2026年 Hong Kong PDPO Cookie 同意合规实操指南——出版商版
Hong Kong 的 Personal Data (Privacy) Ordinance (PDPO) 是亚洲历史最悠久的综合性隐私法规之一,于1996年正式生效。PDPO 长期处于一个较为特殊的位置:结构完善,但主要依靠解释而非修订来推动演变,发展相对缓慢。Privacy Commissioner for Personal Data (PCPD) 一直是推动这一演变的核心力量,通过发布指引文件持续将 Hong Kong 的操作标准与欧洲规范接轨,而基础立法的变化远不如新加坡、澳大利亚乃至 Mainland China 那样剧烈。2021年修订专项针对起底行为,但更广泛的隐私制度仍在原有 PDPO 框架下运行,受近三十年 PCPD 指引所诠释。对于服务 Hong Kong 流量的出版商和 SaaS 运营商——这一市场拥有亚洲最集中的金融服务活动之一,以及相当体量的区域电商——2026年的 PDPO 合规图景是:监管机构成熟、标准适度严格、指引文件格外清晰。本文梳理 PDPO 的具体要求、PCPD 如何将该框架应用于在线追踪,以及 cookie 横幅设计的实操影响。
PDPO 框架概述
PDPO 围绕六项数据保护原则(DPPs)构建,规范个人数据的收集、准确性、留存、使用、安全性和公开性。这些原则比 GDPR 早了将近二十年,措辞略有差异,但实质标准已通过解释逐步趋同。DPP1(收集的目的及方式)、DPP3(个人数据的使用)和 DPP5(一般信息公开)是与在线追踪最直接相关的原则。
该条例适用于任何数据使用者——Hong Kong 对 GDPR 所称「控制者」的对应称谓——凡控制个人数据的收集、持有、处理或使用者均受约束。地域管辖范围历来存在争议:PDPO 早于域外管辖理论,PCPD 在境外执法立场上历来比 EDPB 更为保守。实践中,PCPD 对以 Hong Kong 居民为目标或以充分关联方式处理 Hong Kong 数据的境外运营商主张管辖权,服务 Hong Kong 流量的运营商应按域外管辖适用来进行规划。
PDPO 如何处理 Cookies 及在线追踪
PDPO 不含 cookie 专项条款;同意和信息义务源自各项 DPPs 以及 PCPD 发布的 2022 Guidance Note on Online Tracking and Behavioural Advertising。该指引是亚洲 cookie 合规领域最清晰的文件之一,其阐明的预期与 EDPB Cookie Banner Taskforce 立场高度一致。
非必要追踪的明示同意
PCPD 的立场是:非必要追踪必须取得明示同意。默示同意、继续使用及预先勾选均无法满足 DPP1 在在线语境下「具体且知情」的要求。指引文件明确将「滚动视为同意」列为缺陷模式。
分类别精细化控制
横幅必须允许用户独立接受或拒绝各类别。指引将没有等效拒绝选项的单一「全部接受」按钮视为结构性缺陷,并将营销 cookie 被错误标注为严格必要视为独立违规行为。
隐私通知内容
DPP5 历来是执法最为积极的原则之一。隐私通知必须标明数据使用者、处理目的、接收方(包括跨境接收方)、DPP6(查阅及更正)项下的权利框架,以及查询联系方式。PCPD 明确指出,通用样板式通知无法满足 DPP5——披露内容必须反映实际处理情况。
跨境传输(Section 33)
PDPO 的 Section 33 规范跨境传输,在条例大部分历史中是该制度最独特的特征:该条款于1995年获立法通过,但至今从未由政务司司长正式启动。PCPD 仍然发布了示范合同条款,并将符合 Section 33 精神的保障措施视为向非 Hong Kong 司法管辖区传输数据的实际必要条件。法律地位存在模糊地带——Section 33 已入法但尚未生效——但实操预期与 GDPR 的 Chapter V 保持一致。
PCPD 的执法立场
PCPD 的执法风格与欧洲大型数据保护机构有所区别,体现在三个可观察的维度。
大量采用合规调查
PCPD 的主要执法手段是合规调查,最终以执法通知而非罚款作结。通知要求在规定期限内完成整改,通常无需缴纳罚款。民事罚款制度存在但使用较为克制。
公开评述作为执法信号
PCPD 对高关注度案例发布详细调查报告,在缺乏强有力先例性罚款的情况下发挥着类案例法的作用。运营商仔细研读这些报告,因为其中阐明的具体预期可能不会出现在正式指引文件中。
与 Mainland 的协调机制
涉及 Hong Kong 与 Mainland 数据流动的跨境调查,越来越多地通过与 Cyberspace Administration of China 的协调程序处理。PIPL 的域外效力以及 Hong Kong 在 Greater Bay Area 经济框架中的地位,使这种协调比大多数其他司法管辖区更具实际操作意义。
实用合规清单
针对任何服务 Hong Kong 流量的 cookie 横幅,需要回答的六个具体问题。
- 首层是否有明确的拒绝选项?拒绝路径必须与接受选项位于同一界面,显著程度相当。「滚动视为同意」和「继续使用视为同意」均无法通过 2022 Guidance。
- 类别是否足够精细?必要、分析和营销类别必须可独立控制。
- DPP5 通知是否足够具体?确认隐私通知标明实际数据使用者、目的及接收方——而非通用样板内容。
- 语言是否适当?对于可能包含母语为中文的受众,横幅和通知应提供 Traditional Chinese(Hong Kong 的通行标准)和英文版本。
- 跨境传输是否有文档记录?Section 33 尚未生效,但 PCPD 将合同保障措施视为预期要求。标明每个非 Hong Kong 目的地及授权该传输的保障措施。
- 同意日志是否达到审计级别?需保存含时间戳和横幅版本的同意决策记录,以备 PCPD 合规调查时使用。
Hong Kong 在多司法管辖区架构中的定位
Hong Kong 是 Greater China 中最成熟的数据保护制度,是 Mainland China 与世界其他地区之间跨境数据流动的事实枢纽。对于面向泛亚洲运营的出版商而言,PDPO 与新加坡的 PDPA、日本的 APPI 和韩国的 PIPA 并列,是亚洲四大最具实操重要性的隐私制度。PDPO 在书面上是四者中最宽松的,但对文档质量的要求最高,原因在于 PCPD 以调查为主导的执法模式使一份高质量的隐私通知成为最有力的单一防线。按欧洲标准构建的 CMP 架构,辅以两项补充——Traditional Chinese 语言支持以及 Section 33 所隐含的跨境传输文档模式,即便该条文尚未正式生效——即可满足 Hong Kong 合规的核心要求。对于从境外服务 Hong Kong 的运营商,实操立场应是将 PCPD 的 2022 Guidance Note 作为权威文件,针对其中列明的具体失败模式进行设计,而非仅对照较旧的 PDPO 文本本身。