保護你的數碼足跡:人工智能在香港如何影響個人資料私隱
簡介
提到人工智能(「AI」),我們不但會想到其廣泛的應用範圍及潛在商機,而且也會想到與之相關的風險。AI應用所產生的新風險,無可避免地亦會在個人資料保護的監管方面帶來挑戰。有見及此,香港個人資料私隱專員公署於2024年6月11日發布了《人工智能:個人資料保障模範框架》(《模範框架》),為企業提供指引。
建議措施
AI的使用須合乎資料數據管理價值及道德原則,例如須保持尊重、互惠及公平,緊記問責、人為監督及數據私隱等。為達致上述目標,《模範框架》建議機構在採購、實施及使用AI解決方案時採納適當的政策、措施及程序。《模範框架》著眼於 4個主要範疇:
1. AI策略及管治;
2. 風險評估及人為監督;
3. AI模型的定製與AI系統的實施及管理;及
4. 與持份者的溝通及交流。
下文將概述以上4個範疇的重點。
AI策略及管治
機構應建立內部的AI管治策略,一般包括AI策略、採購AI方案時的管治考慮,以及設立AI管治委員會(或類似組織)以引領相關過程。
AI策略應就採購AI方案的目的及如何實施AI系統提供相關指引。一方面,AI策略應提供指引及AI相關的內部培訓,令機構職員及人員熟識應該及不應作出的事情,並具備在採用AI系統的環境中工作的技能。另一方面,由於AI解決方案的採購往往涉及負責定製AI系統的第三方,因此《模範框架》建議的採購措施亦包括關於與外部AI採購方往來的管治考慮,例如,準AI供應商是否須遵循技術性及管治方面的國際標準。
同時,機構應成立AI管治委員會,向董事會匯報,以監督AI系統的採購、實施及使用,並且建立有效的內部匯報機制,以匯報任何系統故障,或提出有關資料保障或道德的問題以便AI管治委員會作出恰當的監察。
進行風險評估及人為監督
機構在採購、使用及管理AI系統時,機構應採取風險為本的方式,進行綜合風險評估,有系統地識別、分析及評估過程中涉及的風險。風險評估應考慮的因素包括香港法例第486章《個人資料私隱條例》(《私隱條例》)的規定、個人資料的數量、敏感程度、質素、保安,以及私隱風險出現的可能性及其潛在損害的嚴重程度。
上述風險管理措施是建基於相稱性,即風險緩減措施的類別及程度應與已識別風險的程度相符及相稱。例如,機構可能使用AI系統作出決策或協助決策過程,如果AI系統可能存有演算法偏見及歧視,而所作的決策對公司非常重要或有關鍵影響,便需要比風險較低的AI系統設有較高程度的人為監督。在這種情況下,應在決策過程中保留人類控制權,以防止及減低AI出錯的情況,這稱為「人在環內」策略。
AI模型的定製與AI系統的實施及管理
定製與管理的主要流程包括三個步驟:第一,準備及管理數據;第二,定製及實施;最後,管理及持續監察。定製AI模型的主要目的是利用數據提供更多有關特定領域/情況的資訊,以提升AI方案的表現。機構在採用AI模型後需要持續檢視情況,並向使用者提供支援,以確保AI系統保持有效、相關及可靠。定製及操作AI時,良好的數據管治不單保障個人資料私隱,亦可確保數據質量,這對AI系統的穩健性和公平性至為重要。在定製AI時,必須採取措施,確保遵從《私隱條例》的規定。
與持份者的溝通及交流
機構應定期及有效地與持份者(尤其是內部員工、AI供應商、個別消費者及監管機構)溝通及交流,以提高透明度及建立信任。機構往往需要解釋AI作出的決定及產生的結果、披露AI系統的使用、披露風險及考慮容許拒絕使用。與持份者(尤其消費者)溝通時,應使用淺白的語言和清楚易明的方式,並設法讓持份者知悉。
總結
《模範框架》不僅是一份資料私隱指引,而且提供實用的建議和最佳行事常規,協助機構在遵循《私隱條例》相關要求的前提下採購、實施及使用AI,令機構能夠在利用AI優勢的同時保護個人資料私隱。如果閣下的日常業務運作時常使用AI,則應細閱及了解《模範框架》全文。如有疑問,請徵詢律師意見。
如有查詢,歡迎與我們聯絡: |
E: technology@onc.hk T: (852) 2810 1212 香港中環康樂廣場8號交易廣場第三期19樓 |
注意:以上內容涉及十分專門和複雜的法律知識及法律程序。本篇文章僅是對有關題目的一般概述,只供參考,不能構成任何個別個案的法律意見。如需進一步的法律諮詢或協助,請聯絡我們的律師。 |
ONC柯伍陳律師事務所發行 © 2024 |