人工智能︱私隐公署审查28间开发或使用机构 未发现违反私隐条例
私隐专员公署去年8月至今年2月期间,调查28间开发或使用人工智能系统的机构,以了解人工智能在香港的使用情况及对个人资料私隐的影响。公署指,在审查过程中未发现有违反《个人资料(私隐)条例》相关规定的情况,而审查结果显示,越来越多机构应用人工智能以增加日常营运效率。
个人资料私隐专员钟丽玲表示,人工智能在促进生产力及经济增长方面拥有巨大潜力,但人工智能亦存在不同程度的个人资料私隐及道德风险。她认为,机构作为资料使用者,在开发或使用人工智能系统时,有责任确保人工智能系统的数据安全;应适时检视及评估人工智能系统对数据安全的影响,并确保遵从《私隐条例》的相关规定。
公署表示,机构在开发或使用人工智能系统时或会收集、使用或处理个人资料,从而对个人资料私隐构成风险。是次审查中,有关机构涵盖不同行业,包括电讯、金融及保险、美容、零售、运输、教育及政府部门。
在8间机构中,有21间机构在日常营运时使用人工智能,例如使用人工智能分析数据、评估求职者的面试表现、使用聊天机械人回复顾客的查询等,当中有19间机构设有人工智能管治架构,例如设立人工智能管治委员会及/或指派专人负责监督人工智能产品或服务的开发或使用。
仅10间机构提供收集个人资料声明 8间有作私隐影响评估
在该21间机构当中,只有10间机构会透过人工智能产品或服务收集个人资料,而他们在收集个人资料之时或之前均已向资料当事人提供收集个人资料声明,当中述明收集资料的目的,以及资料可能会被转移给哪类人士等资讯。
该10间机构均有采取相应的保安措施,以确保其持有的个人资料在开发或使用人工智能产品或服务期间受到保障,而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。该些措施包括:只让获授权人士存取个人资料、储存及传输个人资料时进行加密、定期进行保安漏洞评估及渗透测试或为员工提供书面指引及培训等。
惟该10间机构中,只有8间机构在开发或使用人工智能产品及服务前有进行私隐影响评估;有9间机构会保留在人工智能产品或服务中收集得的个人资料,当中8间机构已订明个人资料的保留期限,并会在达致原本的收集目的后,删除有关个人资料或将资料匿名化。余下的一间机构允许资料当事人自行删除其个人资料。