在AI時代以香港私隱專員公署的《模範框架》保障個人資料私隱

香港個人資料私隱專員兼香港會計師公會資深會員鐘麗玲，講述香港個人資料私隱專員公署（私隱專員公署）的《模範框架》中有關確保人工智能（AI）安全的主要建議

自ChatGPT問世以來， AI已變得無處不在。AI不再僅是科技業界間的流行用語，而是被廣泛應用於各個不同地區和行業，包括會計專業。湯森路透今年初進行的調查顯示，73%的受訪稅務和會計師事務所認為，可以將生成式AI技術應用於其業務中。會計專業人士已開始將AI融入至日常營運中，例如利用AI總結和分析數據，以及識別異常交易等，旨在降低成本並提升效率。將AI整合到機構工作流程的趨勢似乎勢不可擋。

AI —— 是敵是友？

儘管AI看似如「魔法」般神奇，事實上它卻是一把雙刃劍。機構必須時刻警惕AI可能帶來的風險，特別是私隱風險，以防止AI與我們為敵。

由於數據是AI的命脈，因此，私隱方面的考慮尤其重要。在AI的整個生命週期中，由開發、定制、實施以至終止使用，通常涉及大量數據。舉例說，當會計師事務所使用敏感資料，例如客戶的財務信息及個人資料，來定制從AI開發商或供應商購入的AI模型時，任何資料外洩事故都可以導致嚴重的後果。如果這些數據落入不法分子手中，他們可能會利用有關資料進行詐騙或身份盜竊，這將嚴重損害事務所的聲譽，並削弱客戶的信心。因此，制定完善的數據安全措施，以及確保遵從香港法例第486章《個人資料（私隱）條例》（《私隱條例》）至關重要。

認識香港的監管制度

在香港，《私隱條例》屬於原則性及科技中立的法例，不論當中是否涉及AI的應用，《私隱條例》同樣適用於個人資料的收集、持有、處理和使用。

為協助機構建立AI管治以及遵守《私隱條例》的規定，私隱專員公署早於2021年已發佈《開發及使用人工智能道德標準指引》，建議機構在開發和使用AI時採用國際廣泛認可的數據管理價值（即以尊重、互惠和公平的方式對待持份者）以及AI道德原則（即問責、人為監督、透明度與可解釋性、數據私隱、公平、有益的AI、以及可靠、穩健及安全）。

今年6月，為支持國家頒佈的《全球人工智能治理倡議》及確保人工智能安全，私隱專員公署發佈了《人工智能（AI）：個人資料保障模範框架》（《模範框架》），旨在向採購、實施及使用任何種類AI系統的機構，包括生成式AI，提供有關保障個人資料私隱的指引。《模範框架》建基於一般業務流程，並涵蓋下述範疇的建議及最佳行事常規。

AI策略及管治

高級管理層的積極參與對於成功建立AI策略及管治是不可或缺的。機構應首先制定AI管治策略，包括有關使用 AI 系統的目的和具體方向的路線圖。

除訂定策略外，在採購第三方AI系統時，《模範框架》建議機構在管理供應商流程中考慮不同的管治因素，例如向准AI供應商提出有關私隱和保安的主要責任及道德規定。

風險評估及人為監督

《模範框架》建基於風險為本的方式，並建議機構進行風險評估，有系統地識別、分析及評估AI生命週期中涉及的風險，包括私隱風險，以採取相應的風險緩解措施，包括適當程度的人為監督。在可能涉及較高風險的個案中，機構應採取「人在環中」方式進行人為監督，確保人類決策者在決策過程中保留着控制權。

AI模型的定制與AI系統的實施及管理

在定制和實施AI方案的過程中，機構應儘量減少所涉及的個人資料數量。此外，機構應確保AI模型在投入使用前已進行嚴格的測試及驗證。

《模範框架》亦建議機構制定AI事故應變計劃，以監察和應對可能發生的意外事故。

與持份者的溝通及交流

與持份者定期溝通是建立信任的一個重要因素。機構應鼓勵各持份者提供反饋，並致力提高AI生成結果的透明度。

成為值得信賴的顧問

會計師一直以來都備受社會各界的信賴。隨着科技急速發展，業界更需要洞悉確保人工智能安全的最新發展趨勢及相關措施，令會計師繼續成為值得信賴的顧問。

本文為編譯版本，原文Safeguarding personal data privacy in the AI era with PCPD’s Model Framework首發於香港會計師公會會員雜誌《A Plus》2024年第4期。