報章專欄
媒體報道
個人資料私隱專員在「香港律師」的文章:促進人工智能安全:最新推出的《僱員使用生成式AI的指引清單》(2025年5月)
人工智能浪潮席捲全球
人工智能(AI)在今年初依然是全球的焦點。繼2023年在英國舉行的AI安全峰會和2024年在韓國舉行的AI首爾峰會後,今年2月,來自逾100個國家的政府領導人及國際組織代表齊聚巴黎,參與備受矚目的AI行動峰會。在該AI行動峰會上,包括國家及歐盟在內的64個司法管轄區簽署了《關於發展包容、可持續的AI造福人類與地球的聲明》,重申必須優先確保人工智能開放、包容、具透明度、合乎道德、安全、可靠和值得信賴。
今年3月,在北京舉行的全國「兩會」特別強調要持續推進「人工智能+」行動,以激發數字經濟創新活力。2024年中央政府工作報告首次提及開展「人工智能+」行動,旨在促進AI技術與專業知識和技術資源深度融合,推動數字經濟發展,引領製造業的轉型及現代化。
國家在加速發展AI時,亦同樣重視AI安全,並致力促進全球在這方面的合作。中共中央總書記習近平今年4月在主持中央政治局集體學習時指出,要廣泛開展人工智能國際合作,為彌合全球智能鴻溝作出中國貢獻。
總書記的發言進一步展示了國家一直以來對促進國際社會在AI安全方面合作的決心。早在2023年10月,國家已推出《全球人工智能治理倡議》(《倡議》),提出「以人為本、智能向善」等原則,並強調AI的發展與安全同樣重要。事實上,AI安全就是國家安全的重要一環。為落實《倡議》,國家於2024年9月發布《人工智能安全治理框架》1.0版,提出了一系列綜合治理措施和技術措施,以防範AI帶來的各種風險,包括私隱風險。
在香港,AI一直是特區政府的策略重點。政府於2022年底公布的《香港創新科技發展藍圖》已提出重點發展AI產業。在此基礎上,政府在今年2月公布的財政預算案中,重申推動AI發展的決心,並將AI視為發展新質生產力的核心驅動力。為此,政府推出多項措施,包括撥款10億港元成立香港人工智能研發院,以支持本港AI的創新研發和產業應用。
工具還是威脅
除了政策措施外,AI已徹底地以令人難以想像的方式改變了香港人的工作模式,包括利用AI的優勢將日常工作自動化、精簡業務流程及提升生產力和服務質素。
AI雖然擁有非凡的能力,然而,背後卻暗藏風險。舉例來說,儘管生成式AI聊天機器人能夠執行不同的任務,例如整合資料、生成圖像和影片,甚至協助醫療診斷,但它們可能會儲存部分以至全部用戶輸入的提示詞和分享的文件以訓練AI底層的模型。這些聊天機器人的系統儲存了大量資料,其中可能包括個人資料和機密資訊,儼如敏感資料的寶庫,容易成為駭客和網絡犯罪分子的目標。因此,AI處理和分析大量資料的能力固然無人能及,但該能力卻同時對個人資料私隱構成潛在威脅。
事實上,使用生成式AI所帶來的風險並非空穴來風。過去幾年,我們看到了不同「AI事故」的報導,其中一則報導是韓國某科技巨擘的僱員將性質敏感的內部原始碼輸入至生成式AI聊天機械人中,繼而導致敏感資料外洩。從此類事故可見, AI工具的確有潛在的風險,因此,機構必須留意AI的風險,並實施妥善而有效的措施確保AI安全。
深入了解生成式人工智能指引清單
個人資料私隱專員公署(私隱專員公署)於2024年就AI安全進行的一項調查顯示,近七成受訪企業意識到在營運中使用AI會帶來顯著的私隱風險,足見這問題亟待解決。為了緩減這些風險,機構其中一個可行的方法是向僱員提供清晰、全面的指引,協助他們安全地使用AI工具,尤其不要侵犯個人資料私隱。
為了促進AI在香港的安全和健康發展,並協助機構制定僱員在工作時使用生成式AI的內部政策或指引,以及遵從《個人資料(私隱)條例》(《私隱條例》)的相關規定,私隱專員公署在今年3月發布了《僱員使用生成式AI的指引清單》(《指引》)。
《指引》建議,機構在制訂其內部的AI政策或指引時應涵蓋以下重點內容。
獲准使用生成式AI的範圍
