新聞稿

為積極對接國家《十五五規劃綱要》，貫徹落實香港特別行政區政府推動「人工智能＋」發展的施政方針，並促進各行各業更安全及負責任地使用人工智能，個人資料私隱專員公署（私隱專員公署）繼於2024年^[1]及2025年^[2]完成兩輪循規審查後，於2026年1月展開新一輪循規審查，以了解人工智能在香港的最新應用情況，以及其對個人資料私隱所帶來的影響，從而進一步推動人工智能治理及安全發展，公署今日（2026年5月19日）發表審查結果。
 
是次審查涵蓋60間機構。除銀行及金融、美容、教育、政府部門、保險、醫療、公用事業、零售、社會服務、電訊及運輸等於2025年審查已涵蓋的行業外，亦新增會計、餐飲、創新及科技、物流及物業管理行業，以更全面了解不同界別在使用人工智能系統時，在收集、使用及處理個人資料方面是否符合《個人資料（私隱）條例》（《私隱條例》）的相關規定。
 
是次審查亦檢視60間機構就私隱專員公署發布的《人工智能 (AI)：個人資料保障模範框架》^[3]（《模範框架》），以及《僱員使用生成式AI的指引清單》^[4]（《指引清單》）所提出的建議及最佳行事常規的落實情況，並評估其整體人工智能管治表現。
 
根據審查結果，私隱專員公署對該些機構在使用人工智能時保障個人資料私隱方面的主要觀察如下（詳細結果載於附件）：
 
人工智能在香港的最新應用情況

• 在60間受審查的機構中，57間機構（95%）在日常營運中使用人工智能，較2025年循規審查結果上升15個百分點，反映人工智能在不同行業的應用日趨普及；當中45間機構（約79%）使用人工智能已超過一年，顯示人工智能正逐步成為業務營運的重要組成部分；及
   
• 在該57間機構當中，29間機構（約51%）使用三個或以上的人工智能系統，主要應用於行政支援、客戶服務、研發、市場營銷，以及合規或風險管理等領域，情況與2025年循規審查結果相若。

收集、使用及處理個人資料的情況

• 在該57間使用人工智能的機構當中，24間機構（約42%）會透過人工智能系統收集及／或使用個人資料，主要涉及會計、銀行及金融、教育、政府部門、創新及科技、保險、醫療、物業管理、公用事業、零售、社會服務、電訊及運輸等行業；
   
• 所有透過人工智能系統收集及／或使用個人資料的機構，均在收集個人資料之時或之前向資料當事人提供「收集個人資料聲明」，述明收集資料的目的及資料可能會被轉移給哪類人士等資訊。其中七間機構（約29%）的「收集個人資料聲明」更列明使用人工智能工具處理個人資料，情況與2025年循規審查結果一致；
   
• 所有透過人工智能系統收集及／或使用個人資料的機構，有七間機構（約29%）會保留在人工智能系統中所收集的個人資料，較2025年循規審查結果下降約50個百分點，而這些機構均已訂明個人資料的保留期限，並在達致原有收集目的後刪除個人資料；其餘17間機構（約71%）則不會保留相關資料；
   
• 所有透過人工智能系統收集及／或使用個人資料的機構，均已採取相應的保安措施，以確保所持有的個人資料在使用人工智能系統期間受到保障，情況與2025年循規審查結果一致。相關措施包括：存取控制、加密數據、滲透測試及個人資料匿名化等，其中有五間機構（約21%）更設有人工智能相關的安全警報及進行紅隊演練；及
   
• 在該24間機構中，有15間機構（約63%）在透過人工智能系統收集、使用及處理個人資料時曾參考私隱專員公署就人工智能發布的指引或意見，包括《模範框架》、《指引清單》、《使用AI聊天機械人「自保」十招》^[5]及《開發及使用人工智能道德標準指引》^[6]，另有七間機構（約29%）計劃參考相關指引，情況與2025年循規審查結果相若。

 
人工智能系統的實施與管理

• 在該24間機構中，23間機構（約96%）在實施人工智能系統前會進行測試，以確保其可靠性、穩健性及公平性；此外，19間機構（約79%）在採用人工智能系統前有進行私隱影響評估，上述兩項情況的比例均與2025年循規審查結果相若；
   
• 在該24間機構中，19間機構（約79%）採取「人在環中」的人為監督方式，在決策過程中保留控制權，以防止或緩減人工智能系統出錯或作出不當決定；其餘五間機構（約21%）則採用「人為管控」的方式，審視人工智能系統輸出的結果，以監督系統運作，並在有需要時才介入；
   
