目錄

GDPR 是什麼?一文看清私隱條例分別與跨國數據管理策略

最後更新
持續時間
GDPR 指南: 私隱條例與 跨國數據管理

許多香港企業認為,GDPR 只是遠在歐洲的法規,與本地業務無關。這個認知在跨境電商和數碼營銷普及的今天,已經構成真實的合規風險。GDPR(General Data Protection Regulation,歐盟通用數據保護條例)是歐盟於 2018 年 5 月生效的個人資料保護法規,規管企業如何收集、儲存及使用歐盟公民的個人資料。即使企業總部設於歐盟以外(包括香港),只要其業務涉及處理歐盟居民的個人資料,同樣須遵守 GDPR 的規定。本文整理香港企業最常見的合規疑問,包括 GDPR 與本地《個人資料(私隱)條例》的實質分別、核心合規要求,以及客戶訊息數據的處理原則。

GDPR 是什麼?

GDPR 是目前全球影響範圍最廣的個人資料保護法規之一,其管轄邏輯並非以企業所在地為基礎,而是以數據主體(即個人)的居住地為判斷標準。這一點是許多非歐盟企業低估自身合規義務的根源。

GDPR 的六項核心原則

GDPR 建立在六項核心原則之上,每一項均直接影響企業的日常數據處理行為。

第一項是合法性與透明度:企業收集個人資料須有明確的法律基礎,且必須以清晰、易理解的方式向用戶說明收集目的,不得以模糊條款掩蓋真實用途。

第二項是目的限制:資料只能用於收集時聲明的特定目的,不得在未通知用戶的情況下轉作他用,例如將客戶服務資料用於廣告定向投放。

第三項是數據最小化:企業只應收集業務所必需的最少量資料,過度收集本身即屬違規,即使這些資料從未被濫用。

第四項是準確性:企業有責任確保所持有的個人資料是最新且準確的,並在資料不再準確時予以更正或刪除。

第五項是儲存限制:個人資料不應被無限期保存,企業須設定清晰的數據保留期限,並在保留期結束後刪除或匿名化相關資料。

第六項是完整性與保密性:企業必須採取適當的技術和組織措施,防止個人資料遭到未授權存取、意外洩露或蓄意破壞。

這六項原則並非互相獨立,而是構成一個整體性的數據治理框架,企業在設計任何涉及個人資料的業務流程時,均須同時考量所有原則。完整的六項原則條文見於 GDPR 第 5 條

GDPR 保護的「個人資料」包括哪些?

GDPR 對「個人資料」的定義,遠比大多數香港企業所預期的廣泛。任何能夠直接或間接識別一個活著的自然人的資訊,均屬 GDPR 所指的個人資料(見 GDPR 第 4 條定義)。這包括:姓名、電郵地址、電話號碼、IP 地址、Cookie 識別碼,以及 WhatsApp 聯絡方式等直接識別符,也涵蓋與特定個人相關聯的購買記錄、瀏覽行為和位置數據等間接識別資訊。

對於使用客戶訊息平台的企業而言,GDPR 的覆蓋範圍尤為值得關注。客戶的對話內容、聯絡人資料、訊息傳送的元數據(包括時間戳記和已讀狀態),以及透過訊息互動所建立的行為檔案,均屬個人資料。這意味着企業與客戶之間的每一次 WhatsApp 對話,在涉及歐盟居民時,均處於 GDPR 的規管範圍之內。

GDPR 適用於香港企業嗎?

適用,前提是業務觸及歐盟居民的個人資料。GDPR 第 3 條明確規定,其管轄邏輯基於兩項標準:其一是「提供服務」,即企業有意識地向歐盟居民提供商品或服務;其二是「行為監測」,即企業追蹤歐盟居民在歐盟境內的行為。符合其中任何一項,GDPR 即適用,無論企業總部位於何處。歐盟數據保護委員會(EDPB)就第 3 條發佈的指引進一步確認,這項域外管轄原則同樣適用於亞洲企業。

三個判斷業務是否受 GDPR 規管的問題

評估自身是否受 GDPR 約束,可從以下三個問題入手。

第一:您是否擁有位於歐盟成員國的客戶、用戶或訂閱者? 這包括透過電商平台、訂閱服務、會員計劃或任何數碼渠道與歐盟居民建立了商業關係的情形。只要存在這樣的關係,相關的資料處理行為便受 GDPR 規管。

第二:您是否有收集歐盟居民的個人資料? 涵蓋範圍包括電郵地址、電話號碼,乃至網站 Cookie 所追蹤的瀏覽行為。許多企業在無意中已透過網站分析工具或訊息平台收集了歐盟居民的資料,卻未意識到 GDPR 義務已然生效。

第三:您使用的第三方軟件供應商,是否代您處理歐盟客戶資料? 當企業委託訊息平台、電郵營銷工具或客戶管理系統處理資料時,這些供應商即成為 GDPR 意義下的「數據處理者」。企業作為「數據控制者」,對供應商的數據處理行為負有法律責任,若供應商的合規架構存在缺口,這個風險最終由企業承擔。

若上述任何一個問題的答案為「是」,GDPR 便適用於您的組織。

香港《個人資料(私隱)條例》vs GDPR:有什麼分別?

