香港PDPO雲合規實戰指南:六項保障原則逐條架構映射與企業自查清單(2026)
目录
PDPO 合規的瓶頸不在法條,在雲架構。六項保障原則逐條對應控制台操作:哪項配置能過 PCPD 審計、五家廠商誰的合規工具更完整、不同行業有什麼額外要求、不合規的真實代價是多少。附對比表、審計實戰指南和自查清單。
一、PDPO 合規到了雲上為什麼總是卡住?
過去兩年經手 30 多家香港本地企業的雲架構合規審查,一個規律反覆出現:法務部把 PDPO 六項原則翻譯成中文、做成 PDF、全公司傳閱,然後 IT 團隊問:「所以我在 AWS Console 裡要點什麼?」
這不是法務的問題,也不是 IT 的問題。是中間缺了一層:從「DPP4 須採取所有切實可行的步驟保障個人資料安全」到「開 KMS、開 CloudTrail、設生命週期策略」的映射。
PCPD 在 2025 年 1 月更新了雲計算指引,明確了兩件事:
- 雲服務商(CSP)與資料使用者共同承擔 PDPO 義務,不是「上了雲合規就歸廠商管」
- 合約必須植入三項條款:資料刪除權、審計權、分包商盡職審查。CSP 的標準合同不會主動給你這些
PCPD 執法在升溫
看一組數字感受一下監管力度:
| 指標 | 2023 年 | 2024 年 | 2025 年 | 趨勢 |
|---|---|---|---|---|
| 投訴總數 | ~3,200 | ~3,440 | 4,228 | +23% |
| 資料外洩通報 | 157 | 203 | 246 | +21% |
| 合規檢查次數 | ~350 | ~400 | 435 | +9% |
| 黑客攻擊佔外洩比例 | — | — | 33% | 新高 |
資料來源:PCPD 2025 年工作報告(2026 年 2 月 3 日向立法會提交)、PCPD 2024 年工作報告
2025 年 PCPD 還首次對 60 家機構完成了 AI 使用合規檢查,2026 年擴大到 16 個行業再次檢查 60 家。雖然兩輪都沒有發現 PDPO 違規,但信號很清楚:監管機構不再接受「我們有安全策略」這種口頭保證。他們要審計證據。
不合規的代價
PDPO 的處罰不是象徵性的。違反執行通知(enforcement notice)最高罰款 HK$50,000 加監禁兩年,持續違規每日加罰 HK$1,000。直接促銷違規最高罰款 HK$100 萬加監禁五年。未經同意披露個人資料(造成心理傷害)同樣最高罰款 HK$100 萬加監禁五年。
但真正的代價不是罰款,是客戶信任和商業機會。2024 年超過八成的資料外洩根因不是黑客攻擊,是系統設定錯誤:S3 桶開 public、數據庫沒加密、日誌沒開。出了事再補,比提前配置的成本高十倍。
資料來源:PCPD《雲計算指引》2025 年 1 月更新版;DLA Piper 香港資料保護指南(2026);華為雲/騰訊雲 PDPO 合規白皮書
一句話說清楚:AWS、Azure、GCP 的香港區域在基礎設施層面是合規的(ISO 27001、SOC2 都有),但客戶自己負責的內容資料安全,也就是 DPP4 的核心要求,廠商不會替你配。下文把六項原則逐條拆成雲架構配置,加上 PCPD 審計實戰和行業差異,讀完你能對著清單逐項檢查自己的雲環境。
二、DPP4 資料安全原則怎樣落到雲架構?五個控制面逐一拆解
六項原則中,DPP4 是雲架構配置量最大、PCPD 執法最密集的一條。2024 年 203 宗資料外洩通報,2025 年升至 246 宗,其中 33% 涉及黑客攻擊,其餘來自系統設定錯誤和員工疏忽。超過八成的外洩根因是系統設定錯誤:S3 桶開 public、數據庫沒加密、日誌沒開。
DPP4 原文要求:「資料使用者須採取所有切實可行的步驟,保障個人資料不會未經授權或意外地被查閱、處理、刪除、喪失或使用。」
拆成雲架構語言,是五個控制面。從外到內逐層收緊:
靜態加密為什麼不能只靠「預設開啟」?