• 所有曾參考私隱專員公署出版的《模範框架》的機構，均採取「人在環中」的人為監督方式，較2025年循規審查結果上升約17個百分點；
   
• 在該24間機構中，22間機構（約92%）已制定資料外洩事故應變計劃應對突發事故，情況與2025年循規審查結果一致，其中九間機構（約41%）的應變計劃更涵蓋專門針對人工智能相關的資料外洩事故，較2025年循規審查結果上升約九個百分點；及
   
• 在該24間機構中，15間機構（約63%）有定期進行內部審核及／或獨立評估，較2025年循規審查結果上升約17個百分點。另有六間機構（25%）計劃定期進行內部審核及／或獨立評估，以確保人工智能的使用符合機構的人工智能策略及／或政策。

人工智能策略與管治

• 在該24間機構中，19間機構（約79%）已設立人工智能管治架構，例如成立人工智能管治委員會及／或指派專人負責監督人工智能系統的使用，情況與2025年循規審查結果一致；
   
• 所有透過人工智能系統收集及／或使用個人資料的機構均容許僱員在工作期間使用生成式人工智能，其中17間機構（約71%）已制定生成式人工智能政策或指引，以協助僱員正確使用生成式人工智能，另外五間機構（約21%）則計劃制定相關內部政策或指引；及
   
• 在該24間機構中，20間機構（約83%）有為僱員提供人工智能相關培訓，較2025年循規審查結果上升約八個百分點，其中18間機構（90%）的培訓更涵蓋與人工智能相關的私隱風險內容，較2025年循規審查結果上升約七個百分點。

私隱專員公署現已完成是次循規審查，過程中並無發現有違反《私隱條例》相關規定的情況。
 
個人資料私隱專員（私隱專員）鍾麗玲表示：「是次循規審查結果顯示，人工智能正迅速融入不同行業的業務營運，而應用範疇由日常行政支援、客戶服務、市場營銷、風險管理，擴展至技術研發、人力資源管理及企業傳訊等不同層面。我樂見所有受審查機構在透過人工智能系統收集及／或使用個人資料時，均已制定『收集個人資料聲明』、訂明資料保留期限，並採取適當的保安措施。而大部分機構採取『人在環中』的人為監督方式，並定期為人工智能系統進行內部審核及／或獨立評估，顯示業界在應用人工智能時保持審慎態度。」
 
私隱專員續指：「隨着人工智能的應用日益普及，機構在受惠於人工智能帶來便利之餘，亦須正視潛在的私隱風險。我樂見大部分機構已建立人工智能管治架構，並逐步制定僱員使用生成式人工智能的內部政策或指引。機構應制定全面的人工智能策略、進行風險及私隱影響評估、採取適度的人為監督，並定期檢視和評估人工智能系統對個人資料私隱的影響，以確保在透過人工智能系統收集、使用及處理個人資料時符合《私隱條例》的相關規定。」
 
私隱專員公署鼓勵機構參考公署「人工智能安全」專題網頁 （https://www.pcpd.org.hk/tc_chi/artificial_intelligence/index.html），一站式獲取有關在使用人工智能時保障個人資料私隱的資訊。公署希望透過是次循規審查，向所有開發或使用人工智能的機構提供以下建議措施：

• 遵從《私隱條例》的規定：如在開發或使用人工智能的過程中收集或處理個人資料，須採取措施確保遵從《私隱條例》的相關規定，並持續監察及檢視人工智能系統；
   
• 管治與培訓：制定開發或使用人工智能的整體策略及建立人工智能內部管治架構，並為有關人員提供足夠培訓。此外，機構亦應制定人工智能事故應變計劃，以監察及應對可能發生的意外事故；
   
• 制定內部政策或指引：制定僱員在工作期間使用人工智能（包括生成式人工智能或人工智能體）的內部政策或指引，並定期檢視及更新相關政策或指引，以降低人為風險；
   
• 慎用AI智能體：如機構使用AI智能體收集、使用及處理個人資料，應小心考慮所涉及個人資料的性質及敏感性，並只授予智能體完成任務所需的最小權限。同時，機構亦應從官方渠道下載AI智能體的最新版本、審慎安裝及使用Plugins或Skills，以及採取足夠措施確保系統安全及資料安全，並持續評估所涉及的風險；
   
• 評估風險：就開發或使用人工智能進行全面風險評估（包括私隱影響評估），有系統地識別、分析及評估風險，包括私隱風險，並因應風險程度採取適當的風險管理措施，例如風險較高的人工智能系統須有較高程度的人為監督；
   
• 定期進行審核：定期對人工智能系統進行內部審核（並在有需要時進行獨立評估），以確保系統安全及數據安全，而人工智能的開發或使用亦應持續遵從機構相關政策，包括人工智能策略的規定；及
   
• 與持份者溝通：與持份者保持有效溝通，提高人工智能應用的透明度，並因應持份者的反饋適時調整人工智能系統。