【香港数据保护】香港的数据保护——遵守数据保护原则是成功因素

香港的数据保护法《个人数据（隐私）条例》（PDPO）于1995年通过，并于1996年12月生效。这使它成为东亚最古老的数据保护法之一。2012年和2021年，该法律进行了实质性的修订和修改。

《私隐条例》的适用范围包括私营及公营机构。该法律是技术中立的，这意味着它独立于数据处理中使用的技术。该法律基于六项关键数据保护原则（DDP），这些原则规范了个人数据的收集、处理和使用。

为了更好地理解以下关于《私隐条例》和《差饷物业管理条例》的备注，首先对法律中使用的某些重要术语进行了更详细的定义。

Term	​Definition according to PDPO
​Personal data	​Information that relates to a living person and can be used to identify that person Presence of the data in a form that practically allows access or its processing
​Data subject	​The person who is the subject of the personal data.
Data user	Person who, either alone or jointly with others, controls the collection, possession, processing, or use of personal data.
​Data processing	​In relation to personal data, the modification, completion, deletion, or transformation of the data by automated means or otherwise.
​Data processor	Person who processes personal data on behalf of another person (a data user) and not for his or her own purposes No specific provisions for data processors in the PDPO Obligation for data users to ensure, by contractual or other means, that data processors (as third parties) comply with the provisions of the PDPO

六大数据保护原则

原则1——收集的目的和方法

根据第一原则（DPP1），个人数据只能用于与数据用户的功能或活动直接相关的合法目的。为此目的所收集的数据必须是必要和充分的，不应超出这一目的。个人数据的收集必须采用在特定情况下合法合理的方式。

在收集个人数据时，必须告知数据主体该数据是自愿提供的还是在强制性基础上收集的，该数据用于何种目的，以及该数据可以向哪些人群披露。还必须告知数据主体他或她访问、更正或更正其数据的权利。

原则2-保留的准确性和持续时间

原则2（DDP2）要求数据使用者采取一切合理和切实可行的步骤，确保个人数据的准确性。此外，应确保数据的保存时间不会超过实现数据使用目的所需的时间。如果数据用户聘请了数据处理器，则数据用户必须确保数据处理器符合上述保留期要求。在这方面，重要的是要注意《个人资料条例》第26条，该条规定资金使用者须采取一切切实可行的步骤，删除对资金用途不再需要的个人资金，除非删除资金是法例所禁止或不符合公众利益。

原则3-数据的使用

根据原则3（DPP3），未经数据主体明确自愿同意，不得将个人数据用于与收集数据的原始目的不一致或无关的新目的。数据主体/个人可通过书面通知撤销先前给予的同意。

将个人数据用于直接营销目的时，必须得到数据主体的知情和明确同意。保持沉默并不构成同意。“知情”同意是指必须在知情的基础上给予同意，即数据用户必须告知数据主体数据使用的目的（直接营销）、要使用的数据类型、数据主体的同意要求、撤销权以及预期数据使用的其他方面。不遵守直接营销/直接广告条例属于刑事犯罪，可能会被处以最高50万港元的罚款和监禁三年，如果数据已出于商业目的披露给第三方，则可能会被判处最高100万港元的罚金和监禁五年。

原则4-数据安全

原则4（DPP4）规定了数据安全的要求。数据用户必须采取一切切实可行的措施，保护其拥有的个人数据不受未经授权或意外访问、处理、删除、丢失或使用的影响。这包括考虑数据的性质、发生安全事件时的潜在损害，以及确保授权访问数据的人员的完整性、勤勉和能力的措施。数据用户必须根据合同规定数据处理者必须遵守这些要求。

原则5——公开和透明

原则5（DPP5）要求数据用户确保个人了解处理个人数据的规则和做法。这包括披露所存储的个人数据的类型以及数据用户使用该数据的主要目的。

原则6-访问和更正

根据原则6（DPP6），数据主体有权要求访问自己的个人数据。如果数据不正确，必须根据数据主体的要求进行更正。《私隐条例》第5章载有这方面的详细规则，包括处理该等要求的程序、处理的时限，以及在何种情况下可拒绝该等要求。

原则概述

数据保护原则旨在确保只有在数据主体知情同意的情况下，才能以公平和必要的方式收集个人数据。所收集的数据必须得到安全处理，并且仅在收集数据的目的期间保存。数据的使用仅限于原始目的，只有在数据主体明确同意的情况下才能更改或扩展。数据主体有权访问并更正其数据。

例外情况

PDPO规定了某些要求的例外情况，例如预防和起诉刑事犯罪、保护公共安全、统计和研究目的以及医疗保健部门。此外，法院命令也可允许例外情况，例如行使和辩护法律索赔。

资料使用者可依赖例外情况，以避免根据《私隐条例》承担法律责任。然而，重要的是要注意到，例外情况的存在通常是根据具体情况进行评估的。因此，数据用户不应自动认为豁免适用于他们。明智的做法是仔细审查个人情况，而不是经常依赖于例外情况的存在。

作为主管当局的个人数据隐私专员办公室

《私隐条例》规定设立个人资料私隐专员办事处，作为保障公共资料的机构。个人可向私隐专员举报资料使用者可能违反《私隐条例》的行为，私隐专员可进一步调查及命令，或采取他或她认为适当的补救及／或预防措施。数据用户不遵守此类命令构成刑事犯罪，可能会被处以罚款，甚至两年以下监禁。此外，《私隐条例》本身载有违反其条文的罚则，例如第26章（删除个人资料）或第64章（直销规例）。隐私专员有权自行发起刑事调查，并可自行决定让警方或其他当局介入。私隐专员亦可主动巡查资料使用者。

损害赔偿

如果资料使用者违反《私隐条例》的规定，因而对他人造成损害，则受损害的人可向资料使用者要求赔偿。在这方面，资料当事人亦可向私隐专员求助。隐私专员可自行决定向受害方提供法律援助。

实际意义

在实践中，公司很少有机会在其商业活动过程中规避个人数据的收集。因此，建议制定一项公司内部数据保护政策，反映六项数据保护原则的要求，并在公司内部实施。在聘用数据处理者时，还应确保数据保护原则的要求反映在作为数据用户的公司与数据处理者之间的相应合同中。数据处理者应承担相关义务。