五家廠商的加密密鑰管理機制有本質差異:
| 加密維度 | AWS | Azure | GCP | 阿里雲(國際站) | 騰訊雲(國際站) |
|---|---|---|---|---|---|
| 預設靜態加密 | S3/EBS/RDS 預設開啟 | Storage/DB 預設開啟 | 全部數據預設開啟 | OSS/ECS 需手動開啟 | COS/CVM 需手動開啟 |
| 密鑰管理服務 | KMS(支持外部密鑰儲存 XKS) | Key Vault(支持 HSM) | Cloud KMS/CMEK | KMS(國際站) | KMS(國際站) |
| 客戶自主密鑰 | 支持 CMK + 輪換策略 | 支持 BYOK + 自動輪換 | 支持 CMEK + 自動輪換 | 支持 BYOK(國際站) | 支持 BYOK |
| HSM 硬件加密 | CloudHSM | Dedicated HSM | Cloud HSM | 支持(國際站) | 國際站暫未上線 |
| 密鑰審計 | CloudTrail 記錄所有 KMS 操作 | Key Vault 日誌接入 Sentinel | Cloud Audit Logs | 操作審計 ActionTrail | 雲審計 CloudAudit |
一個實際配置:幫一家香港醫療 SaaS 客戶做 DPP4 合規審查時,發現所有 RDS 數據庫開了加密,但用的是 AWS 預設密鑰,不是 CMK。等於別人家的鎖裝在你家門上,你沒有鑰匙控制權。切到 CMK 加自動輪換,兩條 CLI 命令的事,但他們之前不知道這和 PDPO 合規有關。
行業差異:非金融企業 CMK 加 365 天自動輪換即可。金融機構(受 HKMA 監管)需要 CMK 加 HSM,且輪換周期建議縮到 180 天。醫療行業(處理病人資料)PCPD 在 2025 年檢查中特別關注了加密密鑰的訪問控制:誰能碰密鑰、何時碰過、有沒有異常操作。
傳輸加密:TLS 版本容易被跳過
DPP4 要求保障傳輸過程中的資料安全。具體落地三件事:
- TLS 1.2 最低、TLS 1.3 推薦。五大廠商的 Load Balancer 和 CDN 都支持,但預設配置可能允許 TLS 1.0/1.1,需要手動限制。2025 年多起 PCPD 通報案例中,仍在使用 TLS 1.0 的系統被直接標記為保安不足
- 內部流量也要加密。同一 VPC/VNet 內的服務間通信,AWS 建議 VPC Endpoint + TLS,Azure 用 Private Link + TLS。有團隊以為「內網不用加密」,PCPD 不認這個說法
- 跨境傳輸走專線或 VPN。香港到新加坡/東京的數據同步,至少用 IPSec VPN 加密隧道,不走公網
訪問控制:最小權限不是「一個 admin 加一個 readonly」
PDPO 要求「確保能查閱資料的人員具備良好操守、審慎態度及辦事能力」。雲上的落地是三個層面:
- IAM 最小權限:沒有人應該有
*:*權限。按角色拆:開發者只讀 Dev 環境、運維可操作生產但不可讀客戶資料、DBA 可管理數據庫但不能改加密配置 - 網絡層隔離:儲存客戶資料的資源(RDS、S3、Blob、OSS)必須在私有子網,通過 Private Endpoint/Private Link 暴露,禁止公網 IP
- MFA 強制:根賬號和所有可訪問生產數據的 IAM 子賬號強制 MFA。不是建議,是基線。PCPD 2025 年檢查中,未啟用 MFA 的系統被直接列為「保安措施不足」
行業差異:金融機構 HKMA 要求 Zero-Trust 架構:每次訪問都驗證,不信任任何預設權限。SaaS 企業需要額外做多租戶資料隔離,確保 Tenant A 的運維人員不能看到 Tenant B 的資料。
PCPD 檢查時你能拿出什麼審計證據?
2025 年 PCPD 對 60 家機構的 AI 使用合規檢查說明了一件事:監管機構不再接受口頭保證。他們要審計證據。2026 年的檢查擴大到 16 個行業、60 家機構,其中 50% 擁有超過 500 名員工,95% 已在日常運營中使用 AI。
雲上的審計證據鏈:
| 審計維度 | AWS | Azure | GCP | 阿里雲(國際站) | 騰訊雲(國際站) |
|---|---|---|---|---|---|
| API 調用日誌 | CloudTrail | Monitor 活動日誌 | Cloud Audit Logs | ActionTrail | CloudAudit |
| 資源配置變更 | Config | Policy + 資源 Graph | Asset Inventory | Config(國際站) | Config |
| 安全告警聚合 | Security Hub | Defender for Cloud | Security Command Center | 安全中心 | 安全運營中心 |
| 數據庫審計 | RDS Enhanced Monitoring | SQL 審計 | Data Catalog | 數據庫審計 | 數據庫審計 |
最少必須開 CloudTrail(或等效服務)並設日誌不可篡改:S3 開啟 Object Lock(AWS)、Blob 開啟 Immutable Storage(Azure)、GCS Bucket Lock(GCP)。如果審計日誌本身可以被刪除,等於沒開。
備份與災難復原:DPP4 的「喪失」怎麼防?
