私隱專員公署發布《人工智能:個人資料保障模範框架》,為有意採購人工智能系統處理個人資料的機構提供建議,以減低私隱風險。《框架》涵蓋四大範疇,包括管治架構、風險評估、系統實施及管理,以及與持份者的溝通。
鍾麗玲:生成式AI風險大 或會保留用家提供的機密資料
私隱專員鍾麗玲指,預計於今年內本港將會有近一半機構使用AI,較去年增加近2成,當中較多會使用生成式AI,但生成式AI在新興技術中存在較多私隱風險,包括會傾向收集過量數據,或收集不同渠道的資料作個人身分識別等。她舉例指,留意到一些員工會將機密的客戶資料提供給聊天機械人,AI可能會保存有關資料,用來回答下一個用戶的問題。
鍾麗玲又指,用家大多時未必明白資料會如何被AI使用,如果企業在資料保安方面做得不好,將會面臨資料外洩的危機,她形容《模範框架》是作為指引,為機構提供國際認可的建議及最佳行事方式,例如規定企業在使用AI時,需要留意《私隱條例》的規定,不可以收集超乎適度的資料。
框架倡成立管治委員會 系統風險高則需人為監督
《框架》又指出,機構在採購AI系統前,需要考慮供應商有否遵循國際標準,以及進行全面的風險評估,包括考慮涉及的個人資料數量、敏感程度、出現私隱風險的可能性和潛在損害的嚴重程度等,並採取相稱的風險管理措施。鍾麗玲指,美國曾經有護士質疑AI斷錯症,結果護士要做連串測試,尋求醫生批准才能推翻相關的診斷,最終發現AI將血癌病人當成患有敗血病,過程中增加了病人感染風險和醫藥費。她表示,機構如果發現系統的潛在風險高,有必要作出適當的人為監督,以減低AI作出不當決定。
《框架》又提到,機構應成立內部的管治委員會,就採購AI方案和系統應用等整個「生命週期」提供指引及進行監督,亦要建立有效的內部匯報機制,公司董事局需要為AI所作的決定負上最終責任。公署又指,企業亦要持續檢視所採用的AI系統,當功能或運作有重大改變時,需要重新評估系統的風險。
在宣傳推廣方面,鍾麗玲指,公署會將指引派發給不同機構,包括商業團體、學校、政府部門等,亦打算與應科院等科技機構合作舉辦講座,向業界推廣指引的內容。她又指,公署於去年8月起,合共向28間本地機構進行循規審查,其中10間有透過人工智能收集個人資料,大部分有進行私隱影響評估,未有發現有違規情況,署方計劃於今年及明年,都會繼續有關的審查工作。