遵守數據保護法規：香港 PDPO 同 Cookie Consent

香港 PDPO 與 Cookie Consent 的合規要求

香港《個人資料（私隱）條例》（PDPO，第486章）是核心數據保護法規，規管個人資料的收集、使用及保護，Cookie Consent 需視乎 Cookie 是否涉及個人資料而遵守相關原則。

PDPO 核心概念

• 個人資料定義：與在世人士有關、可識別該人士的任何資料，例如姓名、電話、地址、身份證號碼、照片等。
• 資料使用者：負責收集、持有、處理或使用個人資料的個人或機構（包括公私營機構及政府），須對授權處理者行為負責。
• 適用範圍：適用於所有在香港收集、儲存或使用個人資料的實體，包括中小企。

六項保障資料原則（DPP）

PDPO 附表1訂明資料使用者必須遵守以下原則，Cookie 相關活動需據此評估：

1. 資料收集原則：收集須合法、公平，直接相關目的；告知資料當事人目的、類別、是否強制提供及不提供後果；資料須必要、不多餘。
2. 資料準確及保留原則：確保準確，保留期不超目的所需。
3. 使用資料原則：限於原收集目的或直接相關用途。
4. 資料保安原則：採取安全措施保護資料免受未經授權存取、處理等。
5. 公開政策原則：公開個人資料政策。
6. 查閱及改正原則：資料當事人有權查閱、改正資料，資料使用者須備記錄簿。

Cookie Consent 在 PDPO 下的合規

• Cookie 涉及個人資料時：如追蹤用戶行為、IP 地址結合識別資訊的 Cookie，屬個人資料收集，須遵守DPP1（收集原則）：以合法公平方式收集，並明確告知用戶目的（如分析、廣告），取得同意或基於必要目的。
  • 建議做法：網站彈出 Cookie 同意橫幅，說明 Cookie 類型（必要/分析/行銷）、目的，讓用戶選擇同意/拒絕，並記錄同意。
• 非個人資料 Cookie：如純功能性、不識別個人的，不直接受 PDPO 規管，但仍建議透明告知以符公平原則。
• 違規風險：違反 DPP 可遭私隱專員調查、執法令或罰款；「起底」相關有刑事責任。
• 與 GDPR 比較（若適用歐盟用戶）：PDPO 類似但無直接規管處理者，GDPR 強調明確同意及數據最小化。

合規建議

• 進行資料保護影響評估（DPIA），審核 Cookie 工具（如 Google Analytics）。
• 更新私隱政策，列明 Cookie 使用，並提供查閱/撤回同意機制。
• 參考私隱專員公署（PCPD）指南及表格（如 OPS003 查閱要求）。

若網站針對歐盟用戶，需額外考慮 GDPR 跨境適用。 建議諮詢法律專業人士以確保最新合規。