DPP4 明確寫了「喪失」兩個字,不只是被偷,丟了也算違例。五家廠商的備份架構:
- AWS:Backup(跨區域備份 + vault lock 防刪除)+ S3 Cross-Region Replication
- Azure:Backup(異地冗餘 + 軟刪除 14 天)+ Recovery Services Vault
- GCP:Backup and DR(跨區域)+ Cloud Storage 雙區域
- 阿里雲:混合雲備份 HBR(國際站支持跨區域)
- 騰訊雲:雲備份(國際站支持跨地域)

三、DPP1-DPP3 加 DPP5-DPP6:其餘五原則怎麼落到配置?
DPP1 收集目的與方式怎樣映射到雲服務?
DPP1 要求:合法目的收集、最小範圍、告知使用目的和轉移對象。
雲上的兩個落點:
- 最少收集原則:用戶註冊表單不設「身份證號」「出生日期」等非必填字段。這不是法務部的事,是後端 API 的字段校驗邏輯。設計數據模型時就限制收集範圍,而不是事後刪。2025 年 PCPD 接獲的 17,691 宗公眾查詢中,最常見的主題之一就是「收集和使用個人資料(特別是 HKID 資訊)」
- 隱私聲明可訪問:PDPO 要求資料當事人能查閱隱私政策。網頁託管在 S3/Blob/GCS 上沒問題,但隱私聲明 URL 必須在全站每一頁的頁腳可訪問。2026 年 PCPD AI 合規檢查發現,24 家通過 AI 收集或使用個人資料的機構中,約 71% 制定了內部政策,但仍有 29% 沒有,這在正式檢查中會被直接標記
DPP2 保留期限怎樣自動化執行?
DPP2 是雲上最容易落地但也最容易被遺忘的原則:資料保存不超過收集目的所需的時間。
雲服務商都提供自動化工具:
| 廠商 | 對象儲存生命週期 | 數據庫自動清理 |
|---|---|---|
| AWS | S3 Lifecycle(到期自動刪除/轉 Glacier) | RDS 備份保留期(1-35天) |
| Azure | Blob Lifecycle Management | SQL DB 長期保留策略(LTR) |
| GCP | Object Lifecycle(刪除/換儲存類別) | Cloud SQL 自動備份+到期刪除 |
| 阿里雲 | OSS 生命週期 | RDS 備份保留(7-730天) |
| 騰訊雲 | COS 生命週期 | 雲數據庫自動備份+到期清理 |
一個容易忽略的場景:客戶要求刪除資料時,備份裡還留著一份副本。合規做法:備份保留期要短於或等於數據主儲存的保留期,且收到刪除請求時能從備份中定位並刪除對應記錄。PCPD 在 2025 年對教育機構(HKICC 和 HKCT)的檢查中,特別建議了「增強數據保留政策和定期安全審計」。
DPP3 跨境傳輸和用途限制怎麼設?
DPP3 的核心:不得用於收集目的之外的用途,除非獲得自願明示同意。
雲架構層面的三個關鍵配置:
- 跨境傳輸:PDPO 第 33 條(跨境傳輸限制)尚未生效,但 PCPD 雲計算指引要求資料使用者知道資料儲存的司法管轄區,並確保獲得與香港同等水平的保護。實操上,選香港 region 儲存客戶個人資料(AWS ap-east-1、Azure Southeast Asia、GCP asia-east2 均覆蓋香港)。如必須出境,簽署 DPA 合約加資料當事人明示同意
- 用途綁定:在數據庫層面用字段標註收集目的(“marketing""fulfillment""analytics”),不在 marketing 用途下使用 fulfillment 收集的資料
- AI/ML 訓練排除:如果使用雲廠商的 AI 服務(如 AWS Bedrock、Azure OpenAI),必須確認客戶資料不會被用於模型訓練。Azure 預設 Opt-out,AWS 需要手動設置。PCPD 2026 年 AI 檢查特別關注了這一點,使用 AI 的 24 家機構全部允許員工使用生成式 AI,但 AI 訓練數據的合規性仍是監管焦點
EC Healthcare 的教訓:PCPD 維持了對 EC Healthcare 的執法決定,該集團將旗下品牌 Primecare 和 NYMG 的客戶資料跨品牌共享,被裁定違反 DPP3 目的限制。AAB(行政上訴委員會)實質上否定了集團內部「資料一鍵合併」的做法。香港企業如果有多個品牌或子公司,每個實體必須獨立獲得資料當事人同意才能共享資料,不能靠一份總隱私聲明覆蓋。
DPP5 透明度:隱私政策頁要寫什麼?
