跳轉到主內容
PDPO 雲合規 資料保護 香港 雲安全 企業合規 AWS Azure GCP 阿里雲 騰訊雲

香港PDPO雲合規實戰指南:六項保障原則逐條架構映射與企業自查清單(2026)

技术顾问 - Alex
· 阅读时间:约 33 分钟
目录

PDPO 合規的瓶頸不在法條,在雲架構。六項保障原則逐條對應控制台操作:哪項配置能過 PCPD 審計、五家廠商誰的合規工具更完整、不同行業有什麼額外要求、不合規的真實代價是多少。附對比表、審計實戰指南和自查清單。

一、PDPO 合規到了雲上為什麼總是卡住?

過去兩年經手 30 多家香港本地企業的雲架構合規審查,一個規律反覆出現:法務部把 PDPO 六項原則翻譯成中文、做成 PDF、全公司傳閱,然後 IT 團隊問:「所以我在 AWS Console 裡要點什麼?」

這不是法務的問題,也不是 IT 的問題。是中間缺了一層:從「DPP4 須採取所有切實可行的步驟保障個人資料安全」到「開 KMS、開 CloudTrail、設生命週期策略」的映射

PCPD 在 2025 年 1 月更新了雲計算指引,明確了兩件事:

  1. 雲服務商(CSP)與資料使用者共同承擔 PDPO 義務,不是「上了雲合規就歸廠商管」
  2. 合約必須植入三項條款:資料刪除權、審計權、分包商盡職審查。CSP 的標準合同不會主動給你這些

PCPD 執法在升溫

看一組數字感受一下監管力度:

指標2023 年2024 年2025 年趨勢
投訴總數~3,200~3,4404,228+23%
資料外洩通報157203246+21%
合規檢查次數~350~400435+9%
黑客攻擊佔外洩比例33%新高

資料來源:PCPD 2025 年工作報告(2026 年 2 月 3 日向立法會提交)、PCPD 2024 年工作報告

2025 年 PCPD 還首次對 60 家機構完成了 AI 使用合規檢查,2026 年擴大到 16 個行業再次檢查 60 家。雖然兩輪都沒有發現 PDPO 違規,但信號很清楚:監管機構不再接受「我們有安全策略」這種口頭保證。他們要審計證據。

不合規的代價

PDPO 的處罰不是象徵性的。違反執行通知(enforcement notice)最高罰款 HK$50,000 加監禁兩年,持續違規每日加罰 HK$1,000。直接促銷違規最高罰款 HK$100 萬加監禁五年。未經同意披露個人資料(造成心理傷害)同樣最高罰款 HK$100 萬加監禁五年。

但真正的代價不是罰款,是客戶信任和商業機會。2024 年超過八成的資料外洩根因不是黑客攻擊,是系統設定錯誤:S3 桶開 public、數據庫沒加密、日誌沒開。出了事再補,比提前配置的成本高十倍。

資料來源:PCPD《雲計算指引》2025 年 1 月更新版;DLA Piper 香港資料保護指南(2026);華為雲/騰訊雲 PDPO 合規白皮書

一句話說清楚:AWS、Azure、GCP 的香港區域在基礎設施層面是合規的(ISO 27001、SOC2 都有),但客戶自己負責的內容資料安全,也就是 DPP4 的核心要求,廠商不會替你配。下文把六項原則逐條拆成雲架構配置,加上 PCPD 審計實戰和行業差異,讀完你能對著清單逐項檢查自己的雲環境。

二、DPP4 資料安全原則怎樣落到雲架構?五個控制面逐一拆解

六項原則中,DPP4 是雲架構配置量最大、PCPD 執法最密集的一條。2024 年 203 宗資料外洩通報,2025 年升至 246 宗,其中 33% 涉及黑客攻擊,其餘來自系統設定錯誤和員工疏忽。超過八成的外洩根因是系統設定錯誤:S3 桶開 public、數據庫沒加密、日誌沒開。

DPP4 原文要求:「資料使用者須採取所有切實可行的步驟,保障個人資料不會未經授權或意外地被查閱、處理、刪除、喪失或使用。」

拆成雲架構語言,是五個控制面。從外到內逐層收緊:

靜態加密為什麼不能只靠「預設開啟」?

