生成式人工智能(AI)的用途日益廣泛,同時亦在工作等層面引發不少問題。個人資料私隱專員公署周一(31日)建議機構編訂相關內部指引,清晰訂明可使用的生成式AI工具、獲准許的用途等,又應表明僱員不能使用生成式AI工具於非法或有害活動,且有責任核實AI生成的結果是否準確。
私隱專員鍾麗玲透露,過去兩年曾委托生產力促進局進行調查,發現有近七成機構認爲營運時使用AI可能帶來私隱風險,另有超過一半企業已經或計劃制訂AI安全風險政策。對此公署上月已向60間公共服務、金融等多個行業的機構進行審查,檢視機構使用AI時是否符合《私隱條例》,目標是今年夏季發表結果。
【新聞有價 記者有格 立即訂閱:https://bit.ly/3wGQh7c】
鍾麗玲強調,人工智能安全是國家安全的重點領域之一,惟目前有防範AI安全風險措施的機構不多,認為相關政策有進步空間,故公署發表《僱員使用生成式 AI 的指引清單》,冀協助機構制訂僱員在工作時使用生成式 AI 的內部政策或指引,以及遵從《私隱條例》的相關規定。
《清單》建議各機構應訂明獲准使用的生成式AI工具,可於哪些裝置使用有關工具、獲准許的使用者和相關保安設定,獲准許的用途如起草、總結資訊等,並清晰列明可以和不准輸入至生成式AI工具的資訊種類及數量,例如是否包含個人資料、受版權保護的資料等,以及輸出資訊的獲准許用途、儲存方式等。
另外,機構亦有責任訂明僱員不能使用生成式AI進行非法或有害的活動,並強調僱員有責任核實AI生成的結果是否準確、必要時應更正及報告帶有偏見或歧視的結果、何時及如何加上水印或標籤等。機構也應要求僱員按應變計劃報告涉及AI的事故,並寫明僱員違反政策或指引可引致的後果。
鍾麗玲提到,如機構使用公眾可用的生成式AI,並要在工具內保留資料,應該避免輸入機構內部機密資料,涉及顧客資料時,亦須事先向顧客說明其資料的使用目的及取得其同意;如需要輸入僱員個人資料等至生成式AI工具,可考慮將資料匿名化。
