每个 AI 试点背后的合规问题
一家香港专业服务公司,把三年的客户往来通讯输入一套新的 AI 助手。运作得相当出色。然后有人提出本应最先问的问题:有任何客户同意过,他们的个人资料可以这样使用吗?试点停下,法律审查开始。
这一幕,此刻正在全香港上演。个人资料(私隐)条例规范每一个机构如何收集与使用个人资料,而 AI 并无豁免。
对企业领袖而言,问题已不再是 AI 是否会触及个人资料,因为它几乎总会。问题是,你能否证明自己合法地处理了它。
个人资料条例适用于 AI 系统吗?
适用。个人资料条例适用于任何收集、处理或生成个人资料的 AI 系统,对机器学习并无豁免。若你的 AI 吸纳客户记录、员工档案或客户通讯,六项保障资料原则全部完整适用,与由人手处理同样的资料时毫无分别。
私隐专员公署(PCPD)在这一点上立场明确。香港法律并无「AI 漏洞」。
这一点重要,因为许多 AI 部署会悄悄扩大资料最初收集的目的。为提供服务而收集的资料,若被重新用于训练模型,除非妥善处理,否则可能违反目的限制原则。
PCPD 的 AI 个人资料保障示范框架是什么?
2024 年 6 月 11 日,私隐专员公署发布《人工智能:个人资料保障示范框架》。它为机构在采购、实施与使用涉及个人资料的 AI 系统时,提供具体建议,涵盖预测式与生成式 AI。它是香港企业的主要参考依据。
该框架围绕四个范畴:建立 AI 管治与内部策略、在部署前进行风险评估、维持人为监督,以及向持份者透明沟通。
它属自愿性指引,并非另立的法例。然而,监管机构与法院会把符合该框架视为善意的证据,而忽视它则视为相反。把它当作董事会期望你达到的基准。
AI 必须恪守哪些资料保障原则?
任何处理个人资料的 AI,都必须恪守源自条例与 PCPD 指引的八项实务原则:公平、透明、目的限制、资料最小化、准确、问责、储存限制与安全。每一项都对应一个你可在部署前审计的具体控制措施。
在实务上,这些原则转化为行动:
--- 目的限制:个人资料只用于收集时的目的,否则须取得新的同意。
--- 资料最小化:只把模型真正需要的资料喂给它,而非因为方便就把整个资料库倒进去。
--- 准确:一套生成了关于某具名个人错误事实的 AI,是准确性的违规,而不只是质量问题。
--- 安全与储存:把个人资料加密、控制存取,并在合法目的结束时删除。
问责把这些原则串连起来。你必须能以文件证明,每一项原则在系统上线前都已被考虑。
PCPD 在 2026 年就代理式 AI 说了什么?
2026 年 3 月 16 日,私隐专员公署就 OpenClaw 及其他代理式 AI 的私隐风险发出警示,列明这类系统在收集、使用与处理个人资料时,机构必须留意的事项。这项警告反映出一个新的风险类别:代你跨系统自主行动的 AI。
代理式 AI 更难管治,因为它能串连多个动作、接触多个资料来源,并在每一步都没有人介入的情况下作出决定。传统的同意模式假设用户在每次使用前都会点选「同意」。一个自主代理打破了这个假设。
更早之前,2026 年 2 月 23 日,私隐专员公署联同全球 60 个资料保障机构发表《关于 AI 生成影像的联合声明》,警告那些在未经同意下描绘可识别个人的系统。
监管的方向十分清晰:随着 AI 取得自主能力,PCPD 期望管治收紧,而非放松。
AI 合规在实务上如何落地?
在实务上,合规意味着在上线前就把私隐控制建进 AI 流程,而非在出事后才补上。一家金融服务公司会盘点每个 AI 应用场景触及哪些个人资料,为每一项确立合法依据,并记录每一个决定。这些工作并不亮眼,却是能通过审计的东西。
设想一家部署 AI 理赔助手的香港保险公司。上线前,它进行风险评估、确认索偿人的同意涵盖自动化处理、把模型限制在所需的特定栏位,并在每个不利决定上保留人手复核。
一家以 AI 处理客户服务的零售连锁,把系统限制在已核准的资料,并遮蔽代理用不着的识别资料。
其关连性是即时的。生产力促进局《2025 年职场 AI 准备度调查》发现,约 88% 受访员工已在工作中使用 AI,而资料私隐位列领袖所提的首要障碍之一。这份风险早已存在于大多数机构之内,无论它有否被管治。
香港企业在 AI 与私隐上常犯什么错?
最常见的错误,是以为 AI 供应商会处理合规。在个人资料条例下,资料使用者,亦即你的机构,始终须负责,即使由第三方处理资料亦然。把技术外判,从不等于把法律责任外判。
第二个错误,是把私隐当成上线当天的一个剔格,而非持续的义务。模型会重新训练、应用场景会扩大、资料流会改变,因此管治必须持续。
第三个错误是影子 AI:员工在任何政策之外,用公开的 AI 工具处理客户资料。生产力促进局的数据显示,AI 使用在许多公司已近乎普及,这意味着风险早已在大楼之内。
第四是略过文件记录。若你无法在纸面上展示风险评估与合法依据,当 PCPD 查问时,你便无法证明问责。
给企业领袖的策略总结
个人资料条例下的 AI 合规,并非创新的刹车掣,而是让你能扩展 AI 而不必赌上公司声誉的条件。框架已经存在,原则可以掌握,而 2026 年就代理式 AI 的指引,已告诉你监管的去向。
由一开始就把管治建进去的领袖,反而走得更快,因为他们不必为每一个试点停下来做紧急法律审查。
你不必独自解读这一切。懂AI的冷,更懂你的难,UD 同行28年,让科技成为有温度的陪伴,与你一起部署既进取又站得住脚的 AI。
部署既进取、又合规的 AI
了解了义务所在,下一步是评估你的机构实际处于哪个位置。UD 团队手把手带你完成每一步,从 AI 准备度与资料管治评估,到符合个人资料条例的部署与持续监督,28 年香港企业服务经验,全程陪你走。
