【明報專訊】人工智能（AI）應用發展迅速，機構在開發及使用AI時或會觸及個人資料，個人資料私隱公署昨日發布《人工智能（AI）：個人資料保障模範框架》（下稱「框架」），向採購、實施及使用AI的機構，就保障個人資料私隱方面提供建議及最佳行事常規。至於會否考慮強制機構遵循，私隱專員鍾麗玲稱，框架提供國際認可的建議讓機構考慮，冀框架「落地」，讓機構容易實行。

鍾麗玲引述生產力促進局研究預測，今年本港會有近半機構使用AI，較去年多近兩成，最受歡迎的生成式AI為聊天機械人及文字辨識工具，但相較雲端計算、物聯網等新興技術，生成式AI私隱風險較高。她提到有業界人士稱不清楚如何使用AI才算合法或合規，故推出框架供機構參考。

框架的建議措施涵蓋4個範疇：制定AI策略及管治架構、風險評估及人為監督、AI模型定製（customisation）與AI系統實施及管理、促進與持份者的溝通及交流（見表）。就首個範疇，框架提出由尋找至納入AI方案的7個步驟，建議機構應成立管治委員會，督導由採購至應用AI的整個「生命周期」，並需向董事局匯報。對於中小企或因成本未能設委員會，鍾麗玲說成立與否視乎機構規模，中小企可考慮內部調配，例如由老闆管理。

倡機構設委員會督導

蒐最少個資

至於AI模型定製與AI系統實施及管理，框架提出3個過程予機構遵從，包括數據準備、定製及實施、管理與持續監察。鍾麗玲稱，機構在數據準備時應蒐集最少的個人資料，舉例一間計劃採購AI聊天機械人的時裝零售平台，公司或會認為需使用不同客戶群的購買及瀏覽紀錄，以定製聊天機械人，但客戶姓名、聯絡資料、某些人口特徵等個人資料並非必需。

被問及有何誘因令機構採用框架，鍾稱會向商業團體、學校、政府部門等機構派發框架，亦打算與香港應用科技研究院等科技機構合作舉辦講座。她提到公署去年8月至今年2月審查28間有使用AI的本地機構，當中10間有透過AI蒐集個人資料，亦有採取保安措施，未發現違規，公署今年及明年會繼續審查更多機構。

黑客Tg泄資料 暫一公司通報

另外本報早前報道，一個懷疑由黑客營運的Telegram公開群組先後上載涉及不同公司客戶的個人資料樣本檔案，包括姓名、電話及身分證號碼等；鍾麗玲稱高度關注事件，正聯絡相關公司了解，暫接獲一間公司通報及一宗查詢，至今未接獲投訴。