隨着人工智能應用日益普及,機構對人工智能的依賴程度不斷提高,但其帶來的私隱及安全風險亦不容忽視。為了解人工智能在香港的應用情況及其對個人資料私隱的影響,個人資料私隱專員公署(私隱專員公署)於2023年8月至2024年2月期間向28間本地機構進行循規審查,並提供實用建議。公署亦於2025年2月啟動新一輪循規審查,審查涉及60間本地機構,涵蓋電訊、銀行、零售、醫療等多個行業,了解它們用人工智能時收集、使用及處理個人資料有否遵從《個人資料(私隱)條例》(《私隱條例》)的相關規定。
私隱專員公署今日發表報告,發布對該些機構在使用人工智能時保障個人資料私隱方面的主要觀察。私隱公署文件截圖
私隱專員公署今日發表報告,對該些機構在使用人工智能時保障個人資料私隱方面的主要觀察:
- 48間(80%)在日常營運中使用人工智能,較2024年審查上升5%。其中,42間機構已使用人工智能超過一年。
- 48間機構中,26間(54%)使用三個或以上的人工智能系統,應用範圍包括客戶服務、市場營銷、行政支援及風險管理等。
- 24間機構(50%)透過人工智能系統收集及/或使用個人資料,並在收集資料時提供「收集個人資料聲明」,說明用途及可能轉移的對象。
- 在收集個人資料的24間機構中,19間(79%)已訂明保留期限,並於達致目的後刪除有關資料。
- 所有涉及個人資料的機構均採取措施保障數據安全,包括加密、匿名化及滲透測試等。其中,七間機構亦啟用人工智能安全警報及進行紅隊演練。
- 在該24間機構當中,23間機構(96%)在實施人工智能系統前進行測試,20間(83%)進行私隱影響評估。
- 在該24間機構當中,22間機構(92%)已制定資料外洩事故應變計劃,部分計劃專門針對人工智能相關風險。
- 15間機構(63%)參考私隱專員公署發布的指引,包括《人工智能:個人資料保障模範框架》。有七間機構(約29%)有計劃參考相關指引。
- 19間機構(79%)設有人工智能管治架構,例如成立管治委員會或指派專人監督系統運作。
私隱專員鍾麗玲表示,是次審查結果反映,大部分機構已在業務中廣泛應用人工智能。資料圖片
私隱專員鍾麗玲表示,是次審查結果反映,大部分機構已在業務中廣泛應用人工智能,並採取措施保障個人資料私隱及系統安全。然而,人工智能作為雙刃劍,雖能促進業務發展,其潛在風險不可忽視。機構應持續監察人工智能對個人資料的影響,並制定完善的應變計劃及培訓機制,應對突發事件。
為促進人工智能的安全發展,公署向機構提出以下建議:
- 如在開發或使用人工智能的過程中收集或處理個人資料,須採取措施確保遵從《私隱條例》的相關規定,並持續監察及檢視人工智能系統;
- 制定開發或使用人工智能策略及設立人工智能內部管治架構,並為所有有關人員提供足夠的培訓。此外,機構亦應制定人工智能事故應變計劃,以監察及應對可能意外發生的事故 ;
- 就開發或使用人工智能進行全面的風險評估(包括私隱影響評估),有系統地識別、分析及評估風險,包括私隱風險,並因應有關風險而採取適當的風險管理措施,例如風險較高的人工智能系統須有較高程度的人為監督;
- 定期對人工智能系統進行內部審核(及在有需要時進行獨立評估),以確保系統安全及數據安全,而人工智能的開發或使用亦應持續遵從機構相關政策,包括人工智能策略的規定;及
- 與持份者有效地溝通及交流,以提高使用人工智能的透明度,並因應持份者的反饋適時調整人工智能系統。
可下載完整報告,了解更多詳情。
