大多数香港企业把 AI 合规视为「待试点证明价值后再处理」的事。私隐专员公署却把这个次序倒转过来:在 2026 年,公署就 60 间机构使用 AI 对个人资料的影响展开审查,而当中没有一间先被问及「项目是否成功」。
《个人资料(私隐)条例》对香港的 AI 应用意味着什么?
《个人资料(私隐)条例》(PDPO)规管香港任何机构如何收集、使用及保护个人资料,包括当这些资料流经 AI 系统之时。使用 AI 并不构成豁免,反而会引来更严格的审视,因为 AI 以高速与规模处理个人资料。
实务上,只要你的 AI 工具接触到客户姓名、身份证号码或交易纪录,所有条例下的责任依然适用。技术丝毫不会改变你的谨慎责任。
为什么 AI 在 2026 年突然成为条例合规的重点?
AI 成为重点,是因为私隐专员公署已从「发布指引」转为「主动审查合规」。根据公署资料,于 2026 年完成的一轮合规审查涵盖 60 间机构,延续 2024 及 2025 年的先前轮次,显示执法关注如今已成常规。
该轮审查并无发现违反条例的情况,而这正是重点所在。监管机构是在事故发生之前,而非之后,确立合规期望。
对部门主管而言,这改变了时间表。问题不再是「是否要建立 AI 管治」,而是「你的管治今天能否通过审查」。
什么是私隐专员公署的《人工智能:个人资料保障范本框架》?
范本框架是私隐专员公署于 2024 年发布的实务指引,对象为采购、实施及使用涉及个人资料的 AI 系统的机构。有别于 2021 年针对开发者的道德指引,范本框架瞄准真正部署 AI 的企业,因此是香港领袖应首先研读的文件。
框架围绕四个范畴:制定 AI 策略与管治架构、进行配以人为监督的风险评估、负责任地定制化与实施 AI,以及与持份者沟通。
根据公署建议,机构亦应制定整体 AI 策略,并为所有相关人员提供足够培训。
如何建立一套符合条例的 AI 管治架构?
建立一套具备三大支柱的架构:一名具名的问责负责人或委员会、为每个 AI 应用情境撰写的风险评估文件,以及在影响个人的决策上设置「人在环中」的检查点。管治关乎「谁须问责」,而非「你选了哪个模型」。
由问责开始。必须由特定的人或委员会拥有 AI 决策,因为由「所有人」负责,等同无人负责。
为每个应用情境加上风险评估。回答产品问题的聊天机械人,与为贷款申请人评分的模型,承受着截然不同的风险。
在重大决策上保持人为参与。根据公署指引,人为监督的程度应与对个人的潜在影响相称。
使用代理式 AI 有哪些条例风险?
代理式 AI 提高了风险,因为它会在每一步都无需等待人为批准的情况下,自行对资料采取行动。私隐专员公署于 2026 年 3 月 16 日就代理式 AI 工具的私隐风险发出提示,指出当这类系统自主收集、使用及处理个人资料时,机构必须留意的事项。
风险在于失去控制。一个能自行预约、发送电邮及更新纪录的代理,可能透过无人审视的行动而泄露个人资料。
对于部署自主代理的物流或物业管理公司而言,条例下保护资料的责任,延伸至代理采取的每一个行动,而不止于你喂入的资料。
企业应如何处理员工使用生成式 AI?
以书面政策处理,而非一刀切禁止。根据公署 2025 年的《雇员使用生成式人工智能的指引清单》,机构应界定员工可输入 AI 工具的资料类别、哪些工具获核准,以及滥用的后果。
真正的危险是「影子使用」。员工把客户资料贴进未经核准的公开聊天机械人,造成任何防火墙都拦不住的条例风险。
清晰的政策加上培训,能把隐藏风险化为可控风险。彻底禁用 AI,只会把这项活动推离视线之外。
领袖在 AI 与条例上最常犯的错误是什么?
常见错误包括:以为供应商的合规等同你的合规、把管治当成一次性文件,以及收集超过 AI 应用所需的个人资料。每一项都把可管理的责任,变成可避免的法律风险。
供应商的合规不等于你的合规。无论工具由谁建造,在条例下你仍然是资料使用者。
管治并非归档一次便了事的文件。AI 系统与用途会随时间漂移,因此公署期望持续的监察与检视。
过度收集是无声的陷阱。把你手上每一个资料栏位都喂给 AI,而非只提供任务所需,会在毫无得益下倍增你的风险。
结语:合规是可信 AI 的根基
条例合规并非 AI 雄心的刹车掣,而是让你能在敏感资料上自信地部署 AI 的架构,因为你知道监管机构审查时,问责、评估与监督早已就位。
在香港能争取到预算的领袖,正是那些能把 AI 与管治呈现为同一份计划的人。懂AI,更懂你 — UD相伴,AI不冷。
与 UD 迈出下一步
了解要求是一回事,建立一套能通过审查的管治架构又是另一回事。UD 手把手带你完成每一步,从 AI 准备度与资料处理评估,到政策设计、部署上线与持续监察,28 年香港企业服务经验,全程与你同行。
