新聞稿

隨著人工智能的發展及應用在香港日漸普及，機構在開發或使用人工智能系統時或會收集、使用或處理個人資料，從而對個人資料私隱構成風險。為了解人工智能在香港的使用情況及其對個人資料私隱的影響，個人資料私隱專員公署（私隱專員公署）於2023年8月至2024年2月期間合共向28間本地機構（該些機構）進行循規審查，以了解該些機構在開發或使用人工智能時收集、使用及處理個人資料的情況，以及該些機構就人工智能的管治情況。

是次循規審查涵蓋不同行業，包括電訊、金融及保險、美容、零售、運輸、教育及政府部門。根據審查結果，私隱專員公署對該些機構在開發或使用人工智能時保障個人資料私隱方面的整體觀察如下：

• 21間機構在日常營運時使用人工智能，例如使用人工智能分析數據、評估求職者的面試表現、使用聊天機械人回覆顧客的查詢等； 
• 在該21間機構當中，19間機構設有人工智能管治架構，例如設立人工智能管治委員會及／或指派專人負責監督人工智能產品或服務的開發或使用；
• 在該21間機構當中，只有10間機構會透過人工智能產品或服務收集個人資料，而他們在收集個人資料之時或之前均已向資料當事人提供收集個人資料聲明，當中述明收集資料的目的，以及資料可能會被轉移給哪類人士等資訊；
• 在該10間機構當中，八間機構在開發或使用人工智能產品及服務前有進行私隱影響評估；
• 該10間機構均有採取相應的保安措施，以確保其持有的個人資料在開發或使用人工智能產品或服務期間受到保障，而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。該些措施包括：只讓獲授權人士存取個人資料、儲存及傳輸個人資料時進行加密、定期進行保安漏洞評估及滲透測試或為員工提供書面指引及培訓等；及
• 在該10間機構當中，九間機構會保留在人工智能產品或服務中收集得的個人資料，當中八間機構已訂明個人資料的保留期限，並會在達致原本的收集目的後，刪除有關個人資料或將資料匿名化。餘下的一間機構允許資料當事人自行刪除其個人資料。

私隱專員公署現已完成有關的循規審查。在是次循規審查過程中未有發現有違反《個人資料（私隱）條例》（《私隱條例》）相關規定的情況。是次循規審查結果顯示，越來越多機構（包括公私營機構）應用人工智能以增加日常營運效率。
 
個人資料私隱專員鍾麗玲表示：「人工智能在促進生產力及經濟增長方面擁有巨大潛力，但人工智能亦存在不同程度的個人資料私隱及道德風險。我樂見在審查的機構當中，大部分機構均設有人工智能管治架構，以監督人工智能產品或服務的開發或使用。機構作為資料使用者在開發或使用人工智能系統時有責任確保人工智能系統的數據安全，應適時檢視及評估人工智能系統對數據安全的影響，並確保遵從《私隱條例》的相關規定。」
 
私隱專員公署已於2021年8月發出《開發及使用人工智能道德標準指引》，旨在促進人工智能在香港的健康發展及應用，同時協助機構在開發或使用人工智能產品及服務的過程中遵從《私隱條例》的規定，以減輕私隱及道德風險。
 
私隱專員公署希望透過這次循規審查，向所有開發或使用人工智能的機構提供以下建議措施：

• 如在開發或使用人工智能的過程中收集或處理個人資料，須採取措施確保遵從《私隱條例》的規定，並持續監察及檢視人工智能系統；
• 制定開發或使用人工智能策略及設立人工智能內部管治架構，並為所有有關人員提供足夠的培訓；
• 就開發或使用人工智能進行全面的風險評估（包括私隱影響評估），有系統地識別、分析及評估風險，包括私隱風險，並因應有關風險而採取適當的風險管理措施，例如風險較高的人工智能系統須有較高程度的人為監督；及
• 與持份者有效地溝通及交流，以提高使用人工智能的透明度，並因應持份者的關注適時調整人工智能系統。

私隱專員公署發出的《開發及使用人工智能道德標準指引》。