Hướng dẫn tuân thủ PDPO về sự đồng ý cookie của Hồng Kông cho nhà xuất bản năm 2026
Personal Data (Privacy) Ordinance (PDPO) của Hồng Kông là một trong những đạo luật bảo mật toàn diện lâu đời nhất ở Châu Á, có hiệu lực vào năm 1996. Trong phần lớn thời gian tồn tại, PDPO chiếm một vị trí kỳ lạ: vững chắc về mặt cấu trúc nhưng phát triển chậm chạp thông qua giải thích hơn là sửa đổi. Privacy Commissioner for Personal Data (PCPD) là động lực tích cực của sự phát triển đó, xuất bản các ghi chú hướng dẫn đã dần dần điều chỉnh tiêu chuẩn hoạt động của Hồng Kông với các chuẩn mực châu Âu trong khi luật pháp cơ bản thay đổi ít kịch tính hơn so với Singapore, Úc hoặc thậm chí Mainland China. Các sửa đổi năm 2021 giải quyết cụ thể vấn đề doxxing, nhưng chế độ bảo mật rộng hơn tiếp tục hoạt động theo khung PDPO gốc được giải thích qua gần ba thập kỷ hướng dẫn của PCPD. Đối với các nhà xuất bản và nhà điều hành SaaS phục vụ lưu lượng Hồng Kông — một thị trường bao gồm một trong những nồng độ hoạt động dịch vụ tài chính lớn nhất châu Á và một phần đáng kể của thương mại điện tử khu vực — bức tranh tuân thủ PDPO năm 2026 là hình ảnh của một cơ quan quản lý trưởng thành, tiêu chuẩn nghiêm ngặt vừa phải và các tài liệu hướng dẫn rõ ràng bất thường. Bài viết này đề cập đến những gì PDPO yêu cầu, nơi PCPD đã áp dụng khung cho việc theo dõi trực tuyến và các hệ quả hoạt động cho thiết kế banner cookie.
Tổng quan về PDPO
PDPO được tổ chức xung quanh sáu Nguyên tắc Bảo vệ Dữ liệu (DPP) điều chỉnh việc thu thập, độ chính xác, lưu giữ, sử dụng, bảo mật và tính cởi mở của dữ liệu cá nhân. Các nguyên tắc này ra đời trước GDPR gần hai thập kỷ và sử dụng thuật ngữ có phần khác biệt, nhưng các tiêu chuẩn thực chất đã hội tụ thông qua giải thích. DPP1 (mục đích và phương thức thu thập), DPP3 (sử dụng dữ liệu cá nhân) và DPP5 (thông tin có sẵn nói chung) là những nguyên tắc có liên quan trực tiếp nhất đến việc theo dõi trực tuyến.
Pháp lệnh áp dụng cho bất kỳ người dùng dữ liệu nào — thuật ngữ của Hồng Kông cho những gì GDPR gọi là bộ kiểm soát — kiểm soát việc thu thập, lưu giữ, xử lý hoặc sử dụng dữ liệu cá nhân. Phạm vi lãnh thổ là một lĩnh vực tranh chấp: PDPO xuất hiện trước các học thuyết ngoài lãnh thổ và PCPD trong lịch sử đã có quan điểm thận trọng hơn EDPB về việc thực thi ở nước ngoài. Trong thực tế PCPD khẳng định thẩm quyền đối với các nhà điều hành nước ngoài nhắm mục tiêu vào cư dân Hồng Kông hoặc xử lý dữ liệu Hồng Kông với mối liên hệ đủ, và các nhà điều hành phục vụ lưu lượng Hồng Kông nên lên kế hoạch như thể phạm vi ngoài lãnh thổ có áp dụng.
PDPO Xử lý Cookie và Theo dõi Trực tuyến như thế nào
PDPO không có điều khoản dành riêng cho cookie; các nghĩa vụ đồng ý và thông tin xuất phát từ các DPP và từ 2022 Guidance Note của PCPD về Theo dõi Trực tuyến và Quảng cáo Hành vi. Hướng dẫn là một trong những tài liệu rõ ràng nhất về tuân thủ cookie châu Á và trình bày các kỳ vọng phù hợp chặt chẽ với lập trường của EDPB Cookie Banner Taskforce.
Đồng ý khẳng định cho việc theo dõi không cần thiết
Lập trường của PCPD là đồng ý phải rõ ràng cho việc theo dõi không cần thiết. Đồng ý ngầm định, sử dụng tiếp tục và các hộp được đánh dấu sẵn không đáp ứng yêu cầu cụ thể và được thông báo của DPP1 khi được giải thích trong bối cảnh trực tuyến. Ghi chú Hướng dẫn đặc biệt đặt tên scroll-as-consent là một mẫu bị khiếm khuyết.
Kiểm soát danh mục chi tiết
Banner phải cho phép người dùng chấp nhận và từ chối các danh mục một cách độc lập. Hướng dẫn coi nút Chấp nhận tất cả một nút duy nhất mà không có từ chối tương đương là lỗi cấu trúc và xác định việc dán nhãn sai cookie tiếp thị là hoàn toàn cần thiết là vi phạm riêng biệt.
Nội dung thông báo bảo mật
DPP5 trong lịch sử là một trong những nguyên tắc được thực thi tích cực nhất. Thông báo bảo mật phải xác định người dùng dữ liệu, mục đích, người nhận (bao gồm người nhận chuyển giao), khung quyền theo DPP6 (quyền truy cập và sửa chữa) và một điểm liên hệ cho các câu hỏi. PCPD đã nêu rõ rằng các thông báo mẫu chung không đáp ứng DPP5 — việc tiết lộ phải phản ánh quá trình xử lý thực tế.
