個人資料私隱專員公署在 2025 年針對 60 間香港機構進行的合規檢查,得出一項應重設每個董事會 AI 風險討論的結論:80% 受查機構已在日常運營中使用 AI,較一年前上升 5%,而公署未發現任何違反個人資料(私隱)條例的個案。這並非無條件的肯定,而是一份公告:標準已劃定,仍在試點階段的企業,將以此為衡量基線。
2026 年香港 PDPO 對 AI 的法律地位為何?
香港目前沒有獨立的 AI 法例。最後一次重大修訂於 2021 年的個人資料(私隱)條例,仍是當 AI 系統處理個人資料時的主要規範。金管局與證監會等行業監管機構提供額外的行業指引,但 PDPO 是每一間企業的基礎規則。
這點之所以重要,是因為它移除了一個常見藉口。部分董事會仍將 AI 合規當作「等待專門 AI 法例」的觀望事項。公署已關上這扇門。2024 年的「人工智能:個人資料保障模範框架」與 2025 年的「僱員使用生成式 AI 的指引清單」,合在一起明確列出目前已適用於 AI 部署的義務。
對香港企業領袖而言,這代表 PDPO 合規不再是 AI 部署後的下游事項,而是上游關卡。公署已表明每年將持續進行合規檢查,被衡量的群體,現在已涵蓋所有以 AI 處理個人資料的機構。
什麼是 PCPD 模範 AI 框架?為何對企業重要?
公署於 2024 年 6 月發布的「個人資料保障模範框架」,是香港就 AI 部署最具權威的官方指引。框架定義了四個營運支柱:AI 策略與管治、風險評估與人為監督、AI 模型客製化與系統管理,以及與持份者的溝通與互動。
這套框架重要的原因是:形式上自願,實際上等同強制。公署在合規檢查時,正是以這四個支柱作為評估格。無法在四個支柱上展示成熟度的機構,就是最有可能出現在下一份公開個案報告中的對象。Slaughter and May 與 Mayer Brown 等律師行均發布顧問報告,把此框架視為實際合規基線。
對於需向董事會匯報的 IT 總監而言,這套框架同時提供了有用的翻譯。討論不再停留於 AI 是否「安全」,而是變得具體:哪個支柱有缺口、誰負責、補救時程為何。
支柱一(AI 管治)在香港企業中如何實際運作?
支柱一要求建立一個 AI 管治架構,能將董事會層級的意圖,轉化為日常營運中的決策。實務上代表須設置指定的 AI 管治委員會、公開的 AI 使用政策、為每個生產環境的 AI 系統指派負責人,以及一套針對超出委員會職權的議題的書面升級流程。
香港一家 200 人的專業服務公司,可行的運作模式如下:董事會委任由營運總監主持的 AI 管治委員會,成員包括 IT、法律、人力資源與部署 AI 的業務單位代表。委員會每月召開一次。生產環境中的每個 AI 系統都有指定系統負責人與年度審查日。每一筆新的 AI 採購決定,必須在簽約前經委員會審議。
沒有這層架構,機構無法回答公署的第一個問題:是誰決定部署這個 AI 系統,依據是什麼。2025 年的合規檢查明確要求提供這些決策的書面紀錄,而非高階主管的口頭保證。
企業應如何依支柱二進行 AI 風險評估?
支柱二要求對每一個處理個人資料的 AI 系統執行「私隱影響評估」(PIA),評估的深度需與系統風險級別相稱。PIA 記錄哪些個人資料流入 AI、AI 對其進行什麼處理、產生哪些風險、以及採取哪些控制措施緩解。所需的人為監督程度,需依評估出的風險級別校準。
對於低風險系統,例如僅回答通用產品問題、不輸入個人資料的聊天機械人,採用輕量版 PIA 範本即可。對於高風險系統,例如用於信貸、招聘或保險核保的 AI 評分工具,PIA 必須完整,並至少每年覆查一次。公署的指引明確指出,高風險系統需採用人類參與決策迴圈,而非僅在外圍觀察的監督模式。
香港上市金融機構在這方面起步較早,因為金管局 2019 年的大數據分析原則已要求類似評估。對於沒有此基礎的中型企業而言,PIA 紀律是現況與符合公署標準之間最大的差距項目。
支柱三(系統管理)對生產環境 AI 有何要求?
