個人資料私隱專員公署於 2026 年 1 月展開新一輪循規審查,以了解人工智能在香港的最新應用情況。審查發現有高達 9 成機構在日常營運中使用 AI,當中逾半使用 3 個以上 AI 系統,並有 4 成機構會透過人工智能系統收集及/或使用個人資料,公署表示是次審查並未發現任何違反《私隱條例》的情況,同時向業界提出多項保障資料私隱的建議措施。
是次審查涵蓋 60 間機構,除銀行及金融、美容、教育、政府部門、保險、醫療、公用事業、零售、社會服務、電訊及運輸等於 2025 年審查已涵蓋的行業外,亦新增會計、餐飲、創新及科技、物流及物業管理行業。
[caption id="attachment_26709" align="alignnone" width="788"]
2025年及2026年循規審查結果重點概覽[/caption]
人工智能在香港的最新應用情況
.在 60 間受審查的機構中,57 間機構(95%)在日常營運中使用人工智能,較 2025 年循規審查結果上升 15 個百分點,反映人工智能在不同行業的應用日趨普及;當中 45 間機構(約 79%)使用人工智能已超過一年,顯示人工智能正逐步成為業務營運的重要組成部分;及
.在該 57 間機構當中,29 間機構(約 51%)使用三個或以上的人工智能系統,主要應用於行政支援、客戶服務、研發、市場營銷,以及合規或風險管理等領域,情況與 2025 年循規審查結果相若。
[caption id="attachment_26706" align="alignnone" width="788"]
人工智能系統應用範疇[/caption]
收集、使用及處理個人資料的情況
.在該 57 間使用人工智能的機構當中,24 間機構(約42%)會透過人工智能系統收集及/或使用個人資料,主要涉及會計、銀行及金融、教育、政府部門、創新及科技、保險、醫療、物業管理、公用事業、零售、社會服務、電訊及運輸等行業;
.所有透過人工智能系統收集及/或使用個人資料的機構,均在收集個人資料之時或之前向資料當事人提供「收集個人資料聲明」,述明收集資料的目的及資料可能會被轉移給哪類人士等資訊。其中七間機構(約 29%)的「收集個人資料聲明」更列明使用人工智能工具處理個人資料,情況與 2025 年循規審查結果一致;
.所有透過人工智能系統收集及/或使用個人資料的機構,有七間機構(約 29%)會保留在人工智能系統中所收集的個人資料,較 2025 年循規審查結果下降約 50 個百分點,而這些機構均已訂明個人資料的保留期限,並在達致原有收集目的後刪除個人資料;其餘 17 間機構(約 71%)則不會保留相關資料;
.所有透過人工智能系統收集及/或使用個人資料的機構,均已採取相應的保安措施,以確保所持有的個人資料在使用人工智能系統期間受到保障,情況與 2025 年循規審查結果一致。相關措施包括:存取控制、加密數據、滲透測試及個人資料匿名化等,其中有五間機構(約 21%)更設有人工智能相關的安全警報及進行紅隊演練。
[caption id="attachment_26707" align="alignnone" width="788"]
機構實施的資料保安措施[/caption]
人工智能系統的實施與管理
.在該 24 間機構中,23 間機構(約 96%)在實施人工智能系統前會進行測試,以確保其可靠性、穩健性及公平性;此外,19 間機構(約 79%)在採用人工智能系統前有進行私隱影響評估,上述兩項情況的比例均與 2025 年循規審查結果相若;
.在該 24 間機構中,19 間機構(約 79%)採取「人在環中」的人為監督方式,在決策過程中保留控制權,以防止或緩減人工智能系統出錯或作出不當決定;其餘五間機構(約 21%)則採用「人為管控」的方式,審視人工智能系統輸出的結果,以監督系統運作,並在有需要時才介入;
