This post is also available in: English (英语) 繁體中文 (繁体中文)

香港数据安全法令 – 概述

科技的进步，不但刷新了我们对商业格局的想象，而且还打开了网络世界的潘多拉盒子 — 数据安全问题。数据安全是众多网络用户最关注的问题之一，许多国家或地区都在更新其数据保护法律，以跟上科技的发展。澳洲的强制性数据泄露通知计划、中国的网络安全法法令，以及2018年5月25日席卷全球的欧盟通用数据保护条例（GDPR），都是与个人数据保护相关，这目前是在全球最多讨论的课题之一。

香港随着日新月异的科技一直保持领先和发展趋势，成为第一个颁布数据安全法令的亚洲地区之一。本文将概述香港的数据安全法令，包括相关法律、管理机构、主要定义和六项保障资料原则。

香港的数据安全法令概述

香港主要的数据保护法令，是于1996年生效的《个人资料（隐私）条例（PDPO）》（CAP.486），主要是依据经济合作与发展组织（OECD）的数据指南保护指令EC95 / 46。个人资料（隐私）条例规范了香港的数据保护和数据隐私。

香港个人资料隐私专员公署（PCPD）在2012年对个人资料（隐私）条例（PDPO）进行了法定审查后，产生了2012年修正案，强调了与营销有关的义务。

个人资料（隐私）条例（PDPO）的重要定义

个人资料
- PDPO定义，“个人数据”是指与在世人士有关的任何资料，并且该资料可用于识别该在世人士。
- 数据的访问或处理，是以一种可行的方式。数据处理包括以任何方式对数据进行修改、扩充、删除或重新排列。
- 个人数据实例：姓名、电话号码、地址、身份证号码、照片、病历和就业记录。
数据用户
- 根据PDPO中的定义，“数据用户”是指管理数据收集、数据保存、数据处理或数据使用的个人（单独或共同或与他人共同使用）。
- 同时，数据用户作为其授权数据处理者违法行为的负责人仍要承担责任。
数据主体
关于个人数据，数据主体是指作为数据主体的个人。
数据控制器
PDPO中定义的数据控制器与数据用户具有相同的含义。

个人资料（隐私）条例（PDPO）的关键原则：六项保障资料原则

负责处理数据的数据用户，必须遵守六项保障资料原则（DPP）。顾名思义，六项保障资料原则是PDPO条例的基础，规定了数据隐私和数据保护的关键原则。

六项保障资料原则之一（DPP 1） – 数据收集原则

PDPO规定，个人数据的收集必须合法与公正地进行，其目的与数据用户的功能或活动直接相关。
至于数据主体，必须随时将其可能转移数据的目的和类别告知该数据主体。
数据的收集应基于收集到的数据是相关的，而不是多余的以及在必要的基础上进行的。

六项保障资料原则之二（DPP 2） – 准确性和保留原则

第二个原则概述了应采取必要和可操作的步骤，以确保个人数据的准确性，在这些情况下，保留数据的时间不得超过实现数据使用目的所需的时间。

六项保障资料原则之三（DPP 3） – 数据使用原则

原则三规定，所收集的任何个人数据，都必须用于收集数据的目的（或直接相关的目的），除非数据主体授予是出于新目的并获得自愿和明确同意（明确同意是指直接征得个人的同意-向该个人提供了一个知情选择，以同意或不同意数据收集、数据使用或数据披露）。

六项保障资料原则之四（DPP 4） – 数据安全原则

数据用户必须采取可操作的预防措施，以保护个人数据免遭未经授权或不需要的访问、处理、删除、丢失或使用。

六项保障资料原则之五（DPP 5） – 开放性原则

原则五规定，数据用户必须采取可操作的步骤，以确保公众了解有关其所持有的个人数据的类型以及如何使用该数据的个人数据政策和实践。

六项保障资料原则之六（DPP 6）– 数据访问和更正原理

在这项保护下，必须授予数据主体访问其数据的权限，如果发现不正确，则允许其修改数据。

违例与赔偿

虽然不遵守资料保障原则并不构成刑事犯罪，但数据用户可能会收到的公署发出的强制执行通知，以纠正违规行为和/或提起诉讼。

根据该条例，下列任何事件均被视为刑事犯罪：

第六部分–在直接营销活动中滥用或不当使用个人数据
第19节–不遵守数据访问请求
第64节–未经数据用户同意而获得的未经授权的数据披露。

因违反有关个人数据的条例而遭受损害（包括但不限于受伤的感觉）的个人，可以向有关数据用户寻求赔偿。另外请注意，违反强制执行通知，在香港属于罪行，违法者将被处以最高50,000港元的罚款和2年的监禁。

豁免

根据该条例，特定类型或用途的数据可获某些豁免：

为家庭或娱乐目的而持有的个人资料;
出于就业目的的数据访问要求–某些与就业有关的个人数据和相关程序；
法律程序中要求的数据访问和数据使用；
为进行税务评估而持有的数据；以及
香港政府持有并用来管理国家安全、防务和国际关系的数据。