新聞稿
私隐专员公署发表(一)《雇员使用生成式AI的指引清单》及 (二)俊思管理有限公司资料外泄事故的调查结果
日期: 2025年3月31日
私隐专员公署发表(一)《僱员使用生成式AI的指引清单》及
私隐专员公署发表(一)《僱员使用生成式AI的指引清单》及
(二)俊思管理有限公司资料外洩事故的调查结果
个人资料私隐专员公署(私隐专员公署)今日发表(一)《僱员使用生成式AI的指引清单》及(二)俊思管理有限公司资料外洩事故的调查结果。
(1)《僱员使用生成式AI的指引清单》
生成式人工智能(AI)的使用在香港日益普及,不少机构亦开始探索利用生成式AI提升机构竞争力及促进数码转型。
个人资料私隐专员(私隐专员)钟丽玲表示:「人工智能安全乃国家安全的重点领域之一。在科技创新和产业创新的范畴,国家一直强调发展与安全并重,在两会期间并明确指出要持续推进「人工智能+」行动,以激发数字经济创新活力。为贯彻落实两会精神及香港特区政府所发布的《香港创新科技发展蓝图》,促进AI在香港安全及健康地发展,私隐专员公署今日发表《僱员使用生成式AI的指引清单》(《指引》),协助机构制定僱员在工作时使用生成式AI的内部政策或指引,以及遵从《个人资料(私隐)条例》(《私隐条例》)的相关规定。」
私隐专员公署科技发展常务委员会委员、立法会议员黄锦辉教授, MH表示:「国家持续推进「人工智能+」行动,以创新应用驱动高质量发展,并探索及拓展多样化的AI应用场景。随着新一份《财政预算案》提出全力发展AI,我相信越来越多机构将在其业务流程中应用AI。私隐专员公署推出《指引》,可协助机构及其僱员安全地使用生成式AI、保障个人资料私隐,并促进AI在各领域的安全应用及加速培育新质生产力。」
《指引》建议,机构在制定其僱员使用生成式AI的内部政策或指引时涵盖以下内容,重点如下:
下载《僱员使用生成式AI的指引清单》:https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/guidelines_ai_employees.pdf
除了发表《指引》,为协助机构在采用AI之余亦保障个人资料私隐,私隐专员公署亦由即日起推出「AI安全」热线2110 1155,以便机构查询。
另外,私隐专员公署于早前公布「中小企数据安全培训系列」,其中包括举办「中小企认识AI数据安全及私隐风险」研讨会。公署亦会举办AI讲座,向机构介绍《指引》及继续讲解公署去年发布的《模范框架》的内容。
私隐专员公署亦会继续为机构举办内部培训讲座,机构可联络公署(https://www.pcpd.org.hk/tc_chi/education_training/seminars/in_house_seminar.html),按需要加插《指引》及《模范框架》的内容。公署在今年首两个月一共为28间机构举办了31场内部培训讲座。
(2)俊思个人资料外洩事故的调查结果
调查源于俊思管理有限公司(俊思)于2024年5月31日向私隐专员公署通报资料外洩事故,表示俊思于2024年5月15日收到黑客的勒索讯息,声称窃取其资料并威胁出售相关资料(外洩事件)。
调查发现,黑客于2024 年 5 月 4 日入侵一个俊思于2024年4月24日在防火墙设立的临时用户帐户(相关帐户),相关帐户是为供应商作系统紧急远端支援的用途所设立,而黑客利用相关帐户取得进入俊思网络的访问权限。在取得访问权限后,黑客在俊思的网络进行横向移动,并利用一个应用程式伺服器上已终止支援的操作系统的保安漏洞,进一步入侵网域控制器及其他载有个人资料的伺服器。调查显示,外洩事件导致约 68GB 的资料从俊思的网络外洩。外洩事件导致俊思共四台伺服器及五个系统帐户被入侵。
俊思是一间品牌管理及分销公司,为国际时装及美容品牌提供服务,并为其旗下的合作品牌管理会员计划。外洩事件牵涉俊思营运的两个会员计划:ICARD会员计划及Brooks Brothers会员计划。外洩事件合共影响127,268名人士的个人资料,包括100,185名ICARD会员、27,069名Brooks Brothers会员、14名俊思现职僱员及前僱员等。涉及的个人资料包括会员的姓名、电邮地址、电话号码、出生月份、性别及国籍,以及僱员的护照副本等。
