私隱保障|私隱署發布新AI資料保障框架涉四範疇
原文刊於信報財經新聞
個人資料私隱專員公署昨日發布《人工智能(AI):個人資料保障模範框架》(下稱《框架》),提供國際認可的建議和行事常規,以助機構採購、實施及使用AI,包括確保近年大熱的生成式AI需遵從《個人資料(私隱)條例》。《框架》提到,機構應成立管治委員會或相關組織,為採購AI方案和如何使用系統提供指引及監督;要求管治委員會向董事會或內部滙報任何系統事故,並培訓及加強員工對AI的認識。
《框架》涵蓋四大範疇,包括制定AI策略及管治架構;進行風險評估及人為監督;實行AI模型的定製與AI系統的實施及管理;以及促進與員工、AI供應商和消費者等溝通。
籲更新系統須評估風險
個人資料私隱專員鍾麗玲表示,按生產力局的數據,預計今年本港近半機構使用AI,較去年增加兩成,並指生成式AI比起雲端計算、物聯網等新興技術,存在較高私隱風險。她指出,AI帶來不少私隱風險,如收集過量資料、使用者難以理解資料如何使用等;曾得悉有業界人士不清楚如何使用AI才算合法或合規格,故推出《框架》供他們參考。
私隱專員公署科技發展常務委員會委員、立法會議員黃錦輝認為,《框架》可以保障公司,透過《框架》避免因使用AI洩露個人私隱。
鍾麗玲又提到,機構在引入或更新AI系統前,需進行全面的風險評估,包括考慮涉及的個人資料、機密資料、出現風險的可能性和潛在損害的嚴重程度等,並採取相應的風險管理措施,包括作出適當監督,以減低AI作出錯誤決定,以及過分依賴AI輸出的結果。
此外,鍾麗玲透露,公署於去年8月至今年2月,審查28間公司有關使用AI工具情況,大多公司有評估私隱風險,當中10間機構會透過使用AI蒐集個人資料,並無發現違規情況。公署將會於今年及明年繼續審查,並擴大審查的公司數目。