📑 目錄
- 1. 開頭 — 我點解要寫呢篇嘢
- 2. 《個人資料(私隱)條例》(PDPO)係咩嚟?
- 3. 6 項保障資料原則(DPP)— 中小企版解釋
- 4. 咩嘢係「個人資料」?唔止係姓名身份證
- 5. 收集個人資料嘅正確做法
- 6. Direct Marketing — 你以為冇問題嘅,其實好大問題
- 7. 資料外洩(Data Breach)— 中咗招點算?
- 8. 私隱政策(Privacy Policy)— 點樣寫一份合格嘅?
- 9. DPO(資料保障主任)— 一人公司都需要?
- 10. 資料保留與銷毀 — 唔可以無限 Keep
- 11. 跨境資料轉移 — 用 Google Drive / AWS 算唔算?
- 12. 違規罰則 & 真實案例
- 13. ✅ 中小企私隱合規 Checklist(即時可用)
- 14. FAQ 常見問題
1. 開頭 — 我點解要寫呢篇嘢
我之前做網店嗰陣,因為唔熟《個人資料(私隱)條例》,做 Direct Marketing 嗰陣直接將舊客嘅 Email 加咗入 Mailchimp 就 Send Newsletter,完全冇諗過要得到佢哋同意。之後有個客投訴我去私隱專員公署(PCPD),雖然最後只係警告信,但我足足用咗 2 個月嚟處理,仲要全面檢討公司嘅資料處理流程,果段時間真係好大壓力。
我發現好多香港中小企東主同我一樣 — 以為「私隱合規」係大公司先要理嘅事,或者覺得只要唔賣資料就冇問題。但其實只要你公司有收集客人資料(Email、電話、地址、甚至 IP 地址),你已經受《個人資料(私隱)條例》規管。
💡 中小企 vs 大公司嘅分別
香港嘅 PDPO 冇話「中小企可以豁免」。無論你係一人公司定係上市公司,只要你處理個人資料,就要遵守條例規定。
2. 《個人資料(私隱)條例》(PDPO)係咩嚟?
《個人資料(私隱)條例》(Personal Data (Privacy) Ordinance,簡稱 PDPO)係香港法例第 486 章,由個人資料私隱專員公署(PCPD)執行。
條例核心精神:保障資料當事人(即係你嘅客人、員工、供應商等)嘅個人資料,唔會俾資料使用者(即係你間公司)濫用。
條例最近幾年有幾次重要修訂:
- 2013 年:Direct Marketing 條文生效,公司用個人資料做推廣前必須得到當事人同意
- 2021 年:修訂打擊「起底」行為,將未經同意披露個人資料刑事化,最高罰款 $1,000,000 及監禁 5 年
- 2023 年:建議修訂引入強制性資料外洩通報機制(截至 2026 年仍在立法程序中)
⚠️ 注意
雖然目前香港仲未立法強制通報資料外洩,但 PCPD 強烈建議企業自願通報。如果你間公司有處理 EU 或 UK 居民嘅資料,更可能受 GDPR 規管,嗰邊係強制通報㗎。
3. 6 項保障資料原則(DPP)— 中小企版解釋
PDPO 嘅核心係 6 項保障資料原則(Data Protection Principles,DPP)。以下用香港中小企嘅實際情況去解釋:
| # | 原則 | 簡單講 | 實際例子 |
|---|---|---|---|
| DPP1 | 收集目的及方式 | 收集資料嘅目的要同你嘅業務有直接關係,而且要用合法同公平嘅方式收集 | 登記會員嗰陣淨係問你需要嘅資料(姓名、電話),唔好問埋人哋婚姻狀況呢啲無關嘅嘢 |
| DPP2 | 準確性及保留期限 | 資料要準確,唔需要嗰陣就要刪除 | 客人搬咗地址,你要更新記錄;唔再合作嘅舊客資料,要定期銷毀 |
| DPP3 | 使用 | 資料只能用喺收集時講明嘅目的,或者「直接相關」嘅用途 | 客人俾地址你送貨,你唔可以用嚟 Send 推廣信 |
| DPP4 | 資料保安 | 要採取合理措施保護資料 | 客戶資料 Excel 要加密,唔可以就咁放喺共享 Folder 任人睇 |
