香港个人资料私隐专员公署完成28家人工智能机构对个人资料私隐的影响审查

• 21间机构在日常营运时使用人工智能，例如使用人工智能分析数据、评估求职者的面试表现、使用聊天机械人回复顾客的查询等； 
• 在该21间机构当中，19间机构设有人工智能管治架构，例如设立人工智能管治委员会及／或指派专人负责监督人工智能产品或服务的开发或使用；
• 在该21间机构当中，只有10间机构会透过人工智能产品或服务收集个人资料，而他们在收集个人资料之时或之前均已向资料当事人提供收集个人资料声明，当中述明收集资料的目的，以及资料可能会被转移给哪类人士等资讯；
• 在该10间机构当中，八间机构在开发或使用人工智能产品及服务前有进行私隐影响评估；
• 该10间机构均有采取相应的保安措施，以确保其持有的个人资料在开发或使用人工智能产品或服务期间受到保障，而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。该些措施包括：只让获授权人士存取个人资料、储存及传输个人资料时进行加密、定期进行保安漏洞评估及渗透测试或为员工提供书面指引及培训等；及
• 在该10间机构当中，九间机构会保留在人工智能产品或服务中收集得的个人资料，当中八间机构已订明个人资料的保留期限，并会在达致原本的收集目的后，删除有关个人资料或将资料匿名化。余下的一间机构允许资料当事人自行删除其个人资料。

• 如在开发或使用人工智能的过程中收集或处理个人资料，须采取措施确保遵从《私隐条例》的规定，并持续监察及检视人工智能系统；
• 制定开发或使用人工智能策略及设立人工智能内部管治架构，并为所有有关人员提供足够的培训；
• 就开发或使用人工智能进行全面的风险评估（包括私隐影响评估），有系统地识别、分析及评估风险，包括私隐风险，并因应有关风险而采取适当的风险管理措施，例如风险较高的人工智能系统须有较高程度的人为监督；及
• 与持份者有效地沟通及交流，以提高使用人工智能的透明度，并因应持份者的关注适时调整人工智能系统。

01

02

03