圖：私隱專員鍾麗玲（小圖）強調，機構應提醒員工在使用AI聊天機械人時，盡量避免輸入個人資料或客戶的機密資料。 大公報記者湯嘉平攝

　　為應對AI對個人資料私隱帶來的挑戰，個人資料私隱專員公署（私隱專員公署）昨日發布《人工智能（AI）：個人資料保障模範框架》（下稱《模範框架》）。框架涵蓋制定AI策略及管治、進行風險評估及人為監督、實行AI模型的定製與AI系統的實施及管理，以及促進與持份者的溝通和交流四大範疇。

　　私隱專員鍾麗玲表示，使用AI的機構應提醒員工在使用AI聊天機械人時，盡量避免輸入個人資料或客戶的機密資料，而使用機構亦不能過度收集資料應用於AI中。若之後收到違反框架內容的投訴，私隱公署會嚴肅跟進，視乎資料洩露情況的嚴重性而考慮是否啟動正式調查。\大公報記者 湯嘉平

　　根據生產力局的預測，2024年本港機構的AI採用率將達49%，較2023年的30%高許多。而全球生成式AI市場將繼續增長，預計2032年的市值達到13000億美元，相比2022年高出逾31倍。鍾麗玲表示，人工智能安全是國家的重點領域之一，而此時推出《模範框架》將有助孕育AI在香港的健康發展，促進香港成為創新科技樞紐，並推動香港以至大灣區的數字經濟發展。

　　須為僱員做好充足培訓

　　《模範框架》分為四大部分，在第一部分「制定AI策略及管治」中，提出採購AI的七個步驟，包括：一、尋找AI方案；二、選擇合適的AI方案；三、收集及準備數據；四、為特定目的定製AI模型；五、測試、評估和驗證AI模型；六、測試和審核系統和組件的安全性和私隱風險；七、將AI方案納入到機構的系統中。而在管治架構方面，鍾麗玲建議使用AI的機構成立AI管制委員會，委員會可由高級管理人員、跨部門團隊（包括AI採購團隊）和使用AI的僱員組成。鍾麗玲提醒機構要對僱員使用AI做好充足的培訓。

　　在進行風險評估及人為監督方面，鍾麗玲指《模範框架》將AI系統的風險程度由較低到較高的次序，分為「人在環外」、「人為管控」和「人在環中」三個階段，她舉例，若一間機構通過聊天機械人給到一個客戶最基本、簡單的信息或查詢，就屬於AI在沒有人為介入下作出決定的「人在環外」階段；而AI若要使用生物識辨資料實時識別個人（例如人臉識別、虹膜掃描），AI輔助醫學影像分析或治療，求職者評估、工作表現評核或終止僱傭合約等方面，則人類決策者在決策過程中應保留控制權以防止或減低AI出錯，即「人在環中」的定義。

　　已抽查28企業 未發現違規

　　在實行AI模型的定製與AI系統的實施及管理方面，《模範框架》建議，AI必須收集最少量的個人資料，而客戶的姓名、聯絡資料、某些人口特徵等個人資料並非必要收集資料。另外，鍾麗玲強調，機構應提醒員工在使用AI聊天機械人時，盡量避免輸入個人資料或客戶的機密資料。

　　與持份者溝通方面，鍾麗玲建議企業要先與用戶指明有使用AI並披露風險，以及容許用戶修正資料；因有案例是有公司成立虹膜資料庫後，用戶發現未能找到自己資料，最終無法刪除登記紀錄，這已違反私隱條例。

　　鍾麗玲續表示，若之後私隱公署收到違反框架內容的投訴，私隱公署亦會嚴肅跟進，視乎個案情況啟動正式調查。自去年8月至今年2月，公署主動抽查28間企業使用AI的情況，當中10間機構則通過人工智能去搜集個人資料，而這10間機構均未發現違規搜集個人資料。公署指未來會繼續抽查企業。