| DPP5 | 透明度 | 你要話俾人知你嘅私隱政策同做法 | 網站要有 Privacy Policy,列明收集咩資料、點用、點聯絡你 |
| DPP6 | 查閱及改正 | 資料當事人有權查閱同改正佢哋嘅資料 | 客人問你拎返佢留低嘅資料,你要俾;佢話資料錯,你要改 |
💡 中小企貼士
你唔需要做到銀行級保安,但「合理措施」係底線。簡單如 WhatsApp Business 對話要備份加密、客戶 Access Database 要 set Password、文件櫃要上鎖,都算係合理措施。
4. 咩嘢係「個人資料」?唔止係姓名身份證
好多人以為「個人資料」得姓名 + 身份證號碼 + 地址。但 PDPO 嘅定義其實好闊:
- 基本資料:姓名、電話號碼、地址、電郵地址
- 身份證明:身份證號碼、護照號碼、出生日期
- 財務資料:銀行戶口號碼、信用卡資料、入息記錄
- 數碼足跡:IP 地址、Cookie ID、Device ID(如果可以用嚟識別到個人)
- 生物辨識:指紋、人面識別、聲紋
- 就業相關:工作履歷、薪酬記錄、Performance Review
- 敏感資料:醫療記錄、宗教信仰、工會會員身份
⚠️ 重要提醒
就算你只係儲咗客人嘅「電話號碼」,已經算係持有個人資料,受 PDPO 規管。唔好以為「淨係得電話啫,冇問題」。
5. 收集個人資料嘅正確做法
如果你嘅業務需要收集個人資料(例如客人報價、登記會員、提交查詢),你需要跟以下步驟:
Step 1:準備一份「收集個人資料聲明」(PICS)
PICS 係你要喺收集資料嗰陣或者之前提供俾資料當事人嘅聲明。佢要清楚話俾人知:
- 你收集資料嘅目的(例如「用嚟處理您嘅報價請求」)
- 資料會唔會轉移俾第三方(例如「我哋會將地址提供俾物流公司送貨」)
- 資料當事人有權查閱同改正資料
- 負責處理查閱要求嘅人嘅聯絡方法
Step 2:提供 Opt-out 選項
喺收集表格入面,要俾客人有得揀「我唔同意收取推廣資訊」。最好用 Tick Box 形式,唔好用預設打咗剔。
Step 3:用公平嘅方式收集
唔可以呃人、誤導人、或者用不正當手段收集資料。例如唔可以扮政府機構打電話問人拎資料。
🌟 真實經驗
我而家喺報價 Form 最底加咗一句:「本人同意 ESGov 使用以上資料處理是次查詢,並同意收取 ESGov 嘅最新資訊及優惠(可隨時取消)。」然後加個 Checkbox 俾客揀。咁就符合 DPP3(使用限制)同 Direct Marketing 嘅規定。
6. Direct Marketing — 你以為冇問題嘅,其實好大問題
2013 年嘅修訂對 Direct Marketing 有非常嚴格嘅規定。好多中小企(包括我以前)都中過招。
咩嘢係 Direct Marketing?
用個人資料去發送推廣、宣傳、促銷資訊(無論係 Email、SMS、WhatsApp、電話、郵寄),只要係「揀選特定對象」嘅推廣,都算 Direct Marketing。
法例要求(第 35A 至 35J 條)
- 一定要得到同意:你要明確話俾資料當事人知你打算用佢嘅資料做 Direct Marketing
- 要講明邊類產品/服務:唔可以寫「我哋可能會 Send 推廣俾你」,要講清楚係「推廣公司嘅會計服務」
- 要提供 Opt-out 機制:每封推廣訊息都要有 Unsubscribe 連結或指示
- 出售/轉移資料做 DM:要另外得到書面同意,而且唔可以單純用「不反對」做默許
⚠️ 常見陷阱:舊客 Email 做 Newsletter
好多中小企犯呢個錯:將過去幾年幫襯過嘅客人 Email 直接 Import 入 Mailchimp / Brevo 就 Send Newsletter。咁係犯法㗎!對方冇同意過你用佢嘅資料嚟收推廣郵件。除非你之前收集資料嘅 PICS 已經講明「會用嚟 Send 推廣」,否則你要重新得到佢同意。
💡 點樣合法收集 DM 同意?
