新聞稿

個人資料私隱專員公署（私隱專員公署）今日發表（一）《僱員使用生成式AI的指引清單》及（二）俊思管理有限公司資料外洩事故的調查結果。
 
（1）《僱員使用生成式AI的指引清單》
 
生成式人工智能（AI）的使用在香港日益普及，不少機構亦開始探索利用生成式AI提升機構競爭力及促進數碼轉型。
 
個人資料私隱專員（私隱專員）鍾麗玲表示：「人工智能安全乃國家安全的重點領域之一。在科技創新和產業創新的範疇，國家一直強調發展與安全並重，在兩會期間並明確指出要持續推進「人工智能＋」行動，以激發數字經濟創新活力。為貫徹落實兩會精神及香港特區政府所發布的《香港創新科技發展藍圖》，促進AI在香港安全及健康地發展，私隱專員公署今日發表《僱員使用生成式AI的指引清單》（《指引》），協助機構制定僱員在工作時使用生成式AI的內部政策或指引，以及遵從《個人資料（私隱）條例》（《私隱條例》）的相關規定。」
 
私隱專員公署科技發展常務委員會委員、立法會議員黃錦輝教授, MH表示：「國家持續推進「人工智能＋」行動，以創新應用驅動高質量發展，並探索及拓展多樣化的AI應用場景。隨著新一份《財政預算案》提出全力發展AI，我相信越來越多機構將在其業務流程中應用AI。私隱專員公署推出《指引》，可協助機構及其僱員安全地使用生成式AI、保障個人資料私隱，並促進AI在各領域的安全應用及加速培育新質生產力。」
 
《指引》建議，機構在制定其僱員使用生成式AI的內部政策或指引時涵蓋以下內容，重點如下：

• 獲准使用生成式AI的範圍：訂明獲准使用的生成式AI工具（可能包括公眾可用及／或內部開發的生成式AI工具）、獲准許的用途（例如起草；總結資訊；及／或生成文本、音頻及／或視像內容），以及政策或指引適用的對象；
• 保障個人資料私隱：提供清晰指示，說明可輸入至生成式AI工具的資訊種類及數量（例如是否包含個人資料或其他資料）、輸出資訊的獲准許用途、輸出資訊的獲准許儲存方式、所適用的資料保留政策，以及其他須遵從的相關內部政策（例如有關處理個人資料及資訊保安的政策）；
• 合法及合乎道德的使用及預防偏見：訂明僱員不能為進行非法或有害的活動使用生成式AI工具，並強調僱員有責任透過校對及查核事實等方式核實AI生成的結果是否準確、有責任更正及報告帶有偏見或歧視的AI生成結果，以及應何時及如何在AI生成結果上加上水印／標籤；
• 數據安全：訂明僱員可用哪些裝置來取用生成式AI工具（例如僱主提供的工作裝置）、獲准許可使用生成式AI工具的僱員類別（例如有工作需要、曾接受相關培訓及已獲事先批准的僱員），要求僱員使用高強度的用戶憑證、在生成式AI工具保持嚴格的保安設定，以及根據機構的AI事故應變計劃報告AI事故（例如涉及AI的資料外洩事故、未獲授權下輸入個人資料、異常的輸出結果，及／或可能涉及違法的輸出結果）；及
• 違反政策或指引：訂明僱員違反政策或指引可引致的後果，並參照私隱專員公署發布的《人工智能 (AI)：個人資料保障模範框架》（《模範框架》）的建議，制定生成式AI的管治架構及措施。

《指引》同時就支援僱員使用生成式AI工具提供了實用貼士，包括：

• 提高政策或指引的透明度：定期向僱員傳達政策或指引，並及時告知僱員任何更新；
• 提供僱員使用生成式AI工具的培訓及資源：教育僱員如何有效及負責任地使用生成式AI工具，包括說明工具的能力及限制，提供實務建議及例子和鼓勵僱員閱讀工具的私隱政策及使用條款等；
• 委派支援隊伍：委派支援隊伍協助在工作上使用生成式AI工具的僱員、提供技術支援及解答僱員的疑問；及
• 建立反饋機制：建立渠道讓僱員提供反饋，以協助機構識別可以改進的地方及根據情況更新政策或指引。

 
下載《僱員使用生成式AI的指引清單》：https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/guidelines_ai_employees.pdf
 
除了發表《指引》，為協助機構在採用AI之餘亦保障個人資料私隱，私隱專員公署亦由即日起推出「AI安全」熱線2110 1155，以便機構查詢。
 
另外，私隱專員公署於早前公布「中小企數據安全培訓系列」，其中包括舉辦「中小企認識AI數據安全及私隱風險」研討會。公署亦會舉辦AI講座，向機構介紹《指引》及繼續講解公署去年發布的《模範框架》的內容。
 
