱）條例》（PDPO）？

PDPO 是香港的核心數據保護法例。它適用於所有在香港收集、儲存或使用個人資料的實體，包括初創公司、獨資企業及中小企業。

核心原則包括：

• 數據收集必須合法且公平
• 個人資料必須準確並保持更新
• 數據僅能用於所聲明的目的
• 數據使用者必須採取合理的安全防範措施
• 個人有權查閱及更正自己的數據

‍

即使是小型企業，如診所、電子商務商店或招聘公司，只要處理客戶或員工數據，就必須遵守這些規定。

中小企業的主要合規義務是什麼？

作為數據使用者，你的企業必須：

1. 收集數據時通知客戶
   提供《個人資料收集聲明》（PICS）。
   清晰解釋收集目的及擬使用方式。
2. 實施數據保護措施
   使用帶密碼保護的系統及加密存儲。
   僅限相關員工訪問個人資料。
3. 確保數據準確性及保留期限限制
   不得保留數據超過必要期限。
   制定數據審核及處置的內部政策。
4. 處理數據查閱及更正請求
   根據 PDPO 規定，需在 40 天內回應。

若發生數據外洩會怎樣？

根據更新的數據外洩規例，企業須：

• 立即控制外洩情況。
• 若外洩構成真實傷害風險，須通知私隱專員公署。
• 在適當情況下通知受影響的個人。

‍

近期 PDPO 的執法行動顯示，即使是小公司，若未採取基本防範措施（包括未加密文件或濫用客戶數據庫），也可能被處罰。

懲罰措施有哪些？

個人資料私隱專員有權發出：

• 執法通知（糾正違規行為的法律命令）
• 每项違法行為最高 5 萬港元的罰款 —— 屢犯或嚴重違規的罰款更高
• 在某些情況下提出刑事檢控

‍

若不遵守個人資料私隱專員的執法通知，最高可處 2 年監禁。

中小企業如何保持合規？

實用步驟包括：

• 檢討並更新隱私政策。
• 培訓員工掌握數據保護基礎知識。
• 制定簡單的數據保留及外洩應對計劃。

‍

有關員工培訓義務的更多資訊，請參閱我們關於中小企業僱傭法合規的指南。

人工智能能否協助 PDPO 合規？

可以！Ask.Legal 的人工智能法律合規助手幫助中小企業：

• 審核內部數據處理做法
• 標記缺失的隱私聲明或安全風險
• 生成符合規定的合約條款及政策
• 即時掌握香港數據保護法例的最新動態

‍

這對內部法律支持有限的小型企業尤為合適。

有任何法律問題？立即使用Ask.Legal——我們的人工智能法律助理24小時為您提供專業支援。

‍