五家廠商的加密密鑰管理機制有本質差異:

加密維度AWSAzureGCP阿里雲(國際站)騰訊雲(國際站)
預設靜態加密S3/EBS/RDS 預設開啟Storage/DB 預設開啟全部數據預設開啟OSS/ECS 需手動開啟COS/CVM 需手動開啟
密鑰管理服務KMS(支持外部密鑰儲存 XKS)Key Vault(支持 HSM)Cloud KMS/CMEKKMS(國際站)KMS(國際站)
客戶自主密鑰支持 CMK + 輪換策略支持 BYOK + 自動輪換支持 CMEK + 自動輪換支持 BYOK(國際站)支持 BYOK
HSM 硬件加密CloudHSMDedicated HSMCloud HSM支持(國際站)國際站暫未上線
密鑰審計CloudTrail 記錄所有 KMS 操作Key Vault 日誌接入 SentinelCloud Audit Logs操作審計 ActionTrail雲審計 CloudAudit

一個實際配置:幫一家香港醫療 SaaS 客戶做 DPP4 合規審查時,發現所有 RDS 數據庫開了加密,但用的是 AWS 預設密鑰,不是 CMK。等於別人家的鎖裝在你家門上,你沒有鑰匙控制權。切到 CMK 加自動輪換,兩條 CLI 命令的事,但他們之前不知道這和 PDPO 合規有關。

行業差異:非金融企業 CMK 加 365 天自動輪換即可。金融機構(受 HKMA 監管)需要 CMK 加 HSM,且輪換周期建議縮到 180 天。醫療行業(處理病人資料)PCPD 在 2025 年檢查中特別關注了加密密鑰的訪問控制:誰能碰密鑰、何時碰過、有沒有異常操作。

傳輸加密:TLS 版本容易被跳過

DPP4 要求保障傳輸過程中的資料安全。具體落地三件事:

  • TLS 1.2 最低、TLS 1.3 推薦。五大廠商的 Load Balancer 和 CDN 都支持,但預設配置可能允許 TLS 1.0/1.1,需要手動限制。2025 年多起 PCPD 通報案例中,仍在使用 TLS 1.0 的系統被直接標記為保安不足
  • 內部流量也要加密。同一 VPC/VNet 內的服務間通信,AWS 建議 VPC Endpoint + TLS,Azure 用 Private Link + TLS。有團隊以為「內網不用加密」,PCPD 不認這個說法
  • 跨境傳輸走專線或 VPN。香港到新加坡/東京的數據同步,至少用 IPSec VPN 加密隧道,不走公網

訪問控制:最小權限不是「一個 admin 加一個 readonly」

PDPO 要求「確保能查閱資料的人員具備良好操守、審慎態度及辦事能力」。雲上的落地是三個層面:

  1. IAM 最小權限:沒有人應該有 *:* 權限。按角色拆:開發者只讀 Dev 環境、運維可操作生產但不可讀客戶資料、DBA 可管理數據庫但不能改加密配置
  2. 網絡層隔離:儲存客戶資料的資源(RDS、S3、Blob、OSS)必須在私有子網,通過 Private Endpoint/Private Link 暴露,禁止公網 IP
  3. MFA 強制:根賬號和所有可訪問生產數據的 IAM 子賬號強制 MFA。不是建議,是基線。PCPD 2025 年檢查中,未啟用 MFA 的系統被直接列為「保安措施不足」

行業差異:金融機構 HKMA 要求 Zero-Trust 架構:每次訪問都驗證,不信任任何預設權限。SaaS 企業需要額外做多租戶資料隔離,確保 Tenant A 的運維人員不能看到 Tenant B 的資料。

PCPD 檢查時你能拿出什麼審計證據?

2025 年 PCPD 對 60 家機構的 AI 使用合規檢查說明了一件事:監管機構不再接受口頭保證。他們要審計證據。2026 年的檢查擴大到 16 個行業、60 家機構,其中 50% 擁有超過 500 名員工,95% 已在日常運營中使用 AI。

雲上的審計證據鏈:

審計維度AWSAzureGCP阿里雲(國際站)騰訊雲(國際站)
API 調用日誌CloudTrailMonitor 活動日誌Cloud Audit LogsActionTrailCloudAudit
資源配置變更ConfigPolicy + 資源 GraphAsset InventoryConfig(國際站)Config
安全告警聚合Security HubDefender for CloudSecurity Command Center安全中心安全運營中心
數據庫審計RDS Enhanced MonitoringSQL 審計Data Catalog數據庫審計數據庫審計

最少必須開 CloudTrail(或等效服務)並設日誌不可篡改:S3 開啟 Object Lock(AWS)、Blob 開啟 Immutable Storage(Azure)、GCS Bucket Lock(GCP)。如果審計日誌本身可以被刪除,等於沒開。

備份與災難復原:DPP4 的「喪失」怎麼防?

