Skip to content

新聞稿

私隱專員公署發布 《人工智能 (AI):個人資料保障模範框架》

日期: 2024年6月11日 

私隱專員公署發布
《人工智能 (AI):個人資料保障模範框架》

隨著人工智能(AI)科技急速發展,AI的應用日漸普及。為應對AI 對個人資料私隱帶來的挑戰,體現國家的《全球人工智能治理倡議》,個人資料私隱專員公署(私隱專員公署)今日發布《人工智能 (AI): 個人資料保障模範框架》。
 
個人資料私隱專員鍾麗玲表示︰「人工智能安全是國家安全的重點領域之一。私隱專員公署制定了《人工智能 (AI): 個人資料保障模範框架》(《模範框架》),提供國際認可及切實可行的建議和最佳行事常規,以協助機構在採購、實施及使用AI,包括生成式AI時,遵從《個人資料(私隱)條例》(《私隱條例》)的相關規定,確保機構在善用AI之餘,亦保障個人資料私隱。我相信《模範框架》將有助孕育AI在香港的健康發展,促進香港成為創新科技樞紐,並推動香港以至大灣區的數字經濟發展。」
 
為《模範框架》撰寫前言的私隱專員公署科技發展常務委員會委員、立法會議員黃錦輝教授表示:「適逢國家正快速發展新質生產力,並開展了『人工智能+』行動,以科技創新驅動產業發展,私隱專員公署推出這指引,正好可以協助企業善用AI技術,促進產業創新及升級轉型,幫助推進香港數字經濟發展、加速建設香港成為國際創科中心,積極融入國家發展大局。」

私隱專員公署發布的《模範框架》獲得香港政府資訊科技總監辦公室及香港應用科技研究院的支持,公署在制定《模範框架》的過程中亦曾徵詢不同專家及相關持份者的意見,當中包括公署科技發展常務委員會成員、公營機構、科技業界、大學,以及AI供應商等。公署衷心感謝眾位專家及持份者在草擬及發布《模範框架》的過程中所給予的支持及寶貴意見。
 
具體來說,《模範框架》建基於一般業務流程,向採購、實施及使用任何種類的AI系統的機構,就保障個人資料私隱方面提供有關AI管治的建議及最佳行事常規,旨在協助相關機構遵從《私隱條例》的規定,及恪守私隱專員公署在2021 年出版的《開發及使用人工智能道德標準指引》中倡議的三項數據管理價值和七項AI道德原則。《模範框架》涵蓋以下四個範疇的建議措施(建議措施概要請參閲附錄一):
  • 制定AI策略及管治架構:制定機構的AI策略及採購AI方案的管治考慮、成立AI管治委員會(或類似組織)及為員工提供AI相關的培訓;
  • 進行風險評估及人為監督:進行全面風險評估,建立一套風險管理機制,採取「風險為本」的管理方式,並視乎AI的風險高低而採取相應的風險緩減措施,包括決定人為監督的程度;
  • 實行AI模型的定製與AI系統的實施及管理:為定製及/或使用AI模型準備及管理數據,包括個人資料、在定製及實施有關AI系統的過程中測試及驗證AI模型、確保AI的系統安全及數據安全,以及對AI系統進行管理及持續監察;及
  • 促進與持份者的溝通及交流:定期及有效地與持份者(尤其是內部員工、 AI供應商、個別消費者及監管機構)聯絡及交流,以提高透明度及建立信任。
為協助機構更容易理解《模範框架》,私隱專員公署亦出版了一份介紹《模範框架》的懶人包,摘錄《模範框架》的重點建議
 
下載《人工智能 (AI):個人資料保障模範框架》:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/ai_protection_framework.pdf
 
下載《人工智能 (AI):個人資料保障模範框架》懶人包:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/leaflets_protection_framework.pdf

《人工智能 (AI):個人資料保障模範框架》

私隱專員鍾麗玲發布《人工智能 (AI):個人資料保障模範框架》。

私隱專員公署科技發展常務委員會委員、立法會議員黃錦輝教授在《人工智能 (AI):個人資料保障模範框架》傳媒簡介會上發言。

私隱專員公署科技發展常務委員會委員、立法會議員黃錦輝教授(右二)、政府資訊科技總監辦公室助理政府資訊科技總監(資訊科技基礎設施)趙善衡(左一)、私隱專員鍾麗玲(左二)及香港應用科技研究院人工智能及可信技術部門首席總監張偉倫(右一)出席記者招待會。

私隱專員公署科技發展常務委員會委員(常委會)、立法會議員黃錦輝教授(右三)、私隱專員鍾麗玲(中)、政府資訊科技總監辦公室助理政府資訊科技總監(資訊科技基礎設施)趙善衡(左三)、其他常委會成員,包括張偉倫(右二)、陳仲文工程師(左二)、劉偉經特邀教授(右一)及助理個人資料私隱專員(法律、環球事務及研究)蕭頴思(左一)出席記者招待會。

