新聞稿
私隱專員公署完成審查60間機構 確保人工智能安全
日期: 2025年5月8日
私隱專員公署完成審查60間機構 確保人工智能安全
隨著人工智能應用日漸普及,越來越多機構於業務營運中使用人工智能;然而,人工智能所帶來的私隱及安全風險亦不容忽視。為了解人工智能在香港的使用情況及其對個人資料私隱的影響,個人資料私隱專員公署(私隱專員公署)曾於2023年8月至2024年2月期間向28間本地機構進行循規審查,並向開發或使用人工智能的機構提供實用建議[1]。
為貫徹落實全國兩會推動「人工智能+」的政策方向及香港特區政府所發布的《香港創新科技發展藍圖》,促進人工智能在香港安全及健康地發展,私隱專員公署已於2025年2月展開新一輪的循規審查,是次審查涉及60間本地機構(該些機構),並涵蓋不同行業,包括電訊、銀行及金融、保險、美容、零售、運輸、教育、醫療、公用事業、社會服務及政府部門,以了解它們在使用人工智能時收集、使用及處理個人資料有否遵從《個人資料(私隱)條例》(《私隱條例》)的相關規定。同時,是次審查亦審視了該些機構就公署於2024年發布的《人工智能 (AI):個人資料保障模範框架》[2](《模範框架》)所提供的建議和最佳行事常規的實施情況,以及對於使用人工智能的管治情況。根據審查結果,私隱專員公署今日發表報告,公署對該些機構在使用人工智能時保障個人資料私隱方面的主要觀察如下(詳細審查結果見附件):
個人資料私隱專員(私隱專員)鍾麗玲表示:「是次循規審查結果顯示,大部分香港機構在業務營運中已經開始將人工智能應用於不同範疇,以提升日常營運效率、產品或服務質素。審查的機構在透過人工智能系統收集及/或使用個人資料時均採取了相應的保安措施保障數據安全,並在決策過程中採取較高程度的人為監督,以減低人工智能出錯的風險。另外,絕大部分機構均有制定資料外洩事故應變計劃應對突發事故,更有部分機構的應變計劃涵蓋專門針對人工智能相關的資料外洩事故。」
私隱專員亦指出:「人工智能是把雙刃劍,雖能促進業務發展,但亦帶來不同程度的個人資料私隱及道德風險。我樂見在審查的機構當中,大部分機構均設有人工智能管治架構,以監督人工智能系統的使用。機構作為資料使用者在開發或使用人工智能系統時有責任確保人工智能系統的數據安全,適時檢視、監察及評估人工智能系統對個人資料私隱的影響,確保遵從《私隱條例》的相關規定。同時,機構亦應未雨綢繆,制定人工智能事故應變計劃,並為員工提供適當培訓,以應對與人工智能相關的突發事故。」
除參考《模範框架》外,私隱專員公署亦鼓勵機構參考公署發出的《僱員使用生成式AI的指引清單》[5],協助它們制定僱員在工作時使用生成式AI的內部政策或指引,以及遵從《私隱條例》的相關規定。公署希望透過是次循規審查,向所有開發或使用人工智能的機構提供以下建議措施:
私隱專員公署完成審查60間機構
使用人工智能對個人資料私隱的影響
(二)循規審查結果
人工智能在香港的應用情況
收集、使用及處理個人資料
為貫徹落實全國兩會推動「人工智能+」的政策方向及香港特區政府所發布的《香港創新科技發展藍圖》,促進人工智能在香港安全及健康地發展,私隱專員公署已於2025年2月展開新一輪的循規審查,是次審查涉及60間本地機構(該些機構),並涵蓋不同行業,包括電訊、銀行及金融、保險、美容、零售、運輸、教育、醫療、公用事業、社會服務及政府部門,以了解它們在使用人工智能時收集、使用及處理個人資料有否遵從《個人資料(私隱)條例》(《私隱條例》)的相關規定。同時,是次審查亦審視了該些機構就公署於2024年發布的《人工智能 (AI):個人資料保障模範框架》[2](《模範框架》)所提供的建議和最佳行事常規的實施情況,以及對於使用人工智能的管治情況。根據審查結果,私隱專員公署今日發表報告,公署對該些機構在使用人工智能時保障個人資料私隱方面的主要觀察如下(詳細審查結果見附件):
-
48間機構(80%)在日常營運中使用人工智能,較2024年循規審查上升5%,當中42間機構(約88%)使用人工智能已超過一年;
-
在該48間機構當中,26間機構(約54%)使用三個或以上的人工智能系統。人工智能系統主要應用於客戶服務、市場營銷、行政支援、合規/風險管理及研發等領域;
-
