个人资料私隐专员公署在 2025 年针对 60 间香港机构进行的合规检查,得出一项应重设每个董事会 AI 风险讨论的结论:80% 受查机构已在日常运营中使用 AI,较一年前上升 5%,而公署未发现任何违反个人资料(私隐)条例的个案。这并非无条件的肯定,而是一份公告:标准已划定,仍在试点阶段的企业,将以此为衡量基线。
2026 年香港 PDPO 对 AI 的法律地位为何?
香港目前没有独立的 AI 法例。最后一次重大修订于 2021 年的个人资料(私隐)条例,仍是当 AI 系统处理个人资料时的主要规范。金管局与证监会等行业监管机构提供额外的行业指引,但 PDPO 是每一间企业的基础规则。
这点之所以重要,是因为它移除了一个常见藉口。部分董事会仍将 AI 合规当作「等待专门 AI 法例」的观望事项。公署已关上这扇门。2024 年的「人工智能:个人资料保障模范框架」与 2025 年的「雇员使用生成式 AI 的指引清单」,合在一起明确列出目前已适用于 AI 部署的义务。
对香港企业领袖而言,这代表 PDPO 合规不再是 AI 部署后的下游事项,而是上游关卡。公署已表明每年将持续进行合规检查,被衡量的群体,现在已涵盖所有以 AI 处理个人资料的机构。
什么是 PCPD 模范 AI 框架?为何对企业重要?
公署于 2024 年 6 月发布的「个人资料保障模范框架」,是香港就 AI 部署最具权威的官方指引。框架定义了四个营运支柱:AI 策略与管治、风险评估与人为监督、AI 模型客制化与系统管理,以及与持份者的沟通与互动。
这套框架重要的原因是:形式上自愿,实际上等同强制。公署在合规检查时,正是以这四个支柱作为评估格。无法在四个支柱上展示成熟度的机构,就是最有可能出现在下一份公开个案报告中的对象。Slaughter and May 与 Mayer Brown 等律师行均发布顾问报告,把此框架视为实际合规基线。
对于需向董事会汇报的 IT 总监而言,这套框架同时提供了有用的翻译。讨论不再停留于 AI 是否「安全」,而是变得具体:哪个支柱有缺口、谁负责、补救时程为何。
支柱一(AI 管治)在香港企业中如何实际运作?
支柱一要求建立一个 AI 管治架构,能将董事会层级的意图,转化为日常营运中的决策。实务上代表须设置指定的 AI 管治委员会、公开的 AI 使用政策、为每个生产环境的 AI 系统指派负责人,以及一套针对超出委员会职权的议题的书面升级流程。
香港一家 200 人的专业服务公司,可行的运作模式如下:董事会委任由营运总监主持的 AI 管治委员会,成员包括 IT、法律、人力资源与部署 AI 的业务单位代表。委员会每月召开一次。生产环境中的每个 AI 系统都有指定系统负责人与年度审查日。每一笔新的 AI 采购决定,必须在签约前经委员会审议。
没有这层架构,机构无法回答公署的第一个问题:是谁决定部署这个 AI 系统,依据是什么。2025 年的合规检查明确要求提供这些决策的书面纪录,而非高阶主管的口头保证。
企业应如何依支柱二进行 AI 风险评估?
支柱二要求对每一个处理个人资料的 AI 系统执行「私隐影响评估」(PIA),评估的深度需与系统风险级别相称。PIA 记录哪些个人资料流入 AI、AI 对其进行什么处理、产生哪些风险、以及采取哪些控制措施缓解。所需的人为监督程度,需依评估出的风险级别校准。
对于低风险系统,例如仅回答通用产品问题、不输入个人资料的聊天机械人,采用轻量版 PIA 范本即可。对于高风险系统,例如用于信贷、招聘或保险核保的 AI 评分工具,PIA 必须完整,并至少每年覆查一次。公署的指引明确指出,高风险系统需采用人类参与决策回圈,而非仅在外围观察的监督模式。
香港上市金融机构在这方面起步较早,因为金管局 2019 年的大数据分析原则已要求类似评估。对于没有此基础的中型企业而言,PIA 纪律是现况与符合公署标准之间最大的差距项目。
支柱三(系统管理)对生产环境 AI 有何要求?
