人工智能（AI）具备提升机构竞争力、促进数码转型的能力，被视为培育新质生产力的动力，同时亦是世界各地政府近年的政策焦点所在。今年的政府工作报告提出激发数字经济创新活力。持续推进“人工智能＋”行动，将数字技术与制造优势、市场优势更好结合起来，支持大模型广泛应用，大力发展智能网联新能源汽车、人工智能手机和电脑、智能机器人等新一代智能终端以及智能制造装备。而特区政府2022年公布的《香港创新科技发展蓝图》，以至今年2月公布的财政预算案，均强调要发展AI产业，以加速发展新质生产力。

　　去年，私隐专员公署委托香港生产力促进局进行的《香港企业网络保安准备指数及AI安全风险》调查，发现近七成企业认为在营运中使用AI会带来显著的私隐风险。然而，在营运中有使用AI的企业中，只有少于三成已经制定AI安全风险政策，情况显然有改进空间。

　　事实上，许多员工已经开始在工作中使用AI，包括生成式AI、AI聊天机器人等。但是，他们往往不留意当中的风险，亦未必知道如何安全地使用生成式AI，进而为机构带来风险。

　　举例而言，韩国某科技巨擘曾有员工在AI聊天机器人输入公司的内部程式码，荷兰亦曾有诊所职员未经准许将病人的医疗资料输入至AI聊天机器人，分别导致企业的机密资料及病人的敏感资料外洩。由此可见，若雇员在没有得到适切引导的情况下使用生成式AI，不但带来个人资料私隐风险，亦可损害机构自身利益。所以，机构应未雨绸缪，制订员工使用AI的内部指引，确保机构在安全地享受科技发展带来便利的同时，亦保障个人资料私隐。

　　国家一直提倡AI的发展与安全并重，正正因为两者相辅相成。为推动AI在香港的安全及健康发展、贯彻落实两会精神及《蓝图》，私隐专员公署于今年3月发表了《雇员使用生成式AI的指引清单》，以协助机构制定雇员在工作时使用生成式AI的内部政策或指引，以及遵从《个人资料（私隐）条例》的相关规定。

　　《指引》所建议的生成式AI政策或指引的内容，涵盖以下五大方面：获准使用生成式AI的范围、保障个人资料私隐、合法及合乎道德的使用及预防偏见、数据安全，以及违反政策或指引的后果。《指引》以一个详尽的清单模式制作，协助机构参考当中列出的各个范畴，机构可根据自身情况制定内部政策，包括“获准使用的生成式AI工具”、“获准许的用途”、“获准许可使用生成式AI工具的雇员类别”等等。

　　针对保障个人资料私隐，《指引》亦建议机构应在其内部政策中清晰说明可输入至生成式AI工具的资讯种类及数量（例如可否输入个人资料），需订明AI生成的资讯用途、储存方式及其保留政策，以及其他雇员须遵从的相关内部政策（例如机构有关处理个人资料及资讯保安的政策）。举例而言，为符合《私隐条例》的相关规定，企业应指示员工不应在没有客户同意的情况下，将客户原先只为参与会员计划而提供的个人资料输入至AI作其他用途。另一方面，《指引》亦建议机构在可行的情况下，应指示雇员在输入个人资料至生成式AI工具前将该些资料匿名化。

　　最后，《指引》亦为机构提供了四个实用贴士，以支援雇员使用生成式AI工具，包括提高政策或指引的透明度、提供雇员使用生成式AI工具的培训及资源、委派支援队伍，以及建立反馈机制。

　　当然，制定内部政策只是机构提升AI治理水平的其中一环。机构可以参考私隐专员公署去年发表的《人工智能（AI）：个人资料保障模范框架》，制定其AI策略及提升其整体AI治理水平。《模范框架》建基于一般业务流程，为采购、实施及使用任何种类的AI系统的机构，就保障个人资料私隐方面提供有关AI管治的建议及最佳行事常规。

　　事实上，机构在享受新科技所带来的无限潜能时，亦有责任确保人工智能安全。我鼓励机构参考私隐专员公署的《指引》及《模范框架》，制定内部AI政策或指引。机构也可参与公署举办的研讨会及内部培训课程，了解《指引》及《模范框架》的内容。公署亦已推出“AI安全”热线21101155，欢迎机构致电查询。

　　个人资料私隐专员