私隱專員鍾麗玲:企業欠足夠培訓及支援 可能引致「AI事故」發生
隨著人工智能(AI)急速發展,也令人關注私隱風險及道德風險。個人資料私隱專員鍾麗玲撰文指出,AI極可能為我們的生活帶來翻天覆地的變化,若員工不清楚AI的風險,而企業也沒有提供足夠的培訓及支援,亦可能引致「AI事故」發生。
她指調顯顯示,不少企業對使用AI充滿興趣,但礙於資源有限,他們擔心在缺乏專業指導的情況下,會在合規方面遇到困難,甚至不慎違反法律規定。私隱專員公署出版了《人工智能(AI):個人資料保障模範框架》,旨在協助機構在採購、實施及使用AI,包括生成式AI時,遵從《個人資料(私隱)條例》的相關規定。
▼全文▼
AI模範框架切合業界需要 促進人工智能安全
隨著人工智能(AI)急速發展,越來越多企業有意將AI應用於營運之中,以提升其生產力或業務板塊。AI的應用涵蓋各行各業,例如營銷人員可利用AI分析每個客戶的喜好,並自動生成個人化的推廣訊息;醫生可透過AI技術分析病人的病歷及醫療數據,協助他們確認病因;保險公司亦能夠借助AI軟件自動處理客戶的索償文件,提升效率。
無可置疑,AI世代已經來臨,AI極可能為我們的生活帶來翻天覆地的變化。雖然企業採用AI的資金門檻及技術要求漸漸降低,但企業亦要留意採用AI的風險,包括私隱風險及道德風險,包括審查AI系統會不會生成不準確或洩露客戶的個人資料的資訊,或會不會作出不公平或不當的決策。
若員工不清楚AI的風險,而企業也沒有提供足夠的培訓及支援,亦可能引致「AI事故」發生。舉例而言,AI聊天機械人或會將員工輸入的資料儲存至其資料庫,並且在回答其他員工的問題時提供這些資料。若這些資料包含個人資料或商業機密,則會為企業帶來資料外洩風險。去年正正有韓國科技巨企的員工使用聊天機械人時錯誤地輸入了公司的機密資料,包括程式的原始碼,引起軒然大波。
面對人工智能帶來的潛在風險,人工智能安全不容忽視。國家去年10月發布的《全球人工智能治理倡議》也強調各國都應秉持發展與安全並重的原則。事實上,人工智能安全乃國家安全的重點領域之一,日前第二十屆三中全會通過的《中共中央關於進一步全面深化改革 推進中國式現代化的決定》正正提到要建立人工智能安全監管制度,推進國家安全體系和能力現代化。
而根據個人資料私隱專員公署(私隱專員公署)和香港生產力促進局於去年11月發表的一項調查,事實上不少企業都意識到AI,尤其是生成式AI,所帶來的風險。儘管他們對使用AI充滿興趣,但礙於資源有限,他們擔心在缺乏專業指導的情況下,會在合規方面遇到困難,甚至不慎違反法律規定。
私隱專員公署明白企業在使用AI時需要得到適切的指引,從而提升其AI管治水平,以妥善保障客戶的個人資料私隱,並減低AI的風險。為了體現國家的《全球人工智能治理倡議》,私隱專員公署出版了《人工智能(AI):個人資料保障模範框架》(《模範框架》),旨在協助機構在採購、實施及使用AI,包括生成式AI時,遵從《個人資料(私隱)條例》的相關規定。
《模範框架》就以下四個範疇提供了國際認可及切實可行的建議及最佳行事常規:(一)制定AI策略及管治架構;(二)進行風險評估及人為監督;(三)實行AI模型的定製與實施及管理AI系統;以及(四)促進與持份者的溝通及交流。《模範框架》乃參照一般企業的業務流程而設計,內容顯淺易明,並無太多技術用語,相信一般機構都容易理解當中的建議措施,可以在日常營運之中付諸實行。為了幫助業界理解《模範框架》的建議,公署亦已出版了介紹《模範框架》的懶人包,摘錄《模範框架》的主要建議,讓各界可輕易掌握《模範框架》的精髓。
有見不同機構應用AI的目的、方式各異,為貼合業界的實際情況,《模範框架》建議機構以「風險為本」的方式管理AI,根據AI可能對持份者構成的風險高低而採取相應的風險緩減措施,包括決定人為監督的程度。以用於評估個人信貸的AI系統為例,它的決定可導致申請信貸人士無法獲得信貸安排,對他們的影響較大、構成的風險水平較高,機構應考慮實施人為監督;若AI系統不太可能對持份者造成重大影響,例如是用於內部翻譯或文書工作的生成式AI,其運作則可考慮完全自動化。
《模範框架》推出以來,業界反應十分正面。我深信《模範框架》將有助孕育AI在香港的健康及安全發展,促進香港成為創新科技樞紐,並推動香港以至大灣區的數字經濟發展。
歡迎大家瀏覽私隱專員公署網站 pcpd.org.hk,參閱《模範框架》及懶人包。