首先,該AI政策或指引應訂明機構內准許使用的生成式AI工具,其中可能包括公眾可用及/或內部開發的工具。此外,機構應清晰指明使用這些工具的獲准許用途,以免出現含糊不清的情況。例如,僱員是否可以使用這些工具起草文件、總結資訊或生成文本、音頻及/或視像內容,例如用於推廣機構產品或服務的照片或影片。
為明確釐清責任,機構亦須訂明這些政策是否適用於整個機構,還是僅限於特定部門或僱員。
保障個人資料私隱
《指引》建議機構針對生成式AI工具的「輸入」和「輸出」提供清晰指示。就獲准輸入至工具的資訊,機構應指明可輸入的資訊種類及數量。例如,機構應提供清晰指示,說明僱員可否輸入個人資料或受版權保護的資料至這些工具。
至於生成式AI工具所輸出的資訊,AI政策應列明這些資訊(包括個人資料)的獲准許用途,以及僱員在進一步使用這些資訊前應否、何時及如何將個人資料匿名化。此外,機構亦應就工具輸出的資訊的獲准許儲存方式和適用的資料保留政策提供指引。機構還應確保它們的AI政策與機構的其他相關內部政策一致,包括有關處理個人資料和資訊保安的政策。
合法及合乎道德的使用和預防偏見
為確保僱員合法及合乎道德地使用生成式AI工具,政策應訂明僱員不能為進行非法或有害的活動使用這些工具。
《指引》亦建議,AI政策或指引應強調負責進行人為監督的僱員有責任透過校對及查核事實等方式核實AI生成的結果是否準確,亦有責任更正及報告帶有偏見或歧視的AI生成結果。為提高透明度並避免誤導客戶或其他持份者,機構應就何時及如何在AI生成結果上加上水印或標籤提供指引。
數據安全
為保障數據安全,AI政策應訂明僱員可用哪些裝置來取用生成式AI工具,以及獲准許使用這些工具的僱員類別,並要求僱員使用高強度的用戶憑證和在生成式AI工具保持嚴格的保安設定。
一旦發生任何涉及AI的事故,例如資料外洩事故、未獲授權下輸入個人資料至生成式AI工具、異常的輸出結果,及/或可能涉及違法的輸出結果,僱員應根據其機構的AI事故應變計劃報告這些事故。
違反政策或指引
最後,我們建議機構訂明僱員在使用AI時違反AI政策或指引可引致的後果。
實用貼士
《指引》同時就支援僱員使用生成式AI工具提供了實用貼士。例如,《指引》鼓勵機構定期向僱員傳達AI政策或指引,並及時告知僱員任何對政策的更新,以提高透明度。機構亦可以建立渠道讓僱員提供反饋,以協助機構識別可以改進的地方。此外,《指引》建議機構為僱員提供培訓和資源,令他們可以有效和負責任地使用生成式AI工具。同時,機構亦可委派支援隊伍協助僱員在工作上使用生成式AI工具。除了提供技術支援外,支援隊伍亦應能夠解答僱員對AI政策或指引的疑問。
如欲了解更多詳情,請透過以下連結或QR碼參閱《指引》:https://www.pcpd.org.hk/chinese/resources_centre/publications/files/guidelines_ai_employees.pdf
有關AI的個人資料保障模範框架
機構在採用《指引》制訂其AI政策時,可同時參考私隱專員公署於2024年6月發布的《人工智能(AI):個人資料保障模範框架》(《模範框架》)。《模範框架》提供了國際認可及切實可行的建議和最佳行事常規,以協助機構在採購、實施及使用AI時,遵從《私隱條例》的相關規定。
具體來說,《模範框架》建基於一般業務流程,涵蓋的建議措施包括了以下範疇:(1) AI策略及管治;(2) 風險評估及人為監督;(3) AI模型的定製與AI系統的實施及管理;及(4) 與持份者的溝通及交流。
如欲了解更多詳情,請透過以下連結或QR碼參閱《模範框架》:https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/ai_protection_framework.pdf
總結
展望未來,隨着AI以近乎幾何式的速度改變我們生活和工作的方方面面,確保AI安全的重要性實在不言而喻。機構應洞悉先機,制訂AI政策或指引,讓僱員有效、負責任和安全地使用這項新技術,並完全駕馭科技,而非被科技支配。
