護個人資料 私隱署推AI模範框架
【明報專訊】人工智能(AI)應用發展迅速,機構在開發及使用AI時或會觸及個人資料,個人資料私隱公署昨日發布《人工智能(AI):個人資料保障模範框架》(下稱「框架」),向採購、實施及使用AI的機構,就保障個人資料私隱方面提供建議及最佳行事常規。至於會否考慮強制機構遵循,私隱專員鍾麗玲稱,框架提供國際認可的建議讓機構考慮,冀框架「落地」,讓機構容易實行。
鍾麗玲引述生產力促進局研究預測,今年本港會有近半機構使用AI,較去年多近兩成,最受歡迎的生成式AI為聊天機械人及文字辨識工具,但相較雲端計算、物聯網等新興技術,生成式AI私隱風險較高。她提到有業界人士稱不清楚如何使用AI才算合法或合規,故推出框架供機構參考。
框架的建議措施涵蓋4個範疇:制定AI策略及管治架構、風險評估及人為監督、AI模型定製(customisation)與AI系統實施及管理、促進與持份者的溝通及交流(見表)。就首個範疇,框架提出由尋找至納入AI方案的7個步驟,建議機構應成立管治委員會,督導由採購至應用AI的整個「生命周期」,並需向董事局匯報。對於中小企或因成本未能設委員會,鍾麗玲說成立與否視乎機構規模,中小企可考慮內部調配,例如由老闆管理。
倡機構設委員會督導
蒐最少個資
至於AI模型定製與AI系統實施及管理,框架提出3個過程予機構遵從,包括數據準備、定製及實施、管理與持續監察。鍾麗玲稱,機構在數據準備時應蒐集最少的個人資料,舉例一間計劃採購AI聊天機械人的時裝零售平台,公司或會認為需使用不同客戶群的購買及瀏覽紀錄,以定製聊天機械人,但客戶姓名、聯絡資料、某些人口特徵等個人資料並非必需。
被問及有何誘因令機構採用框架,鍾稱會向商業團體、學校、政府部門等機構派發框架,亦打算與香港應用科技研究院等科技機構合作舉辦講座。她提到公署去年8月至今年2月審查28間有使用AI的本地機構,當中10間有透過AI蒐集個人資料,亦有採取保安措施,未發現違規,公署今年及明年會繼續審查更多機構。
黑客Tg泄資料 暫一公司通報
另外本報早前報道,一個懷疑由黑客營運的Telegram公開群組先後上載涉及不同公司客戶的個人資料樣本檔案,包括姓名、電話及身分證號碼等;鍾麗玲稱高度關注事件,正聯絡相關公司了解,暫接獲一間公司通報及一宗查詢,至今未接獲投訴。