香港《個人資料(私隱)條例》(PDPO)與 GDPR 並非互相替代的法規,在許多情況下,兩者同時適用於香港企業。下表列出兩者的核心差異:

比較維度

香港《個人資料(私隱)條例》(PDPO)

GDPR

適用範圍

在香港境內收集或處理個人資料

處理歐盟居民個人資料(不論機構所在地)

法律基礎要求

資料收集目的須合法及直接相關

須符合六項合法基礎之一(如同意、合約、合法利益)(第 6 條)

數據主體權利

查閱權、更正權

更廣泛:包括被遺忘權(第 17 條)、數據可攜權、反對處理權

數據洩露通報

無強制通報規定(自願性質)

須於 72 小時內向監管機構通報(第 33 條)

最高罰款

HK$50,000 及監禁

最高 €2,000 萬或全球年營業額 4%(第 83 條)

數據保護官(DPO)

無強制要求

特定情況下須委任 DPO(第 37 條)

兩者最顯著的差距在於罰款幅度和數據主體權利的廣度。PDPO 的最高罰款為 HK$50,000,而 GDPR 的最高罰款則達 €2,000 萬,或企業全球年營業額的 4%,以較高者為準。對大型跨國企業而言,這一差距代表着截然不同的財務風險量級。

企業需要遵守 GDPR 的哪些核心要求?

GDPR 的合規要求不是一次性的法律審查,而是需要嵌入日常業務流程的持續性工作。以下四個步驟,是香港企業建立合規架構的基本起點。

第一步:釐清您收集了哪些個人資料及收集目的

合規的第一步是全面了解自身的數據狀況。企業需要繪製一份數據地圖,記錄每一個收集個人資料的接觸點,包括網站表單、WhatsApp 加入名單的流程、結賬頁面,以及從外部系統匯入的聯絡人資料庫。對於每一項資料,需要明確回答四個問題:收集了什麼資料、為何需要這些資料、資料儲存在何處,以及誰有權存取。這份審計記錄本身也是 GDPR 合規的組成部分,GDPR 第 30 條要求企業保存處理活動的記錄,監管機構在調查時可能要求企業提供。

第二步:確保每項數據處理活動均有合法基礎

GDPR 第 6 條列明了六項合法處理個人資料的基礎,包括明確同意、合約履行、法律義務、重大利益保護、公共利益任務,以及數據控制者或第三方的合法利益。對於訊息營銷而言,最常適用的法律基礎是明確同意。根據 GDPR 第 7 條,有效的同意必須是自願給予、針對特定目的、在充分知情的情況下,以明確無誤的行動所表示的。預先勾選的同意方塊、與其他條款捆綁的授權聲明,以及沒有清晰說明用途的概括性同意,均不符合 GDPR 的要求。如需深入了解合規的 WhatsApp 訊息發送實踐,可參閱如何在 WhatsApp 大量發送訊息而不被封號

第三步:更新私隱政策及用戶同意機制

GDPR 第 13 條及第 14 條要求私隱政策以清晰易懂的語言說明多個核心事項:收集了哪些個人資料、處理這些資料的法律基礎、資料的保留期限、是否與第三方(包括訊息平台供應商)共享資料,以及用戶如何行使其數據主體權利。Cookie 同意機制同樣受 GDPR 規管,在用戶未明確同意之前,任何非必要的追蹤 Cookie 均不得啟用。企業網站如向歐盟居民提供服務,須確保 Cookie 橫幅符合 GDPR 的「預設拒絕」原則,而非「預設接受」。

第四步:確保第三方供應商(包括訊息平台)符合 GDPR

當企業將客戶資料共享給訊息平台、電郵工具或客戶管理系統時,必須與這些供應商簽訂數據處理協議(Data Processing Agreement,DPA)GDPR 第 28 條明確規定,凡委託數據處理者處理個人資料,均須以書面合約或其他法律行為為之,缺乏 DPA 本身即屬違規,即使供應商的實際數據處理行為完全合規。在選擇訊息平台時,企業應核實供應商是否提供 GDPR 合規文件及 DPA,並了解供應商的數據處理基礎設施位於哪些司法管轄區。如果供應商將歐盟客戶資料傳輸至歐盟以外的地區,還需確認相應的跨境數據傳輸保障機制(例如標準合約條款)是否到位(見 GDPR 第 46 條)。

想了解更多關於客戶聯絡資料的系統化管理方式,可參閱 WhatsApp 行銷完整指南

客戶訊息數據與 GDPR:WhatsApp 商業用戶需要注意什麼?

