Hướng dẫn tuân thủ PDPO về sự đồng ý cookie của Hồng Kông cho nhà xuất bản năm 2026

Personal Data (Privacy) Ordinance (PDPO) của Hồng Kông là một trong những đạo luật bảo mật toàn diện lâu đời nhất ở Châu Á, có hiệu lực vào năm 1996. Trong phần lớn thời gian tồn tại, PDPO chiếm một vị trí kỳ lạ: vững chắc về mặt cấu trúc nhưng phát triển chậm chạp thông qua giải thích hơn là sửa đổi. Privacy Commissioner for Personal Data (PCPD) là động lực tích cực của sự phát triển đó, xuất bản các ghi chú hướng dẫn đã dần dần điều chỉnh tiêu chuẩn hoạt động của Hồng Kông với các chuẩn mực châu Âu trong khi luật pháp cơ bản thay đổi ít kịch tính hơn so với Singapore, Úc hoặc thậm chí Mainland China. Các sửa đổi năm 2021 giải quyết cụ thể vấn đề doxxing, nhưng chế độ bảo mật rộng hơn tiếp tục hoạt động theo khung PDPO gốc được giải thích qua gần ba thập kỷ hướng dẫn của PCPD. Đối với các nhà xuất bản và nhà điều hành SaaS phục vụ lưu lượng Hồng Kông — một thị trường bao gồm một trong những nồng độ hoạt động dịch vụ tài chính lớn nhất châu Á và một phần đáng kể của thương mại điện tử khu vực — bức tranh tuân thủ PDPO năm 2026 là hình ảnh của một cơ quan quản lý trưởng thành, tiêu chuẩn nghiêm ngặt vừa phải và các tài liệu hướng dẫn rõ ràng bất thường. Bài viết này đề cập đến những gì PDPO yêu cầu, nơi PCPD đã áp dụng khung cho việc theo dõi trực tuyến và các hệ quả hoạt động cho thiết kế banner cookie.

Tổng quan về PDPO

PDPO được tổ chức xung quanh sáu Nguyên tắc Bảo vệ Dữ liệu (DPP) điều chỉnh việc thu thập, độ chính xác, lưu giữ, sử dụng, bảo mật và tính cởi mở của dữ liệu cá nhân. Các nguyên tắc này ra đời trước GDPR gần hai thập kỷ và sử dụng thuật ngữ có phần khác biệt, nhưng các tiêu chuẩn thực chất đã hội tụ thông qua giải thích. DPP1 (mục đích và phương thức thu thập), DPP3 (sử dụng dữ liệu cá nhân) và DPP5 (thông tin có sẵn nói chung) là những nguyên tắc có liên quan trực tiếp nhất đến việc theo dõi trực tuyến.

Pháp lệnh áp dụng cho bất kỳ người dùng dữ liệu nào — thuật ngữ của Hồng Kông cho những gì GDPR gọi là bộ kiểm soát — kiểm soát việc thu thập, lưu giữ, xử lý hoặc sử dụng dữ liệu cá nhân. Phạm vi lãnh thổ là một lĩnh vực tranh chấp: PDPO xuất hiện trước các học thuyết ngoài lãnh thổ và PCPD trong lịch sử đã có quan điểm thận trọng hơn EDPB về việc thực thi ở nước ngoài. Trong thực tế PCPD khẳng định thẩm quyền đối với các nhà điều hành nước ngoài nhắm mục tiêu vào cư dân Hồng Kông hoặc xử lý dữ liệu Hồng Kông với mối liên hệ đủ, và các nhà điều hành phục vụ lưu lượng Hồng Kông nên lên kế hoạch như thể phạm vi ngoài lãnh thổ có áp dụng.

PDPO Xử lý Cookie và Theo dõi Trực tuyến như thế nào

PDPO không có điều khoản dành riêng cho cookie; các nghĩa vụ đồng ý và thông tin xuất phát từ các DPP và từ 2022 Guidance Note của PCPD về Theo dõi Trực tuyến và Quảng cáo Hành vi. Hướng dẫn là một trong những tài liệu rõ ràng nhất về tuân thủ cookie châu Á và trình bày các kỳ vọng phù hợp chặt chẽ với lập trường của EDPB Cookie Banner Taskforce.

Đồng ý khẳng định cho việc theo dõi không cần thiết

Lập trường của PCPD là đồng ý phải rõ ràng cho việc theo dõi không cần thiết. Đồng ý ngầm định, sử dụng tiếp tục và các hộp được đánh dấu sẵn không đáp ứng yêu cầu cụ thể và được thông báo của DPP1 khi được giải thích trong bối cảnh trực tuyến. Ghi chú Hướng dẫn đặc biệt đặt tên scroll-as-consent là một mẫu bị khiếm khuyết.

Kiểm soát danh mục chi tiết

Banner phải cho phép người dùng chấp nhận và từ chối các danh mục một cách độc lập. Hướng dẫn coi nút Chấp nhận tất cả một nút duy nhất mà không có từ chối tương đương là lỗi cấu trúc và xác định việc dán nhãn sai cookie tiếp thị là hoàn toàn cần thiết là vi phạm riêng biệt.

