私隱公署發布AI模範框架保障個人資料 涵4範疇助企業應用
私隱專員公署今日(11日)發表《人工智能(AI):個人資料保障模範框架》,私隱專員鍾麗玲指,AI安全是國家安全重點領域之一,框架則讓機構使用AI時可保障個人資料;當中包括4個範疇:制定AI策略及管治架構、進行風險評估及人為監督、實行AI模型定製與系統實施管理、促進與持份者溝通。
鍾麗玲指,今次指引有助香港企業或機構運用AI時,可以善用之餘,亦能保障個人資料私隱。
鍾麗玲:模範框架非單向 機構應按持份者需要調整系統
鍾麗玲說,隨著AI技術日漸普及,以AI協助經營的公司機構亦增多,根據生產力促進局數字,機構AI使用率從上年的3成,升至今年預料近五成。
她表示,香港企業多透過生成式AI應用於聊天機械人,或文字辨識工具,但機構使用個人資料訓練AI時,未必有意識確保個人資料私隱安全,故她形容今次指引「相當重要」。
鍾麗玲說,今次框架指引包括4個業務流程,每個流程都就相關原則提供具體措施建議;她強調框架非單向,機構要按持份者需要調整系統,如按個別業務情況,不用索取過多資料時,只提供必要資料;或是AI系統有更新、變動時,要再做風險評估,「唔好話買咗(AI)就推出,呢個係非常之唔理想」。
公署訂4範疇建議必要時應停用 鍾麗玲:唔好人有我有,人用我又用
框架4個流程包括制定策略、風險評估、系統實行管理及促進持份者溝通。其中制定策略時,機構可因應使用目的、評估供應商、私隱保安責任及道德規定等9項要素,挑選合適AI;而針對大型企業,公署建議引入AI後可成立管治委員會協助應用AI,包括訓練員工。
至於風險評估,公署建議由跨部門團隊針對採購過程或系統更新後作評估外,也可按外泄資料風險程度,決定應否採取人為監控或介入;鍾麗玲舉例指,如AI會使用指紋、虹膜等生物識辨資料時,就屬高風險,應由真人擁有最終決策權,而非AI自主決定。
至於系統實行管理,公署建議要遵守私隱法例規定,鍾麗玲舉例指,如零售業務的聊天機械人其實毋需客戶姓名、聯絡資料等;只需購買記錄便可訓練並提供資訊,這時員工就不應輸入任何個人資料。
她提醒企業應管理、持續監察,因AI也有機會面對黑客攻擊等風險,宜制定事故應變措施,最嚴重時甚至要停用AI,「唔好人有我有,人用我又用」。
最後與持份者溝通上,鍾麗玲建議企業要先與用戶指明有使用AI並披露風險,以及容許用戶修正資料;因有案例是有公司成立虹膜資料庫後,用戶發現未能找到自己資料,最終無法刪除登記記錄,這已違犯私隱條例。
去年曾抽查企業使用AI情況 鍾麗玲:公署未來將加強抽查
被問到公署如何確保企業會參考指引,鍾麗玲回應指公署會加強宣傳教育;自去年8月至今年2月,公署亦主動抽查28間企業使用AI的情況,當時未有發現任何懷疑違法行為。公署未來會繼續抽查企業,雖然未能披露下次行動會抽查多少間企業,但強調絕對會多於28間。
鍾麗玲又表示,日後若收到投訴,會視乎個案情況啟動調查;倘若機構已做到框架建議,但仍出現外泄,公署則會要求其採取特別行動,以完善不足。