新聞稿

为积极对接国家《十五五规划纲要》，贯彻落实香港特别行政区政府推动「人工智能＋」发展的施政方针，并促进各行各业更安全及负责任地使用人工智能，个人资料私隐专员公署（私隐专员公署）继于2024年^[1]及2025年^[2]完成两轮循规审查后，于2026年1月展开新一轮循规审查，以了解人工智能在香港的最新应用情况，以及其对个人资料私隐所带来的影响，从而进一步推动人工智能治理及安全发展，公署今日（2026年5月19日）发表审查结果。
 
是次审查涵盖60间机构。除银行及金融、美容、教育、政府部门、保险、医疗、公用事业、零售、社会服务、电讯及运输等于2025年审查已涵盖的行业外，亦新增会计、餐饮、创新及科技、物流及物业管理行业，以更全面了解不同界别在使用人工智能系统时，在收集、使用及处理个人资料方面是否符合《个人资料（私隐）条例》（《私隐条例》）的相关规定。
 
是次审查亦检视60间机构就私隐专员公署发布的《人工智能 (AI)：个人资料保障模范框架》^[3]（《模范框架》），以及《僱员使用生成式AI的指引清单》^[4]（《指引清单》）所提出的建议及最佳行事常规的落实情况，并评估其整体人工智能管治表现。
 
根据审查结果，私隐专员公署对该些机构在使用人工智能时保障个人资料私隐方面的主要观察如下（详细结果载于附件）：
 
人工智能在香港的最新应用情况

• 在60间受审查的机构中，57间机构（95%）在日常营运中使用人工智能，较2025年循规审查结果上升15个百分点，反映人工智能在不同行业的应用日趋普及；当中45间机构（约79%）使用人工智能已超过一年，显示人工智能正逐步成为业务营运的重要组成部分；及
   
• 在该57间机构当中，29间机构（约51%）使用三个或以上的人工智能系统，主要应用于行政支援、客户服务、研发、市场营销，以及合规或风险管理等领域，情况与2025年循规审查结果相若。

收集、使用及处理个人资料的情况

• 在该57间使用人工智能的机构当中，24间机构（约42%）会透过人工智能系统收集及／或使用个人资料，主要涉及会计、银行及金融、教育、政府部门、创新及科技、保险、医疗、物业管理、公用事业、零售、社会服务、电讯及运输等行业；
   
• 所有透过人工智能系统收集及／或使用个人资料的机构，均在收集个人资料之时或之前向资料当事人提供「收集个人资料声明」，述明收集资料的目的及资料可能会被转移给哪类人士等资讯。其中七间机构（约29%）的「收集个人资料声明」更列明使用人工智能工具处理个人资料，情况与2025年循规审查结果一致；
   
• 所有透过人工智能系统收集及／或使用个人资料的机构，有七间机构（约29%）会保留在人工智能系统中所收集的个人资料，较2025年循规审查结果下降约50个百分点，而这些机构均已订明个人资料的保留期限，并在达致原有收集目的后删除个人资料；其余17间机构（约71%）则不会保留相关资料；
   
• 所有透过人工智能系统收集及／或使用个人资料的机构，均已采取相应的保安措施，以确保所持有的个人资料在使用人工智能系统期间受到保障，情况与2025年循规审查结果一致。相关措施包括：存取控制、加密数据、渗透测试及个人资料匿名化等，其中有五间机构（约21%）更设有人工智能相关的安全警报及进行红队演练；及
   
• 在该24间机构中，有15间机构（约63%）在透过人工智能系统收集、使用及处理个人资料时曾参考私隐专员公署就人工智能发布的指引或意见，包括《模范框架》、《指引清单》、《使用AI聊天机械人「自保」十招》^[5]及《开发及使用人工智能道德标准指引》^[6]，另有七间机构（约29%）计划参考相关指引，情况与2025年循规审查结果相若。

 
人工智能系统的实施与管理

• 在该24间机构中，23间机构（约96%）在实施人工智能系统前会进行测试，以确保其可靠性、稳健性及公平性；此外，19间机构（约79%）在采用人工智能系统前有进行私隐影响评估，上述两项情况的比例均与2025年循规审查结果相若；
   
• 在该24间机构中，19间机构（约79%）采取「人在环中」的人为监督方式，在决策过程中保留控制权，以防止或缓减人工智能系统出错或作出不当决定；其余五间机构（约21%）则采用「人为管控」的方式，审视人工智能系统输出的结果，以监督系统运作，并在有需要时才介入；
   
