個人資料私隱專員公署日前發表《僱員使用生成式AI的指引清單》。私隱專員鍾麗玲今(6日)在商台《政好星期天》表示,公署調查中僅三成已制定人工智能(AI)私隱風險政策,清單可協助企業如「執藥」般制定相關政策。
鍾麗玲表示,公署2024年曾訪問不同企業,當中七成受訪企業知道使用AI有私隱風險,但僅約55%有或打算制定AI風險政策,只有三成已制定相關政策,因此決定推出指引清單。她說清單羅列五大範圍,包括使用AI範圍、保障個人資料私隱等,讓業界按需要「執藥咁執」,未來考慮推出政策樣本,公署也提供AI私隱安全內部培訓。
鍾麗玲表示,最關注個人資料私隱風險,比如員工自行將客戶資料用作訓練AI,或輸入公司政策不允許的敏感機密資料。她也擔心資料外洩,因訓練AI一般要大量數據,如果外泄後果相當嚴重。她提醒若企業在未經客戶同意下,將對方個人資料用作訓練AI,有可能違反《私穩條例》。
鍾麗玲表示,公署在2023至24年左右,向28間機構展向第一輪循規審查,另外已向60間公、私營機構及政府部門展開第二輪審查,了解他們如何在AI應用中使用個人資料,暫未見違反《私隱條例》。問到有意見認為公署執法上「差啲牙」,她稱調查著眼點非「咬佢(受查企業)」,而是幫助企業應對AI私隱風險,又認為公署有足夠權力介入AI相關事故,但強調公署非「老虎」,「吓吓都要咬人」。
機構屢爆資料外泄 公署研加強規管資料處理商
提到近年屢爆出資料外泄事故,鍾麗玲稱近年資料外泄影響規模增至「十幾萬、幾十萬」,形容「相當驚人」,認為所有機構不應掉以輕心,不應計較相關開支,而不少個案也涉及人為疏忽。談到公營機構外泄事故,她稱相關事故中,私營機構佔七成,公營則佔三成。她盼可在《私隱條例》加入強制通報機制,公署也正與政府審視,加強規管外判資料處理商,加入行政罰款,惟諮詢業界後,不少中小企憂影響營商環境,因此正研究罰款水平。
相關字詞﹕鍾麗玲 人工智能 私隱專員公署 編輯推介