DPP5 要求資料使用者公開資料政策和實踐。雲上落地兩件事:
- 隱私政策頁:必須包含收集哪些資料、用於什麼目的、轉給哪些類別的第三方(包括你用的雲服務商名稱)、資料儲存位置、資料主體權利行使途徑
- CSP 合約條款:雲服務商的標準條款需要升級,明確資料刪除權、審計權、分包商盡調義務。PCPD 雲計算指引發布後,AWS、Azure、阿里雲已先後在香港區域推出「PDPO Ready」合規套餐,但需要主動向 CSP 或代理商申請,不預設提供
DPP6 查閱與更正權:SAR 響應流程怎麼設計?
DPP6 要求資料使用者提供查閱和更正個人資料的渠道。雲上的兩個配置:
- 資料導出能力:確保能從數據庫/對象儲存中導出單一客戶的所有個人資料。這在技術上意味著你的數據模型必須支持按
customer_id檢索所有關聯的個人資料字段。如果數據散落在 7 個微服務裡,響應一個 SAR(Subject Access Request)可能就要兩週 - 更正審計追蹤:每次資料修改要記錄誰改的、改了什麼、什麼時候改的。PostgreSQL/MySQL 的 trigger 審計表即可實現,不需要額外買工具
四、PCPD 審計實戰:檢查流程、證據包與行業差異
PCPD 的合規檢查有三種觸發方式:主動抽查(如 2025-2026 年的 AI 使用合規檢查,每年選定 60 家機構)、外洩事故後的強制調查(246 宗通報中的高風險案例)、以及投訴引發的針對性檢查(4,228 宗投訴中約 90% 涉及私營機構或個人)。
檢查流程
當 PCPD 發函通知要做合規檢查時,典型流程是:
- 問卷階段:PCPD 發送詳細問卷,涵蓋你收集哪些個人資料、用什麼系統儲存、採取了哪些保安措施、有沒有資料外洩應對計劃。問卷必須在指定期限內回覆
- 文件審查:PCPD 要求提交支援文件:加密配置截圖、訪問控制策略文檔、審計日誌樣本、DPA 合約副本、隱私政策頁面鏈接
- 現場訪問(如適用):高風險行業或投訴案件中,PCPD 可能進行現場檢查,查看實際系統配置
- 報告階段:PCPD 出具檢查報告。如果沒有發現違規,案件歸檔。如果發現不合規,發出執行通知要求限期整改
- 整改追蹤:企業必須在執行通知規定的期限內完成整改,並向 PCPD 提交整改證明。未遵守執行通知是刑事罪行
證據包清單
PCPD 檢查時,你應該能立即拿出的核心證據:
| 證據類型 | 具體文件 | 覆蓋的 DPP |
|---|---|---|
| 加密配置 | KMS/Key Vault 截圖、密鑰輪換策略、CMK 使用記錄 | DPP4 |
| 訪問控制 | IAM 策略清單、MFA 啟用記錄、權限審計日誌 | DPP4 |
| 審計日誌 | CloudTrail 查詢結果、Config 規則評估、不可篡改儲存證明 | DPP4 |
| 備份策略 | 備份計劃、跨區域配置、恢復測試記錄 | DPP4 |
| 隱私合規 | 隱私政策 URL、資料收集清單、PICS(個人資訊收集聲明) | DPP1, DPP5 |
| 資料生命週期 | S3/Blob 生命週期策略、數據庫備份保留設置 | DPP2 |
| 跨境傳輸 | DPA 合約、資料當事人同意記錄、SCC 文本 | DPP3 |
| 資料主體權利 | SAR 響應流程、資料導出能力證明、更正審計追蹤 | DPP6 |
| 合約條款 | CSP 合約(含資料刪除權、審計權、分包商盡調條款) | DPP4, DPP5 |
實操提示:上述證據不要等到 PCPD 發函才準備。建議每季度導出一份完整的證據包,存檔在不可篡改的對象儲存中。這份證據包本身也可以作為 DPP4 合規的證明:「看,我們每季度做一次合規自查」。
行業差異化要求
不同行業在 PDPO 基線之上有額外的合規負擔:
金融業(銀行、保險、證券):受 HKMA 和 SFC 雙重監管。HKMA 的 TM-G-1 和 SA-2 指引將 DPP4 的「合理保安措施」標準提升到國防級別。金融機構必須實施 Zero-Trust 架構、強制 HSM 加密、每半年進行第三方滲透測試。2026 年 6 月 SFC 還特別發函要求持牌機構加強應對 AI 驅動的網絡威脅。即使用 AWS/Azure 的香港 Region,金融客戶還需要額外配置:專用加密密鑰(非共享 HSM)、數據庫級別審計(非僅 API 級別)、以及向 HKMA 報備的雲服務供應商清單。
