《工商月刊》:加強人工智能管治
踏入2025年下半年,人工智能(AI)熱潮有增無減,有關這項新興科技的報導及業界消息繼續佔據各大報章頭條。愈來愈多香港機構以不同方式將AI融入日常營運,旨在將工作流程自動化及提高生產力。
然而,AI的使用在管治、保障數據安全及遵從《個人資料(私隱)條例》(《私隱條例》)等相關法例方面仍面對不少挑戰,令用戶有所顧慮。
個人資料私隱專員公署(私隱專員公署)於2025年5月完成的循規審查顯示,80%機構已在日常營運中使用AI。根據香港工會聯合會(工聯會)最近公布的研究結果,近70%受訪僱員不會定期或主動向僱主披露使用生成式AI的情況,超過40%並不擔憂在使用生成式AI時或會洩漏或錯誤處理個人資料或公司機密,因而需要負上法律責任。
在瞬息萬變的數碼世界中,機構應考慮如何確保僱員安全地使用AI,以享受新科技帶來的效益,同時保障機構與僱員的利益,締造雙贏局面。
AI安全
數據是AI的命脈,因此AI對個人資料私隱的威脅無疑是一大風險。私隱專員公署於2024年的調查顯示,接近70%企業意識到使用AI會帶來顯著的私隱風險,但當中只有28%已制定AI安全政策。由此可見,具備意識並不代表會付諸行動,而缺乏準備可能令機構受到AI安全風險的威脅,僱員亦未必清楚了解AI的獲准許用途。
私隱專員公署最新發布的指引
為協助機構及公眾應對AI浪潮所帶來的私隱風險,私隱專員公署自2021年起發布多份指引及單張。當中,今年3月發布的《僱員使用生成式AI的指引清單》(《指引》)旨在協助機構制定僱員在工作時使用生成式AI的內部政策或指引(AI政策),以及遵從《私隱條例》的相關規定。工聯會於5月公布的研究亦呼籲機構在制定內部AI政策時參照《指引》內容。
《指引》建議機構在制定內部AI政策時考慮以下範疇:
a) 獲准使用生成式AI的範圍
機構應清楚訂明准許使用的生成式AI工具,並說明這些工具的獲准許用途,例如僱員能否使用這些工具起草文件、總結資訊或生成文本、音頻及/或視像內容。此外,為釐清責任,機構應訂明AI政策是否涵蓋整個機構,抑或僅限於指定部門。
b) 保障個人資料私隱
《指引》建議機構就生成式AI工具的「輸入資訊」及「輸出資訊」提供清晰指示。具體而言,AI政策應列明獲准輸入至生成式AI工具的資訊種類及數量、AI生成資訊的獲准許用途及儲存方式、適用的資料保留政策,以及僱員必須遵從的其他相關政策。
c) 合法及合乎道德的使用及預防偏見
機構的AI政策應訂明僱員不得使用生成式AI工具進行非法或有害的活動,而僱員有責任擔當審查員,核實AI生成的結果是否準確,並更正及報告任何帶有偏見或歧視的結果。機構亦應提供指引,說明應在何時及如何為AI生成結果加上水印或標籤。
d) 數據安全
為保障數據安全,《指引》建議機構的AI政策訂明獲准許使用生成式AI工具的僱員及裝置類別。使用這些工具時,僱員應使用高強度用戶憑證,並保持嚴格的保安設定。此外,僱員應根據機構的AI事故應變計劃報告AI事故。
e) 違反AI政策
最後,機構應訂明違反AI政策可引致的後果。有關建立穩妥的生成式AI管治架構及其他相關範疇的建議,機構可參考私隱專員公署去年發布的《人工智能(AI):個人資料保障模範框架》。
實用貼士
此外,《指引》就支援僱員使用生成式AI工具提供實用貼士,包括(a)定期向僱員傳達AI政策及任何更新,以提高透明度、(b)提供培訓及資源、(c)委派支援隊伍協助僱員,以及(d)建立反饋機制,以助機構識別可改善之處。
致力保障AI安全及私隱
隨着AI模型日趨成熟及多元化,各行各業正積極將這些變革性技術融入日常營運。機構應把握時機制定內部AI政策,為僱員於工作時使用生成式AI提供明確指引。透過制定全面的AI政策,機構可在善用AI的同時保障個人資料私隱,從而在數碼時代取得客戶和持份者的信任。