AI普及存風險 模範框架保個資
私隱署倡高危系統需介入防錯 助機構遵例使用
人工智能(AI)在香港日漸普及,根據香港生產力促進局預測,今年全港有近半機構使用人工智能,較去年的30%機構使用大增。然而AI在多項應用場景中都存在私隱洩露風險,個人資料私隱專員公署曾發現有AI系統要求用戶進行虹膜掃描,資料庫卻無法更新或刪除有關資料,或違反私隱條例。為應對有關私隱挑戰,該署昨發布《人工智能(AI): 個人資料保障模範框架》作為建議指引,協助機構在採購、實施及使用AI時遵從私隱條例,有助規範行業,促進AI在香港健康發展。
個人資料私隱專員鍾麗玲昨表示,AI技術近年取得突破性發展,正以超乎想像方式改變世界,但AI是把雙刃劍,只有在適當保障措施下,才能帶來更大益處,故該署推出《人工智能(AI): 個人資料保障模範框架》,為使用AI的機構提供國際認可、切實可行的逐步式建議。
框架建議機構對所使用的AI系統進行風險評估,視乎資料保安、資料敏感程度、對個人、社會的潛在影響等因素,較高風險的AI系統需要人類介入,對系統保持控制權,以減低或防止AI出錯。使用AI進行生物資料實施識別身份、求職者評估、工作表現評核、輔助醫學影像分析等均是較高風險應用情景。生物識別方面,鍾麗玲舉例指,該署一次執法行動中,發現有AI系統要求用戶進行虹膜掃描,但存儲的虹膜資料無法100%保證匹配,亦無法更新或刪除,對用戶造成安全隱患,或違反私隱條例的相關規定。
亦有面容識別系統,對有色人種識別率偏低,特別是黑人女性面容對比容易出錯,涉嫌歧視,亦屬高風險AI系統。醫學領域AI出錯亦不鮮見,鍾麗玲引述美國一宗個案,有護士懷疑AI診斷結果出錯,最後證實AI誤將血癌病人診斷為敗血病,「雖然護士成功推翻AI的判決,但整個過程增加了病人的感染風險,醫藥費支出亦更高。」
框架又建議機構制定AI事故應變計劃,當AI出錯導致侵犯私隱、財產損失,或被黑客攻擊等情況時,作出及時處理。鍾麗玲提到去年3月,有生成式AI聊天機器人發生震驚世界的資料外洩事故,部分用戶的對話標題、電郵地址、信用卡號碼等遭洩露。「很多時候大型AI模型需要大量資料做分析,向AI提供資料時也要謹慎。例如有韓國企業的員工曾將公司機密資料、客戶資料等數據提供給聊天機器人,AI保存了這些資料,可能與下一個用戶聊天時洩露出來。」
公署制訂該框架,期望協助機構在採購、實施及使用人工智能時,遵守私隱條例的相關規定。鍾麗玲表示,框架雖非強制性法律文件,但屬國際一般規則,對機構以合乎道德、負責任、保護私隱的方式使用AI,有倡導、指引作用,公署會向政府部門、醫院、學校、大型企業等主要使用者派發相關文件,亦會舉辦講座加強宣傳。
本港暫未發現高危應用
至於香港目前的AI應用風險,鍾麗玲指暫未發現高危情況,公署自去年8月至今年2月審查了28間本地機構,當中10間會透過AI收集個人資料,均有相應保安措施,其中一間機構搜集完資料後會在大數據中刪除個人信息,署方會繼續展開下一輪審查。