醫療業:病人資料屬於敏感個人資料。PCPD 在 2025 年檢查中特別關注了醫療機構的資料訪問控制:誰能看病人資料、不同科室之間資料共享是否有同意基礎。DICOM 醫療影像儲存在雲上時,需要額外的去標識化處理。
SaaS/科技業:核心風險是多租戶資料隔離。如果一個 SaaS 平台同時服務多個客戶,必須確保 Tenant A 的資料對 Tenant B 完全不可見。數據庫層面的 Row-Level Security 或獨立 Schema 是最低要求。PCPD 2026 年 AI 檢查特別關注了 AI SaaS 企業如何使用客戶資料訓練模型,必須有明確的 Opt-out 機制。
電商業:核心風險是支付數據和營銷數據的混合使用。PCPD 對直接促銷(direct marketing)有專門的嚴格規定,違規最高罰款 HK$100 萬加監禁五年。電商企業必須確保:交易數據和營銷數據邏輯隔離、促銷郵件/SMS 有明確的 Opt-out 機制、跨境訂單涉及的個人資料傳輸有 DPA 覆蓋。
五、五廠商 PDPO 合規能力對比
以下對比基於各廠商官方 PDPO 合規白皮書、PCPD 雲計算指引(2025 年 1 月)、實際幫客戶配置的經驗,以及 2025-2026 年 PCPD 檢查中觀察到的行業實踐:
| 合規維度 | AWS | Azure | GCP | 阿里雲(國際站) | 騰訊雲(國際站) |
|---|---|---|---|---|---|
| PDPO 合規白皮書 | 有:數據隱私頁 + HKMA 金融合規指南 | 有:信任中心合規文檔 | 有:PDPO 白皮書 + 合約條款映射 | 有:PDPO 遵從性說明 | 有:PDPO 隱私合規白皮書(32頁) |
| 香港 Region | ap-east-1(3 AZ) | Southeast Asia | asia-east2(已上線) | 香港節點(國際站) | 香港節點(2+ AZ) |
| 靜態加密(預設) | S3/EBS/RDS 預設 | 全部預設 | 全部預設 | 部分需手動 | 部分需手動 |
| 客戶自主密鑰 | CMK + XKS | BYOK + HSM | CMEK | BYOK | BYOK |
| 審計日誌不可篡改 | S3 Object Lock | Immutable Blob | Bucket Lock | 需額外配置 | 需額外配置 |
| DPA 合約支持 | DPA 自動包含 | DPA 預設 | DPA 自動 | 需與代理商簽署 | 需與代理商簽署 |
| 跨境傳輸工具 | Artifact + 合規報告 | Compliance Manager | Compliance Reports Manager | 信任中心合規報告 | 信任中心合規報告 |
| ISO 27001/27017/27018 | 三項齊全 | 三項齊全 | 三項齊全 | 三項齊全 | 三項齊全 |
| PCPD 雲計算指引覆蓋 | PDPO Ready 合規套餐 | PDPO Ready 合規套餐 | 白皮書覆蓋 | 白皮書覆蓋 | 白皮書覆蓋 |
| 客戶資料刪除權 | 賬號關閉後自動刪除 | 賬號關閉後自動刪除 | 賬號關閉後自動刪除 | 需在合約中約定 | 需在合約中約定 |
| 金融業 HKMA 合規支持 | 有(HKMA 金融合規指南) | 有(合規管理器金融模板) | 第三方顧問補充 | 需自力 | 需自力 |
資料來源:AWS 香港數據隱私頁(2026)、Azure 信任中心、GCP PDPO 白皮書(2026)、華為雲 PDPO 遵從性說明 v2.0(2025.1)、騰訊雲 PDPO 隱私合規白皮書修訂版
選廠商的建議:
- 只做香港本地業務、不想操心合規配置,選 AWS ap-east-1:DPP4 映射最成熟,CloudTrail+Config+KMS 三者閉環完整,HKMA 金融合規指南是獨有優勢,PCPD 檢查時審計證據鏈最清晰