.在該 24 間機構中,22 間機構(約 92%)已制定資料外洩事故應變計劃應對突發事故,情況與 2025 年循規審查結果一致,其中九間機構(約 41%)的應變計劃更涵蓋專門針對人工智能相關的資料外洩事故,較 2025 年循規審查結果上升約九個百分點;及
.在該 24 間機構中,15 間機構(約 63%)有定期進行內部審核及/或獨立評估,較 2025 年循規審查結果上升約 17 個百分點。另有六間機構(25%)計劃定期進行內部審核及/或獨立評估,以確保人工智能的使用符合機構的人工智能策略及/或政策。
人工智能策略與管治
.在該 24 間機構中,19 間機構(約 79%)已設立人工智能管治架構,例如成立人工智能管治委員會及/或指派專人負責監督人工智能系統的使用,情況與 2025 年循規審查結果一致;
.所有透過人工智能系統收集及/或使用個人資料的機構均容許僱員在工作期間使用生成式人工智能,其中 17 間機構(約 71%)已制定生成式人工智能政策或指引,以協助僱員正確使用生成式人工智能,另外五間機構(約 21%)則計劃制定相關內部政策或指引;及
.在該 24 間機構中,20 間機構(約 83%)有為僱員提供人工智能相關培訓,較 2025 年循規審查結果上升約八個百分點,其中 18 間機構(90%)的培訓更涵蓋與人工智能相關的私隱風險內容,較 2025 年循規審查結果上升約七個百分點。
私隱專員公署現已完成是次循規審查,
過程中並無發現有違反《私隱條例》相關規定的情況。
個人資料私隱專員(私隱專員)鍾麗玲表示,樂見所有受審查機構在透過人工智能系統收集及/或使用個人資料時,均已制定「收集個人資料聲明」、訂明資料保留期限,並採取適當的保安措施。而大部分機構採取「人在環中」的人為監督方式,並定期為人工智能系統進行內部審核及/或獨立評估,顯示業界在應用人工智能時保持審慎態度。
公署向所有開發或使用人工智能的機構提供建議措施
.遵從《私隱條例》的規定:如在開發或使用人工智能的過程中收集或處理個人資料,須採取措施確保遵從《私隱條例》的相關規定,並持續監察及檢視人工智能系統;
.管治與培訓:制定開發或使用人工智能的整體策略及建立人工智能內部管治架構,並為有關人員提供足夠培訓。此外,機構亦應制定人工智能事故應變計劃,以監察及應對可能發生的意外事故;
.制定內部政策或指引:制定僱員在工作期間使用人工智能(包括生成式人工智能或人工智能體)的內部政策或指引,並定期檢視及更新相關政策或指引,以降低人為風險;
.慎用 AI 智能體:如機構使用 AI 智能體收集、使用及處理個人資料,應小心考慮所涉及個人資料的性質及敏感性,並只授予智能體完成任務所需的最小權限。同時,機構亦應從官方渠道下載 AI 智能體的最新版本、審慎安裝及使用 Plugins 或 Skills,以及採取足夠措施確保系統安全及資料安全,並持續評估所涉及的風險;
.評估風險:就開發或使用人工智能進行全面風險評估(包括私隱影響評估),有系統地識別、分析及評估風險,包括私隱風險,並因應風險程度採取適當的風險管理措施,例如風險較高的人工智能系統須有較高程度的人為監督;
.定期進行審核:定期對人工智能系統進行內部審核(並在有需要時進行獨立評估),以確保系統安全及數據安全,而人工智能的開發或使用亦應持續遵從機構相關政策,包括人工智能策略的規定;及
.與持份者溝通:與持份者保持有效溝通,提高人工智能應用的透明度,並因應持份者的反饋適時調整人工智能系統。
私隱專員公署鼓勵機構參考公署「人工智能安全」專題網頁 (
https://www.pcpd.org.hk/tc_chi/artificial_intelligence/index.html),一站式獲取有關在使用人工智能時保障個人資料私隱的資訊。
