人工智能迅速发展,不断涌现新的突破和创新。随着人工智能技术日益精进并逐步融入商业和日常生活,香港的数据保护法律和法规必须与时俱进。本文概述了香港在人工智能背景下的数据保护和隐私的法律和监管框架。
香港主要的数据保护法为《个人资料(私隐)条例》(下称“私隐条例”)。除此之外,个人资料私隐专员公署(下称“私隐专员公署”)还为人工智能开发和使用制定了道德标准指引,并为采购、实施及使用人工智能系统的机构提供模范框架。
私隐条例及六项保障资料原则
私隐条例是技术中立且基于原则的。根据私隐条例第2条规定,“资料使用者”是指控制个人资料的收集、持有、处理或使用的人。
因此,任何开发和/或使用涉及处理个人资料的人工智能系统的个人、实体、机构或企业,都可能会被视为资料使用者。而资料使用者除了私隐条例其他要求外,还必须遵守私隐条例附表1中的六项保障资料原则 (下称 “DPPs”) :
- DPP1(收集目的及方式):资料使用者必须以合法和公平的方式收集个人资料,其目的必须合法且与其职能或活动直接相关。收集的资料应是必需及足够的,但不得超出目的所需范畴;
- DPP2(准确性及保留期限):资料使用者必须采取切实可行的步骤确保个人资料准确和更新,并且保留时间不会超过实际所需的时间;
- DPP3(使用):个人资料只能用于收集时表明的目的,若用以其他目的,则必须取得资料当事人明确且自愿的同意;
- DPP4(保安):必须采取合理的保安措施保障个人资料不会未经授权或意外地被查阅、处理、删除、丧失或使用;
- DPP5(透明度):资料使用者必须公开其处理个人资料的政策和方式,并交代其所持有个人资料的类别、使用方式及主要用途;以及
- DPP6(查阅及更正):资料当事人有权要求查阅和更正其不准确的个人资料。
人工智能指引
2021年8月,私隐专员公署发布了《开发及使用人工智能道德标准指引》(下称“人工智能指引”),主要为开发和使用人工智能系统时涉及使用个人资料的机构提供建议。
人工智能指引建议机构采纳三项核心数据管理价值(下称“价值”):
- 尊重;
- 互惠;和
- 公平。
同时鼓励机构采用七项国际公认的人工智能道德原则(下称“道德原则”):
- 问责;
- 人为监督;
- 透明度与可解释性;
- 数据私隐;
- 公平;
- 有益的人工智能;以及
- 可靠、稳健及安全。
为确保这些价值和道德原则的切实可行,各机构在开发和使用人工智能并制定适当的政策、措施和程序时,应考虑人工智能指引中就下述范畴提出的建议措施:
- 制定人工智能策略及管治;
- 进行风险评估及人为监督;
- 实行人工智能模型的开发及人工智能系统的管理;以及
- 促进与持份者的沟通及交流。
模范框架
2024年6月11日,私隐专员公署发布了《人工智能:个人资料保障模范框架》(下称“模范框架”),为采购、实施及使用任何涉及个人资料的人工智能系统或解决方案(包括预测式人工智能和生成式人工智能)的机构提供最佳行事常规建议。
与人工智能指引类似,模范框架列出了确保落实该等价值和道德原则的建议措施。各机构在采购、实施及使用人工智能解决方案以及制定适当的政策、措施和程序时,应考虑下述范畴的建议措施:
- 制定人工智能策略及管治;
- 进行风险评估及人为监督;
- 实行人工智能模型的定制及人工智能系统的实施和管理;以及
- 促进与持份者的沟通及交流。
步履不停
尽管人工智能指引和模范框架不具强制性,其建议也并非详尽无遗,但它们的发布无疑是支持香港人工智能负责任且合乎道德的发展的重要一步。鉴于人工智能的快速发展和突破性进展,香港相关的法律和监管环境将继续演变,以应对新的问题和挑战。
目前,资料使用者必须确保遵守私隐条例和六项保障资料原则,并遵循人工智能指引和模范框架中的最佳行事常规建议,特别是在人工智能开发、运营和使用过程中涉及个人资料收集、使用和保留时。
杨杨朱律师事务所有限法律责任合伙与北京天达共和(香港)律师事务所 联营。
本篇文章仅是对有关题目提供的一般概述,并非旨在成为可依赖的专业意见。请联系我们获取进一步的具体法律意见。