支柱三涵蓋企業日常如何運作 AI 系統,包括資料最小化、模型客製化控制、存取管理、安全測試、事故應變,以及對模型行為的持續監控。它是技術密度最高的一個支柱,也是最常被完全下放至 IT 部門、缺乏業務參與的支柱。
所需控制包括:書面化的資料最小化政策,證明僅蒐集並保留 AI 既定用途所必需的個人資料;每個客製化 AI 模型在生產環境中均有模型卡或同等紀錄;以角色為基礎的存取管理,每季重新認證;以及一套經測試的事故應變劇本,明確涵蓋 AI 特有的失效模式,例如幻覺、偏見漂移與提示注入。
香港一家部署 AI 客服助理的物流公司,應能隨時回答四個營運問題:系統處理哪些個人資料、誰有權覆寫其判斷、部署前進行了哪些測試、以及若系統開始產生不準確回應,團隊將如何偵測與應變。在合規檢查中,無法回答其中任何一題,將被視為支柱三的缺口。
支柱四(持份者溝通)如何落實於實務?
支柱四要求企業透明地與其個人資料被 AI 處理的人士溝通。實務上代表須備有明確披露 AI 使用情況的私隱通知、讓個人查詢或挑戰 AI 決策的清晰渠道,以及一份針對處理個人資料的員工使用生成式 AI 的書面政策。
2025 年的「僱員使用生成式 AI 的指引清單」就是這方面的營運範本。清單告訴機構,其內部 AI 使用政策應涵蓋哪些內容:允許使用的工具、禁止輸入的內容、強制的覆核步驟、培訓要求,以及違反規定的後果。公署將欠缺此類政策視為支柱四缺口,而非僅是缺少最佳實務。
香港常見的缺口在於私隱通知本身。許多企業在 2021 年刑事化起底修例後更新過通知,自此未再覆查。將 AI 使用以公署所期望的具體程度納入通知,是任何已擴大 AI 部署的機構在 2026 年的優先項目。
香港企業最常掉入的合規陷阱是哪些?
最常見的陷阱可以預測,但也是公署合規團隊現在優先查找的議題。第一是使用第三方 AI 工具處理員工個人資料時,未簽訂符合 PDPO 標準的資料處理協議。第二是以真實客戶資料而非合成或匿名化資料集進行 AI 測試。第三是允許員工以免費版消費級 AI 工具處理觸及個人資料的工作。
Mayer Brown 在 2025 年 10 月的顧問報告中指出第四個陷阱:機構導入 AI 自動化貸款審批或求職篩選等決策時,未書面記錄 AI 建議在告知受影響個人前,是如何經由人類覆核。PDPO 的資料準確性與查閱原則,將此書面責任放在部署機構身上,而非 AI 供應商。
對於企業領袖而言,這四個陷阱顯示同一個模式:技術上的 AI 部署比治理外殼跑得更快。補救通常不困難,但鮮少免費,而且缺口愈久不補,成本愈滾愈大。
結語:PDPO 合規已是競爭問題,而非單純的法律問題
將符合 PDPO 的 AI 部署視為競爭優勢的企業,將在未來十年贏得香港受監管行業的合約。將之視為每年覆查一次的法律衛生項目的企業,將發現補救成本高於設計成本。公署已公開框架、清單與評估格。剩下的變數,僅在於機構在下一次合規檢查前還是之後將其落地。
對香港企業領袖而言,機會在於把 AI 管治變成市場差異化能力,而非合規成本。懂AI的冷,更懂你的難 — UD 同行28年,讓科技成為有溫度的陪伴。
與 UD 邁出下一步
你已掌握四大支柱框架,下一步是將現有 AI 部署對齊 PDPO 義務,並在下一次合規檢查前優先補上高風險缺口。UD 擁有 28 年服務香港企業的經驗,手把手帶你完成每一步,從 PIA 設計、AI 管治委員會建置,到內部生成式 AI 政策撰寫。
