人工智能︱私隱公署審查28間開發或使用機構 未發現違反私隱條例
私隱專員公署去年8月至今年2月期間,調查28間開發或使用人工智能系統的機構,以了解人工智能在香港的使用情況及對個人資料私隱的影響。公署指,在審查過程中未發現有違反《個人資料(私隱)條例》相關規定的情況,而審查結果顯示,越來越多機構應用人工智能以增加日常營運效率。
個人資料私隱專員鍾麗玲表示,人工智能在促進生產力及經濟增長方面擁有巨大潛力,但人工智能亦存在不同程度的個人資料私隱及道德風險。她認為,機構作為資料使用者,在開發或使用人工智能系統時,有責任確保人工智能系統的數據安全;應適時檢視及評估人工智能系統對數據安全的影響,並確保遵從《私隱條例》的相關規定。
公署表示,機構在開發或使用人工智能系統時或會收集、使用或處理個人資料,從而對個人資料私隱構成風險。是次審查中,有關機構涵蓋不同行業,包括電訊、金融及保險、美容、零售、運輸、教育及政府部門。
在8間機構中,有21間機構在日常營運時使用人工智能,例如使用人工智能分析數據、評估求職者的面試表現、使用聊天機械人回覆顧客的查詢等,當中有19間機構設有人工智能管治架構,例如設立人工智能管治委員會及/或指派專人負責監督人工智能產品或服務的開發或使用。
僅10間機構提供收集個人資料聲明 8間有作私隱影響評估
在該21間機構當中,只有10間機構會透過人工智能產品或服務收集個人資料,而他們在收集個人資料之時或之前均已向資料當事人提供收集個人資料聲明,當中述明收集資料的目的,以及資料可能會被轉移給哪類人士等資訊。
該10間機構均有採取相應的保安措施,以確保其持有的個人資料在開發或使用人工智能產品或服務期間受到保障,而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。該些措施包括:只讓獲授權人士存取個人資料、儲存及傳輸個人資料時進行加密、定期進行保安漏洞評估及滲透測試或為員工提供書面指引及培訓等。
惟該10間機構中,只有8間機構在開發或使用人工智能產品及服務前有進行私隱影響評估;有9間機構會保留在人工智能產品或服務中收集得的個人資料,當中8間機構已訂明個人資料的保留期限,並會在達致原本的收集目的後,刪除有關個人資料或將資料匿名化。餘下的一間機構允許資料當事人自行刪除其個人資料。