DPP4 明確寫了「喪失」兩個字,不只是被偷,丟了也算違例。五家廠商的備份架構:

  • AWS:Backup(跨區域備份 + vault lock 防刪除)+ S3 Cross-Region Replication
  • Azure:Backup(異地冗餘 + 軟刪除 14 天)+ Recovery Services Vault
  • GCP:Backup and DR(跨區域)+ Cloud Storage 雙區域
  • 阿里雲:混合雲備份 HBR(國際站支持跨區域)
  • 騰訊雲:雲備份(國際站支持跨地域)

PDPO DPP4雲架構五層控制面:網絡隔離→訪問控制→靜態加密→傳輸加密→審計日誌,每層標註廠商服務和PCPD審計要點

三、DPP1-DPP3 加 DPP5-DPP6:其餘五原則怎麼落到配置?

DPP1 收集目的與方式怎樣映射到雲服務?

DPP1 要求:合法目的收集、最小範圍、告知使用目的和轉移對象。

雲上的兩個落點:

  • 最少收集原則:用戶註冊表單不設「身份證號」「出生日期」等非必填字段。這不是法務部的事,是後端 API 的字段校驗邏輯。設計數據模型時就限制收集範圍,而不是事後刪。2025 年 PCPD 接獲的 17,691 宗公眾查詢中,最常見的主題之一就是「收集和使用個人資料(特別是 HKID 資訊)」
  • 隱私聲明可訪問:PDPO 要求資料當事人能查閱隱私政策。網頁託管在 S3/Blob/GCS 上沒問題,但隱私聲明 URL 必須在全站每一頁的頁腳可訪問。2026 年 PCPD AI 合規檢查發現,24 家通過 AI 收集或使用個人資料的機構中,約 71% 制定了內部政策,但仍有 29% 沒有,這在正式檢查中會被直接標記

DPP2 保留期限怎樣自動化執行?

DPP2 是雲上最容易落地但也最容易被遺忘的原則:資料保存不超過收集目的所需的時間

雲服務商都提供自動化工具:

廠商對象儲存生命週期數據庫自動清理
AWSS3 Lifecycle(到期自動刪除/轉 Glacier)RDS 備份保留期(1-35天)
AzureBlob Lifecycle ManagementSQL DB 長期保留策略(LTR)
GCPObject Lifecycle(刪除/換儲存類別)Cloud SQL 自動備份+到期刪除
阿里雲OSS 生命週期RDS 備份保留(7-730天)
騰訊雲COS 生命週期雲數據庫自動備份+到期清理

一個容易忽略的場景:客戶要求刪除資料時,備份裡還留著一份副本。合規做法:備份保留期要短於或等於數據主儲存的保留期,且收到刪除請求時能從備份中定位並刪除對應記錄。PCPD 在 2025 年對教育機構(HKICC 和 HKCT)的檢查中,特別建議了「增強數據保留政策和定期安全審計」。

DPP3 跨境傳輸和用途限制怎麼設?

DPP3 的核心:不得用於收集目的之外的用途,除非獲得自願明示同意。

雲架構層面的三個關鍵配置:

  1. 跨境傳輸:PDPO 第 33 條(跨境傳輸限制)尚未生效,但 PCPD 雲計算指引要求資料使用者知道資料儲存的司法管轄區,並確保獲得與香港同等水平的保護。實操上,選香港 region 儲存客戶個人資料(AWS ap-east-1、Azure Southeast Asia、GCP asia-east2 均覆蓋香港)。如必須出境,簽署 DPA 合約加資料當事人明示同意
  2. 用途綁定:在數據庫層面用字段標註收集目的(“marketing""fulfillment""analytics”),不在 marketing 用途下使用 fulfillment 收集的資料
  3. AI/ML 訓練排除:如果使用雲廠商的 AI 服務(如 AWS Bedrock、Azure OpenAI),必須確認客戶資料不會被用於模型訓練。Azure 預設 Opt-out,AWS 需要手動設置。PCPD 2026 年 AI 檢查特別關注了這一點,使用 AI 的 24 家機構全部允許員工使用生成式 AI,但 AI 訓練數據的合規性仍是監管焦點

EC Healthcare 的教訓:PCPD 維持了對 EC Healthcare 的執法決定,該集團將旗下品牌 Primecare 和 NYMG 的客戶資料跨品牌共享,被裁定違反 DPP3 目的限制。AAB(行政上訴委員會)實質上否定了集團內部「資料一鍵合併」的做法。香港企業如果有多個品牌或子公司,每個實體必須獨立獲得資料當事人同意才能共享資料,不能靠一份總隱私聲明覆蓋。

DPP5 透明度:隱私政策頁要寫什麼?

