人工智能(AI)技術在香港廣泛應用,對個人資料私隱的影響引起公眾和監管機構的關注。個人資料私隱專員公署於2023年8月至2024年2月期間,對28間本地機構進行循規審查,了解機構在開發或使用AI時,對個人資料的收集、使用及處理情況,以及其人工智能的管治情況。
個人資料私隱專員公署資料顯示,審查覆蓋多個行業,包括:電訊、金融保險、美容、零售、運輸、教育和政府部門,審查結果反映,大多數被審查機構已經建立人工智能管治架構,並在日常營運中積極利用AI技術,如數據分析、評估求職者面試表現和使用聊天機器人等。
值得注意的是,雖然有21間機構在日常營運使用AI,但只有10間機構會透過AI產品或服務收集個人資料。這些機構在收集個人資料前,已向資料當事人提供收集個人資料的聲明,明確說明收集資料的目的及資料可能轉移的對象。此外,這10間機構均採取適當的保安措施來保護個人資料,並進行私隱影響評估,以確保在開發或使用AI產品及服務期間,個人資料得到充分保護。
- 21間機構在日常營運時使用人工智能,例如使用人工智能分析數據、評估求職者的面試表現、使用聊天機械人回覆顧客的查詢等;
- 在該21間機構當中,19間機構設有人工智能管治架構,例如設立人工智能管治委員會及/或指派專人負責監督人工智能產品或服務的開發或使用;
- 在該21間機構當中,只有10間機構會透過人工智能產品或服務收集個人資料,而他們在收集個人資料之時或之前均已向資料當事人提供收集個人資料聲明,當中述明收集資料的目的,以及資料可能會被轉移給哪類人士等資訊;
- 在該10間機構當中,八間機構在開發或使用人工智能產品及服務前有進行私隱影響評估;
- 該10間機構均有採取相應的保安措施,以確保其持有的個人資料在開發或使用人工智能產品或服務期間受到保障,而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。該些措施包括:只讓獲授權人士存取個人資料、儲存及傳輸個人資料時進行加密、定期進行保安漏洞評估及滲透測試或為員工提供書面指引及培訓等;及
- 在該10間機構當中,九間機構會保留在人工智能產品或服務中收集得的個人資料,當中八間機構已訂明個人資料的保留期限,並會在達致原本的收集目的後,刪除有關個人資料或將資料匿名化。餘下的一間機構允許資料當事人自行刪除其個人資料。
私隱專員公署的審查顯示,香港的機構在應用AI技術時,普遍重視個人資料的保護。私隱專員鍾麗玲強調,雖然AI技術對促進生產力和經濟增長具有巨大潛力,但其同時存在著不同程度的個人資料私隱和道德風險。她樂見大部分機構設有人工智能管治架構,以監督AI產品或服務的開發或使用,並呼籲所有機構在開發或使用AI系統時,應負起保障數據安全的責任,遵從《個人資料(私隱)條例》的相關規定。
私隱專員公署亦已於2021年8月發出《開發及使用人工智能道德標準指引》,提供一系列建議措施,包括在開發或使用AI過程中確保遵從《私隱條例》的規定,制定AI策略及內部管治架構,進行全面的風險評估,以及與持份者有效溝通等。
私隱專員公署希望透過這次循規審查,向所有開發或使用人工智能的機構提供以下建議措施:
- 如在開發或使用人工智能的過程中收集或處理個人資料,須採取措施確保遵從《私隱條例》的規定,並持續監察及檢視人工智能系統;
- 制定開發或使用人工智能策略及設立人工智能內部管治架構,並為所有有關人員提供足夠的培訓;
- 就開發或使用人工智能進行全面的風險評估(包括私隱影響評估),有系統地識別、分析及評估風險,包括私隱風險,並因應有關風險而採取適當的風險管理措施,例如風險較高的人工智能系統須有較高程度的人為監督;及
- 與持份者有效地溝通及交流,以提高使用人工智能的透明度,並因應持份者的關注適時調整人工智能系統。
Source:個人資料私隱專員公署