AI 數據存放地：香港企業領袖的合規框架

香港大多數企業的 AI 計劃，默默建基於資料可自由跨境流動的假設之上。在 2026 年，這個假設已不再安全。隨著個人資料（私隱）條例第 33 條更接近實施、Microsoft 與 Google 開始公開明確的香港存放地承諾、銀行與醫療監管機構提出更尖銳的問題，AI 數據存放地已從合規附註，跨越成為董事會層級的可申報決策。

什麼是 AI 數據存放地？

AI 數據存放地是指 AI 系統使用的資料，其儲存、處理及推論所在的地理位置。對企業 AI 而言，這包括訓練資料、提示與回應資料、知識庫檢索內容、持久代理記憶，以及模型輸出日誌。問題不僅是模型在哪裡，而是 AI 接觸到的每個位元組，在工作流程的每個階段，究竟存放在哪裡。

2026 年此議題比往年更重要，原因在於三個交匯的轉變。AI 工作流程創造出以往不存在的資料流動、全球監管機構正收緊跨境資料規則、主要企業 AI 廠商因最大客戶要求而開始發佈區域特定承諾。根據 TrueFoundry 2026 年《AI Gateway 數據存放地比較》，Azure OpenAI、Google Vertex、AWS Bedrock 及 Anthropic 企業層級現已標準提供區域鎖定部署選項。

對香港企業的實際問題，不再是「我們的 AI 廠商是否有香港區域？」，而是「我們運行的每個 AI 工作流程的每個步驟，什麼資料、在什麼狀態、存放在哪個區域？」這是一個截然不同、亦更困難的問題。

香港 PDPO 對跨境資料轉移有什麼規定？

香港個人資料（私隱）條例第 33 條包含跨境轉移限制，至今尚未實施，但私隱專員公署多年來已發佈《建議模範合約條款》，反映其期望的合規實務。根據 Mayer Brown 2025 年回顧，PCPD 將跨境 AI 資料流動視為當前合規關注事項，而非未來事項。

兩份 PCPD 文件確立了現時的合規期望。2024 年 6 月《人工智能：個人資料保障模範框架》要求採購或實施 AI 系統的機構，在整個 AI 生命週期評估資料隱私影響，包括離開香港的資料流動。2025 年 3 月《員工使用生成式 AI 指引清單》將員工輸入海外託管 AI 工具的內容，視為需要文件化控制的個人資料轉移。

2025 年 5 月 PCPD 合規檢查發現，80% 受訪機構在日常營運中使用 AI，亦同時揭示 AI 採用速度與 AI 治理文件之間存在差距。對董事會的含意是，監管機構現在要求看到證據，而非僅僅口頭保證，關於跨境 AI 資料流動如何被治理。

主要雲端 AI 區域如何比較香港工作量？

三大主要雲端服務商均提供香港 AI 區域，但本地可用服務的廣度差異顯著。根據 Microsoft Azure 公佈的基礎架構地圖，客戶可將 Azure OpenAI Service 配置為將客戶資料保留於香港區域，並適用企業資料保護條款。微軟 2026 年 4 月推出的 Copilot Frontier Suite 進一步加入明確的本地代理式 AI 承諾。

Google Cloud 香港區域支援 Gemini 模型的 Vertex 推論，但其新推出的 Gemini Enterprise Agent Platform 組件，在每項代理功能的本地廣度上，暫時未能匹配 Azure。AWS Bedrock 同樣提供區域部署，當香港本地容量受限時，東京與新加坡區域為香港工作量提供最低延遲的亞太選項。

對採購的含意非常具體。問廠商「你支援香港嗎？」三家都會回答是。問「對於我計劃部署的特定服務、模型與功能，我的提示資料、輸出資料、檢索資料及代理記憶各自存放在哪裡？」會得到一個更有用的答案，且經常會改變廠商的推薦。

AI 工作流程中什麼算是個人資料？

根據 PDPO，個人資料是指任何與可識別個人有關的資料。在 AI 工作流程中，這擴展至包含客戶資訊的提示、檢索自知識庫並指名個人的文件、複製或概括個人資料的模型輸出、保留用戶特定上下文的代理記憶，以及用於稽核或除錯的對話日誌。

2024 年 PCPD 模範框架明確將個人資料定義延伸至 AI 訓練資料、微調資料及 RAG 來源文件，當這些內容包含可識別個人時。2025 年 3 月員工指引進一步將此延伸至與公共 AI 服務的互動：包含客戶姓名、身份證號碼或財務資料的貼文，在進入海外託管系統的一刻，便構成跨境轉移。

對 AI 架構的含意是，資料分類已不能僅在來源資料庫進行。它必須在資料跨入 AI 系統的每個介面進行，代理提示、RAG 檢索、微調資料庫、持久記憶寫入及可觀測性日誌。「這份資料存放在哪裡」的問題，必須在這些每一個點獲得回答，而非僅在模型端點。

香港銀行與保險業應如何處理 AI 存放地？

香港銀行與保險業在 PDPO 之外，須遵守額外的監管期望。金管局 2024 年 11 月《銀行業使用生成式人工智能》通函及保險業監管局 2024 年 GL20《使用人工智能指引》均要求受規管機構，對 AI 系統使用的客戶資料地理位置展示適當控制。

