作者:Felix Kong|持牌保險代理 · Looper Insurance Agency Limited(GA1034)
發佈日期:2026-06-20
2026 年初,個人資料私隱專員公署(PCPD)公布最新數字,香港數據外洩(data breach)情況明顯惡化:全年收到 4,228 宗投訴(按年升 23%)、246 宗自願通報資料外洩事故(升 21%),當中 81 宗涉及黑客入侵(hacking,升 33%),反映勒索軟件(ransomware)同網絡入侵越嚟越頻密。任何持有客戶個人資料嘅香港公司,都受《個人資料(私隱)條例》(Cap. 486,PDPO)規管,一次外洩隨時觸發通報、調查同賠償責任。網絡保險(Cyber Insurance) 就係為呢類事故而設嘅險種。Looper Insurance Agency Limited(持牌保險代理 GA1034)可協助香港中小企透過市場上多間保險公司安排適切保障。
一、2026 年數據外洩點解越嚟越多?(The 2026 surge)
PCPD 嘅數字唔係孤立事件,而係一個清晰趨勢:
黑客入侵升 33% — 升幅最快嗰類,主因係勒索軟件同有組織嘅網絡攻擊產業化。
自願通報升 21% — 越嚟越多公司主動向 PCPD 通報,反映合規意識同監管壓力齊升。
投訴升 23% — 受影響嘅市民越嚟越願意追究,企業聲譽同法律風險同步放大。
配合 2026 年 1 月 1 日全面生效嘅《保護關鍵基礎設施(電腦系統)條例》,香港整體網絡安全監管環境正在收緊。對中小企而言,「我哋細,黑客唔會睇中」嘅僥倖心態已經唔成立 — 防禦較弱嘅中小企,往往正正係攻擊者首選目標。
二、第三方供應商風險:SoFi 事件的警號(Third-party vendor risk)
2026 年 4 月,SoFi Securities (Hong Kong) Limited 發生資料外洩,事故源頭並唔係公司自己嘅系統,而係攻擊者未經授權入侵咗其中一間第三方供應商(third-party vendor)所管理嘅客戶資料庫。
呢宗個案點出一個好多中小企忽略嘅盲點:
你嘅資料未必喺你自己手上 — 雲端系統、會計外判、IT 服務商、收款平台、CRM 供應商,全部都可能持有你客戶嘅個人資料。供應商「中招」,責任同通報義務隨時落返你身上。
換句話講,就算你公司內部 IT 做到足,只要供應鏈(supply chain)任何一環出事,你都可能要面對 PDPO 通報、客戶索償同調查成本。一份設計妥當嘅網絡保險,一般而言會涵蓋因第三方供應商外洩而引致嘅事故應變開支同責任。
三、PDPO(Cap. 486)下你有咩通報義務?
根據《個人資料(私隱)條例》(Cap. 486),企業有責任以合理措施保障所持有嘅個人資料。PCPD 嘅《資料外洩事故的處理及通報指引》建議:
當外洩事故對受影響人士構成真正而重大傷害風險時,應盡快通報 PCPD;
同時應盡快通知受影響嘅個人,讓佢哋採取保護措施(例如更改密碼、留意可疑交易);
並須妥善記錄事故處理及補救過程。
呢啲動作背後全部係真金白銀嘅成本 — 法律意見、鑑證調查、客戶通知、公關危機處理。一般而言,呢類「事故應變成本」先係網絡索償嘅主體,而傳統保單通常一蚊都唔賠。
四、網絡保險保障 vs 一般財產保險(邊度有缺口?)
