你的 AI 部署,真的符合《個人資料(私隱)條例》的要求嗎?
一家香港金融服務機構的運營主管,六個月前批准了一套 AI 部署方案。系統負責分析客戶通訊,標記服務問題並生成摘要。沒有人核查涉及的個人資料是否已作最小化處理,也沒有人記錄哪個 AI 模型在處理這些數據,以及數據存放在何處。上個月,一位客戶根據《個人資料(私隱)條例》(PDPO)提出數據查閱要求,法律團隊這才發現,該 AI 系統對其處理或保存的個人資料沒有任何審計記錄。
這並非假設場景。根據個人資料私隱專員公署(PCPD)2025 年 5 月的合規調查,香港 80% 的機構在日常運營中已使用 AI,但擁有書面 AI 治理政策的不足三分之一。《個人資料(私隱)條例》自 1996 年起適用於所有個人資料的處理。變化在於:PCPD 現已就 PDPO 的義務如何具體適用於 AI 發布了明確、詳細的指引,並表明 2026 年將就已知悉相關要求的機構採取更積極的執法行動。
PCPD 的 AI 個人資料保護模型框架是什麼?它要求什麼?
PCPD 於 2024 年 6 月 11 日發布的《人工智能:個人資料保護模型框架》,是亞太地區任何私隱監管機構發布的首個專注於 AI 的個人資料保護框架。它是指引性文件而非具法律約束力的法例,但 Mayer Brown 及 Clifford Chance 的法律分析指出,遵循該框架是機構在部署涉及個人資料的 AI 時符合 PDPO 的有力佐證。
框架適用於任何採購、實施或使用涉及個人資料的 AI 系統的機構。實際上,這意味著任何在客戶記錄、員工資料、通訊或其他可識別個人的資料上使用 AI 的企業,均在框架涵蓋範圍之內。
框架圍繞 AI 生命週期組織:採購階段、實施階段及持續運營階段。每個階段均有 PCPD 期望機構在 AI 部署前及部署期間主動解決的具體治理要求,而非在系統上線後才作事後補救。
哪些 PDPO 核心義務直接適用於企業 AI 部署?
香港《個人資料(私隱)條例》包含六項保障資料原則(DPP)。其中四項對企業 AI 部署帶來直接責任,而這些責任在實踐中往往被低估或誤解。
保障資料原則一:目的與收集限制。 個人資料只能為明確說明的特定目的而收集,收集範圍亦應限於達成該目的所必要的程度。若以「更多數據或許有用」為由,將未經明確目的說明的客戶資料集輸入 AI 模型,即屬於違反 PDPO 的行為。
保障資料原則二:準確性。 個人資料必須準確且保持最新。AI 系統基於個人資料作出決定時,其輸出的可靠性取決於底層數據的質量。PCPD 框架明確要求機構對 AI 系統進行驗證與測試,確保不會基於不準確或過時的個人資料生成輸出。這與任何生產級 AI 部署中知識庫維護的治理要求直接對應。
保障資料原則三:保留期限。 個人資料不得保存超過必要期限。當 AI 系統處理個人資料時,機構必須能夠回答:系統保存這些數據多長時間?存放在哪裡?由誰控制?許多現成的 AI 工具在處理和臨時緩存數據時,以機構未能察覺的方式製造了非預期的保留義務。
保障資料原則六:查閱及更正。 個人有權要求查閱其個人資料,亦有權要求更正不準確的資料。若 AI 系統曾處理某人的個人資料以生成輸出(信用評估、服務建議、績效評估),機構必須能夠履行該查閱要求,並舉證所使用的數據。這要求具備審計記錄,而目前許多 AI 部署並未能提供。
香港企業應立即落實的五項 AI 治理措施
根據 PCPD 框架及 Clifford Chance、A&O Shearman 的法律分析,以下五項措施代表任何在 2026 年於個人資料上部署 AI 的香港企業,所應具備的最低可行 AI 治理基礎。
