【數據淘金 系列五（完）】築起保障法網 開路數字產業爭霸

構建兼具國際視野和本土特色治理體系 助業界數據淘金

在「數據即黃金」的時代，企業正以前所未有的速度挖掘數據價值，從精準行銷到風險模型，應用場景遍地開花。然而，這場數據淘金熱的狂歡背後，卻潛藏着嚴峻的隱患：個人隱私資料、商業機密、金融交易數據等，正面臨被盜取與濫用的風險，相關法律正是守護數據安全的最後一道防線，構建起保障數據秩序的天羅地網。然而，現實中仍存在諸多法律困局：法規追不上技術迭代、企業合規意識不足、跨境數據流動的管轄爭議，以及執法與監管的落差。當創新的腳步不斷衝撞法律紅線，企業如何在不越界的前提下全速前進，將是決勝未來數據戰場的關鍵。

●香港文匯報記者 蔡競文

在數據驅動經濟的時代，企業手握海量數據，猶如擁有一座待開發的金礦。然而，如何合法、合規且安全地「淘金」，成為業界成敗的關鍵。香港的《個人資料（私隱）條例》（PDPO）及其相關指引，不僅是監管框架，為數據行業提供了清晰的「遊戲規則」，引領業界在合法合規的基礎上挖掘數據價值，構建兼具國際視野與本土特色的數據治理體系，為跨境資本與數字產業提供可預期的制度保障。

香港個人資料私隱專員公署（PCPD）近期持續完善監管指引，推動數據治理從被動合規向主動價值創造轉型。孖士打律師行合夥人梁樂鋒在接受香港文匯報訪問時表示，PDPO附表裏的「保障資料原則」不僅劃定數據處理的監管邊界，更通過明確的技術標準為數據資產化鋪平道路。根據PDPO附表裏的「保障資料原則」中的第4原則，資料使用者須採取所有切實可行的步驟，確保其持有的個人資料受到保障，以免資料在未獲准許或意外的情況下被查閱、處理、刪除、喪失或使用。資料使用者須考慮：資料的種類及上述情況可造成的損害；儲存資料的地點；儲存設備的保安措施；確保資料查閱人具有良好操守、審慎態度及辦事能力而採取的措施；及確保資料在保安良好的情況下傳送而採取的措施。

資料保安指引涵蓋七個範疇

在數據安全領域，PCPD頒布的《資訊及通訊科技的資料保安措施指引》確立七個範疇：1.資料管治及機構性措施；2.風險評估；3.技術上及操作上的保安措施；4.資料處理者的管理；5.資料保安事故發生時的補救措施；6.監察、評估及改善；7.其他考慮，如雲端服務、自攜裝置（BYOD）及便攜式儲存裝置。「資料管治及機構性措施」被提升至戰略高度。如上所述，「切實可行」的保安措施會因應不同機構而有所不同。

倡雙重加密技術混合使用

在技術實施層面，加密技術與「雜湊」(hashing)算法的應用已成為基礎配置。梁樂鋒提出，值得注意的是真正的合規突破體現在匿名化技術的進階應用。根據PCPD最新釋義，企業宜將傳輸中和存儲中的個人資料進行加密，並妥善保管加密密鑰。企業亦可為員工安排培訓，確保他們熟習加密軟件的用法。如企業日後無需將資料的原始值或實際值還原，可考慮採用「雜湊」技術 ，以不可逆轉的數值來取代相關資料。

至於匿名化措施是否有效，在於能否令資料無法合理地與某位已識別或可識別的自然人聯繫起來。同時PCPD提出了三項準則，以評估匿名化措施是否穩健，包括：資料是否能令某人從群體中被挑出；與同一人有關的兩項資料能否聯繫在一起；以及可否從資料很大確定性地推斷出某人的未知資訊。

梁樂鋒進一步指出，儘管PDPO第33條跨境傳輸限制尚未生效，但隨着大灣區內的經濟活動漸趨頻繁，監管實踐已顯現靈活姿態。備受市場關注的《粵港澳大灣區個人資訊跨境流動標準合同》實現重要制度突破，為大灣區內地9市與香港的數據流通建立高效通道。PDPO第33條更列明，除非屬於指定的例外情況，否則資料使用者不得將個人資料轉移至香港以外的地方。然而，第33條實施，企業如要將個人資料轉移至香港境外，可先「採取所有合理的預防措施」及「作出所有應作出的努力」，以確保資料不會在接收地，以違反PDPO的方式被收集、持有、處理或使用。方法之一，是利用PCPD所擬備的「建議合約條文範本」，與資料接收者簽訂協議。

與此同時，網絡安全保險市場迎來爆發式增長。梁樂鋒認為，近年不少保險公司均推出了各種針對網絡安全威脅的保險產品，保障範圍亦漸漸擴大，包括駭客或病毒入侵、資訊保安系統故障、資料外洩或被盜、員工故意誤用資料等。企業宜根據業務需要和性質、自身資源、現行政策及措施、所使用的個人資料的種類和數量，以至安全事故可導致的損害和風險，選擇合適的保險計劃。

新條例下 資料外洩須限時通報

目前，PDPO並無強制性規定要求企業就資料外洩作出通報。梁樂鋒稱，需注意的是，《保護關鍵基礎設施（電腦系統）條例》將於2026年1月1日生效，如企業屬於條例下的「關鍵基礎設施營運者」，則須在得悉嚴重電腦系統安全事故後的12小時內，向關鍵基礎設施（電腦系統安全）專員作出通報，而其他事故的通報時限則為48小時。

在數字經濟新階段，香港正通過動態調整的監管框架，平衡數據流動與個人權益保護。香港大學法律學院數字經濟研究中心預測，隨着人工智能法案等新規醞釀，數據合規將演化為包含算法審計、倫理評估在內的全鏈條治理體系。業內共識正在形成：在完善的制度保障下，合規數據流將成為驅動創新的核心要素，香港有望藉此鞏固其作為亞太區數字經濟樞紐的戰略地位。這片法律框架規範下的數據藍海，正待有準備的航者揚帆啟程。