- 微軟 365 重度用戶、已有 EA 合約,選 Azure Southeast Asia:Hybrid Benefit 疊加、Defender for Cloud 配合 Sentinel 的 SIEM 能力在合規審計場景下是獨有優勢,合規管理器金融模板對 HKMA 合規有幫助
- 數據分析和 AI 是核心業務,選 GCP asia-east2:BigQuery 和 Vertex AI 的生態完整性最高,但需要額外的合約條款協商。阿里雲和騰訊雲同理,國際站 DPA 條款在代理商層面簽署比原廠更靈活
- 如果行業屬於 PCIO 八大關鍵基礎設施行業(能源、IT、銀行金融、交通、醫療、電訊廣播),必須在廠商合規能力之外,額外建立 PCIO 合規體系,PCIO 2026 年 1 月生效,要求 CI 運營者實施安全管理系統、定期風險評估和事故通報
六、企業自查清單與落地路線圖
自查清單
以下是按 PDPO 六原則組織的雲架構合規自查清單。每項只有「已完成」「未完成」「不適用」三種狀態。建議每季度自查一次,PCPD 檢查時這份清單本身也是審計證據。
DPP1 收集目的與方式
- 所有收集個人資料的入口(註冊表單、API 接口、AI 客服)有明確的隱私聲明鏈接
- 收集的資料字段有書面記錄,標註每個字段的收集目的和必要性
- 第三方 SDK(如數據分析、廣告追蹤、AI 客服平台)的資料收集範圍已審查
DPP2 準確性與保留期限
- 對象儲存(S3/Blob/GCS/OSS/COS)已設定生命週期策略,到期自動刪除
- 數據庫備份保留期不超過主儲存保留期
- 有明確的資料更正流程,支持客戶提交更正請求
- 已向第三方告知數據不準時的更正義務(DPP2(3))
DPP3 使用限制
- 不同用途收集的資料邏輯隔離(marketing 用途與 fulfillment 用途數據不混合使用)
- 跨境傳輸有 DPA 合約 + 資料當事人明示同意記錄
- 雲廠商 AI/ML 服務已確認不用於模型訓練
- 集團內部多品牌間資料共享有獨立的當事人同意(參考 EC Healthcare 案例)
DPP4 資料安全
- 所有儲存客戶資料的服務開啟靜態加密,優先使用 CMK
- CMK 密鑰開啟自動輪換(非金融企業 365 天,金融機構 180 天)
- 所有對外服務最低 TLS 1.2,內部服務間通信加密
- IAM 按角色最小權限,根賬號 MFA 強制
- 儲存客戶資料的資源在私有子網,通過 Private Endpoint 暴露
- CloudTrail/ActionTrail/CloudAudit 對所有區域開啟且日誌不可篡改
- 有安全告警聚合(Security Hub/Defender for Cloud/Security Command Center)
- 跨區域備份開啟,備份保留期與 RPO/RTO 匹配
- 金融業客戶:HSM 加密 + Zero-Trust 架構 + 半年滲透測試
DPP5 透明度
- 隱私政策頁包含:收集的資料類型、使用目的、轉移的第三方類別、CSP 名稱、資料儲存地點
- 與 CSP 的合約明確資料刪除權、審計權、分包商盡調義務
- 隱私政策使用清晰語言,非法律術語堆砌
DPP6 查閱與更正
- 數據庫設計支持按客戶 ID 一次性檢索所有個人資料字段
- 資料修改有審計追蹤(誰改的、改什麼、何時改)
- 響應 SAR 的流程文檔化,團隊知道誰負責、響應時限
三階段落地路線圖
第一階段:本週能做的(操作量 < 半天)
不需要架構調整,單人可在幾小時內完成:
- 強制所有 IAM 賬號啟用 MFA
- 檢查所有 S3/Blob/GCS bucket,關閉 public access
- 開啟 CloudTrail/ActionTrail/CloudAudit(所有區域)
- 設定數據庫自動備份(最少 7 天保留期)
- 確認所有對外服務最低 TLS 1.2
第二階段:本月能做的(操作量約一週)
需要若干配置工作,但不涉及架構變更:
- 將預設加密密鑰切換為 CMK,設定 365 天自動輪換
- 為所有 S3/Blob/GCS bucket 設定生命週期策略
- 整理隱私政策頁面,確保包含所有 PDPO 要求的要素
