我們現在面臨的問題是:一方面,在大數據時代,黑客因逐利動機導致個人私隱、商業數據以至於政府國家安全數據面臨更高安全風險。如今,大數據收集範圍已突破傳統邊界,不僅涵蓋互聯網與傳統數據集,還包括通信網絡、電網、衛星定位等基礎設施中傳感器採集的信息。基於大數據的人工智能技術對個人資料的大規模收集,遠超傳統軟件工具的範疇,使得個人行為、社會活動全維度轉化為機器學習數據,不可避免導致過度或非法數據收集。
另一方面,大數據與人工智能應用領域尚未形成統一行業標準與約束性規則,數據採集、管理、共享及交易缺乏技術規範,進一步加劇個人資料在收集過程中的隱私風險。傳統線下企業的個人資料授權保護模式已隨大數據時代到來失效,加之網絡攻擊技術迭代突破傳統加密等安全手段,現有保護體系正面臨全方位挑戰。
基於上述社會背景,政府制定適合本地社會的相關法律、完善現有法律漏洞,成為促進數據化社會發展、提高政府治理效能的必要條件。應對人工智能時代挑戰,應遵循兩大準則:首要為確保個人資料之保護;二為不致阻礙新資訊技術持續發展,如何兼顧保護個人資料及運用大數據和人工智能(AI)帶來的利益,須先確認個人資料保護基本原則。
參考世界不同地區立法情況:歐盟通過《人工智能法》(2024年生效),此為全球首部全面監管人工智能的法規,建立風險分級制度,並依托 《一般資料保護規則》(General Data Protection Regulation,縮寫作GDPR,強化數據安全與執法;
新加坡於2019年首次推出並隨後於2020年更新人工智能管理框架模型,這一框架所依據的法律為新加坡《個人數據保護法》和《版權法》。新加坡提出的這個人工智能模型管理框架進一步強調了《個人數據保護法》與生成式人工智能的相關性,明確要求政策制定者闡明現有的個人數據法如何適用於生成式人工智能。該框架還鼓勵使用隱私增強技術來保護數據的機密性和隱私性,同時促進人工智能的發展。
此外,深圳福田區推出政務 AI及數據 管理辦法,強調「誰使用誰負責」,將管理辦法與框架直接應用與基層治理體系,令本地化治理路徑更多元。
我們都知道,人工智能技術仍處於關鍵發展期,目前國際上各國、各地區在價值取向上尚未達成共識,僅僅簡單效仿其他地方進行全面立法可能性一般;但個人資料保護領域的成熟經驗表明,建立穩定的制度框架是應對技術風險、保障社會秩序的基礎。
回歸香港自身情況(法律狀況+社會現實+建議):
一、香港現行《個人資料(私隱)條例》(簡稱《私隱條例》)自 1996 年實施以來,對個人資料保護發揮了基礎性作用,但其滯後性在人工智能時代日益顯現。香港依賴現有《私隱條例》間接約束,缺乏 AI 專項條款,相關政策均以指引和勸諭為主,針對相關處於法律邊緣亦或是違法行為,處罰標準不明,力度較低。
二、香港個人資料隱私專員公署針對 AI 發布系列指引,其特點以實用性、輕量化為核心,如 2025 年《僱員使用生成式AI的指引清單》內容只有4頁,採用精簡的 「清單式」 宣傳設計;2024年《人工智能(AI):個人資料保障模範框架》提出 「人在環中 / 邊 / 外」 監督模式,但完全不具法律強制力,強調結合《私隱條例》執行。
以《條例》開篇法律寫法簡單舉例,其將「個人資料」界定為「直接或間接與一名在世人士有關,且從該等資料直接或間接地確定有關的個人的身分是切實可行的,以及該資料的存在形式令予以查閱及處理均是切實可行的(由2012年第18號第2條修訂)」,這一定義雖涵蓋範圍全面,卻導致制度負擔過重。例如,匿名化數據本質上已無法識別特定個人,但若嚴格套用定義,可能被納入保護範疇,徒增企業合規成本。這種「過度保護」不僅與人工智能時代數據開發利用的需求相抵觸,亦可能抑制創新活力,同時沒有精確劃分合規和不合規邊界,形成法律悖論。回到社會層面,現在香港社會的公眾對《條例》的認知程度與應用能力普遍不足,這種「認知鴻溝」不僅削弱了制度的社會基礎,更使得私隱保護淪為「政府單打獨鬥」的局面。
三、剖析香港社會,當前處於經濟結構轉型與社會矛盾交織的關鍵時期,三大現實課題凸顯建立先進個人資料保護制度的緊迫性:老齡化社會與數字鴻溝的雙重壓力、創科發展與風險防控的平衡需求及國際化城市的治理能級提升訴求。
因此,為應對人工智能時代的個人資料保護挑戰,政府可構建 「法律 - 技術 - 監管 - 教育」 四位一體的個人資料保障體系,在釋放 AI 創新活力的同時,切實維護市民隱私權和資料安全:
一、立法與監管機制革新:完善法律框架,明確 AI 場景下的責任邊界,在現有《個人資料(隱私)條例》基礎上,需針對 AI 特性補充專項條款;建立風險分級監管體系,借鑒歐盟 AI 法案的風險分類方法,將 AI 應用分為 「不可接受風險」(如社會評分)、「高風險」(如醫療 AI)和 「通用風險」(如聊天機器人),實施差異化監管;賦予個人資料私隱專員公署(PCPD)更強執法權。
二、針對企業:進一步明確和引導相關技術標准與安全措施,建議參考福田區進行AI治理「誰使用誰負責」理念,制定《AI 數據安全技術標準》,明確數據匿名化、訪問控制、漏洞檢測等技術要求,禁止過度採集生物識別等敏感信息。
三、國際合作與跨境數據治理:特區政府主導積極參與國際規則制定,打造香港成為全球最安全的國際數據中心樞紐,推動與歐盟、東盟等經濟體對指定數據跨境流動互認機制,降低企業合規成本。與主要經濟體簽署司法互助協議,針對跨境深度偽造、數據泄露等案件建立快速響應通道等。
四、提升全民數字素養:開展 「AI 與隱私」 普及計劃,通過學校課程、社區工作坊等渠道,教育公眾識別深度偽造內容、管理隱私設置。發佈針對全民的《AI 應用風險指南》,指導用戶在使用智能設備、在線服務時採取防護措施。
最後,技術執行理論指出,信息技術只是賦能者( enabler) ,而不是決定者( determinator) 。我們往往對新技術有過高的期望值,卻只儲備了過低的能力。擁有數字技術,並不意味著數字技術必然為社會發展賦能,再好的技術也糾正不了政策問題、法律配套不匹配和不合理的問題。健全個人資料保障制度框架,完備良好的法律基礎,能夠幫助我們更好的認識技術、利用技術,從容迎接技術變革,從而落實「以人為本」、「智能向善」的治理理念,以應對人工智能時代挑戰。