Nội dung thông báo bảo mật

DPP5 trong lịch sử là một trong những nguyên tắc được thực thi tích cực nhất. Thông báo bảo mật phải xác định người dùng dữ liệu, mục đích, người nhận (bao gồm người nhận chuyển giao), khung quyền theo DPP6 (quyền truy cập và sửa chữa) và một điểm liên hệ cho các câu hỏi. PCPD đã nêu rõ rằng các thông báo mẫu chung không đáp ứng DPP5 — việc tiết lộ phải phản ánh quá trình xử lý thực tế.

Chuyển giao xuyên biên giới (Section 33)

Section 33 của PDPO điều chỉnh các chuyển giao xuyên biên giới và trong phần lớn lịch sử của Pháp lệnh, đây là tính năng bất thường nhất của chế độ: phần này được thông qua vào năm 1995 nhưng chưa bao giờ được Thư ký đưa vào hiệu lực. Tuy nhiên PCPD đã ban hành các điều khoản hợp đồng mẫu và coi các biện pháp bảo vệ kiểu Section 33 là thực sự cần thiết đối với các chuyển giao đến các quyền tài phán ngoài Hồng Kông. Tình trạng pháp lý là mơ hồ — Section 33 là luật nhưng không hoạt động — nhưng kỳ vọng hoạt động theo Chapter V của GDPR.

Lập trường Thực thi của PCPD

PCPD hoạt động với phong cách thực thi đặc biệt khác biệt so với các cơ quan bảo vệ dữ liệu lớn của châu Âu theo ba cách có thể quan sát được.

Sử dụng rộng rãi các cuộc điều tra tuân thủ

Công cụ thực thi chính của PCPD là cuộc điều tra tuân thủ, kết thúc bằng thông báo thực thi thay vì phạt tiền. Các thông báo yêu cầu khắc phục trong một khung thời gian quy định và thường được giải quyết mà không có hình phạt tiền tệ. Các hình phạt dân sự tồn tại nhưng được sử dụng thưa thớt.

Bình luận công khai như tín hiệu thực thi

PCPD xuất bản các báo cáo điều tra chi tiết cho các vụ án nổi bật hoạt động như án lệ khi không có các khoản phạt tiền tạo ra tiền lệ mạnh mẽ. Các nhà điều hành đọc kỹ các báo cáo này vì chúng nêu rõ các kỳ vọng cụ thể có thể không xuất hiện trong hướng dẫn chính thức.

Phối hợp với Đại lục

Các cuộc điều tra xuyên biên giới liên quan đến luồng dữ liệu Hồng Kông và Mainland China ngày càng được xử lý thông qua các thủ tục phối hợp với Cyberspace Administration of China. Phạm vi ngoài lãnh thổ của PIPL và vị trí của Hồng Kông trong khuôn khổ kinh tế Greater Bay Area làm cho sự phối hợp này có ý nghĩa hoạt động hơn so với hầu hết các quyền tài phán.

Danh sách kiểm tra tuân thủ thực tế

Sáu câu hỏi cụ thể cần trả lời cho bất kỳ banner cookie nào phục vụ lưu lượng Hồng Kông.

Hồng Kông Phù hợp ở đâu trong Ngăn xếp Đa Quyền tài phán

Hồng Kông là chế độ bảo vệ dữ liệu trưởng thành nhất ở Greater China và đóng vai trò là điểm vào thực tế cho các luồng dữ liệu xuyên biên giới giữa Mainland China và phần còn lại của thế giới. Đối với các nhà xuất bản xây dựng hướng đến hoạt động toàn châu Á, PDPO đứng cùng PDPA của Singapore, APPI của Nhật Bản và PIPA của Hàn Quốc là bốn chế độ châu Á có hệ quả hoạt động lớn nhất. PDPO là chế độ dễ tính nhất trong bốn chế độ trên giấy nhưng đòi hỏi chất lượng tài liệu cao nhất, vì việc thực thi do điều tra dẫn đầu của PCPD làm cho thông báo bảo mật được viết tốt trở thành tuyến phòng thủ đơn lẻ mạnh nhất. Kiến trúc CMP được xây dựng theo tiêu chuẩn châu Âu xử lý phần lớn sự tuân thủ của Hồng Kông với hai bổ sung: hỗ trợ ngôn ngữ Traditional Chinese và mô hình tài liệu chuyển giao xuyên biên giới mà Section 33 ngụ ý ngay cả khi không chính thức có hiệu lực. Đối với các nhà điều hành phục vụ Hồng Kông từ nước ngoài, lập trường thực tế là coi 2022 Guidance Note của PCPD là tài liệu có thẩm quyền và thiết kế dựa trên các mẫu thất bại cụ thể của nó thay vì chỉ dựa trên văn bản PDPO cũ hơn.

← Blog Đọc tất cả →