香港《個人資料（私隱）條例》下的數據私隱和人工智能系統：企業需知

香港《個人資料（私隱）條例》下的數據私隱和人工智能系統：企業需知

在香港部署人工智能系統使企業面臨《個人資料（私隱）條例》（第486章）下的義務，該條例自1995年颡布以來一直是香港基礎隱私法。本文解釋《個人資料（私隱）條例》的六項保護資料原則如何應用於人工智能數據收集、訓練和自動化決策；檢查隱私專員的人工智能新興指引；並為在香港部署人工智能系統的企業提供實務指導。

《個人資料（私隱）條例》框架：結構和範圍

《個人資料（私隱）條例》是香港的主要隱私法。它不創建具有直接牌照領發權的行業特定監管機構；相反，它建立由獨立法定當局個人資料私隱專員公署（PCPD）執行的一般隱私義務。

《個人資料（私隱）條例》適用於在香港收集、持有、處理或使用個人資料的任何人。《個人資料（私隱）條例》涵蓋與活著個人相關的所有個人資料處理。

六項保護資料原則及其對人工智能的應用

保護資料原則１：個人資料收集。保護資料原則１為個人資料收集建立三項核心要求：（a）數據必須充分但不過度收集的目的；（b）收集必須為合法目的；以及（c）數據主體必須獲得個人資料收集陳述（PICS）披露收集目的、預期使用和將轉移數據的人士類別。

應用於人工智能系統，保護資料原則１創造若幹義務。首先，收集數據以訓練人工智能模型的組織必須能夠闡述收集數據的合法目的。其次，收集必須通過合法手段進行。第三，且最為關鍵的是，如果為一個目的收集個人資料，該數據不能用於訓練商業人工智能模型，而無需：（a）數據主體對人工智能訓練使用的單獨知情同意；或（b）人工智能訓練與原收集目的直接相關的發現。

保護資料原則２：準確性和保留。保護資料原則２要求組織持有的個人資料必須準確且不得保留超過必要。應用於人工智能，此原則創造關於以下的義務：（a）用於訓練人工智能模型的數據的準確性；（b）訓練數據集的保留——訓練完成且模型部署後，原訓練數據應被刪除，除非有合法理由保留它；以及（c）日誌和審計線——許多人工智能系統生成輸入和輸出數據日誌，可能包含個人資料且應受保留策略約束。

保護資料原則３：個人資料使用。保護資料原則３是"目的限制"原則：為一個目的收集的個人資料可能不用於不同目的，除非新目的與原目的直接相關或數據主體同意新使用。此原則在人工智能背景中經常被違反。

保護資料原則４：個人資料安全。保護資料原則４要求實施適當的安全保障以保護個人資料免受未授權或意外訪問、修改或披露。對於人工智能系統，這意味著：（a）包含個人資料的人工智能訓練數據必須存儲在具有訪問控制的安全伺服器上；（b）人工智能系統的輸出必須受到保護，如果它們包含個人資料或可用於推斷個人資料；（c）組織必須有與數據敏感性和系統風險概況相適當的網絡安全控制。

保護資料原則５：公開性。保護資料原則５要求組織在可訪問隱私政策中披露其數據處理實踐。應用於人工智能，組織應發布明確的隱私政策和數據治理文件，解釋如何在人工智能系統中使用數據，以及個人擁有什麼權利。

保護資料原則６：訪問和更正。保護資料原則６授予個人訪問組織持有的他們個人資料的權利以及要求更正不準確數據的權利。對於組織，這在人工智能系統涉及時創造操作振戰：如果個人資料已用於訓練人工智能模型，該數據現在已嵌入模型的參數中，無法在任何實際意義上被容易地"訪問"或"更正"。

自動化決策和明確權利的缺失

歐盟的GDPR包含第22條，該條授予個人不受僅基於自動處理的決定約束的權利。香港的《個人資料（私隱）條例》不包含相當條款。但是，PCPD的2021年自動化決策系統中人工智能使用指引建議組織對重大自動化決策保持人類監督並向個人提供有關決策如何進行的有意義信息。

組織不應依賴明確法定權利的缺失進行完全自動化決策，而無需人類監督或透明度。最佳實踐和PCPD的建議強烈表明重大自動化決策應具有有意義的人類參與。

生成式人工智能工具和員工數據

在工作場所部署生成式人工智能工具引發特定《個人資料（私隱）條例》問題。許多生成式人工智能服務會保留用戶輸入且將其用於模型改進、重新訓練或營銷目的，除非用戶選擇不參與或進入特殊數據處理協議。

如果組織的員工使用公共生成式人工智能工具起草電子郵件、文件或代碼，且該工具在沒有刪除或使用限制的情況下處理這些輸入，該組織可能無意中將其員工個人資料（以及潛在客戶）轉移給外部當事人（人工智能服務提供者），而無需適當同意或保護。這違反保護資料原則３以及潛在保護資料原則４。

對於使用生成式人工智能工具的組織，最佳實踐是：（a）實施內部可接受使用政策明確禁止將個人資料輸入公共人工智能工具；（b）確保員工理解什麼數據被視為個人且不應被披露；（c）對於需要廣泛人工智能工具使用的組織，與人工智能供應商簽訂數據處理協議以限制供應商對輸入的使用並提供數據刪除；以及（d）教育員工關於《個人資料（私隱）條例》風險。

跨邃界數據轉移和雲人工智能服務

大多數生成式人工智能和機器學習服務在香港外地所有的雲基礎設施上運作。當組織在這些服務上處理個人資料時，其轉移該數據在香港外。保護資料原則３包含一項條款——有時稱為"轉移限制"——陳述個人資料不得轉移香港外，除非提供充分保護。

《個人資料（私隱）條例》不定義"充分保護"，香港法不包含"充分決定"機制。因此，依賴跨邃界數據轉移的組織通常必須實施合約保護。PCPD已建議進入跨邃界數據轉移協議的組織應包含條款要求：（a）收取者只為指定目的使用數據；（b）收取者提供至少相當於香港法的安全措施；（c）個人在海外持有的數據訪問和更正權；以及（d）組織驗證合規的機制。

PCPD關於人工智能的指引：主要建議

PCPD於2021年12月發布《自動化決策系統中人工智能使用指引》。指引不受約束，但反映PCPD的監管期望。主要建議包括：

• 問責。組織應指定一名負責人員或職能負責人工智能系統中的《個人資料（私隱）條例》合規。
• 可解釋性。組織應維護關於人工智能模型如何進行決策、使用什麼訓練數據以及模型可能展示什麼限制或偏見的文件。
• 人類監督。對於對個人有重大影響的決策，人工智能系統應納入有意義的人類審查和覆蓋能力。個人應能對自動化決策進行爭議或尋求重新考慮。
• 數據最小化。組織應只收集訓練和運營人工智能系統所必要的最小個人資料。
• 個人權利。組織應實施程序讓個人行使他們的保護資料原則６權利與人工智能處理的數據相關。

Alan Wong LLP如何幫助

了解我們的數據私隱和人工智能治理業務

本文僅供一般信息和教育目的。不構成法律建議，不應作為此等依賴。法律和監管要求可能會改變。在採取任何行動或依賴本文任何信息之前，您應就您的特定情況尋求獨立法律建議。