This post is also available in: English (英語) 简体中文 (簡體中文)

香港數據安全法令 – 概述

科技的進步，不但刷新了我們對商業格局的想像，而且還打開了網絡世界的潘多拉盒子 — 數據安全問題。數據安全是眾多網絡用戶最關注的問題之一，許多國家或地區都在更新其數據保護法律，以跟上科技的發展。澳洲的強制性數據洩露通知計劃、中國的網絡安全法法令，以及2018年5月25日席捲全球的歐盟通用數據保護條例（GDPR），都是與個人數據保護相關，這目前是在全球最多討論的課題之一。

香港隨著日新月異的科技一直保持領先和發展趨勢，成為第一個頒布數據安全法令的亞洲地區之一。本文將概述香港的數據安全法令，包括相關法律、管理機構、主要定義和六項保障資料原則。

香港的數據安全法令概述

香港主要的數據保護法令，是於1996年生效的《個人資料（隱私）條例（PDPO）》（CAP.486），主要是依據經濟合作與發展組織（OECD）的數據指南保護指令EC95 / 46。個人資料（隱私）條例規範了香港的數據保護和數據隱私。

香港個人資料隱私專員公署（PCPD）在2012年對個人資料（隱私）條例（PDPO）進行了法定審查後，產生了2012年修正案，強調了與營銷有關的義務。

個人資料（隱私）條例（PDPO）的重要定義

個人資料
- PDPO定義，“個人數據”是指與在世人士有關的任何資料，並且該資料可用於識別該在世人士。
- 數據的訪問或處理，是以一種可行的方式。數據處理包括以任何方式對數據進行修改、擴充、刪除或重新排列。
- 個人數據實例：姓名、電話號碼、地址、身份證號碼、照片、病歷和就業記錄。
數據用戶
- 根據PDPO中的定義，“數據用戶”是指管理數據收集、數據保存、數據處理或數據使用的個人（單獨或共同或與他人共同使用）。
- 同時，數據用戶作為其授權數據處理者違法行為的負責人仍要承擔責任。
數據主體
關於個人數據，數據主體是指作為數據主體的個人。
數據控制器PDPO中定義的數據控制器與數據用戶具有相同的含義。

個人資料（隱私）條例（PDPO）的關鍵原則：六項保障資料原則

負責處理數據的數據用戶，必須遵守六項保障資料原則（DPP）。顧名思義，六項保障資料原則是PDPO條例的基礎，規定了數據隱私和數據保護的關鍵原則。

六項保障資料原則之一（DPP 1） – 數據收集原則

PDPO規定，個人數據的收集必須合法與公正地進行，其目的與數據用戶的功能或活動直接相關。
至於數據主體，必須隨時將其可能轉移數據的目的和類別告知該數據主體。
數據的收集應基於收集到的數據是相關的，而不是多餘的以及在必要的基礎上進行的。

六項保障資料原則之二（DPP 2） – 準確性和保留原則

第二個原則概述了應採取必要和可操作的步驟，以確保個人數據的準確性，在這些情況下，保留數據的時間不得超過實現數據使用目的所需的時間。

六項保障資料原則之三（DPP 3） – 數據使用原則

原則三規定，所收集的任何個人數據，都必須用於收集數據的目的（或直接相關的目的），除非數據主體授予是出於新目的並獲得自願和明確同意（明確同意是指直接徵得個人的同意-向該個人提供了一個知情選擇，以同意或不同意數據收集、數據使用或數據披露）。

六項保障資料原則之四（DPP 4） – 數據安全原則

數據用戶必須採取可操作的預防措施，以保護個人數據免遭未經授權或不需要的訪問、處理、刪除、丟失或使用。

六項保障資料原則之五（DPP 5） – 開放性原則

原則五規定，數據用戶必須採取可操作的步驟，以確保公眾了解有關其所持有的個人數據的類型以及如何使用該數據的個人數據政策和實踐。

六項保障資料原則之六（DPP 6）– 數據訪問和更正原理

在這項保護下，必須授予數據主體訪問其數據的權限，如果發現不正確，則允許其修改數據。

違例與賠償

雖然不遵守資料保障原則並不構成刑事犯罪，但數據用戶可能會收到的公署發出的強制執行通知，以糾正違規行為和/或提起訴訟。

根據該條例，下列任何事件均被視為刑事犯罪：

第六部分–在直接營銷活動中濫用或不當使用個人數據
第19節–不遵守數據訪問請求
第64節–未經數據用戶同意而獲得的未經授權的數據披露。

因違反有關個人數據的條例而遭受損害（包括但不限於受傷的感覺）的個人，可以向有關數據用戶尋求賠償。另外請注意，違反強制執行通知，在香港屬於罪行，違法者將被處以最高50,000港元的罰款和2年的監禁。

豁免

根據該條例，特定類型或用途的數據可獲某些豁免：

為家庭或娛樂目的而持有的個人資料;
出於就業目的的數據訪問要求–某些與就業有關的個人數據和相關程序；
法律程序中要求的數據訪問和數據使用；
為進行稅務評估而持有的數據；以及
香港政府持有並用來管理國家安全、防務和國際關係的數據。