AI 與個人資料條例：香港企業領袖必須掌握的事

每個 AI 試點背後的合規問題

一家香港專業服務公司，把三年的客戶往來通訊輸入一套新的 AI 助手。運作得相當出色。然後有人提出本應最先問的問題：有任何客戶同意過，他們的個人資料可以這樣使用嗎？試點停下，法律審查開始。

這一幕，此刻正在全香港上演。個人資料（私隱）條例規範每一個機構如何收集與使用個人資料，而 AI 並無豁免。

對企業領袖而言，問題已不再是 AI 是否會觸及個人資料，因為它幾乎總會。問題是，你能否證明自己合法地處理了它。

個人資料條例適用於 AI 系統嗎？

適用。個人資料條例適用於任何收集、處理或生成個人資料的 AI 系統，對機器學習並無豁免。若你的 AI 吸納客戶記錄、員工檔案或客戶通訊，六項保障資料原則全部完整適用，與由人手處理同樣的資料時毫無分別。

私隱專員公署（PCPD）在這一點上立場明確。香港法律並無「AI 漏洞」。

這一點重要，因為許多 AI 部署會悄悄擴大資料最初收集的目的。為提供服務而收集的資料，若被重新用於訓練模型，除非妥善處理，否則可能違反目的限制原則。

PCPD 的 AI 個人資料保障示範框架是什麼？

2024 年 6 月 11 日，私隱專員公署發布《人工智能：個人資料保障示範框架》。它為機構在採購、實施與使用涉及個人資料的 AI 系統時，提供具體建議，涵蓋預測式與生成式 AI。它是香港企業的主要參考依據。

該框架圍繞四個範疇：建立 AI 管治與內部策略、在部署前進行風險評估、維持人為監督，以及向持份者透明溝通。

它屬自願性指引，並非另立的法例。然而，監管機構與法院會把符合該框架視為善意的證據，而忽視它則視為相反。把它當作董事會期望你達到的基準。

AI 必須恪守哪些資料保障原則？

任何處理個人資料的 AI，都必須恪守源自條例與 PCPD 指引的八項實務原則：公平、透明、目的限制、資料最小化、準確、問責、儲存限制與安全。每一項都對應一個你可在部署前審計的具體控制措施。

在實務上，這些原則轉化為行動：

--- 目的限制：個人資料只用於收集時的目的，否則須取得新的同意。

--- 資料最小化：只把模型真正需要的資料餵給它，而非因為方便就把整個資料庫倒進去。

--- 準確：一套生成了關於某具名個人錯誤事實的 AI，是準確性的違規，而不只是品質問題。

--- 安全與儲存：把個人資料加密、控制存取，並在合法目的結束時刪除。

問責把這些原則串連起來。你必須能以文件證明，每一項原則在系統上線前都已被考慮。

PCPD 在 2026 年就代理式 AI 說了什麼？

2026 年 3 月 16 日，私隱專員公署就 OpenClaw 及其他代理式 AI 的私隱風險發出警示，列明這類系統在收集、使用與處理個人資料時，機構必須留意的事項。這項警告反映出一個新的風險類別：代你跨系統自主行動的 AI。

代理式 AI 更難管治，因為它能串連多個動作、接觸多個資料來源，並在每一步都沒有人介入的情況下作出決定。傳統的同意模式假設用戶在每次使用前都會點選「同意」。一個自主代理打破了這個假設。

更早之前，2026 年 2 月 23 日，私隱專員公署聯同全球 60 個資料保障機構發表《關於 AI 生成影像的聯合聲明》，警告那些在未經同意下描繪可識別個人的系統。

監管的方向十分清晰：隨着 AI 取得自主能力，PCPD 期望管治收緊，而非放鬆。

AI 合規在實務上如何落地？

在實務上，合規意味着在上線前就把私隱控制建進 AI 流程，而非在出事後才補上。一家金融服務公司會盤點每個 AI 應用場景觸及哪些個人資料，為每一項確立合法依據，並記錄每一個決定。這些工作並不亮眼，卻是能通過審計的東西。

設想一家部署 AI 理賠助手的香港保險公司。上線前，它進行風險評估、確認索償人的同意涵蓋自動化處理、把模型限制在所需的特定欄位，並在每個不利決定上保留人手覆核。

一家以 AI 處理客戶服務的零售連鎖，把系統限制在已核准的資料，並遮蔽代理用不着的識別資料。

其關連性是即時的。生產力促進局《2025 年職場 AI 準備度調查》發現，約 88% 受訪員工已在工作中使用 AI，而資料私隱位列領袖所提的首要障礙之一。這份風險早已存在於大多數機構之內，無論它有否被管治。

香港企業在 AI 與私隱上常犯什麼錯？

最常見的錯誤，是以為 AI 供應商會處理合規。在個人資料條例下，資料使用者，亦即你的機構，始終須負責，即使由第三方處理資料亦然。把技術外判，從不等於把法律責任外判。

第二個錯誤，是把私隱當成上線當天的一個剔格，而非持續的義務。模型會重新訓練、應用場景會擴大、資料流會改變，因此管治必須持續。

第三個錯誤是影子 AI：員工在任何政策之外，用公開的 AI 工具處理客戶資料。生產力促進局的數據顯示，AI 使用在許多公司已近乎普及，這意味着風險早已在大樓之內。

第四是略過文件記錄。若你無法在紙面上展示風險評估與合法依據，當 PCPD 查問時，你便無法證明問責。

給企業領袖的策略總結

個人資料條例下的 AI 合規，並非創新的剎車掣，而是讓你能擴展 AI 而不必賭上公司聲譽的條件。框架已經存在，原則可以掌握，而 2026 年就代理式 AI 的指引，已告訴你監管的去向。

由一開始就把管治建進去的領袖，反而走得更快，因為他們不必為每一個試點停下來做緊急法律審查。

你不必獨自解讀這一切。懂AI的冷，更懂你的難，UD 同行28年，讓科技成為有溫度的陪伴，與你一起部署既進取又站得住腳的 AI。

部署既進取、又合規的 AI

了解了義務所在，下一步是評估你的機構實際處於哪個位置。UD 團隊手把手帶你完成每一步，從 AI 準備度與資料管治評估，到符合個人資料條例的部署與持續監督，28 年香港企業服務經驗，全程陪你走。