Chuyển giao xuyên biên giới (Section 33)
Section 33 của PDPO điều chỉnh các chuyển giao xuyên biên giới và trong phần lớn lịch sử của Pháp lệnh, đây là tính năng bất thường nhất của chế độ: phần này được thông qua vào năm 1995 nhưng chưa bao giờ được Thư ký đưa vào hiệu lực. Tuy nhiên PCPD đã ban hành các điều khoản hợp đồng mẫu và coi các biện pháp bảo vệ kiểu Section 33 là thực sự cần thiết đối với các chuyển giao đến các quyền tài phán ngoài Hồng Kông. Tình trạng pháp lý là mơ hồ — Section 33 là luật nhưng không hoạt động — nhưng kỳ vọng hoạt động theo Chapter V của GDPR.
Lập trường Thực thi của PCPD
PCPD hoạt động với phong cách thực thi đặc biệt khác biệt so với các cơ quan bảo vệ dữ liệu lớn của châu Âu theo ba cách có thể quan sát được.
Sử dụng rộng rãi các cuộc điều tra tuân thủ
Công cụ thực thi chính của PCPD là cuộc điều tra tuân thủ, kết thúc bằng thông báo thực thi thay vì phạt tiền. Các thông báo yêu cầu khắc phục trong một khung thời gian quy định và thường được giải quyết mà không có hình phạt tiền tệ. Các hình phạt dân sự tồn tại nhưng được sử dụng thưa thớt.
Bình luận công khai như tín hiệu thực thi
PCPD xuất bản các báo cáo điều tra chi tiết cho các vụ án nổi bật hoạt động như án lệ khi không có các khoản phạt tiền tạo ra tiền lệ mạnh mẽ. Các nhà điều hành đọc kỹ các báo cáo này vì chúng nêu rõ các kỳ vọng cụ thể có thể không xuất hiện trong hướng dẫn chính thức.
Phối hợp với Đại lục
Các cuộc điều tra xuyên biên giới liên quan đến luồng dữ liệu Hồng Kông và Mainland China ngày càng được xử lý thông qua các thủ tục phối hợp với Cyberspace Administration of China. Phạm vi ngoài lãnh thổ của PIPL và vị trí của Hồng Kông trong khuôn khổ kinh tế Greater Bay Area làm cho sự phối hợp này có ý nghĩa hoạt động hơn so với hầu hết các quyền tài phán.
Danh sách kiểm tra tuân thủ thực tế
Sáu câu hỏi cụ thể cần trả lời cho bất kỳ banner cookie nào phục vụ lưu lượng Hồng Kông.
- Có từ chối rõ ràng ở lớp đầu tiên không? Đường dẫn từ chối phải nằm trên cùng bề mặt với chấp nhận, với độ nổi bật tương đương. Scroll-as-consent và sử dụng tiếp tục không đáp ứng 2022 Guidance.
- Các danh mục có chi tiết không? Cần thiết, phân tích và tiếp thị phải được kiểm soát riêng lẻ.
- Thông báo DPP5 có cụ thể không? Xác nhận rằng thông báo bảo mật xác định người dùng dữ liệu thực tế, mục đích và người nhận.
- Ngôn ngữ có phù hợp không? Đối với những đối tượng có thể bao gồm người nói tiếng Trung bản ngữ, banner và thông báo nên có sẵn bằng Traditional Chinese (tiêu chuẩn ở Hồng Kông) cũng như tiếng Anh.
- Các chuyển giao xuyên biên giới có được ghi lại không? Section 33 không hoạt động, nhưng PCPD coi các biện pháp bảo vệ hợp đồng là điều kỳ vọng. Xác định từng điểm đến ngoài Hồng Kông và biện pháp bảo vệ ủy quyền chuyển giao.
- Nhật ký đồng ý có ở cấp độ kiểm toán không? Cần có hồ sơ quyết định đồng ý với dấu thời gian và phiên bản banner để trả lời cuộc điều tra tuân thủ của PCPD.
Hồng Kông Phù hợp ở đâu trong Ngăn xếp Đa Quyền tài phán
Hồng Kông là chế độ bảo vệ dữ liệu trưởng thành nhất ở Greater China và đóng vai trò là điểm vào thực tế cho các luồng dữ liệu xuyên biên giới giữa Mainland China và phần còn lại của thế giới. Đối với các nhà xuất bản xây dựng hướng đến hoạt động toàn châu Á, PDPO đứng cùng PDPA của Singapore, APPI của Nhật Bản và PIPA của Hàn Quốc là bốn chế độ châu Á có hệ quả hoạt động lớn nhất. PDPO là chế độ dễ tính nhất trong bốn chế độ trên giấy nhưng đòi hỏi chất lượng tài liệu cao nhất, vì việc thực thi do điều tra dẫn đầu của PCPD làm cho thông báo bảo mật được viết tốt trở thành tuyến phòng thủ đơn lẻ mạnh nhất. Kiến trúc CMP được xây dựng theo tiêu chuẩn châu Âu xử lý phần lớn sự tuân thủ của Hồng Kông với hai bổ sung: hỗ trợ ngôn ngữ Traditional Chinese và mô hình tài liệu chuyển giao xuyên biên giới mà Section 33 ngụ ý ngay cả khi không chính thức có hiệu lực. Đối với các nhà điều hành phục vụ Hồng Kông từ nước ngoài, lập trường thực tế là coi 2022 Guidance Note của PCPD là tài liệu có thẩm quyền và thiết kế dựa trên các mẫu thất bại cụ thể của nó thay vì chỉ dựa trên văn bản PDPO cũ hơn.