Data Protection – Hong Kong

前言

在数字时代，数据已成为全球企业最宝贵的资产之一。香港已制定了严格的法规，以确保个人数据的隐私和安全。对于在香港经营的企业来说，了解并遵守这些数据保护法律不仅是一项法律义务，也是维护客户信任和企业声誉的重要组成部分。

了解香港数据保护

香港的数据保障架构主要受《个人资料（私隐）条例》（第 486 章）规管 (隐私条例)于 1996 年制定，经过多次修订，以应对数码时代不断演变的挑战。《隐私条例》对香港个人资料的收集、使用和处理作出规定。

个人资料私隐专员公署私隐专员负责监督《私隐条例》的执行情况，并就保障资料的最佳做法提供指引。私隐专员近期发出的指引包括：

除《私隐条例》及私隐专员发出的指引外，监管机构亦公布了针对其行业的资料保障措施，包括：

《私隐条例》保障资料当事人，即作为个人资料当事人的在世人士。私隐条例适用于在香港或从香港收集、使用、处理和加工个人资料的资料使用者和资料处理者。

《私隐条例》对 “个人资料”、“资料使用者 ”和 “资料处理者 ”进行了定义。

个人资料指以下任何资料 -
- 直接或间接与一名在世的个人有关的；
- 从该资料直接或间接地确定有关的个人的身分是切实可行的；及
- 该资料的存在形式令予以查阅及处理均是切实可行的。

《私隐条例》对个人资料的定义十分广泛，包括意见的表达。此外，在 Eastweek Publisher Ltd & Another v Privacy Commission of Personal Data [2002] 2 HKLRD 83，个人资料还可包括个人的照片或录像片段。

保护资料原则

《私隐条例》第 4 条规定，资料使用者不得作出或从事违反保障资料原则的作为或行为，除非该作为或行为(视属何情况而定)是《私隐条例》所规定或准许的。

《私隐条例》规定了六项保护资料原则，包含资料使用者的主要义务：

第1原则 — 收集个人资料的目的及方式

个人资料必须以合法和公平的方式收集，用于与资料使用者的职能或活动直接相关的目的。收集的资料不应过多。

第2原则 — 个人资料的准确性及保留期间

资料使用者必须确保个人资料准确、及时更新，且保存时间不得超过实现收集目的所需的时间。

第3原则 — 个人资料的使用

个人资料只能用于最初收集资料的目的或直接相关的目的，除非获得资料当事人自愿和明确的同意。

第4原则 — 个人资料的保安

资料使用者必须采取适当的安全措施，保护个人资料免遭未经授权或意外的访问、处理、删除、丢失或使用。

第5原则 — 资讯须在一般情况下可提供

资料使用者必须提供与他们所持有的个人资料类型以及如何使用和保护这些资料相关的政策和做法。

Principle 6 – Access to Personal Data

资料当事人有权查阅资料使用者持有的其个人资料，如果资料不准确，有权要求更正。

不遵守规定的后果

不遵守《私隐条例》可能导致各种民事和刑事制裁，包括罚款和监禁。下文列出了一些制裁措施：

不遵守执行通知可能会导致以下后果：
- 最高罚款 50,000 港元；
- 最长两年的监禁；及
- 持续违反者每日罚款港币 1,000 元。
未经资料当事人同意在直接营销中使用个人资料可能导致：
- 最高罰款港幣 500,000 元；及
- 最长监禁三年。
侵犯隐私罪 - 尤其是在未经资料当事人同意的情况下披露个人资料，并(a)意图对资料当事人或资料当事人的任何家庭成员造成任何特定伤害；或(b)罔顾是否会或很可能会对资料当事人或资料当事人的任何家庭成员造成任何特定伤害；以及披露对资料当事人或资料当事人的任何家庭成员造成特定伤害，可导致：
- 罚款高达港币 1,000,000 元；及
- 最高五年监禁。

企业交易中的数据保护

其他司法管辖区不同，《私隐条例》没有明文规定域外适用--因此，《私隐条例》不适用于收集香港境内资料主体的资料的香港境外资料使用者。此外，《私隐条例》并没有明文限制向第三国家转移资料。

但是，在任何并购情况下，各方都需要采取措施遵守数据保护法。在任何并购交易中，尤其是当目标公司是一家数据量巨大的企业时，各方从签署保密协议开始就需要采取适当的措施。

*** ***

若希望了解我们如何协助您了解法律及监管环境，或我们如何协助您处理并购交易中的数据问题，请联系我们。

梁延达, 合伙人

（电邮： alfredleung@hkytl.com 电话：: +852 3468 7202)

本文为介绍性文章。其内容以出版日期为准。它并不构成法律意见，也不应被视为法律依据。在采取任何与本文所涉事项相关的行动前，您应始终根据自身具体情况获取法律意见。文中某些信息可能源自外部渠道，我们对任何此类信息的准确性或时效性不作保证。

了解 YTL LLP 的更多信息