人工智能(AI)在今年初依然是全球的焦點。繼2023年在英國舉行的AI安全峰會和2024年在韓國舉行的AI首爾峰會後,今年2月,來自逾100個國家的政府領導人及國際組織代表齊聚巴黎,參與備受矚目的AI行動峰會。在該AI行動峰會上,包括國家及歐盟在內的64個司法管轄區簽署了《關於發展包容、可持續的AI造福人類與地球的聲明》,重申必須優先確保人工智能開放、包容、具透明度、合乎道德、安全、可靠和值得信賴。
今年3月,在北京舉行的全國「兩會」特別強調要持續推進「人工智能+」行動,以激發數字經濟創新活力。2024年中央政府工作報告首次提及開展「人工智能+」行動,旨在促進AI技術與專業知識和技術資源深度融合,推動數字經濟發展,引領製造業的轉型及現代化。
國家在加速發展AI時,亦同樣重視AI安全,並致力促進全球在這方面的合作。中共中央總書記習近平今年4月在主持中央政治局集體學習時指出,要廣泛開展人工智能國際合作,為彌合全球智能鴻溝作出中國貢獻。
總書記的發言進一步展示了國家一直以來對促進國際社會在AI安全方面合作的決心。早在2023年10月,國家已推出《全球人工智能治理倡議》(《倡議》),提出「以人為本、智能向善」等原則,並強調AI的發展與安全同樣重要。事實上,AI安全就是國家安全的重要一環。為落實《倡議》,國家於2024年9月發布《人工智能安全治理框架》1.0版,提出了一系列綜合治理措施和技術措施,以防範AI帶來的各種風險,包括私隱風險。
在香港,AI一直是特區政府的策略重點。政府於2022年底公布的《香港創新科技發展藍圖》已提出重點發展AI產業。在此基礎上,政府在今年2月公布的財政預算案中,重申推動AI發展的決心,並將AI視為發展新質生產力的核心驅動力。為此,政府推出多項措施,包括撥款10億港元成立香港人工智能研發院,以支持本港AI的創新研發和產業應用。
工具還是威脅
除了政策措施外,AI已徹底地以令人難以想像的方式改變了香港人的工作模式,包括利用AI的優勢將日常工作自動化、精簡業務流程及提升生產力和服務質素。
AI雖然擁有非凡的能力,然而,背後卻暗藏風險。舉例來說,儘管生成式AI聊天機器人能夠執行不同的任務,例如整合資料、生成圖像和影片,甚至協助醫療診斷,但它們可能會儲存部分以至全部用戶輸入的提示詞和分享的文件以訓練AI底層的模型。這些聊天機器人的系統儲存了大量資料,其中可能包括個人資料和機密資訊,儼如敏感資料的寶庫,容易成為駭客和網絡犯罪分子的目標。因此,AI處理和分析大量資料的能力固然無人能及,但該能力卻同時對個人資料私隱構成潛在威脅。
事實上,使用生成式AI所帶來的風險並非空穴來風。過去幾年,我們看到了不同「AI事故」的報導,其中一則報導是韓國某科技巨擘的僱員將性質敏感的內部原始碼輸入至生成式AI聊天機械人中,繼而導致敏感資料外洩。從此類事故可見, AI工具的確有潛在的風險,因此,機構必須留意AI的風險,並實施妥善而有效的措施確保AI安全。
深入了解生成式人工智能指引清單
個人資料私隱專員公署(私隱專員公署)於2024年就AI安全進行的一項調查顯示,近七成受訪企業意識到在營運中使用AI會帶來顯著的私隱風險,足見這問題亟待解決。為了緩減這些風險,機構其中一個可行的方法是向僱員提供清晰、全面的指引,協助他們安全地使用AI工具,尤其不要侵犯個人資料私隱。
為了促進AI在香港的安全和健康發展,並協助機構制定僱員在工作時使用生成式AI的內部政策或指引,以及遵從《個人資料(私隱)條例》(《私隱條例》)的相關規定,私隱專員公署在今年3月發布了《僱員使用生成式AI的指引清單》(《指引》)。
《指引》建議,機構在制訂其內部的AI政策或指引時應涵蓋以下重點內容。
獲准使用生成式AI的範圍