支柱三涵盖企业日常如何运作 AI 系统,包括资料最小化、模型客制化控制、存取管理、安全测试、事故应变,以及对模型行为的持续监控。它是技术密度最高的一个支柱,也是最常被完全下放至 IT 部门、缺乏业务参与的支柱。
所需控制包括:书面化的资料最小化政策,证明仅蒐集并保留 AI 既定用途所必需的个人资料;每个客制化 AI 模型在生产环境中均有模型卡或同等纪录;以角色为基础的存取管理,每季重新认证;以及一套经测试的事故应变剧本,明确涵盖 AI 特有的失效模式,例如幻觉、偏见漂移与提示注入。
香港一家部署 AI 客服助理的物流公司,应能随时回答四个营运问题:系统处理哪些个人资料、谁有权覆写其判断、部署前进行了哪些测试、以及若系统开始产生不准确回应,团队将如何侦测与应变。在合规检查中,无法回答其中任何一题,将被视为支柱三的缺口。
支柱四(持份者沟通)如何落实于实务?
支柱四要求企业透明地与其个人资料被 AI 处理的人士沟通。实务上代表须备有明确披露 AI 使用情况的私隐通知、让个人查询或挑战 AI 决策的清晰渠道,以及一份针对处理个人资料的员工使用生成式 AI 的书面政策。
2025 年的「雇员使用生成式 AI 的指引清单」就是这方面的营运范本。清单告诉机构,其内部 AI 使用政策应涵盖哪些内容:允许使用的工具、禁止输入的内容、强制的覆核步骤、培训要求,以及违反规定的后果。公署将欠缺此类政策视为支柱四缺口,而非仅是缺少最佳实务。
香港常见的缺口在于私隐通知本身。许多企业在 2021 年刑事化起底修例后更新过通知,自此未再覆查。将 AI 使用以公署所期望的具体程度纳入通知,是任何已扩大 AI 部署的机构在 2026 年的优先项目。
香港企业最常掉入的合规陷阱是哪些?
最常见的陷阱可以预测,但也是公署合规团队现在优先查找的议题。第一是使用第三方 AI 工具处理员工个人资料时,未签订符合 PDPO 标准的资料处理协议。第二是以真实客户资料而非合成或匿名化资料集进行 AI 测试。第三是允许员工以免费版消费级 AI 工具处理触及个人资料的工作。
Mayer Brown 在 2025 年 10 月的顾问报告中指出第四个陷阱:机构导入 AI 自动化贷款审批或求职筛选等决策时,未书面记录 AI 建议在告知受影响个人前,是如何经由人类覆核。PDPO 的资料准确性与查阅原则,将此书面责任放在部署机构身上,而非 AI 供应商。
对于企业领袖而言,这四个陷阱显示同一个模式:技术上的 AI 部署比治理外壳跑得更快。补救通常不困难,但鲜少免费,而且缺口愈久不补,成本愈滚愈大。
结语:PDPO 合规已是竞争问题,而非单纯的法律问题
将符合 PDPO 的 AI 部署视为竞争优势的企业,将在未来十年赢得香港受监管行业的合约。将之视为每年覆查一次的法律卫生项目的企业,将发现补救成本高于设计成本。公署已公开框架、清单与评估格。剩下的变数,仅在于机构在下一次合规检查前还是之后将其落地。
对香港企业领袖而言,机会在于把 AI 管治变成市场差异化能力,而非合规成本。懂AI的冷,更懂你的难 — UD 同行28年,让科技成为有温度的陪伴。
与 UD 迈出下一步
你已掌握四大支柱框架,下一步是将现有 AI 部署对齐 PDPO 义务,并在下一次合规检查前优先补上高风险缺口。UD 拥有 28 年服务香港企业的经验,手把手带你完成每一步,从 PIA 设计、AI 管治委员会建置,到内部生成式 AI 政策撰写。
