來論|引導僱員安全使用AI 提升企業競爭力
發佈時間:03:01 2025-05-22 HKT
人工智能(AI)具備提升機構競爭力、促進數碼轉型的能力,被視為培育新質生產力的動力,同時亦是世界各地政府近年的政策焦點所在。國家在2025年兩會期間發表的《政府工作報告》提出要持續推進「人工智能+」行動,支持大模型廣泛應用,以激發數碼經濟創新活力,而香港特區政府2022年公布的《香港創新科技發展藍圖》(《藍圖》)以至今年2月的《財政預算案》均強調要發展AI產業,以加速發展新質生產力。
去年,私隱專員公署委託香港生產力促進局進行的《香港企業網絡保安準備指數及AI安全風險》調查發現近七成企業認為在營運中使用AI會帶來顯著的私隱風險。然而,在營運中有使用AI的企業中,只有少於三成已經制訂AI安全風險政策,情況顯然有改進空間。
事實上,許多員工已經開始在工作中使用AI,包括生成式AI聊天機械人、文字、圖像或影片生成器等。但是,他們往往不留意當中的風險,亦未必知道如何安全地使用生成式AI,進而為機構帶來風險。舉例而言,南韓某科技巨擘曾有員工在AI聊天機械人輸入公司的內部程式碼,荷蘭亦曾有診所職員未經准許將病人的醫療資料輸入至AI聊天機械人,分別導致企業的機密資料及病人的敏感資料外洩。由此可見,若僱員在沒有得到適切引導的情況下使用生成式AI,不但帶來個人資料私隱風險,亦可損害機構自身利益。所以,機構應未雨綢繆,為員工提供使用AI的內部指引,確保機構在安全地享受科技發展帶來的便利的同時,亦保障個人資料私隱。
國家一直提倡AI的發展與安全並重,正正因為兩者相輔相成。為推動AI在香港的安全及健康發展、貫徹落實兩會精神及《藍圖》,私隱專員公署於今年3月發表了《僱員使用生成式AI的指引清單》(《指引》),以協助機構制訂僱員在工作時使用生成式AI的內部政策或指引,以及遵從《個人資料(私隱)條例》(《私隱條例》)的相關規定。
《指引》所建議的生成式AI政策或指引的內容,涵蓋以下五大方面:獲准使用生成式AI的範圍、保障個人資料私隱、合法及合乎道德的使用及預防偏見、數據安全,以及違反政策或指引的後果。《指引》以一個詳盡的清單模式製作,協助機構參考當中列出的各個範疇,機構可根據自身情況制訂內部政策,包括「獲准使用的生成式AI工具」、「獲准許的用途」、「獲准許可使用生成式AI工具的僱員類別」等等。
針對保障個人資料私隱,《指引》亦建議機構應在其內部政策中清晰說明可輸入至生成式AI工具的資訊種類及數量(例如可否輸入個人資料),需訂明AI生成的資訊用途、儲存方式及其保留政策,以及其他僱員須遵從的相關內部政策(例如機構有關處理個人資料及資訊保安的政策)。 舉例而言,為符合《私隱條例》的相關規定,企業應指示員工不應在沒有客戶同意的情況下,將客戶原先只為參與會員計劃而提供的個人資料輸入至AI作其他用途。另一方面,《指引》亦建議機構在可行的情況下,應指示僱員在輸入個人資料至生成式AI工具前將該些資料匿名化。
最後,《指引》亦為機構提供了四個實用貼士,以支援僱員使用生成式AI工具,包括提高政策或指引的透明度、提供僱員使用生成式AI工具的培訓及資源、委派支援隊伍,以及建立反饋機制。
當然,制訂內部政策只是機構提升AI治理水平的其中一環。機構可以參考私隱專員公署去年發表的《人工智能(AI):個人資料保障模範框架》(《模範框架》),制訂其AI策略及提升其整體AI治理水平。《模範框架》建基於一般業務流程,為採購、實施及使用任何種類的AI系統的機構,就保障個人資料私隱方面提供有關AI管治的建議及最佳行事常規。
事實上,機構在享受新科技所帶來的無限潛能時,亦有責任確保人工智能安全。我鼓勵機構參考私隱專員公署的《指引》及《模範框架》,制訂內部AI政策或指引。機構也可參與公署舉辦的研討會及內部培訓課程,了解《指引》及《模範框架》的內容。公署亦已推出「AI安全」熱線2110 1155,歡迎機構致電查詢。
鍾麗玲
個人資料私隱專員
