自2022年年底ChatGPT推出后,生成式人工智能(生成式人工智能简称为生成式AI,人工智能简称为AI)在我们生活以及种种商业用途中逐渐普及。不少的企业在其产品及服务或内部运营的模式中加入生成式AI和传统AI的元素进行综合运用,以提升其工作效率和业绩表现。在科技进步的同时,许多国家的数据隐私监管机构就AI对社会数据安全可能造成的风险表示忧虑,也正着手制定针对AI的政策和法规,旨在保障公众利益的同时,给予企业适当的空间发展AI技术。例如,欧盟、英国等正准备推行AI相关的法案,而中国网信办亦在较早前发布了《生成式人工智能服务管理暂行办法》,以规范生成式AI的发展。
对于生成式AI和AI,香港个人资料私隐专员公署(私隐专员公署)的立场同样受到业内人士及一般公众的关注。私隐专员公署近年发布了一系列与AI有关的指引,包括上年九月发布的使用AI聊天机器人的十大注意事项(原文请参照ai_chatbot_leaflet.pdf (pcpd.org.hk))和最近刚发布的有关银行业负责任使用生成式AI的道德规范(原文请参照generative_ai_in_banking.pdf (pcpd.org.hk))。
生成式AI的数据安全风险
在隐私层面,在研发和使用生成式AI的过程中,企业有可能会收集并处理用户的个人数据,其应当遵守个人资料(私隐)条例(私隐条例)的规范,包括相关的保障数据原则。
主要风险点 | AI隐私具体风险 |
数据的过度收集、超出原有收集目的 | AI以大型语言模型为基础,在研发生成式AI的过程中所利用的大量数据或在互联网上所收集的非结构化数据当中可能涉及个人数据甚至敏感个人数据。由于用户与AI机器人的对话会被记录并成为训练数据,如对话中涉及第三方的个人信息,则有可能超出原有的收集目的。 在实践操作中,AI机器人在收集相关数据前可能并未向数据主体告知数据收集的目的和用途,有可能违反私隐条例中的条款。 |
数据的准确性 | 如AI的语言模型使用了不准确的个人信息作训练数据,此类训练数据将成为大型语言模型的一部分,而用户如要查阅、更正及删除该等数据将相当困难。 |
数据安全 | 基于AI语言模型的特性,大量信息及对话会被存储及用作训练用途。一旦出现数据泄露事故,对用户的个人隐私将很可能造成重大影响。 |
在道德操守方面,私隐专员公署早在2021年就发布《开发及使用人工智能道德标准指引》(指引)(原文请参照guidance_ethical_c.pdf (pcpd.org.hk)),建议企业遵循以下三项的数据管理原则:(一)在处理个人数据时,企业应确保尊重有关数据主体的尊严、自主、权利、利益及合理期待;(二)企业应以互惠的形式,尽可能向利益相关方分享研发AI所产生的利益并避免损害;(三)在数据管理的过程中及最终结果上,企业应该确保能合理、不偏颇、不歧视地作出决定,并确保情况相似的人士应获得相似的待遇。
就以上三项数据管理原则,私隐专员公署鼓励企业应该在开发AI时坚持以下的道德原则:
问责:企业应对其行为负责,其中包括制定相关措施以评估及应对AI的风险,并确保企业高层参与当中的决定。
人为监督:企业应该确保在应用AI的过程中有适当的人为介入,以确保能在适当时就AI系统作出知情和自主的行动。
透明及可解释性:企业应明确披露与AI相关的数据安全措施。
数据隐私:在开发及使用AI时,企业应遵从私隐条例,尤其是其中对于保障数据原则的规定。
公平:企业应该确保数据主体受合理的对待,而任何的待遇差异需有充分的解释理由。
有益的AI:企业应确保AI系统为社会带来的是益处,并应避免对利益相关方造成伤害。
可靠、稳健及安全:机构应确保AI系统能够可靠地运作、纠正错误,并具备应急预案。
私隐专员公署亦在指引中向企业就开发AI业务提出了一系列建议性措施,内容涵盖治理、监督、管理以及与利益相关方沟通的要点。
目前,香港并没有监管AI的统一法规。如果企业希望在香港拓展并开发AI相关的商业产品或科技,须遵从私隐条例,并应参考私隐专员公署的指引。同时,受香港证券及期货事务监察委员会或香港金融管理局监管的认可机构可能有额外的合规要求,相关受监管企业如希望推出该等AI产品及服务,更需多加留意。
本文的版权归Simmons & Simmons LLP及其关联方所有,或根据许可或适用法律使用。如需转载,请联系我们。
本文的信息(包括链接的第三方网站信息)仅供您作为一般参考,不构成我们针对特定事务的法律意见或建议。
