引言
2024年2月21日,香港私隐公署完成了对28家机构的人工智能(AI)合规检查。该检查自2023年8月启动,历时半年左右,主要对相关机构开发或使用人工智能系统时,收集、使用或者处理个人信息(香港称为“个人资料”,本文不做区分)的风险和影响进行检查和评估。这是人工智能合规实践的一次官方行动,且给出了整体结论和合规建议。行政行动是企业合规的外源性动力和重要合规价值之一。香港私隐公署此次对人工智能的合规检查行动,无疑对于人工智能健康发展,以及如何在人工智能环境下合理使用数据具有典型的指导借鉴意义。
一、检查对象
本次检查涉及多行业、多性质主体,包括电信、金融、保险、美容服务、零售、交通、教育等行业,以及政府部门。从行业来看,本次检查以服务业为主,属于个人信息处理的密集型行业,大多是“互联网+”较早应用且发展势头强劲的领域,未来也是生成式人工智能向产业落地的重点发力领域。从性质来看,这28家机构既包括私营部门,也包括政府部门。根据香港《个人私隐条例》的规定,该条例对政府具有约束力。不过,香港私隐公署并没有披露这28家机构的具体名单。
二、香港私隐公署的总体意见
香港私隐公署在本次合规检查中,并未发现违反《个人私隐条例》的行为。这表明大多数企业在部署AI系统提高业务效率的同时,也没有侵害个人隐私。香港私隐公署简要公布了相关检查意见,具体如下:
1. 该28家机构中有21家应用了AI系统,占比75%。
2. 应用AI系统的21家机构中,有19家机构建立了内部AI治理框架,占比约90%,而在所有被检查的28家机构中,占比约68%。具体治理框架如成立了AI治理委员会,或指定专员监督AI产品、服务的开发和应用。
3. 应用AI系统的21家机构中,只有10家机构通过AI产品、服务收集个人信息,占比不到50%。而这10家机构收集个人信息时,向用户告知了收集情况,明确了使用目的及共享的第三方。
4. 通过AI产品、服务收集个人信息的10家机构中,有8家开展了影响评估,占比80%。
5. 通过AI产品、服务收集个人信息的10家机构,全部采取了适当的安全措施,占比100%。这些措施包括:(1)仅允许获授权的人员查阅个人资料;(2)对存储、传输的个人资料进行加密;(3)进行定期的安全风险评估和渗透测试;(4)为雇员提供书面指引和培训。通过这些保障措施,能够保障资料使用者所持有的个人资料在AI产品、服务的开发、应用中受到保护,不会在未获授权或意外情况下被查阅、处理、删除、丢失或者使用。
6. 通过AI产品、服务收集个人信息的10家机构中,有9家会存储其通过AI产品、服务收集的个人资料,其中有8家明确了存储期限,而剩下1家允许用户自行删除其个人资料。
从检查公布数据来看,相关机构的AI系统部署程度较高,说明AI应用具有通用性、普及性的趋势。但是,通过AI系统收集个人信息的比例不高。而相关机构通过AI系统收集个人信息时,具有较强的数据保护意识,采取了影响评估、安全保障等相关措施,也对个人信息存储、删除等权益予以了保障。香港私隐公署也表示通过本次检查,发现AI部署情况良好,个人信息保护情况也令人满意。
三、检查程序
根据《香港个人私隐资料条例》,香港私隐公署可主动发起调查或根据投诉举报启动调查程序。本次调查属于私隐公署主动发起的行动,根据条例规定,香港私隐公署可以对资料使用者所使用的任何个人资料系统进行监督检查,并向有关资料使用者作出遵守该条例的建议。不过,香港私隐公署并没有公布检查的具体措施、对象、程序等细节。
四、香港私隐公署的结论及建议
香港个人资料私隐专员钟丽玲表示:“AI在推动生产力和经济增长中有巨大潜力,但也会造成不同程度的个人资料私隐和道德风险。我很高兴地知道,在所调查的机构中,大多数都建立了内部AI治理框架,监督AI产品、服务的开发和应用。资料使用者在开发、使用AI系统时,负有数据安全保障义务,他们应当及时审查和评估AI系统对个人资料私隐的风险。”
