私隱署《指引》助企業實施內部規範 僱主須訂AI政策 減資料外洩風險
個人資料私隱專員公署於3月31日發表《僱員使用生成式AI的指引清單》,協助機構制定僱員在工作時使用生成式AI的內部政策或指引,以及遵從《私隱條例》的相關規定。個人資料私隱專員鍾麗玲昨日表示,如今生成式AI愈來愈普及,期望清單協助企業制定內部政策,讓員工能更安全使用。
有立法會議員相信,有關政策有助企業在數碼轉型中保障市民私隱,防止無意間洩露客戶私隱或營運資料。\大公報記者 義昊、黃釔淼
鍾麗玲昨日出席電台節目時指出,現時生成式AI十分普及,但僱主未必知道員工的使用方式,期望清單協助企業制定內部政策,讓員工能更安全使用,釋放AI最大威力。她再提醒有關機構輸入顧客資料,會受私隱條例規管,如果涉及改變用途目的,需要取得客戶同意。
業界盼公署提供政策樣本
是次《指引》涵蓋五大範疇,分別是使用AI的範圍、保障個人資料私隱、要合法和合乎道德使用避免偏見、數據安全以及違反指引的後果。鍾麗玲形容僱主可以「執藥咁執」,按各範疇了解什麼資料可以輸入,制訂適合的內部政策。鍾麗玲表示,《指引》推出數日後,有業界反映希望公署製作內部政策的樣本,署方會考慮制訂樣本予機構參考,而公署設有AI安全熱線,讓企業查詢問題,亦有度身訂造的培訓課程,亦會在今年6月與生產力促進局舉辦AI安全研討會,幫助業界了解如何讓機構安全地使用AI工具。
至於AI可能造成的風險,鍾麗玲表示,最關注個人資料私隱風險,尤其是資料的使用,例如員工將收集到的客戶資料悄悄用於訓練AI;其次是員工輸入一些公司不允許的敏感機密資料。再者是關注資料外洩問題,因為訓練AI通常需要大量數據,如果發生外洩事故,後果可以相當嚴重。
鍾麗玲強調,公署絕對有權力介入AI人工智能的合規使用,若收到資料外洩事故,會發表報告及公開譴責機構,以及發出執行通知,若機構違反執行通知屬刑事罪行。另外,公署每年也會主動做循規審查,每年大概做400宗,收到約200多宗數據安全投訴,公署會進行調解及調查的工作。不過,公署希望未發生事件前就做好預防,因此希望市民大眾「不要成日當我哋係老虎,唔係吓吓要咬人,很多時候我哋都會做很多教育、推廣的工作。」
應設定各級員工使用權限
立法會資訊科技委員會主席葛珮帆認同私隱專員提出訂立AI政策的建議,相信這有助企業在數碼轉型中保障市民私隱。她說,員工使用AI工具,例如上載資料生成表格確實可能無意間洩露客戶私隱或營運資料,因此建議企業採取以下措施,包括禁止員工將敏感資料,尤其涉及客戶或員工的個人資料輸入公開AI平台,改用內部部署或經認證的企業級工具;設定各級員工AI使用權限,並記錄操作日誌供定期稽核;加強員工使用AI保護個人私隱的意識教育,例如辨識AI回覆可能夾帶的第三方資料,必須小心核查及使用。
立法會議員、商湯科技戰略顧問尚海龍認為,生成式人工智能已經在相當多的工作中有了實際應用,例如數據挖掘、海報製作、數字人營銷、創意視頻等等,對許多工作大有幫助,但相關弊端也存在,例如模型選用仍有門檻、各種市場上的開源模型均有不同程度的歧視如性別歧視、被開源模型訓練後的數據洩露風險。他贊同私隱專員公署幫助廣大中小企制定普適性的AI內部員工守則,以標準化附件或LEGO式選擇的方案,協助更新員工合約或關鍵崗位指引。
