私隐署《指引》助企业实施内部规范 雇主须订AI政策 减资料外洩风险

上图：钟丽玲表示，公署发指引协助企业制定内部政策，让员工能更安全使用生成式AI。下图：企业雇员使用AI安全政策，有助企业在数码转型中保障市民私隐，防止无意间洩露客户私隐或营运资料。　　个人资料私隐专员公署于3月31日发表《雇员使用生成式AI的指引清单》，协助机构制定雇员在工作时使用生成式AI的内部政策或指引，以及遵从《私隐条例》的相关规定。个人资料私隐专员钟丽玲昨日表示，如今生成式AI愈来愈普及，期望清单协助企业制定内部政策，让员工能更安全使用。　　有立法会议员相信，有关政策有助企业在数码转型中保障市民私隐，防止无意间洩露客户私隐或营运资料。\港闻报记者 义昊、黄钇淼　　钟丽玲昨日出席电台节目时指出，现时生成式AI十分普及，但雇主未必知道员工的使用方式，期望清单协助企业制定内部政策，让员工能更安全使用，释放AI最大威力。她再提醒有关机构输入顾客资料，会受私隐条例规管，如果涉及改变用途目的，需要取得客户同意。　　业界盼公署提供政策样本　　是次《指引》涵盖五大范畴，分别是使用AI的范围、保障个人资料私隐、要合法和合乎道德使用避免偏见、数据安全以及违反指引的后果。钟丽玲形容雇主可以“执药咁执”，按各范畴了解什么资料可以输入，制订适合的内部政策。钟丽玲表示，《指引》推出数日后，有业界反映希望公署制作内部政策的样本，署方会考虑制订样本予机构参考，而公署设有AI安全热线，让企业查询问题，亦有度身订造的培训课程，亦会在今年6月与生产力促进局举办AI安全研讨会，帮助业界了解如何让机构安全地使用AI工具。　　至于AI可能造成的风险，钟丽玲表示，最关注个人资料私隐风险，尤其是资料的使用，例如员工将收集到的客户资料悄悄用于训练AI；其次是员工输入一些公司不允许的敏感机密资料。再者是关注资料外洩问题，因为训练AI通常需要大量数据，如果发生外洩事故，后果可以相当严重。　　钟丽玲强调，公署绝对有权力介入AI人工智能的合规使用，若收到资料外洩事故，会发表报告及公开谴责机构，以及发出执行通知，若机构违反执行通知属刑事罪行。另外，公署每年也会主动做循规审查，每年大概做400宗，收到约200多宗数据安全投诉，公署会进行调解及调查的工作。不过，公署希望未发生事件前就做好预防，因此希望市民大众“不要成日当我哋係老虎，唔係吓吓要咬人，很多时候我哋都会做很多教育、推广的工作。”　　应设定各级员工使用权限　　立法会资讯科技委员会主席葛珮帆认同私隐专员提出订立AI政策的建议，相信这有助企业在数码转型中保障市民私隐。她说，员工使用AI工具，例如上载资料生成表格确实可能无意间洩露客户私隐或营运资料，因此建议企业采取以下措施，包括禁止员工将敏感资料，尤其涉及客户或员工的个人资料输入公开AI平台，改用内部部署或经认证的企业级工具；设定各级员工AI使用权限，并记录操作日志供定期稽核；加强员工使用AI保护个人私隐的意识教育，例如辨识AI回复可能夹带的第三方资料，必须小心核查及使用。　　立法会议员、商汤科技战略顾问尚海龙认为，生成式人工智能已经在相当多的工作中有了实际应用，例如数据挖掘、海报制作、数字人营销、创意视频等等，对许多工作大有帮助，但相关弊端也存在，例如模型选用仍有门槛、各种市场上的开源模型均有不同程度的歧视如性别歧视、被开源模型训练后的数据洩露风险。他赞同私隐专员公署帮助广大中小企制定普适性的AI内部员工守则，以标准化附件或LEGO式选择的方案，协助更新员工合约或关键岗位指引。