《工商月刊》:加强人工智能管治
踏入2025年下半年,人工智能(AI)热潮有增无减,有关这项新兴科技的报导及业界消息继续佔据各大报章头条。愈来愈多香港机构以不同方式将AI融入日常营运,旨在将工作流程自动化及提高生产力。
然而,AI的使用在管治、保障数据安全及遵从《个人资料(私隐)条例》(《私隐条例》)等相关法例方面仍面对不少挑战,令用户有所顾虑。
个人资料私隐专员公署(私隐专员公署)于2025年5月完成的循规审查显示,80%机构已在日常营运中使用AI。根据香港工会联合会(工联会)最近公布的研究结果,近70%受访僱员不会定期或主动向僱主披露使用生成式AI的情况,超过40%并不担忧在使用生成式AI时或会洩漏或错误处理个人资料或公司机密,因而需要负上法律责任。
在瞬息万变的数码世界中,机构应考虑如何确保僱员安全地使用AI,以享受新科技带来的效益,同时保障机构与僱员的利益,缔造双赢局面。
AI安全
数据是AI的命脉,因此AI对个人资料私隐的威胁无疑是一大风险。私隐专员公署于2024年的调查显示,接近70%企业意识到使用AI会带来显着的私隐风险,但当中只有28%已制定AI安全政策。由此可见,具备意识并不代表会付诸行动,而缺乏准备可能令机构受到AI安全风险的威胁,僱员亦未必清楚了解AI的获准许用途。
私隐专员公署最新发布的指引
为协助机构及公众应对AI浪潮所带来的私隐风险,私隐专员公署自2021年起发布多份指引及单张。当中,今年3月发布的《僱员使用生成式AI的指引清单》(《指引》)旨在协助机构制定僱员在工作时使用生成式AI的内部政策或指引(AI政策),以及遵从《私隐条例》的相关规定。工联会于5月公布的研究亦呼吁机构在制定内部AI政策时参照《指引》内容。
《指引》建议机构在制定内部AI政策时考虑以下范畴:
a) 获准使用生成式AI的范围
机构应清楚订明准许使用的生成式AI工具,并说明这些工具的获准许用途,例如僱员能否使用这些工具起草文件、总结资讯或生成文本、音频及/或视像内容。此外,为厘清责任,机构应订明AI政策是否涵盖整个机构,抑或仅限于指定部门。
b) 保障个人资料私隐
《指引》建议机构就生成式AI工具的「输入资讯」及「输出资讯」提供清晰指示。具体而言,AI政策应列明获准输入至生成式AI工具的资讯种类及数量、AI生成资讯的获准许用途及储存方式、适用的资料保留政策,以及僱员必须遵从的其他相关政策。
c) 合法及合乎道德的使用及预防偏见
机构的AI政策应订明僱员不得使用生成式AI工具进行非法或有害的活动,而僱员有责任担当审查员,核实AI生成的结果是否准确,并更正及报告任何带有偏见或歧视的结果。机构亦应提供指引,说明应在何时及如何为AI生成结果加上水印或标籤。
d) 数据安全
为保障数据安全,《指引》建议机构的AI政策订明获准许使用生成式AI工具的僱员及装置类别。使用这些工具时,僱员应使用高强度用户凭证,并保持严格的保安设定。此外,僱员应根据机构的AI事故应变计划报告AI事故。
e) 违反AI政策
最后,机构应订明违反AI政策可引致的后果。有关建立稳妥的生成式AI管治架构及其他相关范畴的建议,机构可参考私隐专员公署去年发布的《人工智能(AI):个人资料保障模范框架》。
实用贴士
此外,《指引》就支援僱员使用生成式AI工具提供实用贴士,包括(a)定期向僱员传达AI政策及任何更新,以提高透明度、(b)提供培训及资源、(c)委派支援队伍协助僱员,以及(d)建立反馈机制,以助机构识别可改善之处。
致力保障AI安全及私隐
随着AI模型日趋成熟及多元化,各行各业正积极将这些变革性技术融入日常营运。机构应把握时机制定内部AI政策,为僱员于工作时使用生成式AI提供明确指引。透过制定全面的AI政策,机构可在善用AI的同时保障个人资料私隐,从而在数码时代取得客户和持份者的信任。