圖:私隱專員鍾麗玲(小圖)強調,機構應提醒員工在使用AI聊天機械人時,盡量避免輸入個人資料或客戶的機密資料。 大公報記者湯嘉平攝
為應對AI對個人資料私隱帶來的挑戰,個人資料私隱專員公署(私隱專員公署)昨日發布《人工智能(AI):個人資料保障模範框架》(下稱《模範框架》)。框架涵蓋制定AI策略及管治、進行風險評估及人為監督、實行AI模型的定製與AI系統的實施及管理,以及促進與持份者的溝通和交流四大範疇。
私隱專員鍾麗玲表示,使用AI的機構應提醒員工在使用AI聊天機械人時,盡量避免輸入個人資料或客戶的機密資料,而使用機構亦不能過度收集資料應用於AI中。若之後收到違反框架內容的投訴,私隱公署會嚴肅跟進,視乎資料洩露情況的嚴重性而考慮是否啟動正式調查。\大公報記者 湯嘉平
根據生產力局的預測,2024年本港機構的AI採用率將達49%,較2023年的30%高許多。而全球生成式AI市場將繼續增長,預計2032年的市值達到13000億美元,相比2022年高出逾31倍。鍾麗玲表示,人工智能安全是國家的重點領域之一,而此時推出《模範框架》將有助孕育AI在香港的健康發展,促進香港成為創新科技樞紐,並推動香港以至大灣區的數字經濟發展。
須為僱員做好充足培訓
《模範框架》分為四大部分,在第一部分「制定AI策略及管治」中,提出採購AI的七個步驟,包括:一、尋找AI方案;二、選擇合適的AI方案;三、收集及準備數據;四、為特定目的定製AI模型;五、測試、評估和驗證AI模型;六、測試和審核系統和組件的安全性和私隱風險;七、將AI方案納入到機構的系統中。而在管治架構方面,鍾麗玲建議使用AI的機構成立AI管制委員會,委員會可由高級管理人員、跨部門團隊(包括AI採購團隊)和使用AI的僱員組成。鍾麗玲提醒機構要對僱員使用AI做好充足的培訓。
在進行風險評估及人為監督方面,鍾麗玲指《模範框架》將AI系統的風險程度由較低到較高的次序,分為「人在環外」、「人為管控」和「人在環中」三個階段,她舉例,若一間機構通過聊天機械人給到一個客戶最基本、簡單的信息或查詢,就屬於AI在沒有人為介入下作出決定的「人在環外」階段;而AI若要使用生物識辨資料實時識別個人(例如人臉識別、虹膜掃描),AI輔助醫學影像分析或治療,求職者評估、工作表現評核或終止僱傭合約等方面,則人類決策者在決策過程中應保留控制權以防止或減低AI出錯,即「人在環中」的定義。
已抽查28企業 未發現違規
在實行AI模型的定製與AI系統的實施及管理方面,《模範框架》建議,AI必須收集最少量的個人資料,而客戶的姓名、聯絡資料、某些人口特徵等個人資料並非必要收集資料。另外,鍾麗玲強調,機構應提醒員工在使用AI聊天機械人時,盡量避免輸入個人資料或客戶的機密資料。
與持份者溝通方面,鍾麗玲建議企業要先與用戶指明有使用AI並披露風險,以及容許用戶修正資料;因有案例是有公司成立虹膜資料庫後,用戶發現未能找到自己資料,最終無法刪除登記紀錄,這已違反私隱條例。
鍾麗玲續表示,若之後私隱公署收到違反框架內容的投訴,私隱公署亦會嚴肅跟進,視乎個案情況啟動正式調查。自去年8月至今年2月,公署主動抽查28間企業使用AI的情況,當中10間機構則通過人工智能去搜集個人資料,而這10間機構均未發現違規搜集個人資料。公署指未來會繼續抽查企業。