個人資料私隱專員在「香港律師」的文章
《人工智能(AI):個人資料保障模範框架》(2024年8月)
自個人資料私隱專員公署(私隱專員公署)於2021年出版《開發及使用人工智能道德標準指引》(《2021年AI指引》)以來,AI一直備受關注。ChatGPT的用戶數目快速增長,而世界各地的機構都爭相使用這項技術。香港生產力促進局於2023年10月發表的一項調查顯示,預計到2024年底,約五成的本地企業將會使用AI。
雖然AI為我們帶來了不少機遇,但如史蒂芬.霍金所言,「成功創造AI可能是人類文明史上最重大的事件。但如果我們不學會如何避免風險,它可能是人類文明史最後的事件」。事實上,AI涉及不同的風險,而私隱是最主要的風險之一。世界各地政府已注意到AI帶來的問題,並意識到需要在創新與個人資料私隱保障等議題之間取得平衡的情況下針對性地監管AI以及建立穩健的監管框架。
全球AI監管態勢
為了回應是否及如何監管AI的爭議,有些政府制訂了針對AI的新法規,而有些則依賴現行的法律。
在歐洲,全球首個旨在規管各行各業使用AI的全面法例 —《人工智能法案》於今年8月1日起生效。該監管框架以風險為本的原則,根據AI系統可能產生的風險的強度和範圍進行分類,對風險較高的AI系統實施更嚴格的規則,並禁止某些被認為構成不可接受風險的做法(例如,在工作場所或教育機構使用AI系統進行情感識別)。
放眼國家,内地也推出了一系列針對AI的法規和管理辦法,包括2023年8月生效的《生成式人工智能服務管理暫行辦法》,以確保在提供和使用生成式AI服務時,個人私隱等權利不會被侵犯,以及2023年10月頒布的《全球人工智能治理倡議》,強調AI發展與安全並重。
至於美國,拜登政府亦頒布了一項行政命令,當中訂立了對構成嚴重國家安全風險的基礎模型開發者的披露要求,以確保安全、可靠及可信地發展AI。
相比之下,英國在監管AI方面一直側重於促進創新,但值得留意的是,新政府近期表示有意推出監管開發強大AI模型的法案。
香港:私隱專員公署推出有關AI的領先指引
科技發展日新月異,香港又怎樣應對呢?雖然香港沒有針對AI的法例,但《個人資料(私隱)條例》(《私隱條例》)作為「科技中立」的原則性法例,同樣適用於AI。不論收集和使用個人資料所採用的技術的類型及發展程度,資料使用者均受《私隱條例》條款的規管,當中包括《私隱條例》中「保障資料原則」。
為了更深入了解AI對個人資料私隱的影響,以及評估機構的資料保障措施是否符合《私隱條例》的規定,私隱專員公署於2023年8月至2024年2月期間向28間本地機構進行了循規審查。我樂見這次審查未有發現違反《私隱條例》相關規定的情況。
除了進行循規審查,私隱專員公署於2021年秋季出版了《2021年AI指引》,以促進AI在香港的健康發展和使用。作為香港最早推出的AI監管文件之一,《2021年AI指引》建議機構恪守三項數據管理價值(對持份者尊重、互惠和公平)及七項AI道德原則(問責、人為監督、透明度與可解釋性、數據私隱、公平、有益的AI、以及可靠、穩健和安全)。這些價值及原則是國際上廣泛接受的規範,旨在協助機構以保障私隱的方式開發和使用AI。
為體現國家頒布的《全球人工智能治理倡議》及強調AI安全作為國家安全主要領域之一的重要性,私隱專員公署於2024年6月出版了《人工智能(AI):個人資料保障模範框架》(《模範框架》),當中包括一系列向採購、實施及使用AI系統,包括生成式AI,的機構所提供有關保障個人資料私隱的建議及最佳行事常規。我深信《模範框架》將有助孕育AI在香港的健康及安全發展,促進香港成為創新科技樞紐,並推動香港以至大灣區的數字經濟發展。
《模範框架》建基於一般業務流程,並涵蓋以下四個範疇的建議及最佳行事常規: (i) 制定AI策略及管治架構; (ii) 進行風險評估及人為監督; (iii) 實行AI模型的定製與實施及管理AI系統;及 (iv) 促進與持份者的溝通及交流。
(i) 制定AI策略及管治架構
首先,要做到負責任且合乎道德標準地採購、實施和使用AI,高級管理層的支持至關重要。因此,《模範框架》建議機構建立內部的AI管治策略,以引領相關過程。AI管治策略應包含機構層面的AI策略,就機構使用AI系統的目的提供指引。在採購第三方AI系統時,《模範框架》建議機構在供應商管理流程中考慮管治因素,例如向準AI供應商提出有關私隱和安全的主要責任及道德規定,以及期望它們達到的技術性和管治方面的國際標準。特別是,視乎機構向AI供應商提供的數據及其對開發和定製AI模型的指示,機構應考慮有關《私隱條例》的合規事宜,例如資料使用者和資料處理者(如有)在《私隱條例》下各自的責任、跨境轉移資料的合法性,以及數據安全的考量。
