Skip to content

新聞稿

私隐专员公署发布 《人工智能 (AI):个人资料保障模范框架》

日期: 2024年6月11日 

私隐专员公署发布
《人工智能 (AI):个人资料保障模范框架》

随着人工智能(AI)科技急速发展,AI的应用日渐普及。为应对AI 对个人资料私隐带来的挑战,体现国家的《全球人工智能治理倡议》,个人资料私隐专员公署(私隐专员公署)今日发布《人工智能 (AI): 个人资料保障模范框架》。
 
个人资料私隐专员钟丽玲表示︰「人工智能安全是国家安全的重点领域之一。私隐专员公署制定了《人工智能 (AI): 个人资料保障模范框架》(《模范框架》),提供国际认可及切实可行的建议和最佳行事常规,以协助机构在采购、实施及使用AI,包括生成式AI时,遵从《个人资料(私隐)条例》(《私隐条例》)的相关规定,确保机构在善用AI之余,亦保障个人资料私隐。我相信《模范框架》将有助孕育AI在香港的健康发展,促进香港成为创新科技枢纽,并推动香港以至大湾区的数字经济发展。」
 
为《模范框架》撰写前言的私隐专员公署科技发展常务委员会委员、立法会议员黄锦辉教授表示:「适逢国家正快速发展新质生产力,并开展了『人工智能+』行动,以科技创新驱动产业发展,私隐专员公署推出这指引,正好可以协助企业善用AI技术,促进产业创新及升级转型,帮助推进香港数字经济发展、加速建设香港成为国际创科中心,积极融入国家发展大局。」

私隐专员公署发布的《模范框架》获得香港政府资讯科技总监办公室及香港应用科技研究院的支持,公署在制定《模范框架》的过程中亦曾征询不同专家及相关持份者的意见,当中包括公署科技发展常务委员会成员、公营机构、科技业界、大学,以及AI供应商等。公署衷心感谢众位专家及持份者在草拟及发布《模范框架》的过程中所给予的支持及宝贵意见。
 
具体来说,《模范框架》建基于一般业务流程,向采购、实施及使用任何种类的AI系统的机构,就保障个人资料私隐方面提供有关AI管治的建议及最佳行事常规,旨在协助相关机构遵从《私隐条例》的规定,及恪守私隐专员公署在2021 年出版的《开发及使用人工智能道德标准指引》中倡议的三项数据管理价值和七项AI道德原则。《模范框架》涵盖以下四个范畴的建议措施(建议措施概要请参阅附录一):
  • 制定AI策略及管治架构:制定机构的AI策略及采购AI方案的管治考虑、成立AI管治委员会(或类似组织)及为员工提供AI相关的培训;
  • 进行风险评估及人为监督:进行全面风险评估,建立一套风险管理机制,采取「风险为本」的管理方式,并视乎AI的风险高低而采取相应的风险缓减措施,包括决定人为监督的程度;
  • 实行AI模型的定制与AI系统的实施及管理:为定制及/或使用AI模型准备及管理数据,包括个人资料、在定制及实施有关AI系统的过程中测试及验证AI模型、确保AI的系统安全及数据安全,以及对AI系统进行管理及持续监察;及
  • 促进与持份者的沟通及交流:定期及有效地与持份者(尤其是内部员工、 AI供应商、个别消费者及监管机构)联络及交流,以提高透明度及建立信任。
为协助机构更容易理解《模范框架》,私隐专员公署亦出版了一份介绍《模范框架》的懒人包,摘录《模范框架》的重点建议
 
下载《人工智能 (AI):个人资料保障模范框架》:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/ai_protection_framework.pdf
 
下载《人工智能 (AI):个人资料保障模范框架》懒人包:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/leaflets_protection_framework.pdf

《人工智能 (AI):个人资料保障模范框架》

私隐专员钟丽玲发布《人工智能 (AI):个人资料保障模范框架》。

私隐专员公署科技发展常务委员会委员、立法会议员黄锦辉教授在《人工智能 (AI):个人资料保障模范框架》传媒简介会上发言。

私隐专员公署科技发展常务委员会委员、立法会议员黄锦辉教授(右二)、政府资讯科技总监办公室助理政府资讯科技总监(资讯科技基础设施)赵善衡(左一)、私隐专员钟丽玲(左二)及香港应用科技研究院人工智能及可信技术部门首席总监张伟伦(右一)出席记者招待会。

私隐专员公署科技发展常务委员会委员(常委会)、立法会议员黄锦辉教授(右三)、私隐专员钟丽玲(中)、政府资讯科技总监办公室助理政府资讯科技总监(资讯科技基础设施)赵善衡(左三)、其他常委会成员,包括张伟伦(右二)、陈仲文工程师(左二)、刘伟经特邀教授(右一)及助理个人资料私隐专员(法律、环球事务及研究)萧颕思(左一)出席记者招待会。

