私隐公署发布AI模范框架保障个人资料　涵4范畴助企业应用

私隐专员公署今日（11日）发表《人工智能（AI）：个人资料保障模范框架》，私隐专员钟丽玲指，AI安全是国家安全重点领域之一，框架则让机构使用AI时可保障个人资料；当中包括4个范畴：制定AI策略及管治架构、进行风险评估及人为监督、实行AI模型定制与系统实施管理、促进与持份者沟通。

钟丽玲指，今次指引有助香港企业或机构运用AI时，可以善用之余，亦能保障个人资料私隐。

钟丽玲：模范框架非单向　机构应按持份者需要调整系统

钟丽玲说，随著AI技术日渐普及，以AI协助经营的公司机构亦增多，根据生产力促进局数字，机构AI使用率从上年的3成，升至今年预料近五成。

她表示，香港企业多透过生成式AI应用于聊天机械人，或文字辨识工具，但机构使用个人资料训练AI时，未必有意识确保个人资料私隐安全，故她形容今次指引“相当重要”。

钟丽玲说，今次框架指引包括4个业务流程，每个流程都就相关原则提供具体措施建议；她强调框架非单向，机构要按持份者需要调整系统，如按个别业务情况，不用索取过多资料时，只提供必要资料；或是AI系统有更新、变动时，要再做风险评估，“唔好话买咗（AI）就推出，呢个系非常之唔理想”。

公署订4范畴建议必要时应停用　钟丽玲：唔好人有我有，人用我又用

框架4个流程包括制定策略、风险评估、系统实行管理及促进持份者沟通。其中制定策略时，机构可因应使用目的、评估供应商、私隐保安责任及道德规定等9项要素，挑选合适AI；而针对大型企业，公署建议引入AI后可成立管治委员会协助应用AI，包括训练员工。

至于风险评估，公署建议由跨部门团队针对采购过程或系统更新后作评估外，也可按外泄资料风险程度，决定应否采取人为监控或介入；钟丽玲举例指，如AI会使用指纹、虹膜等生物识辨资料时，就属高风险，应由真人拥有最终决策权，而非AI自主决定。

至于系统实行管理，公署建议要遵守私隐法例规定，钟丽玲举例指，如零售业务的聊天机械人其实毋需客户姓名、联络资料等；只需购买记录便可训练并提供资讯，这时员工就不应输入任何个人资料。

她提醒企业应管理、持续监察，因AI也有机会面对黑客攻击等风险，宜制定事故应变措施，最严重时甚至要停用AI，“唔好人有我有，人用我又用”。

最后与持份者沟通上，钟丽玲建议企业要先与用户指明有使用AI并披露风险，以及容许用户修正资料；因有案例是有公司成立虹膜资料库后，用户发现未能找到自己资料，最终无法删除登记记录，这已违犯私隐条例。

去年曾抽查企业使用AI情况　钟丽玲：公署未来将加强抽查

被问到公署如何确保企业会参考指引，钟丽玲回应指公署会加强宣传教育；自去年8月至今年2月，公署亦主动抽查28间企业使用AI的情况，当时未有发现任何怀疑违法行为。公署未来会继续抽查企业，虽然未能披露下次行动会抽查多少间企业，但强调绝对会多于28间。

钟丽玲又表示，日后若收到投诉，会视乎个案情况启动调查；倘若机构已做到框架建议，但仍出现外泄，公署则会要求其采取特别行动，以完善不足。