受規管金融服務的實際立場已收斂於三個元素。AI 推論使用的客戶識別資料，在無明確跨境轉移評估的情況下，留存於香港。廠商選擇優先考慮發佈合約存放地承諾的供應商，而非依賴盡力而為的保證。使用客戶資料的模型微調，在金管局可接受的受控環境內進行，通常在雲端服務商香港區域內的隔離租戶上進行。

尚未文件化此立場的機構面對雙重風險。監管檢查現在例行包含 AI 資料流動問題。根據 Cyber Wisdom 2026 年香港企業 AI 合規評論，監管期望已從「展示你的 AI 政策」硬化為「展示你的 AI 資料流動圖，標明每個跨境點及每個跨境的法律依據」。

什麼是五個問題的 AI 存放地框架？

持續產生站得住腳 AI 存放地決策的框架，可歸結為五個問題，對每個 AI 應用案例提問。按此順序應用：分類優先，位置其次，控制第三，合約第四，稽核第五。大多數失敗來自跳過問題一，直接爭論問題二。

問題一，分類：這個 AI 應用案例在每個步驟（提示、檢索、輸出、記憶、日誌）接觸到哪些資料類別？繪製每個跨越 AI 邊界的資料類型，包括來源文件的嵌入向量。

問題二，位置：每個資料類別在每個步驟存放在哪裡，又在哪裡跨越邊界？對推論、檢索與儲存的雲端區域要具體。

問題三，控制：每個跨境採用什麼技術控制？傳輸與靜態加密、密鑰管理、租戶隔離及訪問日誌是最低門檻。

問題四，合約：每個跨境採用什麼合約承諾？PCPD 模範條款、廠商資料處理附錄，受規管行業則需金管局批准的範本。

問題五，稽核：你如何提供證據，證明問題一至四在過去 90 天的任何特定 AI 互動中均落實？如果無法在沒有自訂資料工程項目的情況下回答，你尚未具備可稽核的 AI 存放地立場。

AI 數據存放地如何影響 AI 廠商採購？

對採購的含意是，AI 廠商評估現在需要 18 個月前不存在的存放地技術深度。標準的提案書 AI 安全問卷已不再足夠，它只會產生廠商友好的是答案，而無法揭示決定實際資料流動的特定配置。

能產生有用答案的採購問題，是具體且功能特定的。對於你計劃使用的每個主要 AI 功能，請廠商確認：提示處理的特定雲端區域、RAG 來源儲存的特定區域、任何持久代理或會話記憶的特定區域、可觀測性與稽核日誌的特定區域、以及每項的合約存放地承諾。根據 BCG 2026 年《Build for the Future》研究，具備文件化區域承諾的廠商，現已在採購入口網站發佈，而非逐項談判。

2026 年浮現的模式是，無法以書面回答這些問題的廠商，通常在生產環境中亦無法滿足要求。將存放地視為書面承諾而非口頭保證，能縮短採購週期並降低部署風險。

董事會應就 AI 存放地問什麼？

反映成熟 AI 存放地立場的董事會層級問題，與 IT 層級問題不同。董事會不需要看到資料流動圖，他們需要確信這份圖存在、機構可按要求產出、風險暴露已被量化。

三個問題持續產生有用的董事會層級對話。第一，如果第 33 條在未來 12 個月實施，我們的暴露是什麼，哪些 AI 工作流程需要重新設計，成本如何？第二，我們的 AI 廠商是否發佈書面存放地承諾，還是我們依賴口頭保證與盡力而為的定位？第三，我們上次製作完整 AI 資料流動圖是什麼時候、誰審查、之後改變了什麼？

在管理 AI 存放地有方的香港企業中，呈現的模式不是更重的合規開支，而是更早的分類紀律、更早的廠商選擇審視，以及更早的董事會對話。延後存放地重新設計的成本，通常超過提早分類成本一個數量級。

香港企業 AI 存放地的常見陷阱

第一個陷阱是將「AI 廠商提供香港區域」等同於「我們的 AI 工作量在香港運行」。雲端區域是可配置的，並非自動。預設部署會將提示資料、檢索資料及可觀測性資料路由至佈建時容量充足的區域，這很少是你想要的區域。

第二個陷阱是讓員工使用公共 AI 工具不受管理。PCPD 2025 年 3 月《員工使用生成式 AI 指引》將輸入公共 AI 服務的每個提示，視為潛在的跨境資料轉移。已發佈批准 AI 工具清單，並為非批准工具提供內部代理或閘道的機構，可大幅降低存放地風險與影子 AI 表面範圍。

第三個陷阱是過度依賴合約條文，缺乏營運驗證。強合約是必要但不足夠。成熟立場結合合約條文、技術控制（區域鎖定部署、租戶隔離）、營運驗證（季度審查存放地稽核日誌）及事故應變（存放地違規的文件化程序）。每一層補償其他層的失誤。

結論

AI 數據存放地已從香港企業的合規附註，轉變為董事會層級的決策。五個問題的框架，分類、位置、控制、合約、稽核，將模糊的監管焦慮，轉化為結構化的採購與架構對話。先行的機構能依照自己的時程設定採購條款及稽核證據；等待的機構，將依照監管機構的時程行動，而那很少是方便的時刻。懂AI，更懂你 — UD相伴，AI不冷。

掌握了框架，下一步是為你最高風險的應用案例製作 AI 資料流動圖。UD 團隊手把手帶你完成每一步，從分類工作坊、廠商存放地審視，到稽核證據設計，28 年香港企業 IT 經驗，將監管焦慮轉化為董事會可信的論述。