的指引清單香港個人資料私隱專員公署forPersonalData,HongKong引言因應(yīng)生成式人工智能(生成式AI)的快速發(fā)展，個人資料私隱專員公署(私隱專員公署)制定此清單,旨在協(xié)助機構(gòu)制定傕員在工作時使用生成式Al的內(nèi)部政策或指引， 以及遵從《個人資料(私隱)條例》有關(guān)處理個人資料的相關(guān)規(guī)定，從而促進人工智能(Al)能在香港的安全及健康發(fā)展。作為良好的行事方式，機構(gòu)應(yīng)視乎自身情況制定輿其公司價值觀及使命一致的政策或指引，並定期檢視及更新相關(guān)政策或指引，以反映運作上及技術(shù)上的改變。此清單所指的「資訊」一詞,主要指個人資料；然而，視乎機構(gòu)所處理的資訊性質(zhì)及需要，亦可泛指一般資訊或資料。生成式AI工具的例子香港機構(gòu)經(jīng)常使用的生成式AI工具包括：聊天機械人；文字/圖像/影片/語音生成器；文件/簡報生成器；及語音轉(zhuǎn)文字工具等。視乎機構(gòu)如何應(yīng)用生成式AI工具，傕員取用這些工具的方法會有所不同。例如，這些工具可被安裝在催員的電腦上運行(不論是否連接互聯(lián)網(wǎng))、託管在機構(gòu)的伺服器(例如內(nèi)聯(lián)網(wǎng))、透過應(yīng)用程式介面(ApplicationProgrammeInterface)取用或透過互聯(lián)網(wǎng)(例如網(wǎng)頁版工具)取用。倔員使用生成式Al的政策或指引的建議內(nèi)容能包括：公衆(zhòng)可用的生成式AI工具或應(yīng)用程式；及/或內(nèi)部開發(fā)的生成式AI工具或應(yīng)用程式。保障資料小貼士：如使用公罪可用的生成式AI工具或應(yīng)用程式，商業(yè)授權(quán)的版本可能比一般版本提供更多個人資料私隱及保安保障。如使用內(nèi)部開發(fā)的生成式AI工具，將這些工具託管在機構(gòu)的內(nèi)部伺服器，與託管在第三方雲(yún)端伺服器相比，機構(gòu)一般可掌握更多資料保安的控制權(quán)(例如要求所輸入及輸出的資料均儲存在傕員的裝置或機構(gòu)的伺服器上)。然而，機構(gòu)應(yīng)評估它們是否有足夠?qū)I(yè)知識及資源以安全地營運及保護內(nèi)部伺服器上的系統(tǒng)。?獲準許的用途：清晰指明傕員可以使用生成式AI工具處理甚麼工作或活動,例如：起草；總結(jié)資訊;及/或生成文本、音頻及/或視像內(nèi)容。>整個機構(gòu);指定部門;>指定職級;及/或指定傕員。獲準輸入的資訊種類及數(shù)量：提供清晰指示，説明可輸入至生成式AI工具的資訊種類及數(shù)量，以及禁止輸入的資訊種類(例如：個人資料1、機密資料、專有資料或受版權(quán)保護的資料)2。保障資料小貼士：如機構(gòu)準許傕員輸入個人資料至生成式AI工具，私隱專員公署建議機構(gòu)在可行及適當?shù)那闆r下，指示傕員將個人資料匿名化，並就如何在輸入前將個人資料匿名化或「淨(jìng)化」提供清晰指示。輸出資訊的獲準許用途：提供清晰指示，説明生成式AI工具所生成的資訊(包括個人資料)的獲準許用途3,以及傕員應(yīng)否、何時及如何在進一步使用這些個人資料前將其匿名化。?輸出資訊的獲準許儲存方式：要求傕員根據(jù)機構(gòu)的資訊管理政策儲存資訊,並根據(jù)機構(gòu)的資料保留政策刪除生成式AI工具所生成的資訊,包括傕員所用的資訊。?遵從其他相關(guān)內(nèi)部政策：確保使用生成式AI的政策與機構(gòu)的其他相關(guān)內(nèi)部政策一致，?訂明傕員不能為進行非法或有害的活動使用生成式AI工具。?強調(diào)傕員有責(zé)任擔(dān)當審查員,以確保Al所生成的結(jié)果符合機構(gòu)的道德價值觀及標準。>準確度及核實:強調(diào)傕員需要核實AI所提供的資訊,包括進行校對及查核事實,以確保資訊是準確和最新的。>預(yù)防偏見及歧視:提醒傕員Al生成的結(jié)果可能帶有偏見及歧視,並訂明需要遵循的更正及報告機制。