【提前部署】認清AI風險與合規要求　單一供應商策略提升數據透明度與安全效益

人工智能（AI）技術的迅速發展為企業帶來了無限潛力，但同時也揭示了潛藏的安全風險及法律責任。為應對這些挑戰，中信國際電訊 CPC（以下簡稱 CPC）與 Fortinet 早前聯合舉辦了一場名為 「DeepSeek Sparks AI Revolution:Balancing AI Opportunity and Protection in GenAI」的研討會，邀請了來自法律界及網絡安全領域的專家，針對最新的 AI 法規趨勢及安全挑戰進行深入探討，並與業界分享實際應對的建議，幫助企業能夠提前部署，安心享受 AI 應用帶來的優勢。

提前部署合規策略　應對未來 AI 監管

隨著生成式 AI 技術的廣泛應用，許杜岑律師事務所高級合夥人 Vivian Hui 在研討會中強調，香港及國際對 AI 法規的需求日益迫切。她指出現時香港已有不少針對人工智能的法規指引，例如 2021 年推出的《人工智能道德標準指引》及 2023 年的《人工智能（AI）：個人資料保障模範框架》。然而，科技進步得太快，現有法規仍不足以應對層出不窮的創新應用。她進一步補充，香港作為大灣區的一部分，又面向國際市場，相關法規需要與內地及全球接軌。而對AI的監管並不限於應用層面，還要覆蓋其演算模型、道德層面等。

針對企業如何應對未來的法規要求，Vivian 提出建議：「企業應提前進行準備，了解最新公布的草案內容，審視將要面對的安全評估及審計要求，並向專家諮詢，制定合規方案，不應待法規出台後再作反應。」此外，她認為針對 AI 應用的監管雖有統一的主調，但由於不同行業如教育、醫療、金融、法律均有各自的應用場景，業界可思考是否應該建立行業標準，確保企業能在合規框架下創新發展。

安全事件催生危機意識　平台化管理提升自動回應成效

Fortinet 網絡安全顧問 Andy Lee指出，雖然 AI 在工作上帶來很多方便，但亦需謹慎對待安全問題，這些風險來自員工在使用過程中可能輸入公司的機密數據，或由於 AI 服務供應商處理不善，或在傳輸過程中被攔截，均可能導致數據外洩。此外，近年他又發現網絡犯罪份子會利用數據污染的手法，例如透過提示詞攻擊（prompt attack）等方法來改變 AI 輸出的結果，有機會損害公司的商譽。

他強調企業無論使用的是私人或第三方 AI 平台時，數據透明度及監管工作都同樣重要。「以 Shadow IT 情況為例，員工可能在未經審核的情況下使用不受監管的 AI 工具，導致敏感數據洩露或遭到攻擊。」針對此問題，Fortinet 的 SASE 技術方案能提供零信任架構，通過身份驗證、設備檢查及權限核查，確保在任何工作環境下的數據安全。此外，FortiDLP（數據損失防護）工具可幫助企業阻止不安全的 AI 應用，同時對未經評估的工具進行隔離，確保所有 AI 應用在安全環境內使用，這大大提高了數據透明度與合規性。

單一供應商優勢　提升數據透明度與安全效益

中信國際電訊 CPC 網絡安全專家 John Zhang 表示，不少企業雖已意識到網絡安全的重要性，並採用多種工具防禦，但因使用多個供應商服務，往往導致數據透明度不足，難以及時發現潛在的網絡攻擊或數據外洩問題。他強調：「這種多元供應商的模式可能使企業難以滿足相關的合規要求，不僅增加了監管的難度，也導致網絡資源分散，成本效益顯著降低。」

針對這些挑戰，John 提到 CPC 的 TrueCONNECT™ SASE（Secure Access Service Edge）解決方案，採用了 Fortinet 的技術，同時亦加上了CPC 的整合能力來實時監管網絡、基礎設施及應用。「單一供應商方案可一站式管理數據，消除安全盲點，符合法規要求，並提升資源效率。」他又強調 CPC 作為信息安全管理服務供應商（MSSP），能夠因應不同企業的獨特業務環境，提供全面的支援。「我們不僅為客戶提供從設計、概念驗證到部署的完整服務，還能在售後階段提供持續支持，確保企業在安全基礎上穩步發展。」他認為，隨着 AI 和安全需求增長，整合性解決方案將成為應對複雜挑戰的關鍵。

三位專家均認為 AI 是一把雙刃劍，它在提升應用效率的同時，也帶來了潛在的安全隱患和合規壓力。與此同時，黑客也在利用 AI 技術升級攻擊手段，因此雖然現時相關法例仍在草議階段，但企業亦應參考最新公佈的草案，與專家一同規劃出能滿足未來法規的解決方案。唯有快人一步提前部署，方能在競爭中立於不敗之地。

如欲了解更多 AI 法規與網絡安全資訊，請點擊以下連結收看：https://youtu.be/mOy8Y0wHyc4