俊思在外洩事件发生后已通知所有受影响的资料当事人,并为受影响的资料当事人提供支援,包括进行暗网监控及设立特定电邮地址以处理相关查询。俊思亦采取一系列的补救措施以提升系统安全,包括删除相关被入侵的帐户、更换已终止支援的应用程式伺服器,以及安装端点侦测及回应方案以进行即时侦测及分析。
私隐专员公署就外洩事件共进行了六次查讯,并审视了俊思提供的资料,包括俊思委聘的网络安全专家提供的调查报告,以及俊思就外洩事件的跟进及补救工作。私隐专员公署感谢俊思配合公署的调查,并提供所要求的资讯及文件。经考虑外洩事件的情况及调查所获得的资料,私隐专员钟丽玲认为俊思的以下缺失是导致外洩事件发生的主因(详见附件一):─
基于俊思是一间具规模的国际时装及美容品牌管理及分销公司,而公司持有及处理大量客户及僱员的个人资料,私隐专员钟丽玲认为持份者(尤其是客户)对俊思为其资讯系统实施高水平的资料保安措施抱有合理期望。然而,调查发现外洩事件是由于人为疏忽及欠缺足够的保安措施保障资讯系统所引致。私隐专员认为,假如俊思于事发前及时删除相关帐户及停止使用已终止支援的操作系统,是次资料外洩事件是相当有机会可以避免的。
基于上述原因,私隐专员裁定俊思没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《私隐条例》的保障资料第4(1)原则有关个人资料保安的规定。
私隐专员已向俊思送达执行通知,指示其采取措施以纠正违规事项,以及防止类似违规情况再次发生。
私隐专员钟丽玲提醒所有持有个人资料的机构,应防患未然,采取合适的机构性及技术性措施加强资讯系统的保安以抵御恶意攻击。尤其是,机构应:
私隐专员钟丽玲发表《僱员使用生成式AI的指引清单》。
私隐专员钟丽玲发表《僱员使用生成式AI的指引清单》。
私隐专员公署科技发展常务委员会委员、立法会议员黄锦辉教授, MH在记者会上发言。
私隐专员钟丽玲(左)与私隐专员公署科技发展常务委员会委员、立法会议员黄锦辉教授, MH(右)于记者会上合照。
私隐专员钟丽玲(中)、私隐专员公署科技发展常务委员会委员黄锦辉教授, MH(右二)、陈仲文工程师(左二)、张伟伦博士(右一)及李嘉乐博士(左一)出席记者会。
私隐专员钟丽玲(左)及首席个人资料主任(合规及查询)郭正熙(右)讲解俊思资料外洩事故调查结果。
附件一
(1)《僱员使用生成式AI的指引清单》
生成式人工智能(AI)的使用在香港日益普及,不少机构亦开始探索利用生成式AI提升机构竞争力及促进数码转型。
个人资料私隐专员(私隐专员)钟丽玲表示:「人工智能安全乃国家安全的重点领域之一。在科技创新和产业创新的范畴,国家一直强调发展与安全并重,在两会期间并明确指出要持续推进「人工智能+」行动,以激发数字经济创新活力。为贯彻落实两会精神及香港特区政府所发布的《香港创新科技发展蓝图》,促进AI在香港安全及健康地发展,私隐专员公署今日发表《僱员使用生成式AI的指引清单》(《指引》),协助机构制定僱员在工作时使用生成式AI的内部政策或指引,以及遵从《个人资料(私隐)条例》(《私隐条例》)的相关规定。」
私隐专员公署科技发展常务委员会委员、立法会议员黄锦辉教授, MH表示:「国家持续推进「人工智能+」行动,以创新应用驱动高质量发展,并探索及拓展多样化的AI应用场景。随着新一份《财政预算案》提出全力发展AI,我相信越来越多机构将在其业务流程中应用AI。私隐专员公署推出《指引》,可协助机构及其僱员安全地使用生成式AI、保障个人资料私隐,并促进AI在各领域的安全应用及加速培育新质生产力。」
《指引》建议,机构在制定其僱员使用生成式AI的内部政策或指引时涵盖以下内容,重点如下:
- 获准使用生成式AI的范围:订明获准使用的生成式AI工具(可能包括公众可用及/或内部开发的生成式AI工具)、获准许的用途(例如起草;总结资讯;及/或生成文本、音频及/或视像内容),以及政策或指引适用的对象;