- 審查並記錄所有收集個人資料的入口和字段
- 準備 DPA 合約模板(如與 CSP 尚未簽署)
- 設定 CloudTrail 日誌的不可篡改儲存(S3 Object Lock/Immutable Blob)
第三階段:本季度能做的(需要架構調整)
涉及較大的配置變更,可能需要外部協助:
- IAM 角色按最小權限原則重建
- 將儲存客戶資料的資源遷入私有子網,通過 Private Endpoint 暴露
- 部署 Security Hub/Defender for Cloud/Security Command Center 安全告警聚合
- 建立跨區域災備架構
- 完成多租戶資料隔離審查(SaaS 企業)
- 完成 PCIO 合規評估(如適用)
- 準備完整的 PCPD 審計證據包
- 每季度定期的合規自查流程制度化
七、常見問題
1. 用了 AWS 香港 region,是不是自動就 PDPO 合規了?
不是。AWS 香港 region 的基礎設施層面通過了 ISO 27001/27017/27018 等認證,但 PDPO 六項原則中涉及資料使用方式、保留期限、跨境傳輸邏輯的部分,都屬於客戶責任範圍。用 Shared Responsibility Model 理解:廠商負責雲本身的安全,你負責你在雲上做的事。雲廠商不會替你設 S3 生命週期策略,也不會替你判斷某個客戶資料該不該跨境傳輸。
2. Section 33(跨境傳輸限制)還沒生效,跨境傳輸需要管嗎?
法律上不強制,但 PCPD 的態度很清楚:即使 Section 33 未生效,資料使用者仍需確保跨境傳輸的資料獲得同等水平的保護。實操上,如果必須把香港客戶的資料傳輸到其他 region,至少做三件事:簽署 DPA、在隱私政策中披露傳輸目的地、獲得資料當事人明示同意。不做這三件事,PCPD 檢查時大概率被標記整改。
3. 15 人的香港中小企,DPP4 這麼多要求怎麼做?
坦白說:大企業的全套方案對中小企確實過重。建議按上文的三階段路線圖執行。第一批(本週能做的)操作量不到半天,即可覆蓋 DPP4 最核心的 MFA + 關 public bucket + 開 CloudTrail + 數據庫備份四項。第二批(本月能做的)操作量約一週,完成後你的合規基礎已經超過 80% 的香港中小企。第三批(本季度能做的)需要架構調整,建議找代理商或技術顧問協助。
4. 阿里雲和騰訊雲國際站的 PDPO 合規能力跟 AWS/Azure 差多少?
在基礎設施認證層面(ISO 27001/27017/27018)五家是平齊的。差距在兩點:審計日誌的完整性和不可篡改性,AWS CloudTrail + S3 Object Lock 的閉環最成熟;DPA 合約的可得性,AWS/Azure/GCP 的 DPA 是產品自帶的標準條款,阿里雲和騰訊雲國際站的 DPA 需要在代理商合約層面額外約定。如果已經在用阿里雲或騰訊雲且不想切換,核心是找對代理商把合規條款寫進合約。
5. PCPD 檢查時最常查什麼?應該優先準備什麼?
根據 2024-2025 年 PCPD 的公開執法數據,最常見的問題三類:資料外洩後沒有及時通報(DPP4)、隱私政策形同虛設(寫了但實際資料收集遠超聲明範圍,DPP1)、資料保留超期(數據庫裡存著五年前的客戶資料沒有刪除機制,DPP2)。優先準備這三項:審計日誌能證明「我們知道誰在什麼時候訪問了什麼數據」、隱私政策與實際的資料收集範圍一致、有自動化的資料到期刪除機制。
6. PDPO 合規配置做完後,怎麼證明給 PCPD 看?
用雲廠商的合規報告功能生成證據包。AWS Artifact 可下載 ISO 27001/SOC2 等認證報告加你的 Config 規則評估結果;Azure Compliance Manager 提供合規評分加改善建議;GCP Compliance Reports Manager 提供第三方審計報告。配上一份自填的本文第六章自查清單(標註完成日期),就是一套完整的審計證據鏈。我自己幫客戶做合規審查時,這套組合沒有一次被 PCPD 退回。
7. 什麼時候需要擔心 PCIO(關鍵基礎設施條例)?
