Read

香港《个人资料（私隐）条例》下的数据隐私和人工智能系统：企业需知

在香港部署人工智能会触发《个人资料（私隐）条例》的义务。本指南涵盖应用于人工智能系统、自动化决策、生成式人工智能工具、跨境转移及个人资料私隐专员公署人工智能指引的六项保护资料原则。

Author:

Erin Sprint

Topic:

香港《个人资料（私隐）条例》下的数据私隐和人工智能系统：企业需知

在香港部署人工智能系统使企业面临《个人资料（私隐）条例》（第486章）下的义务，该条例自1995年颎布以来一直是香港基础隐私法。本文解释《个人资料（私隐）条例》的六项保护资料原则如何应用于人工智能数据收集、训练和自动化决策；检查隐私专员的人工智能新兴指引；并为在香港部署人工智能系统的企业提供实务指导。

《个人资料（私隐）条例》框架：结构和范围

《个人资料（私隐）条例》是香港的主要隐私法。它不创建具有直接牌照颁发权的行业特定监管机构；相反，它建立由独立法定当局个人资料私隐专员公署（PCPD）执行的一般隐私义务。《个人资料（私隐）条例》适用于在香港收集、持有、处理或使用个人资料的任何人。

六项保护资料原则及其对人工智能的应用

保护资料原则１：个人资料收集。保护资料原则１为个人资料收集建立三项核心要求：（a）数据必须充分且不过度收集的目的；（b）收集必须为合法目的；以及（c）数据主体必须获得个人资料收集陈述（PICS）披露收集目的、预期使用和将转移数据的人士类别。

应用于人工智能系统，保护资料原则１创造若干义务。如果为一个目的收集个人资料，该数据不能用于训练商业人工智能模型，而无需：（a）数据主体对人工智能训练使用的单独知情同意；或（b）人工智能训练与原收集目的直接相关的发现。

保护资料原则２：准确性和保留。保护资料原则２要求组织持有的个人资料必须准确且不得保留超过必要。训练完成且模型部署后，原训练数据应被删除，除非有合法理由保留它。

保护资料原则３：个人资料使用。保护资料原则３是「目的限制」原则：为一个目的收集的个人资料可能不用于不同目的，除非新目的与原目的直接相关或数据主体同意新使用。此原则在人工智能背景中经常被违反。

保护资料原则４：个人资料安全。保护资料原则４要求实施适当的安全保障以保护个人资料免受未授权或意外访问、修改或披露。对于人工智能系统，这意味着包含个人资料的人工智能训练数据必须存储在具有访问控制的安全服务器上。

保护资料原则５：公开性。保护资料原则５要求组织在可访问隐私政策中披露其数据处理实践。应用于人工智能，组织应发布明确的隐私政策和数据治理文件，解释如何在人工智能系统中使用数据。

保护资料原则６：访问和更正。保护资料原则６授予个人访问组织持有的他们个人资料的权利以及要求更正不准确数据的权利。如果个人资料已用于训练人工智能模型，该数据现在已嵌入模型的参数中，无法在任何实际意义上被容易地「访问」或「更正」。

自动化决策和明确权利的缺失

欧盟的GDPR包含第22条，该条授予个人不受仅基于自动处理的决定约束的权利。香港的《个人资料（私隐）条例》不包含相当条款。但是，PCPD的2021年自动化决策系统中人工智能使用指引建议组织对重大自动化决策保持人类监督并向个人提供关于决策如何进行的有意义信息。组织不应依赖明确法定权利的缺失进行完全自动化决策而无需人类监督或透明度。

生成式人工智能工具和员工数据

如果组织的员工使用公共生成式人工智能工具起草电子邮件、文件或代码，且该工具在没有删除或使用限制的情况下处理这些输入，该组织可能无意中将其员工个人资料转移给外部当事人。这违反保护资料原则３以及潜在保护资料原则４。

对于使用生成式人工智能工具的组织，最佳实践是：（a）实施内部可接受使用政策明确禁止将个人资料输入公共人工智能工具；（b）确保员工理解什么数据被视为个人且不应被披露；（c）与人工智能供应商签订数据处理协议以限制供应商对输入的使用并提供数据删除；以及（d）教育员工关于隐私条例风险。

跨境数据转移和云人工智能服务

大多数生成式人工智能和机器学习服务在香港外地所有的云基础设施上运作。当组织在这些服务上处理个人资料时，其转移该数据在香港外。PCPD已建议进入跨境数据转移协议的组织应包含条款要求：（a）收取者只为指定目的使用数据；（b）收取者提供至少相当于香港法的安全措施；（c）个人在海外持有的数据访问和更正权；以及（d）组织验证合规的机制。