個人資料私隱專員鍾麗玲表示,公署日前發表《僱員使用生成式AI的指引清單》,建議機構訂明內部可使用的AI工具,主要是由於公署過去調查發現,只有少於三成機構會制訂與AI相關的員工指引,但現時生成式AI十分普及,僱主未必知道員工使用工具的方式,因此應訂明清晰的內部政策,列明員工可以使用的AI工具、可以輸入資料的類型等,減少外洩公司資料的風險。
鍾麗玲在一個電台節目指,指引涵蓋5大範疇,形容僱主可以「照單執藥」,按各個範疇制訂適合的政策。公署亦正與生產力局研究,合辦數據安全研討會,幫助業界了解如何讓機構安全地使用AI工具。
至於一旦有生成式AI工具造成資料外洩,私隱公署是否有權力介入,鍾麗玲指當發生資料外洩事故時,公署會調查並發表報告,亦可公開譴責、向有關機構發出執行通知等,認為公署有足夠權力。她預計,未來資料外洩事故有上升趨勢,公署與政府正全盤研究可否修訂《個人資料(私隱)條例》,強制機構通報和提高罰則,加強阻嚇作用。
本港去年與內地簽署簡稱「數據過河」的協議,容許內地敏感個人數據流動到本港。鍾麗玲指,協議列明香港作為接收方的權利和義務,包括要符合私隱條例的規定,公署亦已展開循規審查,檢視參加計劃的企業有否跟隨協議的條款取用資料。
