来论|引导雇员安全使用AI 提升企业竞争力
2025-05-22 00:00 
去年,私隐专员公署委托香港生产力促进局进行的《香港企业网络保安准备指数及AI安全风险》调查发现近七成企业认为在营运中使用AI会带来显著的私隐风险。然而,在营运中有使用AI的企业中,只有少于三成已经制订AI安全风险政策,情况显然有改进空间。
事实上,许多员工已经开始在工作中使用AI,包括生成式AI聊天机械人、文字、图像或影片生成器等。但是,他们往往不留意当中的风险,亦未必知道如何安全地使用生成式AI,进而为机构带来风险。举例而言,南韩某科技巨擘曾有员工在AI聊天机械人输入公司的内部程式码,荷兰亦曾有诊所职员未经准许将病人的医疗资料输入至AI聊天机械人,分别导致企业的机密资料及病人的敏感资料外泄。由此可见,若雇员在没有得到适切引导的情况下使用生成式AI,不但带来个人资料私隐风险,亦可损害机构自身利益。所以,机构应未雨绸缪,为员工提供使用AI的内部指引,确保机构在安全地享受科技发展带来的便利的同时,亦保障个人资料私隐。
国家一直提倡AI的发展与安全并重,正正因为两者相辅相成。为推动AI在香港的安全及健康发展、贯彻落实两会精神及《蓝图》,私隐专员公署于今年3月发表了《雇员使用生成式AI的指引清单》(《指引》),以协助机构制订雇员在工作时使用生成式AI的内部政策或指引,以及遵从《个人资料(私隐)条例》(《私隐条例》)的相关规定。
《指引》所建议的生成式AI政策或指引的内容,涵盖以下五大方面:获准使用生成式AI的范围、保障个人资料私隐、合法及合乎道德的使用及预防偏见、数据安全,以及违反政策或指引的后果。《指引》以一个详尽的清单模式制作,协助机构参考当中列出的各个范畴,机构可根据自身情况制订内部政策,包括「获准使用的生成式AI工具」、「获准许的用途」、「获准许可使用生成式AI工具的雇员类别」等等。
针对保障个人资料私隐,《指引》亦建议机构应在其内部政策中清晰说明可输入至生成式AI工具的资讯种类及数量(例如可否输入个人资料),需订明AI生成的资讯用途、储存方式及其保留政策,以及其他雇员须遵从的相关内部政策(例如机构有关处理个人资料及资讯保安的政策)。 举例而言,为符合《私隐条例》的相关规定,企业应指示员工不应在没有客户同意的情况下,将客户原先只为参与会员计划而提供的个人资料输入至AI作其他用途。另一方面,《指引》亦建议机构在可行的情况下,应指示雇员在输入个人资料至生成式AI工具前将该些资料匿名化。
最后,《指引》亦为机构提供了四个实用贴士,以支援雇员使用生成式AI工具,包括提高政策或指引的透明度、提供雇员使用生成式AI工具的培训及资源、委派支援队伍,以及建立反馈机制。
当然,制订内部政策只是机构提升AI治理水平的其中一环。机构可以参考私隐专员公署去年发表的《人工智能(AI):个人资料保障模范框架》(《模范框架》),制订其AI策略及提升其整体AI治理水平。《模范框架》建基于一般业务流程,为采购、实施及使用任何种类的AI系统的机构,就保障个人资料私隐方面提供有关AI管治的建议及最佳行事常规。
事实上,机构在享受新科技所带来的无限潜能时,亦有责任确保人工智能安全。我鼓励机构参考私隐专员公署的《指引》及《模范框架》,制订内部AI政策或指引。机构也可参与公署举办的研讨会及内部培训课程,了解《指引》及《模范框架》的内容。公署亦已推出「AI安全」热线2110 1155,欢迎机构致电查询。
锺丽玲
个人资料私隐专员
關鍵字
最新回应