最簡單嘅做法係喺客人幫襯你嗰陣(落單、登記、報價),同時問佢:「你同唔同意收取我哋嘅推廣資訊?」用一個獨立嘅 Tick Box,唔好預設打咗剔。記錄低佢哋嘅同意記錄(邊日同意、邊個 Channel)。
7. 資料外洩(Data Breach)— 中咗招點算?
資料外洩可以係好多人諗到嘅黑客入侵,但其實大部分香港中小企嘅資料外洩係源於內部失誤:
- 員工誤 Send Email 去錯地址(入面有客人資料)
- 遺失 USB / 手提電腦(入面有客戶 Database)
- 舊電腦賣出去之前冇 wipe 乾淨資料
- 員工離職後帶走客戶資料
- 公司 WhatsApp Group 入面分享咗客人嘅個人資料
- 網站保安漏洞(SQL Injection / 未加密資料)
中咗招嘅處理步驟(PCPD 建議)
- 即時制止:停止外洩(關 Server、改密碼、回收 Email)
- 內部評估:評估受影響嘅範圍同資料種類
- 通知 PCPD:雖然目前非法定要求,但 PCPD 強烈建議通報。如果涉及大量資料或者敏感資料,更加應該通報
- 通知受影響人士:如果外洩可能對當事人造成傷害(如身份被盜用),要通知佢哋
- 檢討同改善:點解會發生?點樣防止再發生?
⚠️ 我嘅親身見聞
我有個朋友開補習社,唔小心將成個家長聯絡 list(入面有 300 個家長嘅電話同地址)Send 咗去另一個家長嘅 Email。雖然對方最後冇做啲咩,但朋友足足用咗成個星期去處理投訴同安撫家長,最後仲俾 PCPD 發警告信,要求佢全面檢討資料處理政策。
8. 私隱政策(Privacy Policy)— 點樣寫一份合格嘅?
如果你公司有網站,你必須喺網站上載 Privacy Policy。呢個係 DPP5(透明度原則)嘅要求。
一份合格嘅私隱政策應該包括:
- 公司基本資料:公司名稱、聯絡方法
- 收集咩資料:主動收集(登記表格)同被動收集(Cookies、Log files)
- 收集目的:例如處理訂單、提供客戶服務、Direct Marketing(如果有)
- 資料分享:會唔會俾第三方?俾邊啲第三方?(例如 Payment Gateway、物流公司)
- 資料保留期限:Keep 幾耐?銷毀方法?
- 資料當事人權利:查閱、改正、刪除資料嘅權利同方法
- 保安措施:你用咩方法保護資料
- Cookie 政策:特別係 Google Analytics / Facebook Pixel 呢類 Tracking
- 聯絡方法:私隱相關查詢嘅聯絡人
💡 中小企貼士
唔好 Copy 人哋嘅 Privacy Policy!一定要根據你公司嘅實際情況寫。網上有 PCPD 嘅 Privacy Policy 範本可以參考,唔使俾律師寫都做到。
9. DPO(資料保障主任)— 一人公司都需要?
香港 PDPO 目前冇強制要求公司要指定 DPO(資料保障主任)。但如果你嘅業務性質涉及大量資料處理,或者你同 EU/UK 有生意往來(GDPR 要求),咁就最好指定一個。
DPO 嘅角色:
- 確保公司符合 PDPO 要求
- 處理資料查閱要求(Data Access Request)
- 處理 Direct Marketing 嘅同意同取消
- 制定同更新私隱政策
- 處理資料外洩
中小企點做?
