人工智能盛行成風易洩私隱 鍾麗玲籲機構盡早為員工設用AI指引
發佈時間:12:51 2025-06-07 HKT
個人資料私隱專員公署早前發表《僱員使用生成式AI指引清單》,私隱專員鍾麗玲在一個電台節目上,呼籲機構需要未雨綢繆,為員工提供使用生成式AI的內部政策或指引,讓僱主、僱員可以在享受科技帶來的便利及好處之餘,更好地保障個人資料私隱。
她指公署在今年2月至5月期間,對60間本港機構進行循規審查,了解它們使用AI的情況,結果顯示高達八成的審查機構在日常營運中使用AI,同時機構亦十分重視保障個人資料私隱。有透過AI系統收集或使用個人資料的機構,全部都有採取相應的保安措施,包括存取控制、滲透測試,以及加密數據等等。
她表示外國曾發生過一些AI事故,包括韓國有科技公司的員工在與AI聊天機械人對話的時候輸入公司的內部原始碼;荷蘭亦曾有診所職員未經准許將病人的醫療資料輸入至AI聊天機械人,這些事件都導致相關機構的機密資料或病人的敏感資料外洩,認為若僱員在沒有得到適切引導的情況下使用生成式AI,不但帶來個人資料私隱風險,亦可能會損害機構自身的利益,故機構有必要未雨綢繆,為員工提供使用生成式AI的內部政策或指引。
她提到公署於今年3月發表了《僱員使用生成式AI的指引清單》,建議生成式AI政策或指引的內容應該涵蓋五大方面:獲准使用生成式AI的範圍、保障個人資料私隱、合法及合乎道德的使用及預防偏見、數據安全,以及違反政策或指引的後果。
《指引》以清單模式製作,機構可參考當中列出的各個範疇,根據自身情況制定內部政策。有關僱員獲准使用生成式AI的範圍,《指引》建議機構訂明准許僱員使用哪種生成式AI工具及用作哪些用途,例如是起草文書,總結資訊,或是生成一些廣告的材料。
在保障個人資料私隱方面,《指引》亦建議機構應該清晰說明僱員可輸入至生成式AI工具的資訊種類及數量,例如可否輸入客戶個人資料,及公司的內部資料。 特別要留意的是,為符合《私隱條例》的相關規定,機構應指示僱員不應在沒有客戶同意的情況下,改變客戶個人資料的用途,例如將客戶原先只為參與會員計劃或者進行交易而提供的個人資料輸入至AI作其他用途。另一方面,在可行的情況下,機構亦應指示僱員在輸入個人資料至生成式AI工具前將資料匿名化。