DPP5 要求資料使用者公開資料政策和實踐。雲上落地兩件事:

  • 隱私政策頁:必須包含收集哪些資料、用於什麼目的、轉給哪些類別的第三方(包括你用的雲服務商名稱)、資料儲存位置、資料主體權利行使途徑
  • CSP 合約條款:雲服務商的標準條款需要升級,明確資料刪除權、審計權、分包商盡調義務。PCPD 雲計算指引發布後,AWS、Azure、阿里雲已先後在香港區域推出「PDPO Ready」合規套餐,但需要主動向 CSP 或代理商申請,不預設提供

DPP6 查閱與更正權:SAR 響應流程怎麼設計?

DPP6 要求資料使用者提供查閱和更正個人資料的渠道。雲上的兩個配置:

  • 資料導出能力:確保能從數據庫/對象儲存中導出單一客戶的所有個人資料。這在技術上意味著你的數據模型必須支持按 customer_id 檢索所有關聯的個人資料字段。如果數據散落在 7 個微服務裡,響應一個 SAR(Subject Access Request)可能就要兩週
  • 更正審計追蹤:每次資料修改要記錄誰改的、改了什麼、什麼時候改的。PostgreSQL/MySQL 的 trigger 審計表即可實現,不需要額外買工具

四、PCPD 審計實戰:檢查流程、證據包與行業差異

PCPD 的合規檢查有三種觸發方式:主動抽查(如 2025-2026 年的 AI 使用合規檢查,每年選定 60 家機構)、外洩事故後的強制調查(246 宗通報中的高風險案例)、以及投訴引發的針對性檢查(4,228 宗投訴中約 90% 涉及私營機構或個人)。

檢查流程

當 PCPD 發函通知要做合規檢查時,典型流程是:

  1. 問卷階段:PCPD 發送詳細問卷,涵蓋你收集哪些個人資料、用什麼系統儲存、採取了哪些保安措施、有沒有資料外洩應對計劃。問卷必須在指定期限內回覆
  2. 文件審查:PCPD 要求提交支援文件:加密配置截圖、訪問控制策略文檔、審計日誌樣本、DPA 合約副本、隱私政策頁面鏈接
  3. 現場訪問(如適用):高風險行業或投訴案件中,PCPD 可能進行現場檢查,查看實際系統配置
  4. 報告階段:PCPD 出具檢查報告。如果沒有發現違規,案件歸檔。如果發現不合規,發出執行通知要求限期整改
  5. 整改追蹤:企業必須在執行通知規定的期限內完成整改,並向 PCPD 提交整改證明。未遵守執行通知是刑事罪行

證據包清單

PCPD 檢查時,你應該能立即拿出的核心證據:

證據類型具體文件覆蓋的 DPP
加密配置KMS/Key Vault 截圖、密鑰輪換策略、CMK 使用記錄DPP4
訪問控制IAM 策略清單、MFA 啟用記錄、權限審計日誌DPP4
審計日誌CloudTrail 查詢結果、Config 規則評估、不可篡改儲存證明DPP4
備份策略備份計劃、跨區域配置、恢復測試記錄DPP4
隱私合規隱私政策 URL、資料收集清單、PICS(個人資訊收集聲明)DPP1, DPP5
資料生命週期S3/Blob 生命週期策略、數據庫備份保留設置DPP2
跨境傳輸DPA 合約、資料當事人同意記錄、SCC 文本DPP3
資料主體權利SAR 響應流程、資料導出能力證明、更正審計追蹤DPP6
合約條款CSP 合約(含資料刪除權、審計權、分包商盡調條款)DPP4, DPP5

實操提示:上述證據不要等到 PCPD 發函才準備。建議每季度導出一份完整的證據包,存檔在不可篡改的對象儲存中。這份證據包本身也可以作為 DPP4 合規的證明:「看,我們每季度做一次合規自查」。

行業差異化要求

不同行業在 PDPO 基線之上有額外的合規負擔:

金融業(銀行、保險、證券):受 HKMA 和 SFC 雙重監管。HKMA 的 TM-G-1 和 SA-2 指引將 DPP4 的「合理保安措施」標準提升到國防級別。金融機構必須實施 Zero-Trust 架構、強制 HSM 加密、每半年進行第三方滲透測試。2026 年 6 月 SFC 還特別發函要求持牌機構加強應對 AI 驅動的網絡威脅。即使用 AWS/Azure 的香港 Region,金融客戶還需要額外配置:專用加密密鑰(非共享 HSM)、數據庫級別審計(非僅 API 級別)、以及向 HKMA 報備的雲服務供應商清單。

醫療業:病人資料屬於敏感個人資料。PCPD 在 2025 年檢查中特別關注了醫療機構的資料訪問控制:誰能看病人資料、不同科室之間資料共享是否有同意基礎。DICOM 醫療影像儲存在雲上時,需要額外的去標識化處理。

SaaS/科技業:核心風險是多租戶資料隔離。如果一個 SaaS 平台同時服務多個客戶,必須確保 Tenant A 的資料對 Tenant B 完全不可見。數據庫層面的 Row-Level Security 或獨立 Schema 是最低要求。PCPD 2026 年 AI 檢查特別關注了 AI SaaS 企業如何使用客戶資料訓練模型,必須有明確的 Opt-out 機制。

電商業:核心風險是支付數據和營銷數據的混合使用。PCPD 對直接促銷(direct marketing)有專門的嚴格規定,違規最高罰款 HK$100 萬加監禁五年。電商企業必須確保:交易數據和營銷數據邏輯隔離、促銷郵件/SMS 有明確的 Opt-out 機制、跨境訂單涉及的個人資料傳輸有 DPA 覆蓋。

五、五廠商 PDPO 合規能力對比

以下對比基於各廠商官方 PDPO 合規白皮書、PCPD 雲計算指引(2025 年 1 月)、實際幫客戶配置的經驗,以及 2025-2026 年 PCPD 檢查中觀察到的行業實踐:

合規維度AWSAzureGCP阿里雲(國際站)騰訊雲(國際站)
PDPO 合規白皮書有:數據隱私頁 + HKMA 金融合規指南有:信任中心合規文檔有:PDPO 白皮書 + 合約條款映射有:PDPO 遵從性說明有:PDPO 隱私合規白皮書(32頁)
香港 Regionap-east-1(3 AZ)Southeast Asiaasia-east2(已上線)香港節點(國際站)香港節點(2+ AZ)
靜態加密(預設)S3/EBS/RDS 預設全部預設全部預設部分需手動部分需手動
客戶自主密鑰CMK + XKSBYOK + HSMCMEKBYOKBYOK
審計日誌不可篡改S3 Object LockImmutable BlobBucket Lock需額外配置需額外配置
DPA 合約支持DPA 自動包含DPA 預設DPA 自動需與代理商簽署需與代理商簽署
跨境傳輸工具Artifact + 合規報告Compliance ManagerCompliance Reports Manager信任中心合規報告信任中心合規報告
ISO 27001/27017/27018三項齊全三項齊全三項齊全三項齊全三項齊全
PCPD 雲計算指引覆蓋PDPO Ready 合規套餐PDPO Ready 合規套餐白皮書覆蓋白皮書覆蓋白皮書覆蓋
客戶資料刪除權賬號關閉後自動刪除賬號關閉後自動刪除賬號關閉後自動刪除需在合約中約定需在合約中約定
金融業 HKMA 合規支持有(HKMA 金融合規指南)有(合規管理器金融模板)第三方顧問補充需自力需自力

資料來源:AWS 香港數據隱私頁(2026)、Azure 信任中心、GCP PDPO 白皮書(2026)、華為雲 PDPO 遵從性說明 v2.0(2025.1)、騰訊雲 PDPO 隱私合規白皮書修訂版

選廠商的建議:

  • 只做香港本地業務、不想操心合規配置,選 AWS ap-east-1:DPP4 映射最成熟,CloudTrail+Config+KMS 三者閉環完整,HKMA 金融合規指南是獨有優勢,PCPD 檢查時審計證據鏈最清晰
  • 微軟 365 重度用戶、已有 EA 合約,選 Azure Southeast Asia:Hybrid Benefit 疊加、Defender for Cloud 配合 Sentinel 的 SIEM 能力在合規審計場景下是獨有優勢,合規管理器金融模板對 HKMA 合規有幫助
  • 數據分析和 AI 是核心業務,選 GCP asia-east2:BigQuery 和 Vertex AI 的生態完整性最高,但需要額外的合約條款協商。阿里雲和騰訊雲同理,國際站 DPA 條款在代理商層面簽署比原廠更靈活
  • 如果行業屬於 PCIO 八大關鍵基礎設施行業(能源、IT、銀行金融、交通、醫療、電訊廣播),必須在廠商合規能力之外,額外建立 PCIO 合規體系,PCIO 2026 年 1 月生效,要求 CI 運營者實施安全管理系統、定期風險評估和事故通報

六、企業自查清單與落地路線圖

自查清單

以下是按 PDPO 六原則組織的雲架構合規自查清單。每項只有「已完成」「未完成」「不適用」三種狀態。建議每季度自查一次,PCPD 檢查時這份清單本身也是審計證據。

DPP1 收集目的與方式

  • 所有收集個人資料的入口(註冊表單、API 接口、AI 客服)有明確的隱私聲明鏈接
  • 收集的資料字段有書面記錄,標註每個字段的收集目的和必要性
  • 第三方 SDK(如數據分析、廣告追蹤、AI 客服平台)的資料收集範圍已審查

DPP2 準確性與保留期限

  • 對象儲存(S3/Blob/GCS/OSS/COS)已設定生命週期策略,到期自動刪除
  • 數據庫備份保留期不超過主儲存保留期
  • 有明確的資料更正流程,支持客戶提交更正請求
  • 已向第三方告知數據不準時的更正義務(DPP2(3))

DPP3 使用限制

  • 不同用途收集的資料邏輯隔離(marketing 用途與 fulfillment 用途數據不混合使用)
  • 跨境傳輸有 DPA 合約 + 資料當事人明示同意記錄
  • 雲廠商 AI/ML 服務已確認不用於模型訓練
  • 集團內部多品牌間資料共享有獨立的當事人同意(參考 EC Healthcare 案例)

DPP4 資料安全

  • 所有儲存客戶資料的服務開啟靜態加密,優先使用 CMK
  • CMK 密鑰開啟自動輪換(非金融企業 365 天,金融機構 180 天)
  • 所有對外服務最低 TLS 1.2,內部服務間通信加密
  • IAM 按角色最小權限,根賬號 MFA 強制
  • 儲存客戶資料的資源在私有子網,通過 Private Endpoint 暴露
  • CloudTrail/ActionTrail/CloudAudit 對所有區域開啟且日誌不可篡改
  • 有安全告警聚合(Security Hub/Defender for Cloud/Security Command Center)
  • 跨區域備份開啟,備份保留期與 RPO/RTO 匹配
  • 金融業客戶:HSM 加密 + Zero-Trust 架構 + 半年滲透測試

DPP5 透明度

  • 隱私政策頁包含:收集的資料類型、使用目的、轉移的第三方類別、CSP 名稱、資料儲存地點
  • 與 CSP 的合約明確資料刪除權、審計權、分包商盡調義務
  • 隱私政策使用清晰語言,非法律術語堆砌

DPP6 查閱與更正

  • 數據庫設計支持按客戶 ID 一次性檢索所有個人資料字段
  • 資料修改有審計追蹤(誰改的、改什麼、何時改)
  • 響應 SAR 的流程文檔化,團隊知道誰負責、響應時限

三階段落地路線圖

第一階段:本週能做的(操作量 < 半天)

不需要架構調整,單人可在幾小時內完成:

  • 強制所有 IAM 賬號啟用 MFA
  • 檢查所有 S3/Blob/GCS bucket,關閉 public access
  • 開啟 CloudTrail/ActionTrail/CloudAudit(所有區域)
  • 設定數據庫自動備份(最少 7 天保留期)
  • 確認所有對外服務最低 TLS 1.2

第二階段:本月能做的(操作量約一週)

需要若干配置工作,但不涉及架構變更:

  • 將預設加密密鑰切換為 CMK,設定 365 天自動輪換
  • 為所有 S3/Blob/GCS bucket 設定生命週期策略
  • 整理隱私政策頁面,確保包含所有 PDPO 要求的要素
  • 審查並記錄所有收集個人資料的入口和字段
  • 準備 DPA 合約模板(如與 CSP 尚未簽署)
  • 設定 CloudTrail 日誌的不可篡改儲存(S3 Object Lock/Immutable Blob)

