香港數據保護法例:2025 年指南
若你的企業在香港收集或使用客戶資訊,遵守《個人資料(私隱)條例》(PDPO)並非可選項 —— 而是法律規定。2025 年,監管機構對中小企業(SMEs)的審查更趨嚴格,數據保護已成為所有行業的首要任務。不合規的懲罰可能相當嚴厲,嚴重個案的罰款可高達 100 萬港元或以上,同時還會造成長期的聲譽損害。
什麼是《個人資料(私隱)條例》(PDPO)?
PDPO 是香港的核心數據保護法例。它適用於所有在香港收集、儲存或使用個人資料的實體,包括初創公司、獨資企業及中小企業。
核心原則包括:
- 數據收集必須合法且公平
- 個人資料必須準確並保持更新
- 數據僅能用於所聲明的目的
- 數據使用者必須採取合理的安全防範措施
- 個人有權查閱及更正自己的數據
即使是小型企業,如診所、電子商務商店或招聘公司,只要處理客戶或員工數據,就必須遵守這些規定。
中小企業的主要合規義務是什麼?
作為數據使用者,你的企業必須:
- 收集數據時通知客戶
提供《個人資料收集聲明》(PICS)。
清晰解釋收集目的及擬使用方式。 - 實施數據保護措施
使用帶密碼保護的系統及加密存儲。
僅限相關員工訪問個人資料。 - 確保數據準確性及保留期限限制
不得保留數據超過必要期限。
制定數據審核及處置的內部政策。 - 處理數據查閱及更正請求
根據 PDPO 規定,需在 40 天內回應。
若發生數據外洩會怎樣?
根據更新的數據外洩規例,企業須:
- 立即控制外洩情況。
- 若外洩構成真實傷害風險,須通知私隱專員公署。
- 在適當情況下通知受影響的個人。
近期 PDPO 的執法行動顯示,即使是小公司,若未採取基本防範措施(包括未加密文件或濫用客戶數據庫),也可能被處罰。
懲罰措施有哪些?
個人資料私隱專員有權發出:
- 執法通知(糾正違規行為的法律命令)
- 每项違法行為最高 5 萬港元的罰款 —— 屢犯或嚴重違規的罰款更高
- 在某些情況下提出刑事檢控
若不遵守個人資料私隱專員的執法通知,最高可處 2 年監禁。
中小企業如何保持合規?
實用步驟包括:
- 檢討並更新隱私政策。
- 培訓員工掌握數據保護基礎知識。
- 制定簡單的數據保留及外洩應對計劃。
有關員工培訓義務的更多資訊,請參閱我們關於中小企業僱傭法合規的指南。
人工智能能否協助 PDPO 合規?
可以!Ask.Legal 的人工智能法律合規助手幫助中小企業:
- 審核內部數據處理做法
- 標記缺失的隱私聲明或安全風險
- 生成符合規定的合約條款及政策
- 即時掌握香港數據保護法例的最新動態
這對內部法律支持有限的小型企業尤為合適。
有任何法律問題?立即使用Ask.Legal——我們的人工智能法律助理24小時為您提供專業支援。