针对本次检查,香港私隐公署对开发、使用AI系统的机构发出如下合规建议:
1. 有关机构在开发、使用AI时收集或处理个人资料,应采取措施确保遵守《个人资料(私隐)条例》,并持续对AI系统进行监测。
2. 制定开发、使用AI的战略和内部AI治理结构,并为所有相关人员提供充分的培训。
3. 进行全面的风险评估(包括私隐影响评估),以便在AI开发、使用中系统地识别、分析及评估风险,并采取与风险相称的管理措施,如对风险较高的人工智能系统采取更高水平的人工监测。
4. 与利益相关方进行有效沟通,以提高人工智能使用的透明度,并根据利益相关方提出的关切,对人工智能系统进行调整。
此外,钟丽玲专员还提醒各机构在开发、应用AI产品、服务时,应当遵守香港私隐公署发布的《开发及使用人工智能道德标准指引》。
五、香港私隐公署《开发及使用人工智能道德标准指引》
不同地区的人工智能发展速度和普及程度各有不同,而人工智能技术对不同行业和界别的影响亦不尽相同。不同地区和机构都在适应人工智能的最新发展研究不同措施,以应对人工智能所带来的影响和挑战,同时在促进科技创新及保障规范之间作出平衡。香港私隐公署基于此,于2021年发布了《开发及使用人工智能道德标准指引》,以协助机构在开发、使用人工智能时,理解并遵从《个人资料(私隐)条例》就保障个人资料私隐的相关规定。
《开发及使用人工智能道德标准指引》的内容包括数据管理价值及人工智能道德原则,并提供人工智能治理策略的实务指引,帮助机构制订合适的人工智能策略及管理模式,并作出风险评估及制定相关监督保障措施等。
《开发及使用人工智能道德标准指引》确定了“374”的AI道德框架,即3个数据管理价值观,7个AI道德原则和4个主要业务流程。
1. 数据管理价值观。价值观决定了机构如何采取行动以实现个人资料私隐保护目标。具体而言,指引确定了以下3个数据管理价值观。
(1)尊重。尊重人的尊严、自主权、权利、利益和尊严,以及个人对其数据被处理的合理期待,是至关重要的。因此,每个人都应该被道德地对待,而不是被当作一个物体或一段数据。
(2)福利。应当向利益相关者提供好处,利益相关者包括受人工智能使用影响的个人,以及更广泛意义上的社会整体。同时,不应伤害任何伤害利益相关者,或者应使伤害最小化。
(3)公平。公平应当覆盖过程和结果。就程序而言,“公平”意味着做出合理的决定,不应有不公正的偏见或非法的歧视。应为个人建立无障碍和有效的途径,以获得受到不公平待遇的赔偿。就结果而言,做到“公平”意味着相似的人应该被同等对待。对不同的个人或不同的群体采取差别待遇,应当有合理的理由。
2. AI道德原则。根据数据管理价值观,机构可结合本身组织文化,确定相应的原则。指引鼓励机构遵守以下7项AI道德原则:
(1)有责任。机构应对其行为负责,能够为其行为提供合理的理由。同时,应当在高级管理人员的参与下,通过跨部门协作,评估和解决人工智能的风险。
(2)人工监督。AI系统的使用者应该能够根据AI的建议或决策,作出有根据的、自主的选择。人工参与程度应该与使用人工智能系统的风险和影响相称。高风险AI系统中应当始终有人工干预。
(3)透明且可解释。机构应明确、显著地告知其使用AI的情况,以及相关隐私保护实践,以提升AI自动决策和辅助决策的可解释性。透明且可解释,是承担AI责任的工具,也是保护个人权利、自由和利益的手段。
(4)隐私保护。隐私是一项基本人权。开发和使用人工智能过程中,应该保护个人隐私,以实现有效的数据治理。相关个人资料应当遵守《个人资料私隐条例》。
(5)公平。个体应被合理平等地对待,而不应有不公正的偏见或者非法的歧视。对不同的个人或不同的群体采取差别待遇,应当有合理的理由。
(6)AI福利。AI应对人类、商业和社会有好处。不产生伤害也是一种福利。使用AI时不应对利益相关者造成损害,或者应将损害最小化。
(7)可靠、鲁棒和安全。机构应确保AI系统在预期寿命内可靠运行。AI系统应在运行过程中应有容错能力,以防止有关伤害或将伤害最小化。同时,还应当防止对AI系统的攻击,如黑客攻击和数据中毒等。对此,应制定应急计划,以应对人工智能系统无法正常运行的情况。