• 所有曾参考私隐专员公署出版的《模范框架》的机构，均采取「人在环中」的人为监督方式，较2025年循规审查结果上升约17个百分点；
   
• 在该24间机构中，22间机构（约92%）已制定资料外洩事故应变计划应对突发事故，情况与2025年循规审查结果一致，其中九间机构（约41%）的应变计划更涵盖专门针对人工智能相关的资料外洩事故，较2025年循规审查结果上升约九个百分点；及
   
• 在该24间机构中，15间机构（约63%）有定期进行内部审核及／或独立评估，较2025年循规审查结果上升约17个百分点。另有六间机构（25%）计划定期进行内部审核及／或独立评估，以确保人工智能的使用符合机构的人工智能策略及／或政策。

人工智能策略与管治

• 在该24间机构中，19间机构（约79%）已设立人工智能管治架构，例如成立人工智能管治委员会及／或指派专人负责监督人工智能系统的使用，情况与2025年循规审查结果一致；
   
• 所有透过人工智能系统收集及／或使用个人资料的机构均容许僱员在工作期间使用生成式人工智能，其中17间机构（约71%）已制定生成式人工智能政策或指引，以协助僱员正确使用生成式人工智能，另外五间机构（约21%）则计划制定相关内部政策或指引；及
   
• 在该24间机构中，20间机构（约83%）有为僱员提供人工智能相关培训，较2025年循规审查结果上升约八个百分点，其中18间机构（90%）的培训更涵盖与人工智能相关的私隐风险内容，较2025年循规审查结果上升约七个百分点。

私隐专员公署现已完成是次循规审查，过程中并无发现有违反《私隐条例》相关规定的情况。
 
个人资料私隐专员（私隐专员）钟丽玲表示：「是次循规审查结果显示，人工智能正迅速融入不同行业的业务营运，而应用范畴由日常行政支援、客户服务、市场营销、风险管理，扩展至技术研发、人力资源管理及企业传讯等不同层面。我乐见所有受审查机构在透过人工智能系统收集及／或使用个人资料时，均已制定『收集个人资料声明』、订明资料保留期限，并采取适当的保安措施。而大部分机构采取『人在环中』的人为监督方式，并定期为人工智能系统进行内部审核及／或独立评估，显示业界在应用人工智能时保持审慎态度。」
 
私隐专员续指：「随着人工智能的应用日益普及，机构在受惠于人工智能带来便利之余，亦须正视潜在的私隐风险。我乐见大部分机构已建立人工智能管治架构，并逐步制定僱员使用生成式人工智能的内部政策或指引。机构应制定全面的人工智能策略、进行风险及私隐影响评估、采取适度的人为监督，并定期检视和评估人工智能系统对个人资料私隐的影响，以确保在透过人工智能系统收集、使用及处理个人资料时符合《私隐条例》的相关规定。」
 
私隐专员公署鼓励机构参考公署「人工智能安全」专题网页 （https://www.pcpd.org.hk/tc_chi/artificial_intelligence/index.html），一站式获取有关在使用人工智能时保障个人资料私隐的资讯。公署希望透过是次循规审查，向所有开发或使用人工智能的机构提供以下建议措施：

• 遵从《私隐条例》的规定：如在开发或使用人工智能的过程中收集或处理个人资料，须采取措施确保遵从《私隐条例》的相关规定，并持续监察及检视人工智能系统；
   
• 管治与培训：制定开发或使用人工智能的整体策略及建立人工智能内部管治架构，并为有关人员提供足够培训。此外，机构亦应制定人工智能事故应变计划，以监察及应对可能发生的意外事故；
   
• 制定内部政策或指引：制定僱员在工作期间使用人工智能（包括生成式人工智能或人工智能体）的内部政策或指引，并定期检视及更新相关政策或指引，以降低人为风险；
   
• 慎用AI智能体：如机构使用AI智能体收集、使用及处理个人资料，应小心考虑所涉及个人资料的性质及敏感性，并只授予智能体完成任务所需的最小权限。同时，机构亦应从官方渠道下载AI智能体的最新版本、审慎安装及使用Plugins或Skills，以及采取足够措施确保系统安全及资料安全，并持续评估所涉及的风险；
   
• 评估风险：就开发或使用人工智能进行全面风险评估（包括私隐影响评估），有系统地识别、分析及评估风险，包括私隐风险，并因应风险程度采取适当的风险管理措施，例如风险较高的人工智能系统须有较高程度的人为监督；
   
• 定期进行审核：定期对人工智能系统进行内部审核（并在有需要时进行独立评估），以确保系统安全及数据安全，而人工智能的开发或使用亦应持续遵从机构相关政策，包括人工智能策略的规定；及
   
• 与持份者沟通：与持份者保持有效沟通，提高人工智能应用的透明度，并因应持份者的反馈适时调整人工智能系统。