首先,該AI政策或指引應訂明機構內准許使用的生成式AI工具,其中可能包括公眾可用及/或內部開發的工具。此外,機構應清晰指明使用這些工具的獲准許用途,以免出現含糊不清的情況。例如,僱員是否可以使用這些工具起草文件、總結資訊或生成文本、音頻及/或視像內容,例如用於推廣機構產品或服務的照片或影片。
為明確釐清責任,機構亦須訂明這些政策是否適用於整個機構,還是僅限於特定部門或僱員。
保障個人資料私隱
《指引》建議機構針對生成式AI工具的「輸入」和「輸出」提供清晰指示。就獲准輸入至工具的資訊,機構應指明可輸入的資訊種類及數量。例如,機構應提供清晰指示,說明僱員可否輸入個人資料或受版權保護的資料至這些工具。
至於生成式AI工具所輸出的資訊,AI政策應列明這些資訊(包括個人資料)的獲准許用途,以及僱員在進一步使用這些資訊前應否、何時及如何將個人資料匿名化。此外,機構亦應就工具輸出的資訊的獲准許儲存方式和適用的資料保留政策提供指引。機構還應確保它們的AI政策與機構的其他相關內部政策一致,包括有關處理個人資料和資訊保安的政策。
合法及合乎道德的使用和預防偏見
為確保僱員合法及合乎道德地使用生成式AI工具,政策應訂明僱員不能為進行非法或有害的活動使用這些工具。
《指引》亦建議,AI政策或指引應強調負責進行人為監督的僱員有責任透過校對及查核事實等方式核實AI生成的結果是否準確,亦有責任更正及報告帶有偏見或歧視的AI生成結果。為提高透明度並避免誤導客戶或其他持份者,機構應就何時及如何在AI生成結果上加上水印或標籤提供指引。
數據安全
為保障數據安全,AI政策應訂明僱員可用哪些裝置來取用生成式AI工具,以及獲准許使用這些工具的僱員類別,並要求僱員使用高強度的用戶憑證和在生成式AI工具保持嚴格的保安設定。
一旦發生任何涉及AI的事故,例如資料外洩事故、未獲授權下輸入個人資料至生成式AI工具、異常的輸出結果,及/或可能涉及違法的輸出結果,僱員應根據其機構的AI事故應變計劃報告這些事故。
違反政策或指引
最後,我們建議機構訂明僱員在使用AI時違反AI政策或指引可引致的後果。
實用貼士
《指引》同時就支援僱員使用生成式AI工具提供了實用貼士。例如,《指引》鼓勵機構定期向僱員傳達AI政策或指引,並及時告知僱員任何對政策的更新,以提高透明度。機構亦可以建立渠道讓僱員提供反饋,以協助機構識別可以改進的地方。此外,《指引》建議機構為僱員提供培訓和資源,令他們可以有效和負責任地使用生成式AI工具。同時,機構亦可委派支援隊伍協助僱員在工作上使用生成式AI工具。除了提供技術支援外,支援隊伍亦應能夠解答僱員對AI政策或指引的疑問。
如欲了解更多詳情,請透過以下連結或QR碼參閱《指引》:https://www.pcpd.org.hk/chinese/resources_centre/publications/files/guidelines_ai_employees.pdf
有關AI的個人資料保障模範框架
機構在採用《指引》制訂其AI政策時,可同時參考私隱專員公署於2024年6月發布的《人工智能(AI):個人資料保障模範框架》(《模範框架》)。《模範框架》提供了國際認可及切實可行的建議和最佳行事常規,以協助機構在採購、實施及使用AI時,遵從《私隱條例》的相關規定。
具體來說,《模範框架》建基於一般業務流程,涵蓋的建議措施包括了以下範疇:(1) AI策略及管治;(2) 風險評估及人為監督;(3) AI模型的定製與AI系統的實施及管理;及(4) 與持份者的溝通及交流。
如欲了解更多詳情,請透過以下連結或QR碼參閱《模範框架》:https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/ai_protection_framework.pdf
總結
展望未來,隨着AI以近乎幾何式的速度改變我們生活和工作的方方面面,確保AI安全的重要性實在不言而喻。機構應洞悉先機,制訂AI政策或指引,讓僱員有效、負責任和安全地使用這項新技術,並完全駕馭科技,而非被科技支配。