中港網絡安全協會之數據私隱委員會(“委員會”)關注到隨著全球人工智能(AI)科技飛速發展,AI應用場景日漸普及。根據香港生產力局的數據,預計今年香港近半數機構使用AI,較去年增加兩成,並稱AI比起雲端計算、物聯網等新興技術,存在較高私隱風險。為應對AI對個人資料私隱保障帶來的挑戰,體現國家的《全球人工智能治理倡議》,香港個人資料私隱專員公署(“公署”)在六月初發布《人工智能(AI):個人資料保障模範框架》 (“《模範框架》”),繼2021年公署出版的《開發及使用人工智能道德標準指引》後,就AI的應用提供國際認可的建議和行事常規,以助香港的機構採購、實施及使用AI,包括確保生成式人工智能有效遵從《個人資料(私隱)條例》(“《私隱條例》”),冀促進香港以至大灣區的創新科技發展。
《模範框架》是亞太區首個在AI領域針對保障個人資料私隱而制定的指引性框架,該制定得到了香港政府資訊科技總監辦公室及香港應用科技研究院的大力支持。委員會同意,AI的發展與《私隱條例》對個人資料私隱的保障並無衝突,相反,《模範框架》的出版為業界如何更安全更好地應用AI方案提供了具體措施,例如建議機構應成立管治委員會或相關組織,為採購AI方案和如何使用系統提供指引及監督,亦要求管治委員會向該機構的董事會或內部,匯報任何AI系統事故或提出有關私隱保障或道德問題,以便監察AI應用場景的情況。
《模範框架》涵蓋4個範疇的建議措施,分別為AI策略及管治架構、風險評估及人為監督、定製AI模型與實施及管理AI系統,以及促進與內部員工、AI供應商和消費者等不同持份者的溝通。尤其在「制定AI策略及管治」方面,《模範框架》提出採購AI方案的七個步驟,包括:一、尋找AI方案;二、選擇合適的AI方案;三、收集及準備數據;四、為特定目的定製AI模型;五、測試、評估和驗證AI模型;六、測試和審核系統和組件的安全性和私隱風險;七、將AI方案納入到機構的系統中。
在進行風險評估及人為監督方面,《模範框架》將AI系統的風險程度由較低到較高的次序,分為「人在環外」、「人為管控」和「人在環中」三個階段。若一間機構通過聊天機械人給客戶提供最基本、簡單的信息或查詢,就屬於AI在沒有人為介入下作出決定的「人在環外」階段;如果AI需要使用生物識辨個人資料實時識別個人(例如人臉識別、虹膜掃描),如AI輔助醫學影像分析或治療,求職者評估、工作表現評核或終止僱傭合約等場景,屬於風險較高的類別,則人類決策者在決策過程中應保留控制權以防止或減低AI出錯,即「人在環中」的定義。
委員會留意到公署於去年8月至今年2月,審查香港28間機構有關使用AI工具情况,大多機構有評估私隱風險,當中10間機構會透過使用AI收集個人資料,並無發現違規情况。應對公署持續審查業界有關不同風險程度的AI的使用情況,委員會提醒機構,AI的使用是“協助”,而非“取代”人類的工作,若訓練AI 的數據不足或質素參差,可能令AI 系統作出錯誤或帶有歧視的決定;若訓練數據包含個人資料,系統或會在輸出過程中洩露這些資料。機構應在採購及應用AI方案時,備有足夠的人手及大量整齊數據,對AI進行訓練及後期持續的修正校對工作,同時應參考《模範框架》的建議措施,積極制定AI策略及管治,尤其是對內部員工使用AI做好充足的培訓,從而保障個人資料私隱,確保使用安全、合乎道德而且負責任的方式運用創新科技。
Comments