香港2025年数据隐私与网络安全监管：筑牢数字时代隐私防线

2025年，香港特别行政区在个人数据保护与网络安全领域迈出了坚实的步伐。从立法完善到执法强化，从公众教育到跨境协作，特区政府的相关机构展现出系统化、专业化、国际化的治理思路。以下基于全年重要动态，综合性评述。

一、立法与制度框架趋于完善

《关键基础设施（计算机系统）保护法案》的通过标志着香港在网络安全管理方面进入新阶段。该法案精准聚焦关键基础设施的计算机系统安全，明确运营商的保护义务，涵盖威胁预防、事件报告、响应机制等全链条管理，并设立计算机系统安全专员统筹协调，同时按行业划分的特定部门监管机构负责各自行业领域的专业监管，形成了"立法保障-机构监管-责任追究"的闭环机制。“行业主管+专项立法”的模式，有助于在复杂的技术环境中实现精准监管，提升社会基础服务的韧性与安全性。

在个人数据保护方面，《个人数据（隐私）条例》（PDPO）的适用进一步通过各类指南、检查清单和案例对PDPO进行精细化与全覆盖。值得肯定的是，相关指引已经在及时覆盖人工智能、云计算、深度伪造等新兴技术带来的隐私挑战。

云监管方面，2025年1月9日，个人数据隐私专员办公室（PCPD）发布了一份关于云计算的更新指导，以协助组织加强个人数据隐私保护。更新指导中明确了云服务提供商（CSP）与数据控制者“共同承担”PDPO义务，必须在合同中植入“数据删除权、审计权、分包商尽调”条款，并支持多因素认证+加密。CSP的“标准合同”面临强制升级，AWS、Azure、阿里云已先后在香港区域推出“PDPO Ready”合规套餐，预示“合规即服务（CaaS）”新赛道开启。

二、执法与合规成果显著

严格执法是数据保护法规落地的重要保障。2025年，香港在数据隐私执法领域成果显著：人肉搜索案件通过主动巡逻和投诉处理实现大幅下降，92%的案件降幅与14起定罪案例彰显了打击网络暴力、保护个人隐私的坚定决心；针对加密货币项目、数据泄露等重点领域的88起刑事调查和21起逮捕，形成了对数据违法犯罪的有力震慑。

执法案例明确了数据收集与使用的“目的限定”原则，为业界提供了清晰的红线，具有示范意义。特别是，香港医疗服务机构EC Healthcare（EC）医疗保健案例中，EC因跨品牌共享客户数据被PCPD行政上诉委员会（AAB）维持执法决定，认定EC医疗因与旗下其他品牌共享其品牌Primecare和纽约医疗集团（NYMG）客户的个人数据，违反了《个人数据（隐私）条例》第3条数据保护原则，实质否定了集团内部“数据一键合并”的商业惯例，显著压缩企业的解释空间。

在企业合规操作上，对60个组织的合规检查显示，大多数机构已开始部署人工智能治理架构、数据保护措施与应急预案。虽然整体合规情况良好，但专门针对AI事件的响应计划仍属少数，显示企业在应对新型数据风险方面仍有提升空间。

三、技术同步与公众教育并重

面对生成式AI、深度伪造等技术带来的新型风险，PCPD采取了积极的教育与引导策略：

●未成年人保障：如《人工智能深度伪造滥用：学校与家长工具包》，聚焦未成年人保护，从识别、应对到预防，提供实用指引，体现了监管机构对社会脆弱群体的关注。

●员工教育保障：PCPD发布的《员工使用生成式人工智能检查清单》，从使用范围、隐私保护、伦理合规、数据安全、违规后果五个关键维度提供指引，既允许组织和员工享受技术红利，又通过明确数据输入边界、禁止未经同意复用客户数据等要求，确保AI应用不触碰隐私红线。

四、区域协作与跨境数据流动机制初现

与澳门个人数据保护局签署谅解备忘录，是推动粤港澳大湾区内数据安全有序流动的重要一步。双方计划在执法互助、经验共享、教育培训等方面深化合作，这既有利于区域数字经济发展，也为跨境数据监管提供了可借鉴的协作模式。

香港与澳门、澳大利亚、加拿大、日本、韩国、新西兰、新加坡等七地隐私机构同步背书《匿名化入门指南》，提出的"了解数据-移除直接标识符-应用匿名化技术-评估重新识别风险-管理残余风险"五步流程，为企业提供了可操作的技术路径，也反映出香港在跨境数据治理合作中的积极参与。

五、未来挑战与建议

在数字转型加速推进的时代背景下，数据作为核心生产要素的价值将持续释放，隐私保护与数据利用的平衡也将面临更多新课题。香港的实践表明，只有将隐私保护理念深度融入制度设计、技术应用和社会治理全过程，才能实现数字安全与数字经济的协同发展，为构建更安全、更可信的数字社会提供坚实保障。

尽管成效显著，香港在数据与网络治理中仍面临若干挑战：

1.技术迭代迅速：AI、物联网、量子计算等不断发展，监管需持续更新指引并加强跨领域专家协作。

2.中小企业合规负担：相比大型机构，中小企业在资源有限的情况下落实各项安全与隐私要求可能存在困难，需考虑提供更具针对性的支持工具或简化合规路径。

3.跨境协调机制待深化：随着大湾区融合发展，数据跨境流动将更加频繁，需进一步明确标准、建立高效互认与争端解决机制。

结语

2025年，香港地区在个人信息保护与网络安全领域展现出了制度活力与执行效能。通过“立法完善+执法强化+教育普及+区域协作”的综合治理，不仅提升了本地区的数据安全水平，也为数字时代的隐私保护贡献了“香港经验”。展望未来，持续关注技术演进、优化监管工具、深化跨境合作，将是香港地区在这一领域保持领先的关键。

※部分内容AI生成

作者简介

辛小天

德和衡（深圳）律师所合伙人

数字经济和人工智能业务中心总监

辛小天律师为深圳市司法局 深圳市律师协会 深圳市涉外律师领军人才，广东省律师协会数字经济法律专业委员会副主任，东莞仲裁委员会仲裁员，深耕数据和网络安全法律服务领域，获得律新社2024数据合规领域品牌之星“实力律师”、2024GRCD“网络安全与数据保护”中国客户首选合规律师、钱伯斯“数据保护和隐私”推荐律师、中国通信学会第一届网络空间安全战略与法律委员会委员、中南财经政法大学数字经济研究院、金融科技研究院高级研究员等多项荣誉和资质。辛小天律师目前带领的专业律师团队为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商领头企业提供全套数据合规法律服务。

擅长领域：数据合规、TMT合规、融资并购、公司常规维护及公司内控。

手机：13911159437

邮箱：xinxiaotian@deheheng.com

史 蕾

高级联席合伙人

史蕾，数字经济与人工智能业务中心秘书长。曾就职于环球资源（NASQ：GSOL）和奇虎360公司法务部，拥有十多年的公司内部法务工作经验。擅长股权激励、公司治理及互联网产品合规风控；专注互联网游戏、直播、互联网教育与出版、大数据和网络安全等行业领域；新三板挂牌及公司治理。

手机：15810040811

邮箱：shilei@deheheng.com

质控人简介

崔春花

合伙人

数字经济与人工智能业务中心副总监

cuichunhua@deheheng.com

声明：本文来自德和衡律师，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。