在該48間機構當中,24間機構(50%)會透過人工智能系統收集及/或使用個人資料,而它們在收集個人資料之時或之前均已向資料當事人提供「收集個人資料聲明」,述明收集資料的目的,以及資料可能會被轉移給哪類人士等資訊;
-
在該24間機構當中,19間機構(約79%)會保留在人工智能系統中所收集的個人資料,並已訂明個人資料的保留期限,在達致原來的收集目的後,刪除有關個人資料。餘下的五間機構(約21%)則不會保留在人工智能系統中所收集的個人資料;
-
所有透過人工智能系統收集及/或使用個人資料的機構均有採取相應的保安措施,以確保其持有的個人資料在使用人工智能系統期間受到保障。這些措施包括:存取控制、滲透測試、加密數據及個人資料匿名化等,當中有七間機構(約29%)亦會啟用人工智能相關的安全警報及進行紅隊演練;
-
在該24間機構當中,23間機構(約96%)在實施人工智能系統前會進行測試,以確保其可靠性、穩健性及公平性。此外,20間機構(約83%)在採用人工智能系統前有進行私隱影響評估;
-
在該24間機構當中,22間機構(約92%)已制定資料外洩事故應變計劃應對突發事故,其中七間機構(約32%)的應變計劃更涵蓋專門針對人工智能相關的資料外洩事故;
-
該24間機構中有15間機構(約63%)在透過人工智能系統收集、使用及處理個人資料時曾參考私隱專員公署就人工智能出版的指引或意見,包括《模範框架》、《使用AI聊天機械人「自保」十招》[3]及《開發及使用人工智能道德標準指引》[4],有七間機構(約29%)有計劃參考相關指引;及
- 在該24間機構當中,19間機構(約79%)設有人工智能管治架構,例如設立人工智能管治委員會及/或指派專人負責監督人工智能系統的使用。
個人資料私隱專員(私隱專員)鍾麗玲表示:「是次循規審查結果顯示,大部分香港機構在業務營運中已經開始將人工智能應用於不同範疇,以提升日常營運效率、產品或服務質素。審查的機構在透過人工智能系統收集及/或使用個人資料時均採取了相應的保安措施保障數據安全,並在決策過程中採取較高程度的人為監督,以減低人工智能出錯的風險。另外,絕大部分機構均有制定資料外洩事故應變計劃應對突發事故,更有部分機構的應變計劃涵蓋專門針對人工智能相關的資料外洩事故。」
私隱專員亦指出:「人工智能是把雙刃劍,雖能促進業務發展,但亦帶來不同程度的個人資料私隱及道德風險。我樂見在審查的機構當中,大部分機構均設有人工智能管治架構,以監督人工智能系統的使用。機構作為資料使用者在開發或使用人工智能系統時有責任確保人工智能系統的數據安全,適時檢視、監察及評估人工智能系統對個人資料私隱的影響,確保遵從《私隱條例》的相關規定。同時,機構亦應未雨綢繆,制定人工智能事故應變計劃,並為員工提供適當培訓,以應對與人工智能相關的突發事故。」
除參考《模範框架》外,私隱專員公署亦鼓勵機構參考公署發出的《僱員使用生成式AI的指引清單》[5],協助它們制定僱員在工作時使用生成式AI的內部政策或指引,以及遵從《私隱條例》的相關規定。公署希望透過是次循規審查,向所有開發或使用人工智能的機構提供以下建議措施:
-
如在開發或使用人工智能的過程中收集或處理個人資料,須採取措施確保遵從《私隱條例》的相關規定,並持續監察及檢視人工智能系統;
-
制定開發或使用人工智能策略及設立人工智能內部管治架構,並為所有有關人員提供足夠的培訓。此外,機構亦應制定人工智能事故應變計劃,以監察及應對可能意外發生的事故 ;
-
就開發或使用人工智能進行全面的風險評估(包括私隱影響評估),有系統地識別、分析及評估風險,包括私隱風險,並因應有關風險而採取適當的風險管理措施,例如風險較高的人工智能系統須有較高程度的人為監督;
-
定期對人工智能系統進行內部審核(及在有需要時進行獨立評估),以確保系統安全及數據安全,而人工智能的開發或使用亦應持續遵從機構相關政策,包括人工智能策略的規定;及
- 與持份者有效地溝通及交流,以提高使用人工智能的透明度,並因應持份者的反饋適時調整人工智能系統。
私隱專員公署完成審查60間機構使用人工智能的情況,並於今日發表報告。
私隱專員公署完成審查60間機構使用人工智能的情況,並於今日發表報告。
-完-
-完-
附件
私隱專員公署完成審查60間機構
使用人工智能對個人資料私隱的影響
(一)背景
-
