網上業務如何遵守《個人資料私隱條例》(PDPO)?

企業通常會建立自己的網站以擴大影響範圍。一旦您擁有在線業務,您很可能會收集和使用客戶個人資料 例如客戶的電郵地址、姓名、購買記錄、搜索查詢等。這意味著數據隱私法將適用於您的業務,您需要了解保護客戶個人數據以確保合規性的義務。任何不遵守數據私隱法規的行為都可能:

  • 導致巨額罰款和處罰
  • 損害我們企業的聲譽和品牌價值。
  • 對您的業務造成損害,因為消費者意識到他們個人數據的價值,而未能保護好將使客戶失去對您業務的信任
  • 在數據洩露的情況下導致客戶的投訴

香港規管個人資料及私隱的法律為 《個人資料(私隱)條例》(第 19 章)(486) (“PDPO”)。它適用於私營和公共部門。本文為在線企業主遵守 PDPO 的要求提供指導。

A.數據保護和隱私

1.你需要知道的關鍵術語

在我們繼續之前,了解 PDPO 中使用的基本術語很重要:

a.個人資料 是指任何資訊

  • 直接或間接與一名在世的個人有關的;
  • 從該資訊直接或間接地確定有關的個人的身份是切實可行的;及
  • 該資訊的存在形式令予以查閱及處理均是切實可行的

在線業務中收集並受 PDPO 約束的客戶個人數據的一些常見示例是客戶的姓名、電子郵件地址、性別、年齡等。

b.資料當事人是指作為資料主體的個人

c.資料使用者 是指單獨或共同控制資料的收集、持有、處理或使用的人。

2. 六項數據保護原則

PDPO規定了六項數據保護原則,以資料收集、保留、持有、保護、訪問和更正個人資料方式。

六項保障資料原則如下:

a. 保障資料第1原則 DPP1 – 收集目的和方式:根據DDP1 ,作為資料用戶,您應該收集實現該目的所需的信息。所收集的資訊必須足夠而但不超乎適度。此外,資料的收集應該是合法和公平的方式進行。

作為資料用戶,您需要通知您的客戶:

  • 提供資料個人屬有責任還是自願;
  • 該資料將會用於甚麼目的;
  • 該資料將可能轉移予甚麼類別的人;及
  • 請求訪問和更正其資訊的權利和流程。

在經營在線業務時,客戶數據通常是通過網站表格或電郵地址收集的。在這種情況下,您需要向您的客戶提供上述信息。這可以通過提供:

  1. 網站上的個人信息收集聲明
  2. Cookie 政策,告知 cookie 中存儲了哪些類型的信息以及網站是否部署了第三方 cookie

重要的是要標記客戶在在線表格中提供的強制性和可選信息

b.. 保障資料第2原則 DPP2– 準確性及保留時間:這要求資料用 戶採取一切措施確保個人數據的準確性,並且保留時間不會超過滿足數據使用目的所需的時間。它規定了在不再需要時刪除個人數據的義務(除非獲得豁免)。任何不遵守此規定的行為均屬違法,可處以最高 10,000 港元的罰款。

c.. 保障資料第3原則DPP3 – 資料的使用: 根據 DPP3,禁止將客戶個人數據用於最初收集目的以外,除非資料用戶事先徵得客戶同意。

在經營互聯網業務和收集客戶資料時,您需要:

  • 在收集時通知客戶個人數據將顯示在網站或其他渠道。在沒有向客戶發出此類通知的情況下,您需要先獲得客戶的同意,然後才能在網站或其他地方顯示個人數據。
  • 在顯示個人數據時將其匿名化,以便無法確定客戶的身份。個人數據應僅在實現目的所需的範圍內顯示。
  • 通過聲明不得將此類數據用於任何其他目的來限製網站或其他地方顯示的個人數據的使用目的。

d. 保障資料第4原則DPP 4 – 資料的保安 :根據 DPP4,資料使用者必須採取所有合理地切實可行的步驟來保護個人數據免受任何未經授權或意外的訪問、刪除、丟失或使用。如果數據處理者參與處理個人數據,那麼作為數據用戶,您必須與數據處理者簽訂協議/合同以防止數據洩露。

對於互聯網業務,您需要實施安全措施來保護客戶個人資料並防止資料洩露。根據隱私專員發布的指導說明,您可以:

  • 機構需要採用由上而下的方式已全面保障個人資料
  • 不定期對您收集和儲存的各類客戶個人資料進行風險評估
  • 實施必要的政策和程序,以概述對數據保密的措施,並確定有權訪問此類個人數據的人員的責任。
  • 制定處理個人資料的政策,並為員工提供培訓以確保合規
  • 實施安全措施以防止第三方訪問數據,例如在傳輸時對個人數據進行加密,設置密碼的複雜性要求以防止它們被洩露等。
  • 制定數據洩露響應計劃,以減輕受影響客戶的損失和損害

e. 保障資料第5原則DPP 5 – 措施的透明度 :DPP5 規定您的企業的個人數據實踐和政策必須易於獲得,並且必須概述所持有的個人數據的類型和目的對於互聯網業務,您需要讓客戶可以訪問或輕鬆下載您的私隱政策。有關如何為您的網站制定私隱政策的詳細信息,請參閱下文 B 部分。

f.保障資料第6原則DPP 6 – 查閱和訪問資料 :DPP 6 規定您的客戶有權要求訪問和更正他們的個人資料。

對於在線業務,您可以概述客戶向您提出數據訪問/更正請求的方式和流程。PDPO 規定此類請求必須在 40 天內處理。如果您為遵守此類要求而收費,那麼您必須說明您的收費,這不應過高。此外,客戶提出的更正要求不收取任何費用。

就此,個人資料私隱專員公署 發出以下指引:

B. 確 保您的在線商業網站遵守 PDPO 的重要政策

1.私隱政策

  • 什麼是隱私政策?

隱私政策本質上是您企業網站上的一個頁面,用於說明您將如何處理客戶的個人信息

  • 隱私政策中應包含哪些內容?

私隱政策應包括以下信息:

(i) 企業保護客戶隱私的總體承諾

(ii) 收集的個人資料的類型及其用途。

(iii) 如果未成年人對您的網站內容感興趣,則處理未成年人個人數據的過程。未經父母/監護人事先同意,建議不要收集未成年人的任何個人數據,尤其是 13 歲以下的未成年人。

(iv) 在不通知客戶的情況下使用 cookie 收集信息。

(v) 為確保個人資料的準確性而採取的措施

(vi) 信息將保留多長時間以及客戶是否可以選擇刪除您持有的此信息

(vii) 誰有權訪問個人資料?如果您向任何其他方披露個人信息,則必須在隱私政策中明確說明。此外,概述為限制訪問此類信息而採取的措施。

(viii) 該信息是否將用於直接營銷

(ix) 說明為確保個人數據的安全性和機密性而採取的措施

(x) 處理客戶要求查閱及更正資料的程序及收費(如有)。

(xi) 公司數據保護官的聯繫方式,以回答與隱私政策和做法有關的任何疑問。

通過遵循我們的隱私政策模板 並根據您的需要進行定制,您可以輕鬆地在您的網站上加入隱私政策 頁面。

  • 在哪裡顯示您的隱私政策?

隱私政策應該可以在您的網站上輕鬆訪問。建議將政策鏈接放在顯眼的位置,例如您的網站頁腳。它通常與使用條款和 Cookie 政策放在一起。此外,以用於收集用戶個人信息的任何在線形式提供隱私政策的鏈接。例如,您可以在網站的註冊表單中添加一個單獨的複選框(未選中),其中包含指向隱私政策的鏈接。

2. Cookie 政策

什麼是 Cookie 政策?

在網站上使用 cookie 經常會引起隱私問題,因為它們會跟踪客戶的在線行為,這可能涉及收集用戶的個人數據。因此,如果您在網站上使用 cookie,則您必須確保遵守上文列出的六項數據保護原則。此外,在使用Cookie 時,建議:

  1. 收集 cookie 時通知最終用戶和個人。
  2. 說明 cookie 中存儲的個人數據類型及其目的
  3. 說明用戶和個人是否必須接受使用 cookie 來訪問網站
  4. Cookie 政策中應包含哪些內容?

建議制定 cookie 政策,以告知客戶網站上活動的 cookie。在 cookie 政策中,您可以包括:

 a. 什麼是裝置?

 b. cookie 是如何使用的?

 c.使用什麼類型的 cookie?

 d.您如何管理 cookie?

在這方面,個人資料私隱專員公署 發布了網上行為追踪 指南,並概述了網站所有者在使用 cookie 時的以下最佳做法:

  1. 為 cookie 預設一個合理的到期日期;
  2. 在適當的時候加密 cookie 的內容;和
  3. 不要部署任何忽略 cookie 上的瀏覽器設置的技術(例如 閃存Flash/殭屍zombie),除非您的客戶已被提供禁用或拒絕此類 cookie 的選項

通過遵循我們的隱私政策 範本 並根據您的需要進行定制,您可以輕鬆 地在您的網站上加入私隱政策 頁面。

  • 在網站上的何處顯示 cookie 政策?

該政策可以是隱私政策的一部分,也可以作為單獨的政策發佈在網站的顯著位置

3. 個人信息收集聲明

  • 什麼是個人信息收集 (PIC) 聲明?

如果您在線收集客戶的個人數據,則您需要在收集個人數據時或之前提供 PIC 聲明。

  • PIC 聲明中應包含哪些內容?

