香港企業 AI 治理：建立董事會就緒的合規框架

什麼是企業 AI 治理？董事會層面決策必須掌握的定義

企業 AI 治理，是一套結構化的政策、監督機制、責任框架與風險管控措施，確保組織的 AI 系統以安全、公正且符合法規要求的方式運作。這不是一份 IT 清單，而是一個組織問責結構——從董事會層面向下延伸，覆蓋每一個接觸 AI 系統的團隊。

Gartner 2025 年 AI 治理研究發現，建立了正式 AI 治理框架的組織，在 AI 部署首年的合規事故發生率，比沒有結構化監督機制的組織低 35%。證據一致指向同一個結論：治理不是 AI 部署的障礙，而是讓部署可持續發展的機制。

對香港企業領袖而言，這個對話的迫切性在 2026 年已顯著上升。監管環境並未停滯不前：金融管理局、證券及期貨事務監察委員會，以及數字政策辦公室，過去十八個月都發布了實質性指引，明確列出持牌機構現在應當落實——而非僅作評估——的治理期望。

董事會現在面臨的問題，已不是「我們是否應該治理 AI」，而是「我們現有的治理框架，是否符合監管機構的期望？我們能否證明這一點？」

2026 年香港監管環境，對企業實際要求什麼？

香港 2026 年的 AI 監管環境，是行業專屬要求的拼接體，而非一部統一的 AI 法律。金管局、證監會與數字政策辦公室各自設定不同的期望。對企業領袖而言，這種拼接結構意味著，合規需要清楚了解哪個監管機構對你組織中的哪個 AI 應用擁有管轄權。

金管局於 2026 年 3 月發布了專門針對 AI 在制裁篩查流程中應用的最新指引，要求持牌機構維持可解釋、可審計的 AI 決策記錄——即 AI 系統必須能夠顯示每個決策所依據的資料，且格式能夠承受監管審查。這份指引並非方向性建議；對於在合規敏感工作流程中使用 AI 的持牌機構，這是一項具體的運營要求。

證監會現行的科技風險管理框架，延伸適用於在交易、客戶顧問及風險評估功能中使用的 AI 系統。框架要求機構在部署前進行風險評估、維持持續監察協議，並記錄模型隨時間的表現。無論 AI 系統是內部開發還是從第三方供應商採購，這些要求同樣適用。

數字政策辦公室的《道德人工智能框架》列出七項核心原則：有益性、無害性、自主性、公正性、可解釋性、私隱保護，以及可靠性。雖然這份框架對私營企業是指引而非法律，但它確立了監管機構在評估機構 AI 實踐時所參照的治理標準。

對於金融服務業以外的企業，《個人資料（私隱）條例》（PDPO）仍是最直接適用的法規。任何處理香港居民個人資料的 AI 系統——包括客戶分析、人力資源分析及自動化決策——都必須符合條例的資料收集限制、準確性、保留期限及安全原則。

董事會就緒的 AI 治理框架，需要哪四個支柱？

一個能夠獲得董事會認可的 AI 治理框架，需要四個結構性組件：治理問責（由誰負責）、風險分級（哪個 AI 系統承擔哪種風險）、監察與審計（如何持續追蹤表現與合規情況），以及供應商監督（如何將第三方 AI 系統納入治理範疇）。具備全部四個組件的組織，才能在監管審查中展示實質的治理能力。

支柱一：治理問責

組織中每個對重要決策施加影響的 AI 系統，都應有一位具名的問責負責人——通常是一位對該系統的表現、合規及風險負責的高級管理人員。這有別於構建或維護系統的技術團隊：問責負責人向董事會負責，技術團隊向問責負責人負責。

支柱二：AI 風險分級

並非所有 AI 系統都承擔相同的風險。建議行銷內容的 AI 系統，與影響信貸決策或標記交易合規審查的 AI 系統，風險性質截然不同。你的治理框架必須按風險級別對每個 AI 系統進行分類——通常分為低、中、高三級——並對每個層級適用相稱的監督要求。高風險系統需要董事會層面的可視性；低風險系統可在部門層面管理。

支柱三：持續監察與審計

AI 系統的表現會隨時間下降。模型漂移（model drift）——因輸入資料的分佈偏離訓練時的分佈，導致模型準確度下降——是所有生產 AI 系統都面臨的已記錄現象。你的治理框架必須明確：每個 AI 系統多久審查一次表現、誰負責審查、哪些表現指標觸發上報機制，以及如何維護審計記錄以備監管查閱。

支柱四：第三方 AI 供應商監督

2026 年大多數企業 AI 部署都涉及至少一個第三方 AI 系統——供應商提供的聊天機器人、AI 賦能的 SaaS 平台或雲端模型 API。監管機構不接受「我們的供應商負責」作為治理答案。你的框架必須包含合約條款，要求供應商披露模型更新、記錄資料處理實踐，並參與你自己的審計流程。從治理角度，供應商的 AI 就是你的 AI。