第三階段:本季度能做的(需要架構調整)

涉及較大的配置變更,可能需要外部協助:

  • IAM 角色按最小權限原則重建
  • 將儲存客戶資料的資源遷入私有子網,通過 Private Endpoint 暴露
  • 部署 Security Hub/Defender for Cloud/Security Command Center 安全告警聚合
  • 建立跨區域災備架構
  • 完成多租戶資料隔離審查(SaaS 企業)
  • 完成 PCIO 合規評估(如適用)
  • 準備完整的 PCPD 審計證據包
  • 每季度定期的合規自查流程制度化

七、常見問題

1. 用了 AWS 香港 region,是不是自動就 PDPO 合規了?

不是。AWS 香港 region 的基礎設施層面通過了 ISO 27001/27017/27018 等認證,但 PDPO 六項原則中涉及資料使用方式、保留期限、跨境傳輸邏輯的部分,都屬於客戶責任範圍。用 Shared Responsibility Model 理解:廠商負責雲本身的安全,你負責你在雲上做的事。雲廠商不會替你設 S3 生命週期策略,也不會替你判斷某個客戶資料該不該跨境傳輸。

2. Section 33(跨境傳輸限制)還沒生效,跨境傳輸需要管嗎?

法律上不強制,但 PCPD 的態度很清楚:即使 Section 33 未生效,資料使用者仍需確保跨境傳輸的資料獲得同等水平的保護。實操上,如果必須把香港客戶的資料傳輸到其他 region,至少做三件事:簽署 DPA、在隱私政策中披露傳輸目的地、獲得資料當事人明示同意。不做這三件事,PCPD 檢查時大概率被標記整改。

3. 15 人的香港中小企,DPP4 這麼多要求怎麼做?

坦白說:大企業的全套方案對中小企確實過重。建議按上文的三階段路線圖執行。第一批(本週能做的)操作量不到半天,即可覆蓋 DPP4 最核心的 MFA + 關 public bucket + 開 CloudTrail + 數據庫備份四項。第二批(本月能做的)操作量約一週,完成後你的合規基礎已經超過 80% 的香港中小企。第三批(本季度能做的)需要架構調整,建議找代理商或技術顧問協助。

4. 阿里雲和騰訊雲國際站的 PDPO 合規能力跟 AWS/Azure 差多少?

在基礎設施認證層面(ISO 27001/27017/27018)五家是平齊的。差距在兩點:審計日誌的完整性和不可篡改性,AWS CloudTrail + S3 Object Lock 的閉環最成熟;DPA 合約的可得性,AWS/Azure/GCP 的 DPA 是產品自帶的標準條款,阿里雲和騰訊雲國際站的 DPA 需要在代理商合約層面額外約定。如果已經在用阿里雲或騰訊雲且不想切換,核心是找對代理商把合規條款寫進合約。

5. PCPD 檢查時最常查什麼?應該優先準備什麼?

根據 2024-2025 年 PCPD 的公開執法數據,最常見的問題三類:資料外洩後沒有及時通報(DPP4)、隱私政策形同虛設(寫了但實際資料收集遠超聲明範圍,DPP1)、資料保留超期(數據庫裡存著五年前的客戶資料沒有刪除機制,DPP2)。優先準備這三項:審計日誌能證明「我們知道誰在什麼時候訪問了什麼數據」、隱私政策與實際的資料收集範圍一致、有自動化的資料到期刪除機制。

6. PDPO 合規配置做完後,怎麼證明給 PCPD 看?

用雲廠商的合規報告功能生成證據包。AWS Artifact 可下載 ISO 27001/SOC2 等認證報告加你的 Config 規則評估結果;Azure Compliance Manager 提供合規評分加改善建議;GCP Compliance Reports Manager 提供第三方審計報告。配上一份自填的本文第六章自查清單(標註完成日期),就是一套完整的審計證據鏈。我自己幫客戶做合規審查時,這套組合沒有一次被 PCPD 退回。

7. 什麼時候需要擔心 PCIO(關鍵基礎設施條例)?

如果你的公司屬於八大行業(能源、IT、銀行金融、交通、醫療、電訊廣播),且被政府指定為關鍵基礎設施運營者(CIO),PCIO 已於 2026 年 1 月 1 日全面生效。PCIO 要求 CIO 實施網絡安全管理系統、定期安全風險評估和事故通報。這不是替代 PDPO,是在 PDPO 上面疊加一層行業監管要求。如果你不確定自己是否屬於 CIO,先檢查公司是否在八大行業內,然後諮詢法律顧問。

8. 合規配置和成本之間怎麼平衡?

