人工智能（AI）具備提升機構競爭力、促進數碼轉型的能力，被視為培育新質生產力的動力，同時亦是世界各地政府近年的政策焦點所在。今年的政府工作報告提出激發數字經濟創新活力。持續推進「人工智能＋」行動，將數字技術與製造優勢、市場優勢更好結合起來，支持大模型廣泛應用，大力發展智能網聯新能源汽車、人工智能手機和電腦、智能機器人等新一代智能終端以及智能製造裝備。而特區政府2022年公布的《香港創新科技發展藍圖》，以至今年2月公布的財政預算案，均強調要發展AI產業，以加速發展新質生產力。

　　去年，私隱專員公署委託香港生產力促進局進行的《香港企業網絡保安準備指數及AI安全風險》調查，發現近七成企業認為在營運中使用AI會帶來顯著的私隱風險。然而，在營運中有使用AI的企業中，只有少於三成已經制定AI安全風險政策，情況顯然有改進空間。

　　事實上，許多員工已經開始在工作中使用AI，包括生成式AI、AI聊天機器人等。但是，他們往往不留意當中的風險，亦未必知道如何安全地使用生成式AI，進而為機構帶來風險。

　　舉例而言，韓國某科技巨擘曾有員工在AI聊天機器人輸入公司的內部程式碼，荷蘭亦曾有診所職員未經准許將病人的醫療資料輸入至AI聊天機器人，分別導致企業的機密資料及病人的敏感資料外洩。由此可見，若僱員在沒有得到適切引導的情況下使用生成式AI，不但帶來個人資料私隱風險，亦可損害機構自身利益。所以，機構應未雨綢繆，制訂員工使用AI的內部指引，確保機構在安全地享受科技發展帶來便利的同時，亦保障個人資料私隱。

　　國家一直提倡AI的發展與安全並重，正正因為兩者相輔相成。為推動AI在香港的安全及健康發展、貫徹落實兩會精神及《藍圖》，私隱專員公署於今年3月發表了《僱員使用生成式AI的指引清單》，以協助機構制定僱員在工作時使用生成式AI的內部政策或指引，以及遵從《個人資料（私隱）條例》的相關規定。

　　《指引》所建議的生成式AI政策或指引的內容，涵蓋以下五大方面：獲准使用生成式AI的範圍、保障個人資料私隱、合法及合乎道德的使用及預防偏見、數據安全，以及違反政策或指引的後果。《指引》以一個詳盡的清單模式製作，協助機構參考當中列出的各個範疇，機構可根據自身情況制定內部政策，包括「獲准使用的生成式AI工具」、「獲准許的用途」、「獲准許可使用生成式AI工具的僱員類別」等等。

　　針對保障個人資料私隱，《指引》亦建議機構應在其內部政策中清晰說明可輸入至生成式AI工具的資訊種類及數量（例如可否輸入個人資料），需訂明AI生成的資訊用途、儲存方式及其保留政策，以及其他僱員須遵從的相關內部政策（例如機構有關處理個人資料及資訊保安的政策）。舉例而言，為符合《私隱條例》的相關規定，企業應指示員工不應在沒有客戶同意的情況下，將客戶原先只為參與會員計劃而提供的個人資料輸入至AI作其他用途。另一方面，《指引》亦建議機構在可行的情況下，應指示僱員在輸入個人資料至生成式AI工具前將該些資料匿名化。

　　最後，《指引》亦為機構提供了四個實用貼士，以支援僱員使用生成式AI工具，包括提高政策或指引的透明度、提供僱員使用生成式AI工具的培訓及資源、委派支援隊伍，以及建立反饋機制。

　　當然，制定內部政策只是機構提升AI治理水平的其中一環。機構可以參考私隱專員公署去年發表的《人工智能（AI）：個人資料保障模範框架》，制定其AI策略及提升其整體AI治理水平。《模範框架》建基於一般業務流程，為採購、實施及使用任何種類的AI系統的機構，就保障個人資料私隱方面提供有關AI管治的建議及最佳行事常規。

　　事實上，機構在享受新科技所帶來的無限潛能時，亦有責任確保人工智能安全。我鼓勵機構參考私隱專員公署的《指引》及《模範框架》，制定內部AI政策或指引。機構也可參與公署舉辦的研討會及內部培訓課程，了解《指引》及《模範框架》的內容。公署亦已推出「AI安全」熱線21101155，歡迎機構致電查詢。

　　個人資料私隱專員