【私隱公署/AI/人工智能/生成式AI】私隱專員公署上月底發表《僱員使用生成式AI的指引清單》。個人資料私隱專員鍾麗玲表示,公署正與生產力局研究,合辦數據安全研討會,以及考慮製訂樣本,幫助業界了解如何讓機構安全地使用AI工具,減少資料外洩。
鍾麗玲今早在商台節目表示,現時生成式AI十分普及,但僱主未必知道員工的使用方式,期望清單協助企業制定內部政策,讓員工能更安全使用,釋放AI最大威力。她再提醒有關機構輸入顧客資料,會受私隱條例規管,如果涉及改變用途目的,需要取得客戶同意。
指引涵蓋五大範疇 可考慮助機構製作AI內部政策範本
鍾麗玲指,若機構使用會員資料訓練AI工具,私隱條例列明須就改變資料使用目的,亦需取得顧客明確及自願同意。是次指引涵蓋五大範疇,分別是使用AI的範圍、保障個人資料私隱、要合法和合乎道德使用避免偏見、數據安全,及違反指引的後果。她形容僱主可以「執藥咁執」,按各範疇了解甚麼資料可以輸入,制訂適合的內部政策。
她又表示,指引推出數日後,有業界反映希望公署製作內部政策的樣本,署方會考慮制訂樣本予機構參考,而公署設有AI安全熱線,讓企業查詢問題,亦有度身訂造的培訓課程,亦會同生產力促進局6月將舉辦AI安全研討會,幫助業界了解如何讓機構安全地使用AI工具。
對於AI風險方面,鍾麗玲稱,最主要是關注個人資料私隱風險,尤其是資料的使用,例如員工將收集到的客戶資料悄悄用於訓練AI;其次是員工輸入一些公司不允許的敏感機密資料;以及關注資料外洩的問題,因為訓練AI通常需要大量數據,如果發生外洩事故,後果可以相當嚴重。
相關新聞:私隱公署發布《僱員使用生成式AI指引清單》 訂明不得利用AI進行非法或有害活動 有責任核實生成結果準確性
公署有權力介入AI合規使用 「唔好當我哋係咬人嘅老虎」
至於公署的權力是否足夠介入AI人工智能的合規使用,鍾麗玲指,公署絕對有權力,若收到資料外涉事故,會發表報告及公開譴責機構,及發出執行通知,若機構違反執行通知,會是刑事罪行。另外公署每年也會主動做循規審查,每年大概做400宗,收到約200多宗數據安全投訴,公署會進行調解及調查的工作。並非是發生事件後才去跟進,最好是未發生事件前就去預防 ,所以公署都有檢視的機制。她希望市民大眾「不要成日當我哋係老虎,唔係吓吓要咬人,很多時候我哋都會做很多教育、推廣的工作。」
鍾麗玲又指出,2021年修訂私隱條例以來,3年間成效很好,網絡上起底的信息對比2022年大跌超過九成,處理有關起底的投訴方面,也大跌超過四成。但在數碼時代,資料外洩的事故明顯增加,網上罪案或資料外洩,都會有上升的趨勢,這是全球都面對的問題,公署會多做宣傳教育工作,提升市民大眾的意識。對於資料外洩事故,她表示希望進一步修訂私隱條例,制訂強制性的通報機制 ,令執法更有效。公署現正與政府全盤審視整條私隱條例,加強規管資料處理,希望可以加入行政罰款的機制,但罰則是中小企能負擔而又具阻嚇的作用。