在該60間機構中,43間機構(約72%)聘用至少100名員工,其他機構的員工數目則少於100名。
- 行業及機構數目:
人工智能在香港的應用情況
-
48間機構(80%)在日常營運中使用人工智能,較2024年循規審查上升了5%,當中42間機構(約88%)使用人工智能已超過一年。
- 在該48間機構當中,26間機構(約54%)使用三個或以上的人工智能系統。人工智能系統主要應用於客戶服務、市場營銷、行政支援、合規/風險管理及研發等領域。
收集、使用及處理個人資料
-
在該48間機構當中,24間機構(50%)會透過人工智能系統收集及/或使用個人資料,而它們在收集個人資料之時或之前均已向資料當事人提供「收集個人資料聲明」,並述明收集資料的目的,以及資料可能會被轉移給哪類人士等資訊,當中有七間機構(約29%)(包括銀行及金融、零售及公用事業界別機構)制定的「收集個人資料聲明」更涵蓋了人工智能的應用。
- 在該24間機構當中,19間機構(約79%)會保留在人工智能系統中所收集的個人資料,並已訂明個人資料的保留期限,在達致原本的收集目的後,刪除有關個人資料。餘下的五間機構(約21%)則不會保留在人工智能系統中所收集的個人資料。
-
所有透過人工智能系統收集及/或使用個人資料的機構均有採取相應的保安措施,以確保其持有的個人資料在使用人工智能系統期間受到保障,而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。這些措施包括:存取控制、滲透測試、加密數據及個人資料匿名化等,當中有七間機構(約29%)亦會啟用人工智能相關的安全警報及進行紅隊演練。
-
為達至個人資料最少化,該24間機構中有16間機構(約67%)在使用人工智能系統時使用匿名化數據或假名化數據。此外,七間機構(約29%)更採用了合成數據、聯合學習等私隱保障增強技術以加強數據安全。
-
所有透過人工智能系統收集及/或使用個人資料的機構均有制定「私隱政策聲明」,列明機構在收集、使用及處理個人資料方面的政策及實務,當中有七間機構(約29%)(包括銀行及金融、保險、美容及零售界別機構)制定的「私隱政策聲明」更涵蓋了人工智能的應用。
-
該24間機構中有15間機構(約63%)在透過人工智能系統收集、使用及處理個人資料時曾參考私隱專員公署就人工智能出版的指引或意見,包括《模範框架》、《使用AI聊天機械人「自保」十招》及《開發及使用人工智能道德標準指引》,有七間機構(約29%)有計劃參考相關指引。
-
在該24間機構當中,23間機構(約96%)在實施人工智能系統前會進行測試,以確保其可靠性、穩健性及公平性。此外,20間機構(約83%)在採用人工智能系統前有進行私隱影響評估。
-
所有透過人工智能系統收集及/或使用個人資料的機構在採購、使用及管理人工智能系統時均有進行風險評估,風險評估主要考慮的因素包括:
- 資料保安;
- 法律的規定(包括《私隱條例》);
- 資料的數量、敏感程度及質素;
- 人工智能對個人、機構及社會的潛在影響;
- 影響出現的可能性、嚴重程度和持續時間;及
-
緩減措施等。
-
在該24間機構當中,22間機構(約92%)已制定資料外洩事故應變計劃應對突發事故,其中七間機構(約32%)的應變計劃更涵蓋專門針對人工智能相關的資料外洩事故。此外,有參考私隱專員公署出版的《模範框架》的機構中,有10間機構(約83%)採取「人在環中」的人為監督方式,保留在決策過程中的控制權,以防止或緩減人工智能出錯或作出不當決定。
-
在該24間機構當中,11間機構(約46%)有定期進行内部審核及/或獨立評估,10間機構(約42%)有計劃定期進行内部審核及/或獨立評估,以確保人工智能的使用遵從機構的人工智能策略及/或政策。
-
在該24間機構當中,15間機構(約63%)已制定有關人工智能的政策,七間機構(約29%)有計劃制定有關人工智能的政策。
-
在該24間機構當中,19間機構(約79%)設有人工智能管治架構,例如設立人工智能管治委員會及/或指派專人負責監督人工智能系統的使用,並就人工智能系統的使用在董事會會議中進行討論。
- 在該24間機構當中,18間機構(75%)有為員工提供有關人工智能的培訓,當中15間機構(約83%)的培訓更涵蓋與人工智能相關的私隱風險培訓。