對於使用 WhatsApp Business API 與歐盟客戶溝通的企業,GDPR 的合規義務延伸至訊息溝通的整個生命周期,從建立聯絡名單的那一刻開始,直至對話記錄的最終刪除。

聯絡名單的建立方式是第一個風險點。企業不能將從一個渠道收集的聯絡人資料,在未獲得明確授權的情況下,轉移到 WhatsApp 渠道發送訊息。GDPR 第 5 條第(1)(b)款規定的目的限制原則,要求每個溝通渠道的同意授權均須明確且獨立。

對話記錄的保存期限是第二個常被忽視的問題。許多企業預設無限期保存所有對話記錄,但在 GDPR 框架下,需要設定明確的保留政策,並在業務目的已達成後,按照既定程序刪除或匿名化資料。

組織內部的資料存取控制是第三個核心要求,GDPR 的「數據最小化」原則要求企業只向有實際業務需求的人員授予存取權限,不是所有員工都需要存取客戶的完整對話記錄。

如需了解訊息發送的整體生命周期管理,可參閱 WhatsApp 廣播訊息完整指南客戶生命周期管理實踐

SleekFlow 如何協助企業符合 GDPR 數據要求

對於需要同時兼顧業務效率與 GDPR 合規的香港企業而言,訊息平台的選擇本身就是一項合規決策。SleekFlow 的平台在設計上涵蓋多項與 GDPR 要求直接對應的功能。

用戶權限管理允許企業按角色和團隊設定對客戶對話資料的存取範圍,確保只有具備業務需求的人員才能查看特定客戶的對話記錄。

可配置的資料保留政策讓企業能夠設定與 GDPR 儲存限制原則相符的保留期限,而非依賴系統預設的無限期存儲。

跨渠道的同意與退出管理覆蓋 WhatsApp 和 SMS 等主要溝通渠道,確保客戶的同意狀態在系統層面得到記錄和執行。企業級客戶可申請 SleekFlow 的數據處理協議(DPA),為跨境客戶資料的合規處理提供書面保障。

如果您的業務正在梳理客戶訊息數據的合規架構,或評估現有訊息平台是否符合 GDPR 要求,歡迎預約 SleekFlow 示範,了解 SleekFlow 如何協助您在不犧牲業務效率的前提下,建立符合 GDPR 要求的客戶通訊管理體系。

常見問題

香港企業如果違反 GDPR,真的會被罰款嗎?

可以。雖然香港企業的業務總部設於歐盟管轄範圍以外,但 GDPR 第 3 條確立的域外管轄原則,使歐盟各成員國的數據保護機構有權對任何處理歐盟居民個人資料的企業展開調查,並施加罰款,不論該企業的總部位於何處。根據 GDPR 第 83 條,最高罰款為 €2,000 萬,或企業全球年營業額的 4%,以較高者為準。

如果我只是偶爾向歐洲客戶出售產品,也需要完全遵守 GDPR 嗎?

是的。只要企業有意識地向歐盟居民提供商品或服務,例如網站支援歐洲語言、以歐元標價、提供歐盟地區送貨選項,即被視為在 GDPR 第 3 條第(2)款規管範圍內。交易量不是豁免的依據。一旦企業收集了歐盟居民的個人資料,GDPR 的核心義務,包括合法收集基礎的確立、私隱政策的披露,以及對數據主體權利申請的回應,均須遵守。

客戶透過 WhatsApp 聯絡我,這些對話記錄屬於 GDPR 所指的個人資料嗎?

屬於。根據 GDPR 第 4 條的定義,客戶的 WhatsApp 號碼、姓名、對話內容,以及任何能識別個人身份的訊息均屬個人資料。這意味着儲存或處理這些數據的方式,包括誰可以查看、保存多長時間、是否與第三方共享,均受 GDPR 規管(如涉及歐盟居民)。使用具備完善數據管理架構的訊息平台,可協助企業系統化地管理這些合規要求。如需進一步了解 WhatsApp OTP 驗證的資料處理方式,可參閱 One-Time Password(OTP)完整指南。

GDPR 的「被遺忘權」對企業的客戶資料庫有什麼實際影響?

GDPR 第 17 條賦予歐盟居民要求企業刪除其個人資料的權利,企業通常須在 30 天內回應此類要求。對於使用客戶訊息平台的企業而言,這意味着所使用的平台必須能夠識別並刪除特定客戶的所有相關資料,包括對話記錄、聯絡人資料及行為數據。在選擇訊息或客戶管理平台時,確認其是否支援個人資料刪除功能,是 GDPR 合規評估的重要一環。

香港《個人資料(私隱)條例》和 GDPR 同時適用於我的業務,應該以哪個為準?

兩個法規並非互相排斥,同時適用時,企業須同時符合兩者的要求。在實際操作中,GDPR 的標準在大多數方面更為嚴格,因此以 GDPR 為合規基準線,通常能夠同時滿足香港 PDPO 的基本要求。例如,在 GDPR 框架下建立的數據主體權利回應機制,已涵蓋 PDPO 所要求的查閱權和更正權。建議諮詢具備兩地法規知識的法律顧問,針對具體業務模式制訂適切的合規架構。

分享文章

SleekFlow AI 推動顧客轉化,加速業務持續增長 SleekFlow AI

立即免費體驗!