私隱專員公署發表使用AI模範框架　因風險大倡加強監督

私隱專員公署發布《人工智能：個人資料保障模範框架》，為有意採購人工智能系統處理個人資料的機構提供建議，以減低私隱風險。《框架》涵蓋四大範疇，包括管治架構、風險評估、系統實施及管理，以及與持份者的溝通。

私隱專員鍾麗玲指，預計於今年內本港將會有近一半機構使用AI，較去年增加近2成，當中較多會使用生成式AI，但生成式AI在新興技術中存在較多私隱風險，包括會傾向收集過量數據，或收集不同渠道的資料作個人身分識別等。她舉例指，留意到一些員工會將機密的客戶資料提供給聊天機械人，AI可能會保存有關資料，用來回答下一個用戶的問題。

鍾麗玲又指，用家大多時未必明白資料會如何被AI使用，如果企業在資料保安方面做得不好，將會面臨資料外洩的危機，她形容《模範框架》是作為指引，為機構提供國際認可的建議及最佳行事方式，例如規定企業在使用AI時，需要留意《私隱條例》的規定，不可以收集超乎適度的資料。

《框架》又指出，機構在採購AI系統前，需要考慮供應商有否遵循國際標準，以及進行全面的風險評估，包括考慮涉及的個人資料數量、敏感程度、出現私隱風險的可能性和潛在損害的嚴重程度等，並採取相稱的風險管理措施。

鍾麗玲指，美國曾經有護士質疑AI斷錯症，結果護士要做連串測試，尋求醫生批准才能推翻相關的診斷，最終發現AI將血癌病人當成患有敗血病，過程中增加了病人感染風險和醫藥費。她表示，機構如果發現系統的潛在風險高，有必要作出適當的人為監督，以減低AI作出不當決定。

《框架》又提到，機構應成立內部的管治委員會，就採購AI方案和系統應用等整個「生命週期」提供指引及進行監督，亦要建立有效的內部匯報機制，公司董事局需要為AI所作的決定負上最終責任。公署又指，企業亦要持續檢視所採用的AI系統，當功能或運作有重大改變時，需要重新評估系統的風險。