随着人工智能的急速发展,以及在商业活动中越趋频繁的使用,有关如何合乎道德标准地在人工智能系统中收集、储存及使用个人资料的问题备受关注。香港个人资料私隐专员公署(“公署”)于 2024 年6 月发表《人工智能:个人资料保障模范框架》(“模范框架”),以响应部分受关注的问题。模范框架提供一套有关管理人工智能的建议及最佳实务指引,以保障引入、推行及使用任何人工智能系统的机构的个人资料私隐 。模范框架也旨在协助机构遵守公署于 2021 年发布的《开发及使用人工智能道德标准指引》中的人工智能道德原则,以及《个人资料(私隐)条例》中的其他规定。
模范框架建议的主要措施如下 :-
1. 人工智能战略和管理
企业应制定有关人工智能治理的内部策略,一般包括:(i) 人工智能策略;(ii) 引入人工智能解决方案的治理考虑因素;(iii) 人工智能治理委员会,以领导相关流程,确保人工智能系统的促成引入、实施和使用符合道德和法律规范。还应为员工提供人工智能培训,使他们掌握适当的知识、技能和意识,以令他们在使用人工智能时遵守数据保护法律、法规和内部政策及意识到潜在的网络安全风险,并能够使用一般的人工智能技术。
2. 进行风险评估和人工监督
为识别、分析和评估人工智能系统的引入、使用和管理风险,模范框架建议进行全面的风险评估,其中须考虑的因素包括《个人资料(私隐)条例》的要求、数据的数量、敏感性和质量、数据的安全性、出现私隐风险的可能性以及这些风险可能造成的伤害的严重程度。
风险管理措施应与风险相称,并应考虑到适当程度的人为监督。当出现相互冲突的标准并需要在各项标准之间做出权衡时,组织应考虑使用人工智能创建内容的背景,以决定如何做出权衡。
3. 人工智能模型的定制以及人工智能系统的实施和管理
机构在定制和实施人工智能系统时,应确保人工智能系统符合《个人资料(私隐)条例》的要求、有关私隐权的义务和道德要求。机构应尽量减少涉及的个人资料的数据量及确保数据质量以得出准确和不偏不倚的结果,并妥善记录数据的处理过程。建议采取的其他措施包括测试人工智能模型会否出错,以及执行严格的用户验收测试。
在系统安全和数据安全方面,应考虑使用AI红队演练等措施,以降低机器学习模型受到攻击的风险,为员工制定有关可接受输入和允许/禁止输进人工智能系统的提示的内部指导原则,并建立机制以实现人工智能系统输出的可追溯性和可审计性。其他建议包括制定人工智能事故的应变计划,以监控及处理潜在的人工智能事故,并使机构从中恢复。
人工智能系统应受持续监控和审查,以识别和应对新的风险,并应定期进行内部审计,以确保人工智能系统的使用持续符合组织的人工智能策略和政策。
4. 与持分者的沟通和接触
在使用人工智能时,组织与持分者沟通时应保持透明度,并定期与他们接触。相关建议包括处理数据使用权、更正和退出请求,提供反馈渠道,对人工智能作出的决定和产生的输出进行解释,以及披露人工智能系统的使用情况和风险。
结论
对于已经使用人工智能或正在考虑在其运营中使用人工智能的组织而言,重要的是要确保以负责任的方式引入、实施和使用其人工智能系统,并遵守《个人资料(私隐)条例》和人工智能道德原则,以避免任何数据风险和违规行为以及任何潜在的刑事或民事责任。
如果您对上述电子新闻或数据私隐法有任何问题,我们律所内经验丰富的知识产权律师将很乐意为您提供帮助。