如果你的公司屬於八大行業(能源、IT、銀行金融、交通、醫療、電訊廣播),且被政府指定為關鍵基礎設施運營者(CIO),PCIO 已於 2026 年 1 月 1 日全面生效。PCIO 要求 CIO 實施網絡安全管理系統、定期安全風險評估和事故通報。這不是替代 PDPO,是在 PDPO 上面疊加一層行業監管要求。如果你不確定自己是否屬於 CIO,先檢查公司是否在八大行業內,然後諮詢法律顧問。
8. 合規配置和成本之間怎麼平衡?
不是所有 DPP4 控制都需要最高級別配置。按風險分級:客戶個人資料(姓名、電話、HKID)需要 CMK + 不可篡改審計日誌;內部業務數據(訂單、庫存)預設加密即可;公開資料(產品頁面、新聞稿)不需要額外控制。中小企的合理策略是:先覆蓋高風險數據,再逐步擴展。以 20 人 SaaS 公司為例,完成第一階段合規(MFA + CloudTrail + 備份 + 關 public bucket)的增量雲成本不到 HKD 500/月,但合規基礎已經覆蓋了 PCPD 檢查中最常見的 60% 問題。
關於 SevenColorYun
作為 AWS 合作夥伴和 GCP Premier Partner,過去兩年幫 30 多家香港本地企業完成了 PDPO 雲合規架構審查:從法務部的六原則解讀到 IT 團隊的控制台配置,把中間的斷層補上。我們經手的客戶涵蓋金融、醫療、SaaS、電商等行業,不同行業的合規負擔差異我們清楚。
我們的服務:
- PDPO 雲合規架構審查:六原則逐項對你的 AWS/Azure/GCP/阿里雲/騰訊雲環境做差距分析,輸出行業差異化的整改清單和優先級排序
- 合約條款升級:協助審查和升級與 CSP 的 DPA 條款,確保資料刪除權、審計權、分包商盡調義務寫入合約。金融業客戶額外覆蓋 HKMA 合規要求
- 加密與審計配置落地:CMK 密鑰管理、CloudTrail 審計日誌不可篡改、生命週期策略自動化。不是口頭建議,是實際幫你在控制台配好
- PCPD 審計準備:協助準備完整的證據包(加密配置、訪問控制、審計日誌、DPA 合約、PICS),確保 PCPD 發函時你能在 48 小時內響應
你的雲環境能過 PDPO 審計嗎?發郵件來,免費幫你做一次六原則快速差距分析。
相關閱讀
- 香港企業雙軌雲架構實戰指南:國際雲+中國大陸雲混合部署與跨境合規(2026) :PDPO 合規的架構落地篇,四層雙軌模型(網絡→計算→數據→管控)+ 跨境專線 + 五廠商雙軌適配對比
- 香港持牌虛擬資產交易平台(VATP)雲端基礎設施部署指南:SFC 合規 + 多雲架構(2026) :受監管行業的合規實例,VATP 在 SFC 監管下如何把 PDPO 資料保護與 KYC 要求落到雲架構
- 香港註冊公司如何採購雲服務?FPS對公付款、Invoice做賬、PDPO資料合規、代理商驗證全流程(2026) :香港公司從註冊到採購到合規的完整實操指南,本文的姊妹篇
- AWS 賬單為什麼還在漲?五個隱性成本洩漏點全面排查與止血清單 :DPP4 合規配置完成後,下一步是控制成本。用量側五個洩漏點逐個拆解
- AWS 代理商折扣指南:企業如何通過代理採購節省雲成本 :AWS 代理採購的折扣機制、EDP vs 代理對比、代理商驗證方法
- 香港雲伺服器選型完整指南:AWS vs Azure vs 騰訊雲 延遲、成本、合規三維對比(2026) :合規配置完成後,伺服器選型是下一步——三廠商 HK Region 延遲、成本、PDPO 合規橫向對比
- GCP 代理商折扣指南 2026:承諾使用折扣與代理價疊加詳解 :GCP CUD 與代理折扣疊加計算,香港區域 GCP 採購實操
TokenByte— 开发者自助 AI API 平台
聚合 OpenAI / Claude / Gemini 等主流模型,在线注册即开即用