3. 业务流程。
(1)AI治理策略。AI系统需要大量使用个人数据,机构应当根据其AI部署程度和水平,调整其内部治理结构,并组建AI治理委员会或者类似部门。同时,应在AI应用的全生命周期确定或调整隐私保护政策及数据保护措施。
(2)风险评估和人工干预。AI的使用目的和方式决定了AI系统的风险高低,机构应当系统地识别、分析和评估AI风险。对于高风险AI,应当建立全生命周期的风险应对机制。风险评估的目标是采取相应措施以降低风险,其中人工干预的措施十分有必要。人工干预是降低AI风险的关键措施之一。任何时候,人都应当最终对AI的决策负责。
(3)开发AI模型和管理AI系统。AI训练所使用的数据对于AI模型的精确性、可靠性具有十分重要的影响。开发AI模型时,应当经过6个步骤:a.收集数据;b.准备数据;c.选择机器训练模型和算法;d.通过数据分析训练AI模型;e.测试、评估和调整AI模型;f.将AI模型投入使用。而管理AI系统的关键是保证可靠性、鲁棒性和安全性,同时需要人工干预。具体而言,机构应当做好相关书面记录,及时针对新风险进行再评估,定期检查AI模型并使用新数据调整、再训练AI模型。
(4)与利益相关者沟通协作。沟通协作的关键是保证透明性、可解释性。对于利益相关者而言,AI系统应当具有透明性。机构应当向利益相关者清晰、显著地告知AI系统的使用情况,包括目的、好处、限制和影响等。对于可能对个人造成重大影响的AI系统,机构还应当建立相关机制,允许个人进行修正、提供反馈、寻求解释或者要求人工解释,以及选择退出AI系统。
值得注意的是,香港政府资讯科技总监办公室参考《开发及使用人工智能道德标准指引》后,也于2023年8月发布了《人工智能道德框架》,以对人工智能和数据所涉及的道德标准进行规范,促进科技发展的同时避免产生不良影响。
六、一些延展信息
2021年,香港私隐公署发布《开发及使用人工智能道德标准指引》的同一天,还发布了一份消费者个人信息保护的调查报告。根据这份报告,私隐专员对公共设施服务企业的个人信息保护提出了一些建议。人工智能向通用性发展的过程中,也有向一般基础设施演变的可能性。因此,这些建议可能也具备人工智能合规的参考价值。具体如下:
1. 对未知的个人数据隐私风险有所准备。
2. 实施个人数据隐私保护治理方案。
3. 任命数据保护官(DPO)。
4. 保存个人数据清单。
5. 设计系统安全策略和流程。
6. 设置不同的内部数据访问权限。
7. 采取预防监控措施。
8. 同时保护电子数据和纸质数据。
9. 采取措施提升员工保护意识。
结语——对企业合规的启示
人工智能技术,特别是生成式人工智能技术的发展还在不断演进。相信越来越多的行业将开始应用人工智能技术,以提升生产经营效率,增加业务产出,改善现有的业务流程和商业模式。实现更大的利益增长空间。人工智能技术使用大量数据,与数据合规密不可分,同时也有很多人工智能合规的新问题,这些问题构成了人工智能应用的风险。实践中,风险评估/影响评估等是应对人工智能风险的主要和常见手段。
香港私隐公署此次的人工智能合规检查,从官方层面明确了人工智能合规的重点方向,同时也给出了相关合规建议。内地《个人信息保护法》《互联网信息服务算法推荐管理规定》《生成式人工智能服务管理暂行办法》等也构建了相关风险评估/影响评估机制。事实上,面对人工智能发展浪潮,如何确保安全与发展平衡的原则,是各方都在讨论的议题。在发展人工智能的过程中,需要有效应对人工智能风险,也基本形成了各方的共识。
我们建议,企业在人工智能深入发展的趋势之中,既要把握技术产业发展先机,充分释放人工智能潜力和优势,同时也应提前布局,在治理策略、业务流程、风险识别和应对方面,积极采取相关行动,构建相关机制,做好保障措施。
扫码订阅“金杜律师事务所”,了解更多业务资讯
