一家位於觀塘的物流公司,在客戶服務、路線規劃和發票處理三個環節分別部署了 AI 系統。三份供應商合約中,沒有一份提及個人資料。半年後,一位客戶提出一個簡單的問題:你的 AI 讀取的資料,最終去了哪裡?會議室裡沒有人答得出來。
這正是香港個人資料私隱專員公署(PCPD)在 2026 年著手審視的情境。有關發現,應該重新定義每一位企業領袖如何看待 AI 與《個人資料(私隱)條例》的關係。
2026 年 PCPD 的 AI 合規審查發現了什麼?
PCPD 於 2026 年 5 月完成對 60 間機構的合規審查,檢視它們如何運用 AI 及保護個人資料。結果未發現違反《私隱條例》的情況,但數據揭示了 AI 已深度嵌入營運:60 間機構中,57 間(95%)每日使用 AI,29 間(51%)同時運行三個或以上的 AI 系統。
根據 PCPD 於 2026 年 5 月的聲明,審查涵蓋會計、餐飲、創新科技、物流及物業管理等行業。約 79% 的機構使用 AI 已超過一年,這意味著在香港的營運中,AI 不再是實驗性質,而是基礎設施。
沒有正式違規,並不等於全無風險。它反映出監管機構正密切觀察,並在需要動用執法權之前,先行設定期望。
什麼是《私隱條例》?它如何適用於 AI?
《個人資料(私隱)條例》是香港核心的資料保護法律。只要 AI 系統在模型訓練、客戶互動或自動決策過程中收集、使用或處理個人資料,條例即告適用。AI 並不置身於《私隱條例》之外,而是牢牢處於其管轄之內。
對企業而言,實際意涵十分直接。如果你的 AI 讀取客戶電郵、篩選求職者,或評估信貸風險,《私隱條例》的所有資料保護原則都會適用,包括使用目的限制、準確性、保存期限及保安。
大多數領袖容易落入的陷阱,是以為責任由供應商承擔。根據《私隱條例》,資料使用者,即你的機構,始終須負上問責。將技術外判,並不等於將責任外判。
什麼是「保障個人資料模範框架」?
PCPD 於 2024 年 6 月發布的「保障個人資料模範框架」,是香港企業實踐負責任 AI 的實用藍本。框架涵蓋四個範疇的建議:AI 策略與管治、風險評估與人為監督、與持份者的溝通,以及 AI 系統的管理。
根據 PCPD 的框架,第一個範疇要求最高管理層正式承諾制定 AI 策略,並建立內部管治架構。這是董事會層面的訊號,而非 IT 部門的核對清單項目。
框架與 PCPD 在 2021 年指引中提出的三項資料管理價值及七項 AI 道德原則一脈相承。對營運總監或 IT 總監而言,它提供一套現成結構,讓你能在董事會上具說服力地闡述 AI 管治。
以下四個範疇構成整套框架的骨幹:
--- AI 策略與管治,由最高管理層主導
--- 風險評估與人為監督,採用以風險為本的方針
--- 與員工、客戶及監管機構的溝通
--- AI 系統的持續調整、實施與管理
為什麼代理式 AI 在《私隱條例》下構成新的私隱風險?
2026 年 3 月,PCPD 就代理式 AI(agentic AI)發出專門警示,將其列為較高的私隱風險。代理式系統能存取本地裝置、檔案、電郵、憑證及瀏覽器內容,並在無需人手逐步批准的情況下,自主執行多步驟任務。
根據 PCPD,關注點在於「範圍」。傳統聊天機械人只回答問題;而一個 AI 代理可能打開你的電郵、抽取客戶資料、登入第三方服務並採取行動,這一切都在有人審視之前完成。
PCPD 的實務建議十分具體:將 AI 系統的存取權限制在最低限度、避免賦予管理員權限、把運行環境與本地基礎設施分隔、審查外掛程式有否惡意代碼,並在對個人有重大影響的決策上,保留人為介入。
香港企業應如何評估自身的 AI 私隱準備度?
從一張資料地圖開始。在制定任何管治政策之前,企業必須清楚知道哪些 AI 系統接觸個人資料、讀取什麼資料、資料流向何處,以及保存多久。大多數機構會發現,自己在第一天根本無法回答這些問題。
PCPD 指出 2026 年一個明顯趨勢,就是走向「輕資料」AI:越來越少機構保留 AI 處理過的個人資料,轉而採用只作短暫處理,或依賴匿名化與假名化的架構。對於現正起步的企業,這是一個站得住腳的預設做法。
一次準備度評估,應依次檢視四件事:
--- 清單:哪些 AI 系統處理個人資料,以及在什麼合約條款之下
--- 存取:每個系統是否只持有其所需的最低權限
--- 保存:個人資料在用途完成後是否被刪除
--- 監督:對高影響的自動決策,是否有人手審視
一間能夠清晰回答這四項的企業,其實已領先 PCPD 所審查的大部分機構。
企業在 AI 與個人資料上最常犯的錯誤是什麼?
最常見的錯誤,是把 AI 私隱視為採購時簽署一次的法律手續。AI 系統會演變、資料流會轉移、供應商會更新模型,因此一次性的審查很快便會過時。PCPD 明確建議進行持續的監察與檢討。
第二個錯誤,是為求方便而賦予 AI 系統管理員級的存取權。這正是 PCPD 在 2026 年 3 月代理式 AI 警示中所警惕的模式,因為過寬的權限,會把一宗小事故變成一場重大的資料外洩。
第三個錯誤是沉默。企業部署 AI,卻沒有告知員工或客戶其資料如何被使用。模範框架把與持份者的溝通視為核心支柱,而非可有可無的禮貌,因為當人們覺得資料是被拿走而非交出時,信任會流失得最快。
給香港企業領袖的結論
PCPD 在 2026 年未發現違規,但同時清楚表明,審視力度正在上升,期望亦已定調。對營運副總裁或 IT 總監而言,AI 私隱如今是董事會層面的問責,而非技術上的事後補救。
能夠妥善應對的機構,並非擁有最多 AI 的那些,而是清楚知道自己的 AI 接觸了什麼、並能夠證明這一點的那些。管治不再是 AI 的煞車掣,而是讓你有信心規模化的通行證。
這正是值得信賴的本地夥伴發揮作用之處。懂AI,更懂你 — UD相伴,AI不冷,因為科技理應為你降低風險,而非在暗處悄悄增加風險。
準備好清楚知道自己企業的處境了嗎?
既然你已了解 PCPD 的期望,下一步就是看清自己在 AI 與資料上的足跡。UD 手把手帶你完成每一步,從盤點哪些系統接觸個人資料,到建立一套令董事會信賴的管治架構,背後是 28 年的香港企業服務經驗。