 
-完-


附录一

《人工智能 (AI):个人资料保障模范框架》概要
 
《模范框架》涵盖以下四个范畴的建议措施:
  • 制定AI策略及管治架构
  • 机构应建立内部的AI 管治策略,一般包含(i) AI 策略、(ii) 关于采购AI 方案的管治考虑,以及(iii) AI 管治委员会(或类似组织),以引领相关过程,包括就采购AI方案的目的以及如何实施和使用AI 系统提供相关指引;
  • 采购AI方案的管治考虑,包括准AI供应商有否遵循技术性和管治方面的国际标准、AI 方案在甚么准则下须交由AI 管治委员会(或类似组织)审查以及相关程序、与资料处理者所需签署的协议,及处理AI 系统生成结果的政策(例如,采用技术将AI 生成内容中的个人资料匿名化,将AI 生成内容添加标记或水印,并过滤可能引起道德问题的AI 生成内容);
  • 建立具足够资源、专业知识和决策权的内部管治架构,以引领AI策略的实施,并监督AI系统的采购、实施及使用,包括成立AI管治委员会(或类似组织),AI管治委员会应向董事会汇报,及建立有效的内部汇报机制,用于汇报任何的系统故障或提出有关资料保障或道德问题,以便AI 管治委员会作出恰当的监察;及
  • 为员工提供与AI相关的培训,以确保他们具有适当的知识、技能和认知,以便在使用AI 系统的环境中工作。例如,对于AI系统使用者(包括业务运作人员),培训主题可包括资料保障法律、规例和内部政策的遵从;网络保安风险;及一般AI科技。

  • 进行风险评估及人为监督
  • 机构需要进行全面的风险评估,有系统地识别、分析及评估采购、使用及管理AI 过程中涉及的风险,包括私隐风险。风险评估应考虑的因素包括《私隐条例》的规定、资料(包括个人资料)的数量、敏感程度及质素、资料保安、私隐风险(例如个人资料的过度收集、滥用或外洩)出现的可能性及其潜在损害的严重程度。举例说,用作评估个人信贷的AI系统的风险一般比用于推送个人化广告的AI系统的风险较高,因为前者或会令个人无法获得信贷安排,一般来说影响较后者大;
  • 因应有关风险而采取相称的风险管理措施,包括决定适当的人为监督。例如,「人在环外」:AI在没有人为介入下作出决定;「人为管控」:人类决策者监督AI的运作,在有需要时介入;和「人在环中」:人类决策者在决策过程中保留着控制权,以防止及/或减低AI 出错或输出不当的结果及/或作出不当的决定;及
  • 机构试图减低AI 的风险以符合AI 道德原则时,可能会遇到一些互相矛盾的情况,需要作出平衡,并作出取舍。机构可能要考虑会使用AI 作决策或生成内容的情况,以决定如何合理地作出权衡。例如,若AI 系统的决策会影响客户能否享用服务,而提供人为监督的审查员亦需要向客户解释AI 的决策,AI 模型的可解释性便相对地重要。
     
  • 实行AI模型的定制与AI系统的实施及管理
  • 为定制及/或使用AI模型准备及管理数据(包括个人资料)时采取措施,确保遵循《私隐条例》的规定,例如使用最少量的个人资料、确保数据质素,及妥善记录为定制及使用AI 而处理数据的情况;
  • 在定制及实施有关AI系统的过程中验证与系统相关的私隐责任和道德要求(包括公平性、透明度和可解释性);测试AI模型是否有错误,以确保其可靠性、稳健性和公平性;及进行严格的用户接受度测试;
  • 确保AI的系统安全及数据安全,如实施措施(例如红队演练)以尽量减低机器学习模型遭受攻击的风险;实行员工内部指引,规定可输入AI 系统的内容及允许/禁止输入的提示;及建立机制让AI 系统输出的结果可追溯和可审核;
  • 对AI系统进行管理及持续监察,采取检视机制(包括当 AI 系统的功能或运作有重大改变,或监管或科技环境出现重大变化时,重新评估 AI 系统,以识别及应对新的风险);
  • 制定AI事故应变计划,涵盖AI事故的界定、监察、通报、遏止事故扩大、调查和从事故中复原;及
  • 机构应定期对AI 系统进行内部审核(及在有需要时进行独立评估),以确保AI 的使用持续遵从机构相关政策的规定,以及与AI 策略保持一致。
  • 促进与持份者的沟通及交流
  • 定期及有效地与持份者(尤其是内部员工、 AI供应商、个别消费者及监管机构)联络及交流,以提高透明度及建立信任;
  • 处理查阅和改正资料要求及提供反馈途径;
  • 就AI的决策及输出结果提供解释、披露AI系统的使用、披露风险,及考虑容许拒绝使用AI;及
  • 使用浅白的语言和清楚易明的方式与持份者(尤其是消费者)沟通。

-完-