个人资料私隐专员公署(私隐专员公署)在2024年6月11日发布其人工智能框架,正式名为《人工智能(础滨):个人资料保障模范框架》。
框架旨在提供切实可行的建议,以协助机构在实施及使用第叁方础滨系统时遵从《个人资料(私隐)条例》(下称《私隐条例》)的规定。框架以私隐专员公署于2021年出版的《开发及使用人工智能道德标准指引》为基础,将关注重点从公司内部开发础滨模型的机构转向从第叁方采购及实施础滨解决方案的机构。
据称,这是亚太区首部从个人数据隐私的角度监管生成式础滨采购及实施的综合性框架,也是香港在础滨监管方面的一个重要里程碑。
同时,私隐专员公署表示,框架将促进香港成为创新科技枢纽,并推动大湾区的数字经济发展。
要点
私隐专员公署具体的执法程度还有待观察。比如,私隐专员会如何实施础滨框架或监督机构遵从础滨框架的情况?如果私隐专员公署在开展合规检查或调查中发现任何数据用户在采购和实施础滨解决方案时不遵从框架,是否导致对数据用户的不利推定?不过,毫无疑问的是,私隐专员公署会继续审查机构在香港使用础滨技术的情况。
础滨框架预示着香港朝着负责任础滨治理的目标迈进了重要一步。在香港运营的机构在采购和实施涉及个人数据使用的础滨系统时也有了清晰的预期。
这也为机构就使用础滨过程中如何遵从《私隐条例》提供了一个宝贵的路线图。机构应考虑如下行为,以确保自己的活动与础滨框架的建议保持一致。
开展础滨稽核
机构应当全面评估他们当前和规划中的础滨实施方案,重点关注数据流、数据隐私安保措施和潜在的隐私影响,同时审查础滨解决方案的提供者是否合规。
完善数据管治
加强现有的数据保护框架,针对础滨相关的挑战,包括数据最小化、数据质量、减少偏差和算法透明度,作出应对。
制定础滨相关政策
制定全面的政策来管治础滨采购、实施和持续的管理,在采购和部署础滨的过程中应确保适当程度的人工监督,可考虑成立础滨管治委员会。
为础滨系统定制作准备
开发适当的数据集系统和资源,确保数据集适当、随时可用,并严格测试和验证础滨模型。
投资提高员工础滨素养
将员工础滨培训作为优先任务,尤其需要为参与数据处理和础滨系统管理的员工提供础滨相关培训。
加强与利益攸关方的沟通
制定清晰、有效的沟通策略,以清楚易懂的方式向员工、客户、合作伙伴和监管部门解释础滨的使用及其影响。
实施的缜密的监督
建立持续的础滨系统监督机制,包括定期审查和表现评估。
制定事故处理机制
建立并定期测试础滨事故响应计划,将计划融入现有数据泄露协议。
随着础滨技术的持续发展,主动遵从础滨框架建议的机构将能更好地利用础滨技术的好处,同时减少相关风险。预计香港的监管部门将继续关注国际础滨监管发展,进一步与国际监管标准接轨。
比如,在2024年7月8日,政府就进一步完善《版权条例》以应对础滨,尤其是生成式础滨的问题开展公众咨询。咨询文件讨论了多个话题,其中包括参考其他司法管辖区的规定在现行《版权条例》中引入文本和数据挖掘例外情况。
同时,笔者建议机构还应关注国际础滨监管趋势,就制定、采购和部署础滨过程中如何保持与监管和标准一致寻求法律建议。
《商法摘要》由贝克·麦坚时国际律师事务所协助提供,内容仅供参考之用。读者如欲开展与本栏内容相关之工作,须寻求专业法律意见。读者可通过以下电邮与贝克·麦坚时联系:吴昊(上海)howard.wu@bakermckenzie.com
