新聞稿

随着人工智能的发展及应用在香港日渐普及，机构在开发或使用人工智能系统时或会收集、使用或处理个人资料，从而对个人资料私隐构成风险。为了解人工智能在香港的使用情况及其对个人资料私隐的影响，个人资料私隐专员公署（私隐专员公署）于2023年8月至2024年2月期间合共向28间本地机构（该些机构）进行循规审查，以了解该些机构在开发或使用人工智能时收集、使用及处理个人资料的情况，以及该些机构就人工智能的管治情况。

是次循规审查涵盖不同行业，包括电讯、金融及保险、美容、零售、运输、教育及政府部门。根据审查结果，私隐专员公署对该些机构在开发或使用人工智能时保障个人资料私隐方面的整体观察如下：

• 21间机构在日常营运时使用人工智能，例如使用人工智能分析数据、评估求职者的面试表现、使用聊天机械人回复顾客的查询等； 
• 在该21间机构当中，19间机构设有人工智能管治架构，例如设立人工智能管治委员会及／或指派专人负责监督人工智能产品或服务的开发或使用；
• 在该21间机构当中，只有10间机构会透过人工智能产品或服务收集个人资料，而他们在收集个人资料之时或之前均已向资料当事人提供收集个人资料声明，当中述明收集资料的目的，以及资料可能会被转移给哪类人士等资讯；
• 在该10间机构当中，八间机构在开发或使用人工智能产品及服务前有进行私隐影响评估；
• 该10间机构均有采取相应的保安措施，以确保其持有的个人资料在开发或使用人工智能产品或服务期间受到保障，而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。该些措施包括：只让获授权人士存取个人资料、储存及传输个人资料时进行加密、定期进行保安漏洞评估及渗透测试或为员工提供书面指引及培训等；及
• 在该10间机构当中，九间机构会保留在人工智能产品或服务中收集得的个人资料，当中八间机构已订明个人资料的保留期限，并会在达致原本的收集目的后，删除有关个人资料或将资料匿名化。余下的一间机构允许资料当事人自行删除其个人资料。

私隐专员公署现已完成有关的循规审查。在是次循规审查过程中未有发现有违反《个人资料（私隐）条例》（《私隐条例》）相关规定的情况。是次循规审查结果显示，越来越多机构（包括公私营机构）应用人工智能以增加日常营运效率。
 
个人资料私隐专员钟丽玲表示：「人工智能在促进生产力及经济增长方面拥有巨大潜力，但人工智能亦存在不同程度的个人资料私隐及道德风险。我乐见在审查的机构当中，大部分机构均设有人工智能管治架构，以监督人工智能产品或服务的开发或使用。机构作为资料使用者在开发或使用人工智能系统时有责任确保人工智能系统的数据安全，应适时检视及评估人工智能系统对数据安全的影响，并确保遵从《私隐条例》的相关规定。」
 
私隐专员公署已于2021年8月发出《开发及使用人工智能道德标准指引》，旨在促进人工智能在香港的健康发展及应用，同时协助机构在开发或使用人工智能产品及服务的过程中遵从《私隐条例》的规定，以减轻私隐及道德风险。
 
私隐专员公署希望透过这次循规审查，向所有开发或使用人工智能的机构提供以下建议措施：

• 如在开发或使用人工智能的过程中收集或处理个人资料，须采取措施确保遵从《私隐条例》的规定，并持续监察及检视人工智能系统；
• 制定开发或使用人工智能策略及设立人工智能内部管治架构，并为所有有关人员提供足够的培训；
• 就开发或使用人工智能进行全面的风险评估（包括私隐影响评估），有系统地识别、分析及评估风险，包括私隐风险，并因应有关风险而采取适当的风险管理措施，例如风险较高的人工智能系统须有较高程度的人为监督；及
• 与持份者有效地沟通及交流，以提高使用人工智能的透明度，并因应持份者的关注适时调整人工智能系统。

私隐专员公署发出的《开发及使用人工智能道德标准指引》。