PIC 聲明將:

(i) 說明信息的使用目的;

(ii) 個人是否必須或自願提供其個人資料

(iii) 將向其披露此類個人數據的組織類型

(iv) 有關使用和/或提供個人數據用於直接營銷的信息(如適用),

(v) 告知用戶有權要求訪問和更正其個人數據

(vi) 處理此類數據訪問或更正個人數據請求的數據保護官的聯繫方式

C. 直接營銷和 PDPO

通過網站獲取的客戶個人資料可嚴格按照《個人隱私保護條例》用於直接營銷。對此, 個人資料私隱專員公署 已發出《直銷新指引》 ,為資料使用者提供實用指引,以確保其遵守直銷規例。

1. 在將客戶的個人數據用於直接營銷之前,您需要採取哪些步驟?

根據 PDPO,您必須通知您的客戶:

  • 您打算將他們的個人數據用於直接營銷;
  • 未經客戶同意,不會使用個人資料
  • 個人數據的預期用途,包括將使用的個人數據類型以及將使用該數據的營銷主體類別
  • 用戶可以通過它傳達對縮進使用的同意的響應渠道

以客戶易於理解的方式提供上述信息非常重要,這樣他們才能做出明智的選擇。

2. 直銷是否需要同意?

是的,只有在獲得將個人資料用於預期目的的同意後,您才能將客戶的個人資料用於直接營銷。客戶必須表明不反對將個人數據用於直接營銷目的。如果此類同意是口頭的,則您需要在收到他們的同意後 14 天內收到書面確認

  1. 選擇退出的權利

如果您是第一次在直接營銷中使用客戶數據,那麼您必須通知客戶他們的選擇退出權。例如,如果通過電子郵件進行營銷,營銷材料應提供數據用戶電子郵件地址的鏈接,以便客戶行使選擇退出權。

如果任何客戶選擇退出,那麼您必須停止使用他們的數據進行直接營銷,而無需向客戶收費。此外,在進行任何直接營銷方法之前,您必須準備一份已選擇退出的客戶列表並檢查最新的選擇退出列表。不遵守這些要求是違法行為,一經定罪,違法者將被處以罰款。

要了解有關直銷的更多信息,請閱讀我們的文章 什麼是直銷?我可以將客戶的個人數據用於直接營銷目的嗎?

4.個人資料可以轉移給第三方進行直接營銷嗎?

根據 PDPO,在將用戶的個人數據傳輸給第三方用於直接營銷之前,您必須以書面形式通知用戶。書面通知必須包括以下信息:

  • 它打算轉移個人數據
  • 未經用戶書面同意,不會轉移個人數據
  • 數據是否為獲取收益而傳輸
  • 提供的個人資料種類
  • 將向其提供數據的人員類別
  • 將使用數據的營銷主體的類別;和
  • 用戶可以通過它傳達對縮進使用的同意的響應渠道

必須以清晰易懂的方式提供信息。它可以包含在 PIC 聲明中。

未經客戶同意,將個人數據傳輸用於直接營銷,您不得將此類數據傳輸給第三方。即使在提供此類同意後,客戶仍可隨時要求您:

a.停止向第三方提供他們的個人資料以用於直接營銷;和

b.通知第三方停止在直接營銷中使用他們的數據。

收到這些說明後,您必須確保合規性且不向客戶收費。

要了解有關直銷的更多信息,請閱讀我們的文章 我可以將客戶的個人數據傳輸給第三方以用於直銷嗎?

5. 個人資料可否用於向客戶發送未經請求的電子郵件?

直接促銷: 根據私隱專員發布的 《直接促銷新指引》 ,“直接促銷” 

包括未經請求而發送至電子郵件地址、電話或傳真機的商業電子信息,而沒有以特定人員的姓名和個人地址發送給特定的人——對隨機生成的電話號碼進行的個人通話。因此,發送給身份不明的所有者的任何營銷電子郵件都不是直接營銷。

因此,企業可以發送未經請求的電子郵件而無需通過姓名識別收件人。該等訊息必須符合《非應 邀電子訊息條例》(第 19 章)的規定。第593章)

要了解有關發送未經請求的電子消息的更多信息,請閱讀我們的文章營 銷或未經請求的垃圾郵件?電子郵件廣告管理指南

D. 什麼是 GDPR,它是否適用於您的業務?

歐盟通用數據保護條例 (“GDPR”)  是一項由歐盟起草並通過的複雜而嚴格的隱私法。總的來說,歐盟法律授予了更多的權利,可以獲取有關記錄有關他們的數據的詳細信息、這樣做的目的以及他們的個人數據發送到哪裡的詳細、最新信息。

作為一家企業,如果您正在收集或處理有關居住在歐盟的人員的數據,則您有責任遵守 GDPR。如果 GDPR法規適用於您的業務,則您的隱私政策和 cookie 政策必須更新以確保符合 GDPR。不遵守 GDPR 可能會被處以最高 2000 萬歐元或貴公司年收入 4% 的罰款,以較高者為準

香港私隱專員公署發布了一本名為“2016年歐盟通用數據保護條例更新”的綜合小冊子,以了解 GDPR 及其與香港組織和企業的相關性。

請注意,這是對香港特別行政區法律規定的立場的一般摘要,並不構成法律建議。