私隱專員公署亦會繼續為機構舉辦內部培訓講座，機構可聯絡公署（https://www.pcpd.org.hk/tc_chi/education_training/seminars/in_house_seminar.html），按需要加插《指引》及《模範框架》的內容。公署在今年首兩個月一共為28間機構舉辦了31場內部培訓講座。
 
（2）俊思個人資料外洩事故的調查結果
 
調查源於俊思管理有限公司（俊思）於2024年5月31日向私隱專員公署通報資料外洩事故，表示俊思於2024年5月15日收到黑客的勒索訊息，聲稱竊取其資料並威脅出售相關資料（外洩事件）。
 
調查發現，黑客於2024 年 5 月 4 日入侵一個俊思於2024年4月24日在防火牆設立的臨時用戶帳戶（相關帳戶），相關帳戶是為供應商作系統緊急遠端支援的用途所設立，而黑客利用相關帳戶取得進入俊思網絡的訪問權限。在取得訪問權限後，黑客在俊思的網絡進行橫向移動，並利用一個應用程式伺服器上已終止支援的操作系統的保安漏洞，進一步入侵網域控制器及其他載有個人資料的伺服器。調查顯示，外洩事件導致約 68GB 的​​資料從俊思的網絡外洩。外洩事件導致俊思共四台伺服器及五個系統帳戶被入侵。
 
俊思是一間品牌管理及分銷公司，為國際時裝及美容品牌提供服務，並為其旗下的合作品牌管理會員計劃。外洩事件牽涉俊思營運的兩個會員計劃：ICARD會員計劃及Brooks Brothers會員計劃。外洩事件合共影響127,268名人士的個人資料，包括100,185名ICARD會員、27,069名Brooks Brothers會員、14名俊思現職僱員及前僱員等。涉及的個人資料包括會員的姓名、電郵地址、電話號碼、出生月份、性别及國籍，以及僱員的護照副本等。
 
俊思在外洩事件發生後已通知所有受影響的資料當事人，並為受影響的資料當事人提供支援，包括進行暗網監控及設立特定電郵地址以處理相關查詢。俊思亦採取一系列的補救措施以提升系統安全，包括刪除相關被入侵的帳戶、更換已終止支援的應用程式伺服器，以及安裝端點偵測及回應方案以進行即時偵測及分析。
 
私隱專員公署就外洩事件共進行了六次查訊，並審視了俊思提供的資料，包括俊思委聘的網絡安全專家提供的調查報告，以及俊思就外洩事件的跟進及補救工作。私隱專員公署感謝俊思配合公署的調查，並提供所要求的資訊及文件。經考慮外洩事件的情況及調查所獲得的資料，私隱專員鍾麗玲認為俊思的以下缺失是導致外洩事件發生的主因（詳見附件一）：─

1. 未有在修復系統故障後適時刪除臨時帳戶；
2. 使用已被終止支援的操作系統；
3. 資訊系統欠缺有效的偵測措施；及
4. 對資訊系統進行的保安風險評估及審計不足。

 
基於俊思是一間具規模的國際時裝及美容品牌管理及分銷公司，而公司持有及處理大量客戶及僱員的個人資料，私隱專員鍾麗玲認為持份者（尤其是客戶）對俊思為其資訊系統實施高水平的資料保安措施抱有合理期望。然而，調查發現外洩事件是由於人為疏忽及欠缺足夠的保安措施保障資訊系統所引致。私隱專員認為，假如俊思於事發前及時刪除相關帳戶及停止使用已終止支援的操作系統，是次資料外洩事件是相當有機會可以避免的。
 
基於上述原因，私隱專員裁定俊思沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響，因而違反了《私隱條例》的保障資料第4（1）原則有關個人資料保安的規定。
 
私隱專員已向俊思送達執行通知，指示其採取措施以糾正違規事項，以及防止類似違規情況再次發生。
 
私隱專員鍾麗玲提醒所有持有個人資料的機構，應防患未然，採取合適的機構性及技術性措施加強資訊系統的保安以抵禦惡意攻擊。尤其是，機構應：

• 採用「最小權限」的原則及「角色為本」的存取管控機制，定期檢視帳戶權限及刪除不必要的帳戶﹔
• 停止使用已被終止支援的軟件，或適時更新軟件﹔
• 實施有效措施以預防、偵測及應對網絡攻擊，從而減低資料外洩的風險，包括定期進行漏洞掃瞄、以及適時修補保安漏洞﹔及
• 定期為資訊系統進行全面的保安風險評估及審計。