董事會在 AI 治理中應扮演什麼角色？

董事會在 AI 治理中的職責，是設定風險承受度、批准治理框架，並定期收取 AI 系統在該框架下的表現與合規報告。董事會不負責 AI 系統的日常管理，而是設定管理層的問責標準——並確保這個標準隨監管與技術環境的變化而更新。

世界經濟論壇 AI 治理聯盟 2025 年報告指出，定期收取 AI 風險報告的企業董事會中，68% 具備符合監管審查期望的治理框架；而僅在特定情況下才收取 AI 更新的董事會中，這一比例只有 31%。董事會監督的頻率，不亞於其存在本身的重要性。

香港企業實際可行的董事會 AI 治理節奏：每季一次 AI 風險登記冊報告，涵蓋任何重大事故、模型表現變化及監管最新動態；每年審視並批准 AI 治理政策；以及針對任何導致客戶損害、引發監管關注或造成聲譽風險的 AI 相關事故的即時上報機制。

區分成熟 AI 治理與合規表面文章的董事會問題是：「對於我們每個重要的 AI 系統，我們能否告知監管機構——它影響哪些決策、如何監察其表現、失敗時誰負責，以及一旦失敗我們會採取什麼行動？」如果這個問題的任何部分，答案是「我們需要查清楚」，那麼治理框架還需要改進。

如何構建一份運營團隊真正能遵循的 AI 治理政策？

只存在於共享雲端文件夾中的 AI 治理政策，不是真正的治理。實用的 AI 治理政策有三個特徵：足夠具體，能在模糊情況下指引明確決策；指定具名的問責責任人，而非部門級別的集體責任；以及至少每年更新一次，以跟上技術與監管環境的變化。

從 AI 清單開始。在治理 AI 之前，你需要知道自己在使用哪些 AI。對大多數香港企業而言，這是一項比預期更大的工程——AI 通過 SaaS 工具、供應商平台和部門層面的自主引入進入組織，往往並未經過中央 IT 的知悉和登記。一份涵蓋系統名稱、業務功能、風險分級、資料輸入與問責負責人的 AI 清單，是所有其他治理活動的基礎。

制定你的 AI 使用政策——規定員工可使用與不可使用哪些 AI，以及在何種條件下使用。這包括允許使用哪些外部 AI 工具、哪些資料可以輸入這些工具，以及 AI 生成的輸出在用於面向客戶或合規敏感情境之前，需要經過哪些人工審查。清晰的使用政策，可以防止 AI 相關 PDPO 曝險的最常見來源：員工將客戶個人資料輸入未授權的 AI 工具。

從一開始就將事故回應機制納入政策。當 AI 系統產生有害輸出時，應通知誰、按什麼順序、在什麼時間框架內通知？誰有權決定在調查期間暫停系統運行？在事故發生之前就擁有這些問題的書面答案，是治理有序的 AI 項目與靠即興應對的危機管理之間的分界。

香港企業在 AI 治理中最常犯的錯誤是什麼？

五個最常見的 AI 治理錯誤：將治理視為 IT 責任而非業務問責；在沒有 AI 清單的情況下建立政策；對所有 AI 系統不論風險級別一律採用相同的治理強度；未能將第三方 AI 工具納入治理範疇；以及審視治理框架的頻率低於監管環境的變化速度。

第一個錯誤——將治理視為 IT 的問題——影響最為深遠。當 AI 治理被定位為技術風險職能而非業務問責職能時，它就會失效。風險最高的系統，通常是業務系統：信貸決策中的 AI、客戶顧問中的 AI、合規篩查中的 AI、人力資源分析中的 AI。擁有這些決策結果的業務負責人，同樣擁有這些系統的 AI 治理責任。IT 負責賦能和支持，而非擁有。

第二個最具破壞力的錯誤是不一致的供應商監督。德勤 2025 年亞太區企業風險領袖調查發現，61% 的組織沒有正式的合約機制，用於審查其 AI 供應商所做的更改——這意味著供應商可以在沒有任何通知或審查流程的情況下，重新訓練、更新或從根本上改變其客戶所依賴的 AI 系統。在受監管的環境中，這是一個實質性的治理缺口。

對於正在審視自身 AI 治理狀況的部門主管或首席運營官，最實用的自問並非「我們有治理政策嗎？」，而是「我們現在能否憑手頭現有的文件，向監管機構證明合規性？」這個問題比任何框架審計都更能快速呈現治理缺口。懂AI的冷，更懂你的難——UD同行28年，讓科技成為有溫度的陪伴。

準備好構建你的董事會就緒 AI 治理框架？

對於在受監管行業運營的香港企業，AI 治理已不再是可選項。UD 的 AI 與合規專家團隊，已協助多家機構建立了符合監管要求、獲得董事會信任、並能加快負責任 AI 部署的治理框架。UD 團隊手把手帶你完成每一步——從 AI 清單梳理到政策設計，再到董事會匯報框架的建立。