加上水印/標籤：提供清晰指引，説明應(yīng)何時及如何在Al生成結(jié)果上加上水印或標籤。1《個人資料(私隱)條例》保障資料第3原則訂明，如無有關(guān)資料當事人的訂明同意，個人資料不得用於在收集該資料時擬將該資料使用的目的以外的任何目的。2機構(gòu)在衡量獲準輸入的資訊種類及數(shù)量時,應(yīng)考慮獲準使用的生成式AI工具的保安及私隱保障水平。數(shù)據(jù)安全數(shù)據(jù)安全?獲準許裝置：訂明準許傕員可用哪些裝置來取用生成式AI工具，例如：辦公室電腦;工作手提電話;及/或平板電腦。保障資料小貼士保障資料小貼士?:私隱專員公署建議機構(gòu)要求傕員在工作裝置上使用生成式AI工具時,只限於與工作相關(guān)的用途。?獲準許使用者：訂明可以使用生成式AI工具的傕員,例如有工作上的需要並曾接受相關(guān)培訓(xùn)的傕員,以及是否需要事先獲得批準才可使用。?穩(wěn)健的用戶憑證:要求傕員使用獨特且高強度的密碼及多重認證。?保安設(shè)定：要求傕員在生成式AI工具輸入工作相關(guān)的資料時,保持嚴格的保安設(shè)定。保障資料小貼士保障資料小貼士?:不在生成式AI工具上儲存或不與其供應(yīng)商分享提示詞(prompts),有助將資料保安事故及傕員的行為剖析風(fēng)險降至最低。?AI事故及資料外溲事故應(yīng)變:要求傕員根據(jù)機構(gòu)的Al事故應(yīng)變計劃報告Al事故，包括以下事故：涉及Al的資料外溲事故；未獲授權(quán)下輸入個人資料；異常的輸出結(jié)果；及/或可能涉及違法的輸出結(jié)果。保障資料小貼士保障資料小貼士?:機構(gòu)可參考私隱專員公署發(fā)布的《資訊及通訊科技的保安措施指引》4及《資料外溲事故的處理及通報指引》5,了解更多有關(guān)加強資料保安及處理資料外溲事故的貼士。違反政策或指引違反政策或指引?訂明催員違反使用生成式AI政策或指引可引致的後果。保障資料小貼士保障資料小貼士：機構(gòu)可參考私隱專員公署發(fā)布的《人工智能(Al):個人資料保障模範框架》6的建議,以制定生成式Al的管治架構(gòu)及措施(例如，管理及持續(xù)監(jiān)察催員使用生成式AI工具的措施)。4請參閱:.hk/chinese/resources_centre/publications/files/guidance_datasecurity_c.pdf5請參閱：.hk/chinese/resources_centre/publica6請參閱：.支援倔員使用生成式AI工具的實用貼士?透明度：定期向傕員傳達政策或指引，以確保他們清楚了解是否獲準許使用及如何使用生成式AI工具，並及時告知傕員任何政策或指引的更新。?培訓(xùn)及資源：教育傕員如何有效及負責(zé)任地使用生成式AI工具，包括：>説明AI工具的能力及限制；提供適當及安全地在工作上使用AI工具的實務(wù)建議及例子；及/或>鼓勵傕員閱讀AI工具的私隱政策、使用條款及其他處理資料的政策，以了解個人資料會如何被收集、儲存、使用及分享。保障資料小貼士保障資料小貼士?:機構(gòu)可鼓勵傕員閱讀私隱專員公署發(fā)布的《使用Al聊天機械人「自?！故小?。?委派支援隊伍：委派指定的支援隊伍協(xié)助在工作上使用生成式AI工具的傕員。除技術(shù)支援外，支援隊伍亦應(yīng)能夠解答傕員有關(guān)政策或指引的任何疑慮。保障資料小貼士保障資料小貼士?:支援隊伍可包括負責(zé)協(xié)助機構(gòu)遵從資料保障法律的人員 (例如資料保障主任)及負責(zé)機構(gòu)的AI管治的人員(例如Al管治委員會或類似?反饋機制：建立渠道讓傕員提供在工作上使用生成式AI工具的反饋,以協(xié)助機構(gòu)識別可以改進的地方，以及根據(jù)情況更新政策或指引。7請參閱：.hk/chinese/resources_centre/public電話:28272827地址：香港灣仔皇后大道東248號大新金融中心13樓1303室電郵:communications@.hk香港個人資料私隱專員公署私隱專員公署綢頁下載本刊物本刊物使用署名4.0國際(CCBY4.0)的授權(quán)條款·只要你註明原創(chuàng)者為香