私隐专员公署发表使用AI模范框架　因风险大倡加强监督

私隐专员公署发布《人工智能：个人资料保障模范框架》，为有意采购人工智能系统处理个人资料的机构提供建议，以减低私隐风险。《框架》涵盖四大范畴，包括管治架构、风险评估、系统实施及管理，以及与持份者的沟通。

私隐专员钟丽玲指，预计于今年内本港将会有近一半机构使用AI，较去年增加近2成，当中较多会使用生成式AI，但生成式AI在新兴技术中存在较多私隐风险，包括会倾向收集过量数据，或收集不同渠道的资料作个人身分识别等。她举例指，留意到一些员工会将机密的客户资料提供给聊天机器人，AI可能会保存有关资料，用来回答下一个用户的问题。

钟丽玲又指，用家大多时未必明白资料会如何被AI使用，如果企业在资料保安方面做得不好，将会面临资料外泄的危机，她形容《模范框架》是作为指引，为机构提供国际认可的建议及最佳行事方式，例如规定企业在使用AI时，需要留意《私隐条例》的规定，不可以收集超乎适度的资料。

《框架》又指出，机构在采购AI系统前，需要考虑供应商有否遵循国际标准，以及进行全面的风险评估，包括考虑涉及的个人资料数量、敏感程度、出现私隐风险的可能性和潜在损害的严重程度等，并采取相称的风险管理措施。

钟丽玲指，美国曾经有护士质疑AI断错症，结果护士要做连串测试，寻求医生批准才能推翻相关的诊断，最终发现AI将血癌病人当成患有败血病，过程中增加了病人感染风险和医药费。她表示，机构如果发现系统的潜在风险高，有必要作出适当的人为监督，以减低AI作出不当决定。

《框架》又提到，机构应成立内部的管治委员会，就采购AI方案和系统应用等整个“生命周期”提供指引及进行监督，亦要建立有效的内部汇报机制，公司董事局需要为AI所作的决定负上最终责任。公署又指，企业亦要持续检视所采用的AI系统，当功能或运作有重大改变时，需要重新评估系统的风险。