
免責聲明: 本文內容僅供一般參考,不構成法律意見。如有具體合規問題,請諮詢持牌律師或私隱專員公署。
忠告:借錢梗要還,咪俾錢中介。 投訴及貸款熱線:+852 3619 4042|放債人牌照號碼:354/2026
唔少中小企老闆都有同一個想法:「我間公司咁細,私隱專員公署唔會查到我。」
呢個想法係錯的,而且錯得有代價。
根據香港個人資料私隱專員公署 2025 年工作報告,全年共接獲 217 宗資料外洩事故通報,按年升幅顯著,當中涉及中小型機構嘅個案佔相當比例。違反《個人資料(私隱)條例》(PDPO)最高可判處 HKD 1,000,000 罰款及監禁,唔係得個「警告」咁簡單。
與此同時,香港政府正積極研究修例,方向包括強制通報機制、行政罰款制度,以及直接規管資料處理者。雖然部分措施因中小企憂慮經營壓力而暫緩或研究分階段實施,但大方向已定。現在做好準備,遠比等到修例通過先急急腳補救來得划算。
呢篇文章會幫你由零開始了解 PDPO 對中小企嘅實務要求,包括六大保障資料原則、最新執法趨勢、7 大合規措施清單,以及大灣區跨境數據流動嘅注意事項。
《個人資料(私隱)條例》訂明六大保障資料原則(Data Protection Principles,DPPs)。所有收集、持有或使用個人資料嘅機構都適用,唔論規模大細。
只可以為合法目的收集個人資料,而且只收集達到目的所需嘅最少資料。收集時必須告知當事人收集目的,以及其查閱、更正資料嘅權利。
中小企常見問題: 網站表單收集客戶電話、地址、身份證號碼,但從未說明用途,亦冇私隱政策連結。
所持有嘅個人資料必須準確、完整,並且唔可保存超過達到原來收集目的所需嘅時間。
中小企常見問題: 幾年前嘅客戶資料仍然留係系統入面,從未清理。
個人資料只可用於收集時所指明嘅目的,或與該目的直接相關嘅用途。未經當事人同意,不得用於其他目的。
中小企常見問題: 將客戶電郵地址用作第三方推廣,但從未取得明確同意。
必須採取切實可行嘅措施,防止個人資料遭未經授權或意外地查閱、處理、刪除或其他使用。
中小企常見問題: 客戶資料存放係未加密嘅 Excel 試算表,員工共用同一個登入帳號。
機構必須公開其個人資料政策及做法,讓當事人知道持有哪類個人資料及其用途。
中小企常見問題: 冇私隱政策頁面,或私隱政策係十年前複製嚟嘅範本,從未更新。
當事人有權查閱機構持有其個人資料,並要求更正不準確資料。機構必須在合理時間內回應。
中小企常見問題: 客戶提出查閱要求,員工唔知點處理,甚至唔知有呢個義務。
私隱專員公署 2025 年工作報告顯示,全年接獲 217 宗資料外洩事故通報,按年升幅明顯。外洩原因涵蓋網絡攻擊、員工失誤、系統漏洞,以及第三方供應商管理不善。
中小企往往係最脆弱嘅一環。資源有限、IT 基礎設施較薄弱,同時又係大型供應鏈嘅入口,三個因素疊加,風險自然更高。
2025 年,私隱專員公署主動審視 60 間機構嘅人工智能管治情況,並發布生成式 AI 指引清單。對中小企嚟講,呢個趨勢有直接影響:如果你嘅業務使用 ChatGPT、AI 客服工具或自動化數據分析,就必須確保符合私隱要求,包括唔可將客戶個人資料輸入未經審查嘅 AI 工具。
現行 PDPO 下,違反指定條文最高可判處 HKD 1,000,000 罰款及 5 年監禁。私隱專員公署近年積極執法,包括主動調查及發出執行通知,唔係等人投訴先行動。
香港政府正研究修訂 PDPO,主要涉及三個範疇。部分措施因中小企憂慮經營壓力而暫緩或研究分階段實施,但業界應密切關注,提早部署。
現行制度下,資料外洩通報屬自願性質。政府研究引入強制通報機制,要求機構在指定時限內向私隱專員公署及受影響當事人通報嚴重資料外洩事故。
對中小企意味著: 必須提前建立資料外洩應變計劃,唔可以等到事發先諗點做。
政府研究引入行政罰款制度,賦予私隱專員公署直接徵收罰款嘅權力,毋須經刑事檢控程序。執法會因此變得更快、更直接。
對中小企意味著: 合規唔再係「大公司先要理」嘅事。行政罰款門檻可能比刑事檢控更低,中小企同樣首當其衝。
現行 PDPO 主要規管資料使用者(Data Users),即決定收集及使用個人資料目的嘅機構。政府研究將直接規管資料處理者(Data Processors),即代資料使用者處理個人資料嘅第三方,例如雲端服務供應商、外判 IT 公司。
對中小企意味著: 你嘅外判服務供應商未來可能直接受法規約束,但你作為資料使用者仍有責任揀選合規嘅供應商,責任唔會因此轉移。
私隱政策唔係大公司嘅專利。你嘅網站、應用程式或服務必須有清晰嘅私隱政策,說明收集哪些個人資料、用途、保存期限,以及當事人嘅查閱權利。用淺白語言撰寫,唔係法律術語堆砌。
資料外洩最常見原因之一係員工失誤,包括誤發電郵、點擊釣魚連結、使用弱密碼。每年至少一次員工私隱培訓,涵蓋基本 PDPO 要求、資料處理程序,以及資料外洩應變步驟。