好多老闆以為公司買咗辦公室保險或商業套裝保(business package),就已經有保障。事實上,傳統財產保險係為「實體損失」而設,對「數據同網絡事故」幾乎完全唔回應。
風險場景 | 網絡保險(Cyber Insurance) | 一般財產 / 商業套裝保 |
|---|---|---|
資料外洩事故應變(鑑證、法律、通知客戶) | ✅ 一般而言受保 | ❌ 通常不保 |
勒索軟件 / 網絡勒索(ransomware/extortion) | ✅ 一般而言受保 | ❌ 通常不保 |
業務中斷收入損失(網絡事故引致) | ✅ 一般而言受保 | ⚠️ 多數只限實體損毀引致 |
第三方供應商外洩牽連責任 | ✅ 一般而言受保 | ❌ 通常不保 |
第三方責任(客戶 / 監管機構索償) | ✅ 一般而言受保 | ❌ 數據相關多被除外 |
系統及資料復原成本 | ✅ 一般而言受保 | ❌ 無形資產一般不保 |
火災 / 水浸 / 盜竊(實體財產) | ❌ 非其範圍 | ✅ 受保 |
重點:兩者唔係二揀一,而係互補。實體風險靠財產保險,網絡同數據風險靠網絡保險。
五、網絡保險一般保咩?(What Cyber Insurance covers)
一份標準網絡保險,一般而言分為兩大邊:
第一方(你自己嘅損失)
外洩事故應變:鑑證調查、法律意見、客戶通知、公關危機處理
勒索軟件 / 網絡勒索:應變開支,以及在可承保情況下嘅勒索款項
業務中斷:網絡事故導致系統停擺期間嘅收入損失
資料及系統復原:重建資料、回復系統運作
第三方(你對外嘅責任)
私隱責任:客戶或監管機構因資料外洩而提出嘅索償
網絡安全責任:你嘅系統被用嚟傷害他人(例如傳播惡意程式)
監管調查費用:回應監管機構查詢嘅開支
具體保額、自負額同條款因公司行業、規模同數據量而異 — 一般而言會按實際風險度身設計。
六、迷你個案(匿名示例)
一間本地電商中小企,把客戶落單同付款資料外判畀一間第三方平台管理。某日該平台被黑客入侵,逾千名客戶嘅姓名、電話同地址外洩。公司需要:聘請鑑證團隊查明範圍、向 PCPD 通報、逐一通知受影響客戶、並應付數名客戶嘅索償查詢。整個過程橫跨數星期,開支由法律、鑑證到客戶通知不等。由於事前已安排網絡保險,事故應變成本同第三方責任一般而言可獲相應賠付,公司毋須獨力承擔全部開支。
(以上為說明用途之匿名示例,非真實客戶個案。)
常見問題(FAQ)
Q1:我公司好細,又唔係 IT 公司,使唔使買網絡保險?
使。PCPD 數字顯示黑客入侵升 33%,而中小企正正係攻擊者首選目標。只要你持有客戶個人資料(姓名、電話、地址、付款資料),你就受 Cap. 486 規管,亦有外洩風險。
Q2:外洩唔係喺我公司、係供應商出事,都關我事?
好可能關事。SoFi 個案正正係第三方供應商被入侵。資料一旦涉及你嘅客戶,PDPO 通報同客戶索償責任都可能落返你身上。一般而言,網絡保險可涵蓋此類供應鏈牽連事故。
Q3:網絡保險保費大概幾錢?
保費按行業、公司規模同所持數據量而定,無劃一價錢。我哋會先了解你嘅實際風險,再向市場上多間保險公司為你安排合適報價(金額以 HKD 計)。
Q4:我已經買咗辦公室保險,係咪已經有保障?
未必。傳統財產 / 商業套裝保主要保實體損失,對數據外洩、勒索軟件同事故應變成本一般唔回應。網絡保險係另一條獨立險種,兩者互補。
聯絡我哋(Get in touch)
想了解網絡保險點樣保障你嘅公司,或想就現有保障做一次檢視?歡迎聯絡 Looper Insurance Agency Limited(持牌保險代理 GA1034):
電話:2633 6813
網址:looperin.com
我哋會根據你公司嘅行業同風險,協助你透過市場上多間保險公司安排合適保障。
免責聲明(Disclaimer)
本文僅供一般參考,唔構成保險、法律或合規意見。所有保障範圍、條款、不保事項及保費均以保險公司最終出具之保單為準,並可能因個別情況而異。投保前請參閱完整保單條款並按需要尋求專業意見。
This article is for general reference only and does not constitute insurance, legal or compliance advice; coverage and terms are subject to the insurer's final policy wording.
資料來源(Sources)
個人資料私隱專員公署(PCPD),pcpd.org.hk — 2026 年投訴及資料外洩通報統計、《資料外洩事故的處理及通報指引》
Hong Kong Lawyer — "PCPD's Updated Guidance on Data Breach Handling and Notifications"
SCMP 及相關新聞報道 — SoFi Securities (Hong Kong) Limited 第三方供應商資料外洩事件(2026 年 4 月)
《個人資料(私隱)條例》(Cap. 486)/《保護關鍵基礎設施(電腦系統)條例》(2026 年 1 月 1 日生效)
Conclusion
Lorem ipsum
Felix Kong
CEO
繼續閱讀
