境外AI资料外泄追责困境|香港现行法律监管与企业的自保之道

随着境外AI平台接连发生资料外泄事件,香港企业在享受技术便利的同时,正面临日益严峻的法律合规挑战。现行《个人资料(隐私)条例》(PDPO)对跨境资料处理者的监管缺位,使得本地企业可能成为第三方AI公司失误的「替罪羊」。
法律监管的断层地带
PDPO将资料持份者划分为「资料使用者」与「资料处理者」,但两者的法律责任严重不对等。当香港企业将客户数据交由境外AI公司处理时,即便发生外泄事故,法律追责对象仍是委托方企业而非实际肇事方。
「这相当于让本地企业为境外科技巨头的失误买单」——法律界人士如此评价现行制度缺陷。
欧盟GDPR与新加坡《个人资料保护法》已确立对资料处理者的直接规管机制,而香港正在推进的PDPO修订草案虽纳入相关方向,却面临更根本的跨境执法难题。
域外执法的现实瓶颈
2026年Canvas学习平台资料外泄事件暴露出制度困境:隐私专员公署只能向本地院校发出建议,无法直接追究境外运营方的法律责任。即便未来修订后的PDPO涵盖资料处理者,若缺乏有效跨境执法手段,监管仍将止步于香港边界。
更棘手的是政策两难:过度严格的本地化要求可能导致国际AI供应商退出香港市场。据业内人士分析,香港仅占主流AI公司全球业务的0.3%-1.2%,「用脚投票」的成本远低于合规调整。
企业的风险防控策略
在现行法律框架下,香港企业正采取分层应对方案:
大型企业的技术突围
部分金融机构已开始在本地服务器部署开源模型,并通过自有数据微调训练专属AI。这种方案虽成本高昂,但能实现数据全生命周期管控。
中小企业的务实选择
资源有限的中小企则倾向采用本地化部署的开源基础模型。这些模型在文档处理等基础场景已具备商用价值,且能规避跨境数据传输风险。
法律界普遍认为,PDPO修订仅是解决问题的开始。要真正平衡技术创新与隐私保护,仍需建立跨国监管协作机制,而这正是香港作为国际数据枢纽必须面对的长期课题。