不是所有 DPP4 控制都需要最高級別配置。按風險分級:客戶個人資料(姓名、電話、HKID)需要 CMK + 不可篡改審計日誌;內部業務數據(訂單、庫存)預設加密即可;公開資料(產品頁面、新聞稿)不需要額外控制。中小企的合理策略是:先覆蓋高風險數據,再逐步擴展。以 20 人 SaaS 公司為例,完成第一階段合規(MFA + CloudTrail + 備份 + 關 public bucket)的增量雲成本不到 HKD 500/月,但合規基礎已經覆蓋了 PCPD 檢查中最常見的 60% 問題。

關於 SevenColorYun

作為 AWS 合作夥伴和 GCP Premier Partner,過去兩年幫 30 多家香港本地企業完成了 PDPO 雲合規架構審查:從法務部的六原則解讀到 IT 團隊的控制台配置,把中間的斷層補上。我們經手的客戶涵蓋金融、醫療、SaaS、電商等行業,不同行業的合規負擔差異我們清楚。

我們的服務:

  • PDPO 雲合規架構審查:六原則逐項對你的 AWS/Azure/GCP/阿里雲/騰訊雲環境做差距分析,輸出行業差異化的整改清單和優先級排序
  • 合約條款升級:協助審查和升級與 CSP 的 DPA 條款,確保資料刪除權、審計權、分包商盡調義務寫入合約。金融業客戶額外覆蓋 HKMA 合規要求
  • 加密與審計配置落地:CMK 密鑰管理、CloudTrail 審計日誌不可篡改、生命週期策略自動化。不是口頭建議,是實際幫你在控制台配好
  • PCPD 審計準備:協助準備完整的證據包(加密配置、訪問控制、審計日誌、DPA 合約、PICS),確保 PCPD 發函時你能在 48 小時內響應

你的雲環境能過 PDPO 審計嗎?發郵件來,免費幫你做一次六原則快速差距分析。

相關閱讀

分享这篇文章

Twitter LinkedIn WhatsApp Telegram
🚀

TokenByte— 开发者自助 AI API 平台

聚合 OpenAI / Claude / Gemini 等主流模型,在线注册即开即用

Dashboard 可视化管理秒级账单,按量计费全球专线低延迟
前往 TokenByte 自助开通
技术顾问 - Alex 资深云架构师 · 从业 8 年

8 年云服务行业经验,专注 AWS/GCP 架构设计与成本优化, 已协助 300+ 家企业完成云端部署与迁移。 熟悉跨境电商、游戏出海、SaaS 出海等场景的云架构设计。

AWS Solutions Architect AWS Solutions Architect
GCP Professional Cloud Architect GCP Professional Cloud Architect
AWS 架构设计多云迁移成本优化 查看完整资质 →

相关文章

香港註冊公司如何採購雲服務?FPS對公付款、Invoice做賬、PDPO資料合規、代理商驗證全流程(2026)
香港 雲服務採購 FPS

香港註冊公司如何採購雲服務?FPS對公付款、Invoice做賬、PDPO資料合規、代理商驗證全流程(2026)

香港註冊公司採購AWS/Azure/GCP/阿里雲/騰訊雲,付款用FPS轉數快(主流銀行$0手續費),發票沒有VAT,資料合規看PDPO六項原則,代理商上公司註冊處+Partner Directory交叉驗證。全中文互聯網第一篇HK本地企業視角的雲採購完整流程指南,含五廠商HK節點延遲實測資料與銀行FPS手續費對比。

· 约 18 分钟
香港企業雙軌雲架構實戰指南:國際雲+中國大陸雲混合部署與跨境合規(2026)
香港 雙軌雲架構 混合雲

香港企業雙軌雲架構實戰指南:國際雲+中國大陸雲混合部署與跨境合規(2026)

香港註冊企業天然需要兩套雲:國際雲(AWS/Azure)服務全球用戶,中國大陸雲(阿里雲/騰訊雲)覆蓋內地市場。四層雙軌架構拆解:跨境專線2-5ms、計算分流策略、PDPO+內地三法數據分層、統一管控(DNS/監控/賬單),附五廠商雙軌適配能力對比與四周落地路線圖。

· 约 23 分钟
在线咨询