私隱公署發布AI模範框架保障個人資料　涵4範疇助企業應用

私隱專員公署今日（11日）發表《人工智能（AI）：個人資料保障模範框架》，私隱專員鍾麗玲指，AI安全是國家安全重點領域之一，框架則讓機構使用AI時可保障個人資料；當中包括4個範疇：制定AI策略及管治架構、進行風險評估及人為監督、實行AI模型定製與系統實施管理、促進與持份者溝通。

鍾麗玲指，今次指引有助香港企業或機構運用AI時，可以善用之餘，亦能保障個人資料私隱。

鍾麗玲說，隨著AI技術日漸普及，以AI協助經營的公司機構亦增多，根據生產力促進局數字，機構AI使用率從上年的3成，升至今年預料近五成。

她表示，香港企業多透過生成式AI應用於聊天機械人，或文字辨識工具，但機構使用個人資料訓練AI時，未必有意識確保個人資料私隱安全，故她形容今次指引「相當重要」。

鍾麗玲說，今次框架指引包括4個業務流程，每個流程都就相關原則提供具體措施建議；她強調框架非單向，機構要按持份者需要調整系統，如按個別業務情況，不用索取過多資料時，只提供必要資料；或是AI系統有更新、變動時，要再做風險評估，「唔好話買咗（AI）就推出，呢個係非常之唔理想」。

框架4個流程包括制定策略、風險評估、系統實行管理及促進持份者溝通。其中制定策略時，機構可因應使用目的、評估供應商、私隱保安責任及道德規定等9項要素，挑選合適AI；而針對大型企業，公署建議引入AI後可成立管治委員會協助應用AI，包括訓練員工。

至於風險評估，公署建議由跨部門團隊針對採購過程或系統更新後作評估外，也可按外泄資料風險程度，決定應否採取人為監控或介入；鍾麗玲舉例指，如AI會使用指紋、虹膜等生物識辨資料時，就屬高風險，應由真人擁有最終決策權，而非AI自主決定。

私隱專員公署今日（11日）發表《人工智能（AI）：個人資料保障模範框架》，並同日發表「懶人包」助企業、市民了解。（私隱專員公署圖片）

至於系統實行管理，公署建議要遵守私隱法例規定，鍾麗玲舉例指，如零售業務的聊天機械人其實毋需客戶姓名、聯絡資料等；只需購買記錄便可訓練並提供資訊，這時員工就不應輸入任何個人資料。

她提醒企業應管理、持續監察，因AI也有機會面對黑客攻擊等風險，宜制定事故應變措施，最嚴重時甚至要停用AI，「唔好人有我有，人用我又用」。

最後與持份者溝通上，鍾麗玲建議企業要先與用戶指明有使用AI並披露風險，以及容許用戶修正資料；因有案例是有公司成立虹膜資料庫後，用戶發現未能找到自己資料，最終無法刪除登記記錄，這已違犯私隱條例。

公署發表的「懶人包」，包括運用AI的企業要制定管理、監察系統。（私隱專員公署圖片）

被問到公署如何確保企業會參考指引，鍾麗玲回應指公署會加強宣傳教育；自去年8月至今年2月，公署亦主動抽查28間企業使用AI的情況，當時未有發現任何懷疑違法行為。公署未來會繼續抽查企業，雖然未能披露下次行動會抽查多少間企業，但強調絕對會多於28間。

鍾麗玲又表示，日後若收到投訴，會視乎個案情況啟動調查；倘若機構已做到框架建議，但仍出現外泄，公署則會要求其採取特別行動，以完善不足。