AI 治理與 PDPO 合規：香港企業領袖必須掌握的行動框架

什麼是 AI 治理？為何現在必須重視？

AI 治理是指企業部署、監控及問責 AI 系統的一套政策、架構與風險控制機制。它涵蓋誰有權批准 AI 使用案例、如何處理資料、如何記錄決策，以及當 AI 系統出現錯誤時應如何應對。

如果你正在考慮 AI 治理是否應該成為優先議題，答案很簡單：它已經是一項現實風險，而非未來課題。香港個人資料私隱專員公署（PCPD）於2024年發布的《人工智能個人資料保護框架》，已為企業劃定了具體合規要求。金融管理局（HKMA）亦將 AI 治理義務與現行風險管理規定掛鉤。監管框架已然存在，執法行動正在加速。

問題不再是企業是否需要 AI 治理，而是現有框架是否足夠——還是每增加一個未經審批的 AI 工具，就累積一份合規風險。

香港《個人資料（私隱）條例》對 AI 系統有何要求？

《個人資料（私隱）條例》（PDPO）適用於任何收集、儲存、處理或基於個人資料生成輸出的 AI 系統——這幾乎涵蓋所有企業 AI 應用，包括客戶服務聊天機器人、人力資源篩選工具，乃至基於客戶行為數據訓練的銷售預測模型。

PCPD 的模型框架將 PDPO 原則轉化為四個合規範疇：AI 策略與治理；風險評估與人工監督；AI 系統的客製化、實施與管理；以及與持份者的溝通和參與。每個範疇均有具體的文件記錄與問責要求。

實際操作上，這意味着四項具體義務。第一，指定具備權限的高層人員負責 AI 系統的問責；第二，每個處理個人資料的 AI 系統在部署前必須完成隱私影響評估（PIA）；第三，AI 系統不得將個人資料用於原來收集目的以外的用途；第四，當事人必須能夠查閱、更正，以及在特定情況下要求刪除由 AI 系統處理的資料。

根據 Slaughter and May 對 PCPD 框架的分析，完成正式 AI 治理審查的企業，平均每個已部署 AI 工具中發現 3.2 個未記錄的數據流——這意味着大多數企業在不知情的情況下已處於不合規狀態。

PCPD 的生成式 AI 指引增加了哪些要求？

2025年3月，PCPD 發布《員工使用生成式人工智能的指引清單》，將合規義務延伸至日常 AI 工具的使用，而非僅限於正式的 AI 系統部署。這一點至關重要，因為目前大多數企業面臨的最大 PDPO 風險，並非來自受企業監管的 AI 平台，而是員工在未獲授權的情況下，使用消費級 AI 工具處理客戶資料。

指引要求企業界定員工使用生成式 AI 的批准範圍、明確禁止將個人、機密或享有法律特權的資料輸入外部 AI 系統、建立監察員工遵從 AI 使用政策的機制，並記錄防止偏見的措施（適用於用於招聘、績效評估或面向客戶決策的 AI 系統）。

對於數字化轉型主管或營運總監而言，這份指引帶來的行動要求十分明確：企業極有可能需要一份 AI 可接受使用政策，而現有政策或許並不完整、未被執行，或未獲員工簽署確認。PCPD 已表示，2026年的執法行動將優先針對高層管理人員無法展示主動 AI 治理的企業。

企業如何構建 AI 治理框架？

一個適合50至500人香港企業的 AI 治理框架需要四個核心組成部分。每個部分各有其作用，缺一不可——只實施其中一兩項，往往只是形式上的合規，而非實質性的保障。

治理架構：成立 AI 治理委員會，並由高層管理人員參與。最低限度應包括營運總監或 IT 總監、法律或合規代表，以及業務部門主管。委員會負責批准新的 AI 使用案例、審閱風險評估報告，並定期接收 AI 系統表現及事故報告。

風險分級：並非所有 AI 系統的風險程度相同。按風險級別對每個 AI 使用案例進行分類——高風險（對個人作出自動化決策，如信貸評分或人力資源篩選）、中風險（由人工審查的 AI 輔助決策）及低風險（不涉及個人資料的內部生產力工具）。不同級別需要不同程度的監督、文件記錄及審查頻率。