- 保障个人资料私隐:提供清晰指示,说明可输入至生成式AI工具的资讯种类及数量(例如是否包含个人资料或其他资料)、输出资讯的获准许用途、输出资讯的获准许储存方式、所适用的资料保留政策,以及其他须遵从的相关内部政策(例如有关处理个人资料及资讯保安的政策);
- 合法及合乎道德的使用及预防偏见:订明僱员不能为进行非法或有害的活动使用生成式AI工具,并强调僱员有责任透过校对及查核事实等方式核实AI生成的结果是否准确、有责任更正及报告带有偏见或歧视的AI生成结果,以及应何时及如何在AI生成结果上加上水印/标籤;
- 数据安全:订明僱员可用哪些装置来取用生成式AI工具(例如僱主提供的工作装置)、获准许可使用生成式AI工具的僱员类别(例如有工作需要、曾接受相关培训及已获事先批准的僱员),要求僱员使用高强度的用户凭证、在生成式AI工具保持严格的保安设定,以及根据机构的AI事故应变计划报告AI事故(例如涉及AI的资料外洩事故、未获授权下输入个人资料、异常的输出结果,及/或可能涉及违法的输出结果);及
- 违反政策或指引:订明僱员违反政策或指引可引致的后果,并参照私隐专员公署发布的《人工智能 (AI):个人资料保障模范框架》(《模范框架》)的建议,制定生成式AI的管治架构及措施。
- 提高政策或指引的透明度:定期向僱员传达政策或指引,并及时告知僱员任何更新;
- 提供僱员使用生成式AI工具的培训及资源:教育僱员如何有效及负责任地使用生成式AI工具,包括说明工具的能力及限制,提供实务建议及例子和鼓励僱员阅读工具的私隐政策及使用条款等;
- 委派支援队伍:委派支援队伍协助在工作上使用生成式AI工具的僱员、提供技术支援及解答僱员的疑问;及
- 建立反馈机制:建立渠道让僱员提供反馈,以协助机构识别可以改进的地方及根据情况更新政策或指引。
下载《僱员使用生成式AI的指引清单》:https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/guidelines_ai_employees.pdf
除了发表《指引》,为协助机构在采用AI之余亦保障个人资料私隐,私隐专员公署亦由即日起推出「AI安全」热线2110 1155,以便机构查询。
另外,私隐专员公署于早前公布「中小企数据安全培训系列」,其中包括举办「中小企认识AI数据安全及私隐风险」研讨会。公署亦会举办AI讲座,向机构介绍《指引》及继续讲解公署去年发布的《模范框架》的内容。
私隐专员公署亦会继续为机构举办内部培训讲座,机构可联络公署(https://www.pcpd.org.hk/tc_chi/education_training/seminars/in_house_seminar.html),按需要加插《指引》及《模范框架》的内容。公署在今年首两个月一共为28间机构举办了31场内部培训讲座。
(2)俊思个人资料外洩事故的调查结果
调查源于俊思管理有限公司(俊思)于2024年5月31日向私隐专员公署通报资料外洩事故,表示俊思于2024年5月15日收到黑客的勒索讯息,声称窃取其资料并威胁出售相关资料(外洩事件)。
调查发现,黑客于2024 年 5 月 4 日入侵一个俊思于2024年4月24日在防火墙设立的临时用户帐户(相关帐户),相关帐户是为供应商作系统紧急远端支援的用途所设立,而黑客利用相关帐户取得进入俊思网络的访问权限。在取得访问权限后,黑客在俊思的网络进行横向移动,并利用一个应用程式伺服器上已终止支援的操作系统的保安漏洞,进一步入侵网域控制器及其他载有个人资料的伺服器。调查显示,外洩事件导致约 68GB 的资料从俊思的网络外洩。外洩事件导致俊思共四台伺服器及五个系统帐户被入侵。
俊思是一间品牌管理及分销公司,为国际时装及美容品牌提供服务,并为其旗下的合作品牌管理会员计划。外洩事件牵涉俊思营运的两个会员计划:ICARD会员计划及Brooks Brothers会员计划。外洩事件合共影响127,268名人士的个人资料,包括100,185名ICARD会员、27,069名Brooks Brothers会员、14名俊思现职僱员及前僱员等。涉及的个人资料包括会员的姓名、电邮地址、电话号码、出生月份、性别及国籍,以及僱员的护照副本等。
