香港的网络安全和数据保护正面临日益严格的监管审查和更高的合规要求。个人资料私隐专员公署（私隐专员公署）持续加强执法机制，尤其是在数据泄露通知和跨境数据传输方面。随着企业在应对本地法规、区域合规要求以及人工智能等新兴技术交织的复杂局面时，了解香港的数据保护框架对于运营成功和法律合规至关重要。

为什么数据保护和网络安全在香港如此重要

香港的快速数字化转型已使其成为重要的金融科技中心，因此，健全的数据保护和网络安全框架对于保持其竞争优势至关重要。新冠疫情加速了数字化转型，这既带来了新的安全漏洞，扩大了网络犯罪分子的攻击面，也提高了公众对隐私权和数据安全的认识。

近期针对香港金融服务业、政府机构和关键基础设施的网络威胁凸显了采取全面网络安全措施的迫切需要。

该地区发生的多起备受瞩目的数据泄露事件表明，数据保护不足会造成严重的实际后果，包括巨大的经济损失、声誉损害和监管处罚。 

全球合规环境为总部位于香港的企业增添了另一层复杂性。跨国运营的公司必须遵守欧盟的《通用数据保护条例》（GDPR）、中国的《个人信息保护法》（PIPL）以及香港自身的监管框架。 

香港作为 国际商业中心，数据跨境自由流动，这既为数据保护合规带来了机遇，也带来了挑战。各机构必须平衡顺畅的国际运营需求与日益严格的数据本地化和传输要求（来自不同司法管辖区）。

香港关键立法（2025年）

《个人资料（私隐）条例》（PDPO）

《个人资料（私隐）条例》依然是香港数据保护框架的基石，并已多次修订以应对诸如人肉搜索、人工智能技术和跨境数据传输等当代挑战。该条例确立了六项数据保护原则，规范各行各业的数据使用者如何收集、使用、存储和传输个人资料。

根据现行法律框架，《个人资料（私隐）条例》适用于任何在香港控制个人资料收集、持有、处理或使用的数据使用者。该条例具有域外效力，这意味着处理香港居民个人资料的海外机构也可能在其管辖范围内。

近期修订案加强了隐私专员的执法权力，包括对严重违规行为发出罚款通知书以及对跨境数据传输行为进行调查的权力。强化处罚机制体现了政府致力于确保数据保护违规行为受到切实惩罚，从而起到威慑作用的决心。

关键基础设施（计算机系统）保护条例（2025）

《保护关键基础设施（电脑系统）条例》标志着香港网络安全监管框架的重大扩展，其目标涵盖电信、能源、交通运输和金融服务等关键行业的关键基础设施运营商。该条例为指定的关键基础设施运营商制定了强制性网络安全要求，包括事件报告义务和最低安全标准。

该条例授权政府根据特定计算机系统对香港经济安全、公共卫生或国家安全的重要性，将其指定为关键基础设施。被指定运营者必须实施全面的网络安全管理体系，定期进行风险评估，并保持符合规定标准的事件响应能力。

该条例的执行机制包括行政处罚、对严重违规行为的刑事制裁，以及在关键基础设施安全受到威胁的情况下政府可能采取的干预措施。该条例还建立了政府机构与关键基础设施运营商之间的信息共享框架，以增强整体网络安全韧性。

其他相关法律（网络犯罪、电信等）

香港的网络安全和数据保护框架不仅限于《个人资料（私隐）条例》和关键基础设施法例，还涵盖各种特定行业的法规和刑法条文。《刑事案件条例》针对与电脑相关的罪行，包括未经授权访问电脑系统、窃取数据以及可能涉及个人资料泄露的网络犯罪活动。

《电信条例》规管电信服务商的数据处理行为，并制定了客户数据保护和网络安全的具体要求。这些要求是对《个人数据保护条例》（PDPO）一般义务的补充，旨在应对电信基础设施和服务所特有的风险和责任。

包括香港金融管理局和证券及期货事务监察委员会在内的金融服务监管条例，对银行、保险公司和投资公司制定了额外的数据保护和网络安全要求。这些行业特定要求通常高于《个人信息保护条例》（PDPO）规定的最低标准，反映了金融数据处理相关的更高风险。