措施一:制定獲董事局批准的 AI 治理政策。 PCPD 框架要求機構制定機構層面的 AI 策略,明確說明 AI 可用於哪些目的、誰負責 AI 部署決策,以及如何監控 AI 的使用。該政策必須有書面記錄,並在可向監管機構舉證的治理層面獲得批准。部門備忘錄並不足夠。
措施二:在任何涉及個人資料的 AI 部署之前,開展私隱影響評估(DPIA)。 PCPD 明確建議以 DPIA 作為 AI 處理個人資料的前置要求。DPIA 識別所使用的數據、AI 部署帶來的風險、已有的緩解措施,以及剩餘風險。在部署前開展 DPIA,遠比在 PCPD 調查啟動後再作應對更具成本效益。
措施三:以設計落實數據最小化原則。 每個處理個人資料的 AI 系統,均應被配置為僅使用其特定目的所必要的最少個人資料。這意味著要主動審查向 AI 模型輸入的數據,移除對 AI 功能並非必要的字段,並審視 AI 輸出中包含的衍生個人資料是否得到適當的保護與保留管理。
措施四:建立 AI 處理登記冊。 企業應維護一份書面記錄,涵蓋每個處理個人資料的 AI 系統,包括所使用的數據類型、系統的部署位置、供應商資料、適用的保留期限,以及內部責任人。這份登記冊是回應 PCPD 查詢、數據主體查閱要求或內部審計的基礎。
措施五:建立 AI 採購的供應商盡職調查標準。 PCPD 框架對向第三方供應商採購 AI 的機構同樣有所規範。在簽署 AI 供應商合約之前,企業應核實供應商如何處理個人資料、基礎設施所在司法管轄區是否具備足夠的數據保護,以及合約終止後數據的處置安排,以及供應商能否支持 DPIA 文件及審計要求。這些問題應列入採購合約條款,而非簽約後的事後追問。
Agentic AI 帶來哪些額外的 PDPO 考量?
Agentic AI(自主代理 AI)能夠在無需人工逐步介入的情況下,跨多個數據來源自主執行多步驟任務。這類系統帶來額外的 PDPO 考量,PCPD 已開始在其指引中明確觸及。Freshfields 2025 年對 PCPD 演變中的指引的分析指出,自主代理 AI 在數據最小化和目的限制方面帶來更高風險,因為代理在執行任務時,往往會存取比人工審閱者在手動流程中會查看的更廣泛的數據範圍。
對於在 2026 年部署或評估 Agentic AI 的企業主管,治理原則明確:存取個人資料的自主代理系統,必須被限制在每項特定任務所必要的最少數據範圍內,並設有訪問控制,防止代理存取其定義操作範圍以外的個人資料。為傳統 AI 部署制定的治理框架,在引入自主代理能力時,可能需要重新審視。
在 AI 合規與業務增長之間找到正確平衡
香港的 AI 治理不是一次性的合規演練。隨著 AI 能力的擴展、自主代理系統的普及,以及 PCPD 執法立場的演變,企業今天構建的治理框架必須具備持續適應的能力。在 2026 年投資於系統化、有據可查的 AI 治理方案的機構,正在構建的是一種機構能力,而非只是完成一份合規清單。
AI 治理的真正目的,不是為了限制 AI 的應用,而是為了讓企業能夠放心地擴大 AI 投資,同時向監管機構、客戶及董事局提供充分的管控保障。
UD 陪伴香港企業應對技術治理挑戰,已走過 28 年。AI 能力與監管義務的交匯,正是本地知識、長期關係與企業技術深度最能發揮作用的地方。懂AI的冷,更懂你的難。UD 同行28年,讓科技成為有溫度的陪伴。
AI 治理不需要你獨自從零開始。UD 團隊手把手帶你完成每一步,從 PDPO 合規差距評估、私隱影響評估(DPIA)支援,到 AI 治理政策制定與供應商盡職調查框架,以 28 年香港企業服務經驗,為你的每一個決策提供支撐。
