在香港,人工智慧(AI)已從前瞻性概念迅速發展成為推動企業轉型的重要力量。香港生產力促進局(HKPC)的一項調查顯示,超過80%的香港企業員工已在日常工作中使用人工智慧。然而,隨著人工智慧應用的加速,相關的個人資料隱私風險也日益受到監管機構和公眾的關注。個人資料私隱專員公署(PCPD)已將人工智慧隱私保護列為香港的重點執法事項。
對於企業領導者和決策者而言,核心挑戰並非是否採用人工智慧,而是如何使創新與監管預期相符。隨著部署週期的縮短,監管機構如何根據《個人資料(私隱)條例》(PDPO)評估人工智慧應用的不確定性,加劇了合規風險。
本文分析了香港目前人工智慧合規趨勢、PCPD框架下的關鍵監管重點領域以及實踐中常見的治理缺口。本文旨在闡明監管預期,而非提出具體的實施方案。
2024年6月,個人資料保護署正式發布了《人工智慧:個人資料保護示範框架》(「示範框架」)。該框架為採購、實施或使用人工智慧系統(特別是生成式人工智慧)的機構提供了結構化的指導,以確保其符合《個人資料(私隱)條例》的規定。
《PCPD人工智慧指引》的發布標誌著香港人工智慧資料保護監管進入了一個更積極主動和結構化的階段。
重要的是,該模型框架並非旨在限制技術創新。相反,它倡導負責任的人工智慧治理,其基礎是三大核心資料管理價值觀和七項人工智慧倫理原則。問責制、透明度和基於風險的方法貫穿整個框架。
鼓勵各組織在以下四個核心領域建構人工智慧治理體系:
建立清晰的人工智慧治理結構,制定人工智慧採購和使用的內部政策,並提供適當的員工培訓。
在部署之前進行結構化的 AI 隱私風險評估(包括隱私影響評估 (PIA)),並確定適當的人工監督等級(例如,人機互動或人機協同)。
確保在資料處理、模型測試、系統安全和持續監控方面符合《個人資料保護條例》(PDPO)。
向資料主體清楚傳達人工智慧的使用情況,並建立有效的回饋和投訴管道。
監管方向表明,香港的人工智慧資料保護預計將貫穿整個人工智慧系統生命週期,而不是被視為一次性的技術實施工作。
從審計和認證的角度來看,人工智慧合規性的評估主要依據治理流程的完整性和有效性。通常有三個方面會受到特別關注。
監管機構會評估各組織在部署人工智慧系統之前是否已盡到應有的盡職調查義務。他們的期望並非預測到所有風險,而是建立一套結構化的風險識別和評估機制。
常用的證據審查範圍包括:
人工智慧實施前是否進行過隱私風險評估?根據PCPD於2025年5月發布的合規性檢查報告,約83%的受檢機構在部署人工智慧系統前進行了隱私影響評估(PIA),這些機構均收集個人資料。
文件解釋了為什麼選擇特定的 AI 模型、如何確定監督等級以及風險評估如何為治理決策提供基礎。
評估是否僅使用必要的個人數據,以及訓練資料來源是否符合《個人資料保護條例》的要求。
透明度是PCPD人工智慧治理框架的基石。各組織應以清晰易懂的方式溝通人工智慧系統如何處理個人資料。
監理重點領域包括:
是否告知個人其個人資料可能用於人工智慧驅動的分析或自動化決策。
組織能否解釋人工智慧輔助決策,尤其是在信貸審批或個人化推薦等場景下,這關係到系統的可解釋性和問責性。
在適當情況下,是否向個人提供選擇退出人工智慧驅動分析的選項。
對於決策者而言,這意味著人工智慧合規性與信任、透明度和聲譽風險管理密切相關。
香港的人工智慧合規問題不僅限於法律解釋,它從根本上來說是一個治理問題。
PCPD的檢查結果表明,約79%的受檢機構已建立正式的人工智慧治理結構。監管機構的關注點通常集中在以下幾個方面:
人工智慧治理委員會或指定負責人負責監督人工智慧風險和合規性。
實施存取控制、加密和針對人工智慧模型的對抗性攻擊的防護措施。
認識到人工智慧模型和風險環境會不斷變化,因此需要定期重新評估和內部審計流程。
透過與企業的交流,我們發現人工智慧實施過程中存在一些反覆出現的治理迷思。
如果將人工智慧部署完全委託給IT部門,而沒有讓法律、合規、風險管理和公司治理團隊早期參與,就會造成結構性盲點。人工智慧隱私風險是跨職能且具策略性的。
專案團隊可能會優先考慮功能性而非資料保護分析。個人資料保護署強調,未經適當授權或超出最初收集目的,使用真實的客戶對話資料來訓練通用聊天機器人,可能違反《個人資料保護條例》的目的限制原則。
在競爭激烈的市場中,合規性審查有時會被推遲。在系統開發早期就融入隱私設計原則,比部署後進行補救要划算得多。
根據《個人資料保護條例》(PDPO),即使將人工智慧服務外包,機構仍然是「資料使用者」。對資料處理者的合約控制和盡職調查仍然是香港人工智慧合規的關鍵組成部分。
在獨立的人工智慧審計或認證過程中,核心問題是治理承諾是否在實踐中有效實施。
組織可能被要求提供以下證據:
PIA報告、風險登記冊、研討會記錄。
供應商選擇標準、人工智慧用例的審批文件以及確定監管級別的分析。
人工智慧治理委員會的職權範圍、職位描述或內部政策條款中關於問責制的規定。
AI 使用政策、生成式 AI 員工指南以及涵蓋 AI 相關資料外洩的事件回應程式。
審計重點通常集中在治理機制的存在性、連貫性和比例性上,而不是對僵化模板的遵守。
隨著香港人工智慧監管在《產品合規與產品指令》(PCPD)框架下日益規範化,各組織可望從被動合規過渡到主動人工智慧治理。
對企業領導者而言,關鍵問題不在於人工智慧是否會帶來風險,而是治理結構如何根據《個人資料保護條例》(PDPO) 來體現問責制、透明度和基於風險的決策。
在香港,人工智慧合規並非只是技術問題,而是涵蓋策略、文化和營運控制的組織治理問題。將結構化的人工智慧治理融入系統生命週期的組織,將更有能力管理監管風險、增強利害關係人的信任,並在人工智慧驅動的市場環境中保持長期競爭力。