什么是个人数据？

根据香港法律，个人资料涵盖任何与个人相关的资料，无论该资料是真是假，只要能够据此确定该个人的身份，均属于个人资料。此定义旨在涵盖范围广泛，以确保随着技术和数据处理能力的不断发展，个人资料仍能得到全面的保护。

该定义包含一些显而易见的标识符，例如：

• 姓名；
• 身份证号码；
• 联系信息；
• 包括任何可以合理地与其他可用信息结合使用以识别个人的数据。

这包括：

• IP地址；
• 设备标识符；
• 位置数据；
• 生物特征信息。

隐私专员最近发布的指导意见明确指出，个人数据包括可能无法立即识别个人身份，但可以通过现有技术或方法合理地识别个人身份的信息。

敏感数据与非敏感数据

虽然《个人资料（私隐）条例》没有像某些国际框架那样正式区分敏感个人资料和非敏感个人资料，但私隐专员的指导意见承认，某些类型的个人资料由于其敏感性以及滥用可能造成的危害，需要加强保护。

健康和医疗信息、财务数据、生物识别信息以及揭示政治观点、宗教信仰或性取向的数据通常被认为需要更严格的保护措施。处理此类信息的机构必须实施额外的安全保障措施，并在适当情况下获得明确的同意。

敏感数据和非敏感数据之间的实际区别会影响风险评估、安全措施和违规通知义务。组织在制定适当的保护措施和响应协议时，必须评估未经授权披露的潜在影响。

数据用户、数据主体和数据处理者

《个人数据保护条例》 （PDPO）通过对数据处理关系中关键利益相关者的定义，明确了各方的角色和责任。数据使用者是指控制个人数据的收集、持有、处理或使用的任何人士，对遵守《个人数据保护条例》和履行数据保护义务负有主要责任。

数据主体是指个人数据所涉及的个人，根据相关条例享有特定权利，包括查阅其个人数据、更正不准确信息以及反对将其个人数据用于特定用途。这些权利是香港数据保护框架的基石，所有数据使用者都必须尊重这些权利。

虽然《个人数据保护条例》（PDPO）并未像《通用数据保护条例》（GDPR）那样正式定义数据处理者，但代表数据使用者处理个人数据的机构仍须确保遵守该条例的规定。这包括实施适当的技术和组织措施来保护个人数据，并配合数据使用者履行其合规义务。

隐私专员（PCPD）的角色

香港个人资料私隐专员公署是香港主要的个人资料保护监管机构，拥有强大的权力，可以调查投诉、进行合规审计并执行《个人资料（私隐）条例》的要求。该公署已发展成为一个成熟的监管机构，能够应对日益数字化的经济中复杂的个人资料保护挑战。

PCPD的职责不仅限于被动执法，还包括主动制定指导方针、开展公众教育和倡导政策。专员定期发布指导说明，内容涵盖新兴技术、国际数据传输惯例以及特定行业的合规挑战。近期发布的指导说明涉及人工智能应用、Cookie同意实践以及与疫情相关的数据处理活动。

近年来，隐私专员的执法行动变得更加频繁和有力，这既反映了修订后的法律赋予其更大的权力，也体现了其更加积极的监管方式。专员现在可以对严重违规行为发出罚款通知，开展具有强制信息收集权的正式调查，并对最严重的违规行为提起刑事诉讼。

隐私专员公署的国际参与也显著扩展，专员公署参与了全球隐私执法网络和双边合作协议。这些关系增强了香港处理跨境数据保护问题的能力，并巩固了其作为国际数据流动可信赖司法管辖区的地位。

组织的核心数据保护义务

数据收集、使用和保留

组织必须确保个人数据的收集服务于与其职能或活动直接相关的合法目的，并采用在特定情况下公平合理的收集方法。数据最小化原则要求组织仅收集实现其既定目的所必需的个人数据，避免过度或不相关的数据收集。