AI管治策略成功與否,取決於執行者。就此,由一個跨領域及由行政人員領導的AI管治委員會來引領 AI策略的實施是不可或缺的。然而,員工也扮演着重要的角色,他們應接受與AI相關的個人資料私隱培訓,以培養尊重AI道德原則的私隱保障文化。
(ii) 進行風險評估及人為監督
其次,《模範框架》建議機構進行全面的風險評估,有系統地識別、分析及評估AI生命週期涉及的風險,包括私隱風險,以便它們採取相應的風險緩解措施,包括決定人為監督的程度。
此類風險評估要考慮的因素包括用來定製和使用AI的資料的准許用途、所用資料的數量和敏感程度、資料保安(尤其是在機構系統之間轉移個人資料)、所涉及資料的準確性和可靠性,以及現有風險緩解措施是否足夠。一旦識別出相關風險,機構就應採用風險為本的方法來管理其AI系統。根據採用的AI系統的風險,機構應訂定在決策及結果輸出過程中的人為監督程度。一般而言,風險越高的 AI 系統,須有較高程度的人為監督。
(iii) 實行AI模型的定製與實施及管理AI系統
在AI整個生命週期,AI系統的定製、實施和管理涉及大量個人資料的處理。因此,機構需要遵守《私隱條例》的相關規定。在這方面,《模範框架》向機構建議可採取的各種措施。一般來說,雖然機構需考慮有否收集足夠的數據,以確保結果是準確和不存在偏見,機構亦應盡量減少AI模型定製和使用中涉及的個人資料。
此外,在使用定製或已有的AI模型前應對模型進行嚴格的驗證和測試,並在採用後定期作出微調,以確保系統保持穩健和可靠。當AI系統整合至機構的內部伺服器或第三方提供的雲端伺服器時,機構應考慮此類整合的合規性及對數據安全的影響。鑑於AI通常涉及大量資料,以及頻密地採用第三方軟件組件和程式碼,機構應採取資料保安措施來保護AI系統和相關資料,以免遭受攻擊及外洩資料。《模範框架》亦建議機構定期重新進行風險評估、審計AI系統,以及微調AI模型,以確保該些模型保持可靠且風險可控。此外,鑑於AI系統的複雜性,系統容易出錯,可能會成為外部攻擊的目標。因此,《模範框架》建議機構考慮制定AI事故應變計劃,以監控和應對AI事故。
(iv) 促進與持份者的溝通及交流
《模範框架》的最後部分建議機構在使用AI時,奉行有關向持份者保持透明度和可解釋性的道德原則。機構要實現這個目標,其中一個方法是在可行的情況下,特別是在可能對個別用戶造成重大影響時,就AI的決策和輸出結果作出解釋,從而獲得持份者的信任。機構亦應留意,資料當事人有權根據《私隱條例》提交查閱資料及更正資料的要求。最後,機構應考慮鼓勵持份者作出反饋,然後將反饋用於調整AI系統。
我深信採用《模範框架》可以協助機構以符合《私隱條例》及其保障資料原則的方式實施和使用AI。機構也可考慮把《模範框架》或相關的部分納入其AI政策的一部分。
國際層面
AI帶來的風險是全球共同面對的議題。儘管尚未有全球統一的監管AI法規,各個司法管轄區一直努力就AI的影響儘早達成共識,以應對相關風險。
例如,在今年3月,聯合國大會一致通過首項有關推廣「安全、可靠、可信」AI系統的全球決議。於2023年11月,歐洲聯盟及其他28個國家(包括中國、美國和英國)簽署了《布萊切利宣言》(Bletchley Declaration),達成了對前沿AI風險的共識。在該《宣言》的基礎上,微軟和Meta等行業領導者亦表示會以負責任的方式開發和應用其前沿AI模型。
與此同時,私隱專員公署亦致力地對全球有效治理AI的工作作出貢獻。今年1月,公署與香港大學合辦了一個關於AI的國際會議,讓來自世界各地的學者、AI專家和其他持份者聚首一堂,探討AI對個人資料保障的影響。作為環球私隱議會轄下人工智能的道德與數據保障工作分組的成員,公署參與發起《生成式AI系統決議》和《AI與僱傭事宜決議》,兩項決議皆於2023年10月舉行的環球私隱議會年度會議上獲得通過。兩項決議分別呼籲AI開發者、提供者和採用者建立負責任及可信的生成式AI系統,並呼籲機構為僱傭事宜開發或使用AI系統時,採取「貫徹私隱設計」的方式。
總結
展望未來,AI無疑將成為香港及大灣區數字經濟發展的重要推動力。當我們擁抱AI時代的來臨,負責任地採購、實施和使用AI將會是管理層工作的重要一環。機構作為資料使用者,應訂定全面的AI策略,並遵從《私隱條例》的規定及恪守AI道德原則。
在我們推動科技發展的同時,建立穩健的AI系統和確保數據安全,亦同樣重要!