部署 AI 前必讀：香港企業領導者的個人資料私隱條例合規指引

你的 AI 即將上線。清單上少了一個關鍵問題。

合約審閱完畢，整合方案已確認，AI 系統定在三周後上線。然而，在香港大多數企業的 AI 部署清單上，有一個問題始終缺席：這個部署是否已針對《個人資料（私隱）條例》完成合規評估？以下是上線前每位企業領導者必須核對的清單。

什麼是《個人資料（私隱）條例》？為何它現在適用於你的 AI 系統？

《個人資料（私隱）條例》（PDPO，香港法例第 548 章）規管機構如何收集、持有、處理、使用及轉移個人資料，由個人資料私隱專員公署（PCPD）負責執法。對大多數企業而言，條例合規過去主要涉及人力資源及客戶記錄管理。AI 的廣泛應用從根本上改變了這一範圍。

當 AI 系統分析員工績效數據以生成評估報告、處理客戶互動記錄以改善服務質量，或利用客戶資料提供個性化建議時，均構成《條例》下的個人資料處理。任何涉及個人資料的 AI 部署，均受《條例》六項保障資料原則（DPPs）約束，無論 AI 系統是自行開發還是從第三方供應商採購。

2024 年 6 月，PCPD 發布《人工智能：個人資料保護模式框架》，這是亞太地區首份針對 AI 的個人資料保護指引文件。A&O Shearman 對該框架的分析指出，這份文件清晰傳達了一個訊息：合規指引已發出，2026 年將是執法的關鍵一年。

個人資料私隱專員公署的 AI 框架，實際上對企業有哪些要求？

PCPD 的《模式框架》針對採購、實施及運營處理個人資料之 AI 系統的機構，將合規義務分為四個核心範疇：

一、AI 治理架構

機構應設立 AI 治理委員會：一個跨職能團隊，負責統籌整個採購、實施及運營過程中的 AI 監督工作。委員會負責制定 AI 戰略、界定獲准使用場景、審批供應商，以及審查數據保護影響評估。根據 Bird & Bird 對框架的分析，委員會成員應涵蓋法律、合規、IT 及相關業務部門代表，而非僅由 IT 部門主導。

二、數據最小化

在任何 AI 系統處理個人資料前，機構必須確認僅收集及使用達成既定目的所需的最少資料。這項要求針對一個常見的部署風險：AI 系統被允許訪問遠超其功能所需的員工或客戶數據集。一個客戶服務 AI 若能訪問完整財務賬戶記錄，但其功能僅需交易摘要，便構成保障資料原則第一原則（目的及收集）下的最小化違規。

三、供應商責任與合約義務

委託第三方 AI 供應商時，PCPD 要求合約明確界定資料保護責任的分配。若供應商代表機構處理個人資料，合約必須涵蓋：安全義務、資料保留期限、禁止使用機構資料訓練其自身模型，以及資料外洩通報要求。若屬聯合控制者關係——即供應商就資料使用作出獨立決定——機構須就供應商的資料處理決定承擔共同法律責任。

四、AI 事故應對計劃

每個 AI 部署均應制定書面的 AI 事故應對計劃，明確識別、遏制及通報因 AI 處理造成傷害或資料外洩事故的程序。PCPD 建議在發現外洩後盡快通報專員，業界最佳實踐通常以 24 至 72 小時為目標。該計劃應每年測試一次，而非存檔備查。

哪些 AI 使用場景的條例合規風險最高？

並非所有 AI 部署都面臨同等的合規風險。以下三類企業使用場景在法律分析中始終呈現最高的 PDPO 風險：

AI 輔助人力資源與績效管理

對員工進行評分、預測流失、標記績效問題或生成評估摘要的 AI 工具，大規模處理敏感個人資料。根據保障資料原則第一原則（目的及收集），機構必須告知員工此類處理的存在。根據第三原則（使用限制），為某一人事目的收集的資料——例如出勤記錄——在未提供新通知的情況下，不得被重新用於訓練 AI 流失預測模型。

面向客戶的 AI 系統

處理客戶互動資料的 AI 聊天機器人、虛擬助理及推薦引擎面臨雙重風險。其一，在 AI 處理互動過程中收集的資料，若未設定刪除時間表，可能被保留遠超必要時限，構成第二原則（資料的準確性及保留期）違規。其二，若 AI 基於不準確資料產生錯誤輸出——例如信用評估錯誤——機構須就因此產生的決定承擔第四原則（資料準確性）責任。

涉及跨境資料轉移的 AI 系統

許多企業 AI 平台，尤其是美國及歐洲的 SaaS 供應商，在境外基礎設施上處理資料。根據《條例》第 33 條，機構必須確認接收司法管轄區提供同等保障。HFW 數據保護評述指出，第 33 條執法力度預計隨 PCPD 執法能力擴大而加強。尚未完成 AI 供應商基礎設施地理位置映射的機構，應將此列為優先處理的合規缺口。

企業應如何構建符合條例的 AI 治理架構？

滿足 PCPD《模式框架》要求的治理架構，無需重建全新的合規職能。大多數香港企業可在現有數據治理框架基礎上，採用三層架構進行調整：

戰略層——AI 治理委員會

負責制定組織層面的 AI 政策：獲准使用場景、允許 AI 處理的資料類別、觸發強制數據保護影響評估的風險門檻，以及獲批供應商名單。委員會在採購前審查新 AI 部署，並每年審查現有系統。成員應包括首席數字官或同等職位、總法律顧問、首席合規官及各主要業務部門的高級代表。

運營層——業務部門資料管理員

每位部門主管或指定資料管理員負責記錄其 AI 工具所處理的個人資料、維護在用 AI 系統清單，並就高風險部署進行數據保護影響評估。對於就個人作出自動化決定的 AI 系統，數據保護影響評估並非可選——PCPD 框架將其視為處理敏感個人資料類別的核心期望。

供應商層——採購及法律團隊

採購及法律團隊負責把關 AI 供應商合約流程，在簽署前對照 PCPD《模式框架》清單逐一審查。對 2024 年前簽訂的現有合約進行追溯審查應列為優先工作——大量框架發布前簽訂的企業 AI 協議存在重大缺口。

結語——合規窗口正在收窄

PCPD 為香港企業提供了清晰的過渡期：2024 年 6 月的《模式框架》明確了良好 AI 治理的標準，2026 年則是 PCPD 從發布指引轉向評估機構是否切實執行的一年。對於部署處理個人資料之 AI 系統的企業領導者而言，「技術上能運行」與「符合《條例》要求」之間的差距，正是執法風險的所在。

本季度的實際優先事項清單：審計哪些 AI 系統正在運行及其涉及的個人資料；對照五項條款清單審查所有 AI 供應商合約；確認 AI 治理委員會或同等職能已正式運作；並為已在未進行影響評估情況下運行的高風險部署補完數據保護影響評估。

懂AI，更懂你 — UD相伴，AI不冷。把 AI 合規做好，並非法律負擔，而是將 AI 負責任地規模化的機構與那些不得不暫停、補救並向董事會解釋為何沒有及早行動的機構之間的治理分水嶺。

準備好評估你的 AI 合規準備度了嗎？

了解框架是第一步，掌握你現有 AI 部署的合規現狀才是關鍵。UD 團隊手把手帶你完成每一步——從 AI 準備度評估、PDPO 缺口分析，到供應商合約審查與治理框架設計，28 年香港企業服務經驗，全程陪你走。