數據流文件記錄：映射每個 AI 系統所存取、處理及儲存的資料。這是大多數企業容易忽略的步驟，也是造成最大監管風險的環節。結構化的數據清單應記錄數據來源、處理的法律依據、保留期限、第三方共享情況（包括 AI 供應商），以及當事人對該資料的相關權利。

事故與審計機制：明確界定 AI 事故的定義，包括模型漂移、偏見檢測、意外輸出及由 AI 系統引發的數據洩露。建立應對方案與文件記錄流程。對受監管行業而言，這份審計記錄是區分可控合規事件與須上報違規事件的關鍵。

香港企業常見的 AI 治理失敗模式有哪些？

根據 Freshfields、Bird & Bird 及 Slaughter and May 發布的執法案例及行業分析，香港企業的 AI 治理失敗往往呈現五種固定模式。

--- 影子 AI：員工以個人帳戶使用消費級 AI 工具處理客戶或員工資料，企業毫不知情。調查顯示，專業服務業中有40至60%的知識工作者曾至少做過一次。

--- 供應商不透明：與 AI 供應商簽約時未審閱其數據處理條款。許多企業 SaaS 工具現已預設啟用 AI 功能，若不主動選擇退出，你的資料可能被用於供應商的模型訓練。

--- 缺乏隱私影響評估紀錄：在未完成 PIA 的情況下部署 AI 工具，而這正是 PCPD 模型框架對所有處理個人資料的 AI 系統的明確要求。

--- 問責不明確：無人負責 AI 合規事宜。當 PCPD 調查時，缺乏指定 AI 問責負責人被視為系統性治理失敗的證據，而非個人錯誤。

--- 舊有資料餵入新 AI：將歷史數據庫連接至 AI 系統，而這些資料的收集時間早於 AI 應用的普及。原始收集目的未必涵蓋 AI 處理——在部署前必須解決同意差距問題。

如何建立讓董事會信服的 AI 審計記錄？

AI 審計記錄同時服務兩類受眾：要求問責的董事會或監管機構，以及在出現問題時需要清晰記錄的運營團隊。可信的審計記錄需記錄三件事：AI 系統做出或協助做出的決策、所使用的數據，以及誰審閱並批准了這些輸出。

對於高風險 AI 使用案例——自動信貸決策、員工績效評分、用於服務差異化的客戶流失預測——審計記錄必須詳細到足以從輸入資料重建任何個別決策。這對 PDPO 合規及應對歧視指控或監管調查而言，均為不可或缺的要求。

根據 Gartner 2026年 AI 治理研究，實施了結構化審計框架的企業，與依賴非正式控制的企業相比，AI 相關合規事故減少了62%。保險業監管局亦已表示將於2026年發布針對保險業的更新 AI 指引。在指引正式落地前已建立治理架構的企業，將遠比事後補救的企業處於更有利的位置。

如果現在還沒有 AI 治理，第一步該如何開始？

對大多數香港企業而言，實際的起點是進行 AI 準備度評估——系統審查現有 AI 工具的使用情況（包括受批准及未受批准的）、所涉及的數據，以及存在的治理缺口。這份評估為你提供一個可據以排列優先次序的基準：大多數企業會發現，80%的合規風險集中在20%的 AI 工具之中。

基於此基準，行動次序如下：指定 AI 問責負責人、草擬 AI 可接受使用政策、按風險級別對現有 AI 工具進行分類，並對高風險及中風險系統完成隱私影響評估。PCPD 的模型框架為每個階段提供了詳細的核查清單，可公開獲取，且設計上允許企業在初始階段無需外聘法律顧問即可自行實施。

UD 陪伴香港企業走過28年的科技治理歷程。工具在改變，問責框架的本質從未改變。懂AI的冷，更懂你的難——UD 同行28年，讓科技成為有溫度的陪伴。

你的企業能夠通過 AI 治理審查嗎？

大多數香港企業所面臨的 AI 風險敞口，遠比自己意識到的更大，而現有的治理管控卻遠遠不足。UD 團隊手把手帶你完成每一步——從 AI 準備度評估、政策設計、風險分級，到審計記錄的全面建立。28年企業科技夥伴，為這一刻而生。