TG:人工智能盛行成风易泄私隐钟丽玲吁机构尽早为员工设用AI指引

　　个人资料私隐专员公署早前发表《雇员使用生成式AI指引清单》，私隐专员钟丽玲在一个电台节目上，呼吁机构需要未雨绸缪，为员工提供使用生成式AI的内部政策或指引，让雇主、雇员可以在享受科技带来的便利及好处之余，更好地保障个人资料私隐。

　　她指公署在今年2月至5月期间，对60间本港机构进行循规审查，了解它们使用AI的情况，结果显示高达八成的审查机构在日常营运中使用AI，同时机构亦十分重视保障个人资料私隐。 有通过AI系统收集或使用个人资料的机构，全部都有采取相应的保安措施，包括存取控制、渗透测试，以及加密数据等等。

　　她表示外国曾发生过一些AI事故，包括韩国有科技公司的员工在与AI聊天机械人对话的时候输入公司的内部源代码; 荷兰亦曾有诊所职员未经准许将病人的医疗资料输入至AI聊天机械人，这些事件都导致相关机构的机密资料或病人的敏感资料外泄，认为若雇员在没有得到适切引导的情况下使用生成式AI，不但带来个人资料私隐风险，亦可能会损害机构自身的利益，故机构有必要未雨绸缪，为员工提供使用生成式AI的内部政策或指引。

　　她提到公署于今年3月发表了《雇员使用生成式AI的指引清单》，建议生成式AI政策或指引的内容应该涵盖五大方面：获准使用生成式AI的范围、保障个人资料私隐、合法及合乎道德的使用及预防偏见、数据安全，以及违反政策或指引的后果。

　　《指引》以清单模式制作，机构可参考当中列出的各个范畴，根据自身情况制定内部政策。 有关雇员获准使用生成式AI的范围，《指引》建议机构订明准许雇员使用哪种生成式AI工具及用作哪些用途，例如是起草文书，总结信息，或是生成一些广告的材料。

　　在保障个人资料私隐方面，《指引》亦建议机构应该清晰说明雇员可输入至生成式AI工具的信息种类及数量，例如可否输入客户个人资料，及公司的内部资料。 特别要留意的是，为符合《私隐条例》的相关规定，机构应指示雇员不应在没有客户同意的情况下，改变客户个人资料的用途，例如将客户原先只为参与会员计划或者进行交易而提供的个人资料输入至AI作其他用途。 另一方面，在可行的情况下，机构亦应指示雇员在输入个人资料至生成式AI工具前将数据匿名化。