俊思在外洩事件发生后已通知所有受影响的资料当事人,并为受影响的资料当事人提供支援,包括进行暗网监控及设立特定电邮地址以处理相关查询。俊思亦采取一系列的补救措施以提升系统安全,包括删除相关被入侵的帐户、更换已终止支援的应用程式伺服器,以及安装端点侦测及回应方案以进行即时侦测及分析。
私隐专员公署就外洩事件共进行了六次查讯,并审视了俊思提供的资料,包括俊思委聘的网络安全专家提供的调查报告,以及俊思就外洩事件的跟进及补救工作。私隐专员公署感谢俊思配合公署的调查,并提供所要求的资讯及文件。经考虑外洩事件的情况及调查所获得的资料,私隐专员钟丽玲认为俊思的以下缺失是导致外洩事件发生的主因(详见附件一):─
- 未有在修复系统故障后适时删除临时帐户;
- 使用已被终止支援的操作系统;
- 资讯系统欠缺有效的侦测措施;及
- 对资讯系统进行的保安风险评估及审计不足。
基于俊思是一间具规模的国际时装及美容品牌管理及分销公司,而公司持有及处理大量客户及僱员的个人资料,私隐专员钟丽玲认为持份者(尤其是客户)对俊思为其资讯系统实施高水平的资料保安措施抱有合理期望。然而,调查发现外洩事件是由于人为疏忽及欠缺足够的保安措施保障资讯系统所引致。私隐专员认为,假如俊思于事发前及时删除相关帐户及停止使用已终止支援的操作系统,是次资料外洩事件是相当有机会可以避免的。
基于上述原因,私隐专员裁定俊思没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《私隐条例》的保障资料第4(1)原则有关个人资料保安的规定。
私隐专员已向俊思送达执行通知,指示其采取措施以纠正违规事项,以及防止类似违规情况再次发生。
私隐专员钟丽玲提醒所有持有个人资料的机构,应防患未然,采取合适的机构性及技术性措施加强资讯系统的保安以抵御恶意攻击。尤其是,机构应:
- 采用「最小权限」的原则及「角色为本」的存取管控机制,定期检视帐户权限及删除不必要的帐户﹔
- 停止使用已被终止支援的软件,或适时更新软件﹔
- 实施有效措施以预防、侦测及应对网络攻击,从而减低资料外洩的风险,包括定期进行漏洞扫瞄、以及适时修补保安漏洞﹔及
- 定期为资讯系统进行全面的保安风险评估及审计。
私隐专员钟丽玲发表《僱员使用生成式AI的指引清单》。
私隐专员钟丽玲发表《僱员使用生成式AI的指引清单》。
私隐专员公署科技发展常务委员会委员、立法会议员黄锦辉教授, MH在记者会上发言。
私隐专员钟丽玲(左)与私隐专员公署科技发展常务委员会委员、立法会议员黄锦辉教授, MH(右)于记者会上合照。
私隐专员钟丽玲(中)、私隐专员公署科技发展常务委员会委员黄锦辉教授, MH(右二)、陈仲文工程师(左二)、张伟伦博士(右一)及李嘉乐博士(左一)出席记者会。
私隐专员钟丽玲(左)及首席个人资料主任(合规及查询)郭正熙(右)讲解俊思资料外洩事故调查结果。
附件一
俊思管理有限公司资料外洩事故
导致资料外洩事故的缺失
导致资料外洩事故的缺失
- 未有在修复系统故障后适时删除临时帐户:虽然俊思知悉长期维持供远端存取的帐户存在被未获授权的第三方入侵俊思网络的风险,但由于员工疏忽,俊思未有在修复系统故障后适时删除相关帐户,最终导致黑客在设立相关帐户的 10 天后利用相关帐户入侵俊思的网络。此外,俊思缺乏创建和管理此类临时帐户的标准程序,令删除临时帐户与否完全依赖个别员工的做法;
- 使用已被终止支援的操作系统:尽管俊思知悉相关应用程式伺服器的操作系统自 2020 年 12 月起不再获安全更新,然而基于资源考虑,俊思原定在2024 年底前才更换相关应用程式伺服器,换言之,相关伺服器暴露在风险中超过三年。这导致黑客得以利用相关伺服器中的保安漏洞入侵俊思的网络,造成个人资料外洩;
- 资讯系统欠缺有效的侦测措施:俊思只在有需要时才检查防火墙日志,以致在收到黑客的勒索讯息前无法侦测到约68GB的资料从其网络外洩;及
- 对资讯系统进行的保安风险评估及审计不足:俊思没有对载有个人资料的系统的保安状况进行全面的评估及审计。这导致俊思未能识别保安漏洞及实施必要的改善措施,以保护载有个人资料的系统免受网络攻击。
-完-