唔再需要嘅客戶資料應定期刪除。建立清晰嘅保存期限表,例如交易記錄保存 7 年(配合稅務要求),一般客戶聯絡資料於業務關係終止後 2 年刪除。定期清理舊資料,直接減低外洩風險。
如果你使用第三方服務處理客戶資料,例如雲端 CRM、外判客服、電郵營銷平台,合約中必須訂明資料保護責任,包括供應商嘅保安措施、資料外洩通報義務,以及業務終止後嘅資料刪除安排。
如果你嘅員工使用 ChatGPT 或其他生成式 AI 工具,必須明確禁止將客戶個人資料(姓名、電話、身份證號碼等)輸入呢類工具。建立內部指引,清楚說明哪些資料可以用 AI 處理,哪些不可以。
萬一發生資料外洩,你需要知道:由誰負責處理、需要通報哪些機構、如何通知受影響客戶。應變計劃唔需要複雜,但必須存在,而且員工要知道點執行。
如果你嘅店舖或辦公室設有閉路電視,必須張貼清晰告示,說明錄像目的及保存期限。客戶資料(包括會員資料、訂單記錄)必須有適當存取控制,唔係所有員工都需要存取全部資料。
如果你嘅業務涉及大灣區,例如在廣東省設有辦公室、供應商或客戶,跨境數據流動係另一個合規考慮。
香港私隱專員公署與內地對口機構合作,推動採用標準合同便利跨境個人資料流動。標準合同訂明資料輸出方(香港機構)與資料輸入方(內地機構)嘅責任,確保個人資料喺跨境傳輸後仍受到適當保護。
對中小企嚟講,如果你向內地供應商提供香港客戶資料,或由內地辦公室處理香港客戶查詢,就需要考慮簽訂標準合同,並確保內地一方符合相關保護要求。詳情可參考私隱專員公署官方網站的最新指引。
做好數據私隱合規唔係免費嘅。聘請私隱顧問審查現有系統、購買加密軟件或資料管理平台、為員工安排培訓課程,每一項都需要實際資金投入。
香港政府嘅科技券計劃(TVP)可以配對部分合規科技投資,但申請需時,而且唔係所有合規支出都符合資格。
如果你需要過渡資金支持合規升級,早晨信貸 SME 貸款提供最高 HKD 1,000,000 貸款,還款期最長 60 個月,全程網上申請,AI 系統 20 分鐘批核,免 TU 查核,0 手續費,無需親臨分行。
唔論係聘請顧問、採購加密系統定係支付培訓費用,資金到位先可以快速推進合規工作,唔使因為預算問題一拖再拖。
申請早晨信貸 SME 貸款,一般需要符合以下基本條件:
具體要求可於申請時確認,歡迎直接聯絡查詢。
Q1:細公司都需要遵守 PDPO 嗎?
係。《個人資料(私隱)條例》適用於所有在香港收集、持有或使用個人資料嘅機構,不論規模大細。獨資經營、合夥公司、有限公司同樣適用。
Q2:如果唔小心發生資料外洩,應該點做?
首先控制外洩範圍,例如隔離受影響系統。其次評估外洩嚴重程度,包括涉及多少人、哪類資料。然後考慮是否需要通報私隱專員公署及通知受影響當事人。現時通報屬自願性質,但政府正研究引入強制通報機制,方向已定。
Q3:使用 ChatGPT 等 AI 工具處理客戶資料有問題嗎?
有潛在風險。將客戶個人資料輸入第三方 AI 工具,可能違反 PDPO 第三原則(資料只可用於原來收集目的)及第四原則(資料保安)。私隱專員公署 2025 年已審視 60 間機構嘅 AI 管治,並發布生成式 AI 指引清單,建議中小企制定內部 AI 使用政策。
Q4:私隱政策一定要放係網站上嗎?
如果你嘅業務透過網站收集客戶資料,就必須有清晰嘅私隱政策。即使係實體店,如果你收集客戶資料(例如會員登記),同樣需要告知客戶收集目的及其權利。
Q5:大灣區標準合同係強制性嘅嗎?
現時唔係強制性,但係建議採用嘅最佳做法。如果你嘅業務涉及向內地傳輸香港客戶個人資料,採用標準合同可以幫助你證明已採取合理措施保護資料,減低法律風險。
Q6:政府修例幾時會正式實施?
截至 2026 年,強制通報機制、行政罰款制度及直接規管資料處理者等修例仍在研究及諮詢階段,部分措施因中小企憂慮經營壓力而暫緩或研究分階段實施。確實時間表尚未公布,但業界應密切關注政府公告,提早準備。
Q7:如何知道自己嘅公司合規程度?
可以參考私隱專員公署提供嘅自我評估工具及指引清單。另外,可以聘請持牌私隱顧問進行合規審查,識別現有漏洞並制定改善計劃。
數據私隱合規唔係「大公司先要理」嘅事。2026 年,香港執法趨勢明顯收緊,資料外洩個案持續上升,修例方向已定。中小企現在做好準備,比等到罰款通知書上門先急急腳補救,代價要低得多。
從制定私隱政策、員工培訓、供應商合約審查,到建立資料外洩應變計劃,每一步都係保護你嘅客戶,同時保護你嘅業務。
如果合規升級需要資金支持,早晨信貸提供 SME 貸款,最高 HKD 1,000,000,20 分鐘 AI 批核,免 TU 查核,0 手續費。立即申請,讓資金到位,合規工作唔再拖延。
忠告:借錢梗要還,咪俾錢中介。
投訴及貸款熱線:+852 3619 4042|放債人牌照號碼:354/2026