除非数据主体另行同意或属于规定的例外情况，否则数据的使用必须始终在最初收集目的的范围内。组织必须制定明确的政策来规范数据保留期限，确保个人数据的保留时间不超过实现收集目的所需的时间。

数据保留策略必须在业务需求和隐私保护之间取得平衡，同时考虑法律要求、运营需要以及长期数据存储可能带来的风险。定期的数据清除和匿名化流程有助于组织在最大限度减少数据保护义务的同时，保留必要的业务记录。

同意、通知和目的限制

根据《个人资料（私隐）条例》，有效的同意必须是自愿的、知情的，并且必须针对所授权的特定用途或披露。机构必须提供清晰全面的信息，说明其数据收集和使用做法，使个人能够就其个人资料做出知情决定。

隐私声明必须清晰地解释个人数据的使用目的、收集的个人数据类型以及可能向其披露数据的人员类别。这些声明应易于获取，使用简明易懂的语言编写，并定期更新以反映数据处理实践的变化。

目的限制原则要求组织机构只能将个人数据用于收集时披露的目的，除非获得额外同意或存在特定的法律例外情况。这项要求确保个人对其个人数据的使用方式拥有控制权，并防止组织机构在未经适当授权的情况下扩大数据使用范围。

数据准确性和访问权限

组织有持续的义务确保个人数据在用于其既定目的时保持准确、完整和最新。这要求组织实施相应的系统和流程来识别和纠正不准确的数据，并建立数据主体报告错误和请求更正的机制。

数据主体有权访问组织机构持有的其个人数据，但法律专业特权、正在进行的谈判以及其他特定情况下的例外情况除外。访问请求必须在规定的时限内处理，组织机构必须以易于理解的格式提供个人数据副本。

更正权允许数据主体要求更正不准确或不完整的个人数据，相关机构有义务调查此类请求，并在合理的情况下做出适当修改。这些权利对于维护数据质量和确保个人能够对其个人信息行使有效控制权至关重要。

任命数据保护官（DPO）

虽然《个人数据保护法》（PDPO）并未强制要求所有机构任命数据保护官（DPO），但许多企业已将此做法视为确保全面数据保护合规的最佳实践。数据保护官作为企业内部隐私权和合规的倡导者，为复杂的数据保护问题提供专业知识和监督。

处理大量个人数据、在高风险行业运营或进行大量跨境数据传输的组织通常能从专门的数据保护专业知识中获益。数据保护官 (DPO) 可以协调合规活动、开展隐私影响评估，并作为与监管机构的主要联系人。

随着组织面临日益复杂的数据保护挑战，包括人工智能应用、跨境监管合规以及新兴网络安全威胁，数据保护官 (DPO) 的角色也在不断演变。有效的 DPO 计划对组织的韧性和合规性至关重要。

跨境数据传输

跨境数据传输仍然是香港数据保护框架中最复杂的方面之一，需要仔细考虑本地要求和国际监管义务。各机构必须确保传输到香港境外的个人数据得到充分保护，无论是通过既定机制还是其他保障措施。

隐私专员指出，充分性评估和标准合同条款可以为国际数据传输提供适当的保障，类似于其他司法管辖区使用的机制。但是，各组织还必须考虑特定目的地国家/地区的具体风险以及所传输数据的敏感性。

近期地缘政治发展加剧了人们对跨境数据传输实践的关注，各组织不仅需要应对法律要求，还需兼顾政治和商业因素。尽职调查流程必须评估目的地国家的法律框架以及跨境数据保护标准的实际可行性。

揽阁信息提供到Thales CipherTrust Data Security Platform（CDSP/数据安全平台）可有效解决您的合规需求，欢迎联系我们，获取更多资料。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• 泰国最新数据保护法的益处与挑战
• 量子时代将至，企业如何利用PQC完成加密转型?
• 生成式人工智能（GenAI）需要你的信任
• 从合规到信心：我们助您顺利满足 ISO/IEC 27001:2022 标准
• 香港稳定币法案：确保对受监管的数字未来的信任
• 数据安全态势管理的强大取决于您的数据保护策略