如果你係一人公司或者只得幾個人,可以由你自己或者其中一個同事兼任。最重要係要有一個「負責人」,唔好出現「冇人負責私隱」嘅情況。
🌟 建議做法
喺公司內部文件寫低:「XXX(姓名/職位)係本公司嘅私隱事宜負責人」。如果有客查詢或者投訴,就由佢跟進。就係咁簡單。
10. 資料保留與銷毀 — 唔可以無限 Keep
DPP2 規定,資料唔可以保留超過達成目的所需嘅時間。即係話:
- 報價記錄:如果客人冇幫襯,可以喺合理時間後刪除(例如 6 個月至 1 年)
- 交易記錄:因為稅務原因可能需要保留 7 年(稅務條例要求),呢個係合法嘅例外
- 員工資料:離職後可以保留一段合理時間(視乎公司政策,一般 1-7 年)
- Newsletter 訂閱者:如果對方 Unsubscribe 咗,應該喺合理時間內刪除
銷毀資料嘅方法:
- 實體文件:用碎紙機
- 電子檔案:Secure Delete / 格式化後 overwrite
- 舊電腦/硬碟:物理銷毀或專業資料清除軟件
11. 跨境資料轉移 — 用 Google Drive / AWS 算唔算?
呢個係好多中小企忽略嘅問題。如果你將客人嘅資料放喺海外嘅 Server(例如 Google Drive、AWS、Notion、Salesforce),呢啲資料可能已經被轉移咗出境。
PDPO 對跨境資料轉移有明確要求(第 33 條),不過呢條條文目前仲未全面生效。但 PCPD 嘅指引建議:
- 你要確保接收資料嘅地方有同香港相若嘅私隱保障
- 最好喺合約入面加入資料保護條款
- 選用有 Data Residency 選項嘅服務(例如可以揀資料存放在香港 Server)
💡 實際建議
如果係用 Google Workspace Business / Microsoft 365 Business,一般佢哋嘅 Data Processing Agreement(DPA)已經涵蓋咗大部份要求。你只需要確保你同意咗佢哋嘅 DPA 就得。至於一般輕量使用(如個人版 Google Drive),就要留意清楚。
12. 違規罰則 & 真實案例
| 違規類型 | 罰則 | 備註 |
|---|---|---|
| 違反 6 項 DPP | PCPD 發出執行通知(Enforcement Notice),要求糾正 | 唔跟執行通知可被罰款 $50,000 及監禁 2 年 |
| 未經同意使用資料做 DM | 最高罰款 $500,000 及監禁 3 年 | 刑事罪行,可以由私隱專員公署檢控 |
| 出售資料做 DM(未經書面同意) | 最高罰款 $1,000,000 及監禁 5 年 | 更嚴重嘅刑罰 |
| 「起底」— 未經同意披露個人資料 | 最高罰款 $1,000,000 及監禁 5 年 | 2021 年加入嘅刑事罪行 |
| 唔跟執行通知 | 罰款 $50,000 + 每日 $1,000 附加罰款 | 持續違規每日加罰 |
真實案例(節錄)
- 美容公司案(2022):美容公司未經客人同意,將客人資料用於 Direct Marketing(Send 推廣訊息)。PCPD 發出執行通知,要求糾正。
- 地產代理案(2021):地產代理公司將客戶個人資料轉移俾第三方作推廣用途,未有得到客戶書面同意。PCPD 調查後發出執行通知。
- 起底案(2023):有人在社交媒體披露他人個人資料(「起底」),被判監 8 個月,成為首宗同類判刑案例。
13. ✅ 中小企私隱合規 Checklist(即時可用)
以下係你可以即刻 Check 嘅事項:
- ✅ 公司網站有 Privacy Policy
- ✅ Privacy Policy 係根據你公司實際情況寫(唔係 Copy)
- ✅ 收集個人資料嘅表格有 PICS(收集個人資料聲明)
- ✅ Direct Marketing 有得到資料當事人嘅同意(有記錄)
- ✅ 每封推廣訊息都有 Unsubscribe 機制
- ✅ 公司有指定私隱負責人
- ✅ 客戶資料有適當保安(加密、密碼、權限控制)
- ✅ 有資料保留同銷毀政策
- ✅ 員工知道公司嘅私隱政策同處理資料嘅正確方法
- ✅ 有處理資料查閱要求(Data Access Request)嘅流程
- ✅ 有資料外洩應變計劃
- ✅ 如果用緊第三方服務(Mailchimp / Google Analytics / Facebook Pixel),已確保佢哋嘅 DPA 符合要求
🌟 由邊度開始?