 
-完-


附錄一

《人工智能 (AI):個人資料保障模範框架》概要
 
《模範框架》涵蓋以下四個範疇的建議措施:
  • 制定AI策略及管治架構
  • 機構應建立內部的AI 管治策略,一般包含(i) AI 策略、(ii) 關於採購AI 方案的管治考慮,以及(iii) AI 管治委員會(或類似組織),以引領相關過程,包括就採購AI方案的目的以及如何實施和使用AI 系統提供相關指引;
  • 採購AI方案的管治考慮,包括準AI供應商有否遵循技術性和管治方面的國際標準、AI 方案在甚麼準則下須交由AI 管治委員會(或類似組織)審查以及相關程序、與資料處理者所需簽署的協議,及處理AI 系統生成結果的政策(例如,採用技術將AI 生成內容中的個人資料匿名化,將AI 生成內容添加標記或水印,並過濾可能引起道德問題的AI 生成內容);
  • 建立具足夠資源、專業知識和決策權的內部管治架構,以引領AI策略的實施,並監督AI系統的採購、實施及使用,包括成立AI管治委員會(或類似組織),AI管治委員會應向董事會匯報,及建立有效的內部匯報機制,用於匯報任何的系統故障或提出有關資料保障或道德問題,以便AI 管治委員會作出恰當的監察;及
  • 為員工提供與AI相關的培訓,以確保他們具有適當的知識、技能和認知,以便在使用AI 系統的環境中工作。例如,對於AI系統使用者(包括業務運作人員),培訓主題可包括資料保障法律、規例和內部政策的遵從;網絡保安風險;及一般AI科技。

  • 進行風險評估及人為監督
  • 機構需要進行全面的風險評估,有系統地識別、分析及評估採購、使用及管理AI 過程中涉及的風險,包括私隱風險。風險評估應考慮的因素包括《私隱條例》的規定、資料(包括個人資料)的數量、敏感程度及質素、資料保安、私隱風險(例如個人資料的過度收集、濫用或外洩)出現的可能性及其潛在損害的嚴重程度。舉例說,用作評估個人信貸的AI系統的風險一般比用於推送個人化廣告的AI系統的風險較高,因為前者或會令個人無法獲得信貸安排,一般來説影響較後者大;
  • 因應有關風險而採取相稱的風險管理措施,包括決定適當的人為監督。例如,「人在環外」:AI在沒有人為介入下作出決定;「人為管控」:人類決策者監督AI的運作,在有需要時介入;和「人在環中」:人類決策者在決策過程中保留著控制權,以防止及/或減低AI 出錯或輸出不當的結果及/或作出不當的決定;及
  • 機構試圖減低AI 的風險以符合AI 道德原則時,可能會遇到一些互相矛盾的情況,需要作出平衡,並作出取捨。機構可能要考慮會使用AI 作決策或生成內容的情況,以決定如何合理地作出權衡。例如,若AI 系統的決策會影響客戶能否享用服務,而提供人為監督的審查員亦需要向客戶解釋AI 的決策,AI 模型的可解釋性便相對地重要。
     
  • 實行AI模型的定製與AI系統的實施及管理
  • 為定製及/或使用AI模型準備及管理數據(包括個人資料)時採取措施,確保遵循《私隱條例》的規定,例如使用最少量的個人資料、確保數據質素,及妥善記錄為定製及使用AI 而處理數據的情況;
  • 在定製及實施有關AI系統的過程中驗證與系統相關的私隱責任和道德要求(包括公平性、透明度和可解釋性);測試AI模型是否有錯誤,以確保其可靠性、穩健性和公平性;及進行嚴格的用戶接受度測試;
  • 確保AI的系統安全及數據安全,如實施措施(例如紅隊演練)以盡量減低機器學習模型遭受攻擊的風險;實行員工內部指引,規定可輸入AI 系統的內容及允許/禁止輸入的提示;及建立機制讓AI 系統輸出的結果可追溯和可審核;
  • 對AI系統進行管理及持續監察,採取檢視機制(包括當 AI 系統的功能或運作有重大改變,或監管或科技環境出現重大變化時,重新評估 AI 系統,以識別及應對新的風險);
  • 制定AI事故應變計劃,涵蓋AI事故的界定、監察、通報、遏止事故擴大、調查和從事故中復原;及
  • 機構應定期對AI 系統進行內部審核(及在有需要時進行獨立評估),以確保AI 的使用持續遵從機構相關政策的規定,以及與AI 策略保持一致。
  • 促進與持份者的溝通及交流
  • 定期及有效地與持份者(尤其是內部員工、 AI供應商、個別消費者及監管機構)聯絡及交流,以提高透明度及建立信任;
  • 處理查閱和改正資料要求及提供反饋途徑;
  • 就AI的決策及輸出結果提供解釋、披露AI系統的使用、披露風險,及考慮容許拒絕使用AI;及
  • 使用淺白的語言和清楚易明的方式與持份者(尤其是消費者)溝通。

-完-