私隱專員公署｜公布AI審查結果　逾4成系統收集個人資料

個人資料私隱專員公署於 2026 年 1 月展開新一輪循規審查，以了解人工智能在香港的最新應用情況。審查發現有高達 9 成機構在日常營運中使用 AI，當中逾半使用 3 個以上 AI 系統，並有 4 成機構會透過人工智能系統收集及／或使用個人資料，公署表示是次審查並未發現任何違反《私隱條例》的情況，同時向業界提出多項保障資料私隱的建議措施。

是次審查涵蓋 60 間機構，除銀行及金融、美容、教育、政府部門、保險、醫療、公用事業、零售、社會服務、電訊及運輸等於 2025 年審查已涵蓋的行業外，亦新增會計、餐飲、創新及科技、物流及物業管理行業。

人工智能在香港的最新應用情況

．在 60 間受審查的機構中，57 間機構（95%）在日常營運中使用人工智能，較 2025 年循規審查結果上升 15 個百分點，反映人工智能在不同行業的應用日趨普及；當中 45 間機構（約 79%）使用人工智能已超過一年，顯示人工智能正逐步成為業務營運的重要組成部分；及

．在該 57 間機構當中，29 間機構（約 51%）使用三個或以上的人工智能系統，主要應用於行政支援、客戶服務、研發、市場營銷，以及合規或風險管理等領域，情況與 2025 年循規審查結果相若。

收集、使用及處理個人資料的情況

．在該 57 間使用人工智能的機構當中，24 間機構（約42%）會透過人工智能系統收集及／或使用個人資料，主要涉及會計、銀行及金融、教育、政府部門、創新及科技、保險、醫療、物業管理、公用事業、零售、社會服務、電訊及運輸等行業；

．所有透過人工智能系統收集及／或使用個人資料的機構，均在收集個人資料之時或之前向資料當事人提供「收集個人資料聲明」，述明收集資料的目的及資料可能會被轉移給哪類人士等資訊。其中七間機構（約 29%）的「收集個人資料聲明」更列明使用人工智能工具處理個人資料，情況與 2025 年循規審查結果一致；

．所有透過人工智能系統收集及／或使用個人資料的機構，有七間機構（約 29%）會保留在人工智能系統中所收集的個人資料，較 2025 年循規審查結果下降約 50 個百分點，而這些機構均已訂明個人資料的保留期限，並在達致原有收集目的後刪除個人資料；其餘 17 間機構（約 71%）則不會保留相關資料；

．所有透過人工智能系統收集及／或使用個人資料的機構，均已採取相應的保安措施，以確保所持有的個人資料在使用人工智能系統期間受到保障，情況與 2025 年循規審查結果一致。相關措施包括：存取控制、加密數據、滲透測試及個人資料匿名化等，其中有五間機構（約 21%）更設有人工智能相關的安全警報及進行紅隊演練。

人工智能系統的實施與管理

．在該 24 間機構中，23 間機構（約 96%）在實施人工智能系統前會進行測試，以確保其可靠性、穩健性及公平性；此外，19 間機構（約 79%）在採用人工智能系統前有進行私隱影響評估，上述兩項情況的比例均與 2025 年循規審查結果相若；

．在該 24 間機構中，19 間機構（約 79%）採取「人在環中」的人為監督方式，在決策過程中保留控制權，以防止或緩減人工智能系統出錯或作出不當決定；其餘五間機構（約 21%）則採用「人為管控」的方式，審視人工智能系統輸出的結果，以監督系統運作，並在有需要時才介入；

．在該 24 間機構中，22 間機構（約 92%）已制定資料外洩事故應變計劃應對突發事故，情況與 2025 年循規審查結果一致，其中九間機構（約 41%）的應變計劃更涵蓋專門針對人工智能相關的資料外洩事故，較 2025 年循規審查結果上升約九個百分點；及

．在該 24 間機構中，15 間機構（約 63%）有定期進行內部審核及／或獨立評估，較 2025 年循規審查結果上升約 17 個百分點。另有六間機構（25%）計劃定期進行內部審核及／或獨立評估，以確保人工智能的使用符合機構的人工智能策略及／或政策。

人工智能策略與管治

．在該 24 間機構中，19 間機構（約 79%）已設立人工智能管治架構，例如成立人工智能管治委員會及／或指派專人負責監督人工智能系統的使用，情況與 2025 年循規審查結果一致；

．所有透過人工智能系統收集及／或使用個人資料的機構均容許僱員在工作期間使用生成式人工智能，其中 17 間機構（約 71%）已制定生成式人工智能政策或指引，以協助僱員正確使用生成式人工智能，另外五間機構（約 21%）則計劃制定相關內部政策或指引；及

．在該 24 間機構中，20 間機構（約 83%）有為僱員提供人工智能相關培訓，較 2025 年循規審查結果上升約八個百分點，其中 18 間機構（90%）的培訓更涵蓋與人工智能相關的私隱風險內容，較 2025 年循規審查結果上升約七個百分點。

私隱專員公署現已完成是次循規審查，過程中並無發現有違反《私隱條例》相關規定的情況。

個人資料私隱專員（私隱專員）鍾麗玲表示，樂見所有受審查機構在透過人工智能系統收集及／或使用個人資料時，均已制定「收集個人資料聲明」、訂明資料保留期限，並採取適當的保安措施。而大部分機構採取「人在環中」的人為監督方式，並定期為人工智能系統進行內部審核及／或獨立評估，顯示業界在應用人工智能時保持審慎態度。

公署向所有開發或使用人工智能的機構提供建議措施

．遵從《私隱條例》的規定：如在開發或使用人工智能的過程中收集或處理個人資料，須採取措施確保遵從《私隱條例》的相關規定，並持續監察及檢視人工智能系統；

．管治與培訓：制定開發或使用人工智能的整體策略及建立人工智能內部管治架構，並為有關人員提供足夠培訓。此外，機構亦應制定人工智能事故應變計劃，以監察及應對可能發生的意外事故；

．制定內部政策或指引：制定僱員在工作期間使用人工智能（包括生成式人工智能或人工智能體）的內部政策或指引，並定期檢視及更新相關政策或指引，以降低人為風險；

．慎用 AI 智能體：如機構使用 AI 智能體收集、使用及處理個人資料，應小心考慮所涉及個人資料的性質及敏感性，並只授予智能體完成任務所需的最小權限。同時，機構亦應從官方渠道下載 AI 智能體的最新版本、審慎安裝及使用 Plugins 或 Skills，以及採取足夠措施確保系統安全及資料安全，並持續評估所涉及的風險；

．評估風險：就開發或使用人工智能進行全面風險評估（包括私隱影響評估），有系統地識別、分析及評估風險，包括私隱風險，並因應風險程度採取適當的風險管理措施，例如風險較高的人工智能系統須有較高程度的人為監督；

．定期進行審核：定期對人工智能系統進行內部審核（並在有需要時進行獨立評估），以確保系統安全及數據安全，而人工智能的開發或使用亦應持續遵從機構相關政策，包括人工智能策略的規定；及

．與持份者溝通：與持份者保持有效溝通，提高人工智能應用的透明度，並因應持份者的反饋適時調整人工智能系統。

私隱專員公署鼓勵機構參考公署「人工智能安全」專題網頁 （https://www.pcpd.org.hk/tc_chi/artificial_intelligence/index.html），一站式獲取有關在使用人工智能時保障個人資料私隱的資訊。