如果你係啱啱先開始做私隱合規,我建議你先做頭 3 樣:Website Privacy Policy + 表格 PICS + Direct Marketing 同意記錄。呢 3 樣係最常見嘅違規位,搞掂咗已經大幅降低風險。
14. FAQ 常見問題
問:我係一人公司,都係用 WhatsApp 同客人溝通,需要做私隱合規嗎?
需要。即使你只係用 WhatsApp 傾生意,你嘅對話入面有客人嘅個人資料(姓名、電話、地址等),你就係「資料使用者」,受 PDPO 規管。至少你要確保唔會隨便 Share 客人對話內容俾其他人。
問:我用 Google Analytics / Facebook Pixel,要喺 Privacy Policy 講嗎?
要。GA 同 Pixel 會收集訪客嘅 IP 地址同瀏覽行為,呢啲係個人資料。你必須喺 Privacy Policy 清楚列明,最好仲要加 Cookie Banner。
問:客人叫我刪除佢嘅所有資料,我一定要做嗎?
DPP2 要求你唔可以保留資料超過需要嘅時間,所以如果客人要求刪除,而且你冇合法理由保留(例如稅務記錄要求保留 7 年、或者未完成嘅交易),你就應該刪除。但係如果有合法理由(例如稅務/法律要求),你可以保留,但要話俾客知點解。
問:我 Send 咗 Email 俾客人話「如果唔回覆就當你同意收取推廣」,得唔得?
唔得。Direct Marketing 嘅同意必須係「明確嘅自願同意」。唔可以用默許方式(Opt-out 或者 Silent Consent)。你一定要用「主動同意」(Opt-in)嘅方式。
問:資料外洩一定要通知 PCPD 嗎?
截至 2026 年 6 月,香港仲未立法強制通報資料外洩。但 PCPD 強烈建議自願通報,特別是涉及大量資料、敏感資料、或者對當事人有潛在傷害嘅情況。如果你同時受 GDPR 規管(涉及 EU/UK 居民資料),就要喺 72 小時內通報。
問:申請查閱資料(Data Access Request)要收費嗎?
可以收取合理嘅行政費用,但唔可以太高(一般 $50-150 係合理範圍)。PCPD 嘅指引建議唔好收太多,以免阻礙資料當事人行使權利。
問:我需要聘請律師寫 Privacy Policy 嗎?
唔一定要。PCPD 有提供範本同指引,你可以自己根據公司實際情況撰寫。但如果你的業務涉及大量敏感資料或者跨境資料轉移,搵律師 review 吓會更放心。
總結
資料私隱合規聽落好似好複雜,但其實對中小企嚟講,最緊要係搞清基本原則:知你收集咗咩資料、點解要收集、點樣保護、同埋用完就要删除。只要你做到呢幾點,你已經贏咗 80% 嘅香港中小企。
唔好等到俾人投訴先嚟後悔。我當年就係咁,俾客投訴去 PCPD 先知原來自己一直做錯。而家我間公司嘅私隱合規做好晒,反而令客人更加信任我哋 — 有客人話因為見到我有 Privacy Policy 同 PICS,覺得我哋公司好專業。
📌 一句記住
私隱合規唔係成本,係競爭優勢。當你間公司做到連大公司嘅私隱標準,客人反而更放心俾資料你。
覺得有用?分享俾你嘅創業朋友 🤝