AI 與《個人資料條例》：2026 香港企業合規框架完整指南

香港企業領袖在 AI 與《個人資料條例》上必須做的選擇

你現在面對三個選項：依靠現有的私隱政策，並寄望它能涵蓋 AI；快速進行差距分析，處理明顯的問題；或者建立一套基於私隱專員公署 2026 年框架的結構化 AI 合規計劃。正確的選擇，取決於你的 AI 系統距離成為監管焦點還有多久，而答案比大部分董事會所假設的要更早。

香港個人資料私隱專員公署於 2024 年與 2025 年陸續發布指引。根據多家香港法律業界 2026 年的分析，公署正將重心由發布指引，轉向實際執法。責任已落在企業身上，是時候交付成果，而非繼續研究。

本文將梳理你的企業所需要的框架、六項資料保護原則在 AI 上的具體應用，以及一份可以帶入下次董事會會議的務實合規檢查清單。

私隱專員公署的四級 AI 風險分類是什麼？

《香港生成式人工智能技術及應用指引》將 AI 應用情境分為四個風險級別。分類結果決定該應用情境所需的治理深度、文件量，以及人為監督程度。將所有 AI 應用一視同仁，是最常見的合規設計錯誤。

不可接受風險：侵犯基本權利的 AI 應用，例如員工社會評分，或暗中操縱客戶行為。這類應用不應部署。

高風險：用於聘僱決策、信貸評分、醫療管理或關鍵基建的 AI。強制人為監督、完整審計記錄與影響評估，均屬必要。

有限風險：用於客戶服務、行銷個人化或內部生產力的 AI。透明度義務與資料最小化原則適用，但文件負擔較輕。

低風險：用於拼字協助、會議摘要或無涉決策的通用內容草擬的 AI，個人資料並未在決策過程中被處理。

六項資料保護原則如何適用於 AI？

《個人資料（私隱）條例》自 1996 年起為香港法律，其六項資料保護原則並非為 AI 而寫。私隱專員公署於 2024 年與 2025 年的指引，將每項原則轉化為 AI 專屬的義務，而你的合規團隊必須將其落實。

原則一 — 收集目的與方式：輸入 AI 系統的個人資料，必須出於特定目的，並以合法及公平的方式收集。在未告知的情況下將員工聊天記錄掃入模型訓練管道，違反原則一。

原則二 — 準確性與保留：AI 系統內的資料必須準確，且不可保留超過必要的時間。一個無限期保存過時人事記錄的向量資料庫，並非技術便利，而是原則二的問題。

原則三 — 個人資料的使用：AI 不可將資料用於原本告知範圍以外的新目的，除非取得明確同意。在客戶未獲告知的情況下，將客戶服務對話記錄用於訓練銷售模型，違反原則三。

原則四 — 保安：合理的保安措施完整適用於 AI，與任何資料庫無異。提示注入、模型抽取，以及未經保護的檢索管道，現在已是安全周界的一部分。

原則五 — 一般公開資訊：你的私隱政策必須清楚披露 AI 的使用、涉及的個人資料類型，以及保留期限。2026 年，「我們可能會使用科技」這類籠統字眼已無法為公司辯護。

原則六 — 查閱與修改：資料當事人保留查閱與修正其個人資料的權利，包括 AI 已記憶的資料。在系統中欠缺逐用戶資料刪除機制，屬於原則六的設計缺陷。

香港企業最常見的五個 AI 合規漏洞是什麼？

在 2026 年的審計中，香港金融服務業、專業服務業與物流業反覆出現五個合規漏洞。每一個都可以解決，前提是領導層知道要去找。

--- 供應商同意條款模糊：企業簽訂了允許供應商將客戶資料用於模型改善的 SaaS AI 合約，卻沒有退出機制。
--- 影子 AI 工具：員工在個人裝置上使用消費者版 ChatGPT 或 Gemini 帳戶，將受《個人資料條例》規管的資料置於任何治理之外。
--- 私隱影響評估不足：現有的私隱影響評估範本是為靜態資料庫設計的，並未涵蓋訓練、微調、檢索或記憶。
--- 欠缺刪除路徑：當客戶根據原則六提出刪除要求時，AI 的長期記憶與嵌入向量無法被選擇性清除。
--- 沒有模型紀錄：企業無法以書面說明，目前生產環境中有哪些 AI 模型、它們以什麼資料訓練、以及誰核准了它們的部署。

符合公署要求的 AI 私隱影響評估，應包含哪些內容？

一份 AI 系統的私隱影響評估，必須回答傳統資料庫評估從未問過的問題。公署所發布的檢查清單，以及富而德 2026 年針對公署代理式 AI 指引的分析，均強調幾個非傳統章節，是企業領袖應該要求的。

資料流向章節必須追蹤個人資料從收集、提示組裝、檢索、模型推論、記憶儲存，到最終刪除的完整路徑。一張流向圖現在已是預期標準。

決策影響章節必須分類 AI 輸出是否影響對個人的決策。如果是，必須指明人為審核者與申訴路徑。

供應商章節必須記錄模型的託管地點、日誌儲存地點，以及哪些司法管轄區擁有存取權。對於有跨境業務的香港企業而言，這已不再是可選的補充說明。

生命週期章節必須訂明私隱影響評估的覆審時間。AI 系統會隨底層模型、檢索索引與提示的演進而漂移。一份在部署時凍結的私隱影響評估，六個月內便會淪為合規虛構。

企業領袖應如何向董事會匯報 AI 與《個人資料條例》的合規狀況？

2026 年的董事會，不再滿足於一句「我們符合所有適用法律」的投影片。他們要求具體的風險定位、具體的補救路線圖，以及具體的時間表。一個三段式的匯報結構，適用於香港董事會場景。

第一段是現況地圖。列出生產環境中每一個 AI 系統，將其分類至公署的四個風險級別之一，並指出哪些系統目前尚未完成私隱影響評估。

第二段是漏洞與風險敞口摘要。針對每一個尚未完成私隱影響評估的高風險或有限風險系統，量化最壞情況下的監管風險與聲譽風險。董事會看得懂風險敞口，但對抽象論述不感興趣。

第三段是補救路線圖。依風險權重排序漏洞、指派負責人，並承諾董事會可以追究管理層的具體日期。董事會對具體日期的接受度，遠高於對形容詞的接受度。

在簽訂涉及《個人資料條例》的 AI 合約前，你應該問供應商什麼？

2026 年向香港企業銷售 AI 的供應商，必須能回答與《個人資料條例》直接對應的具體問題。如果供應商無法回答，合規風險並不會消失，而是轉移到你的企業身上。

--- 我們的提示、檢索文件與模型輸出，具體儲存在哪裡？在哪些司法管轄區？
--- 你們能否在合約中明確將我們的資料排除於模型訓練與微調之外？並如何在審計中證明此排除？
--- 你們的逐用戶、逐記錄刪除機制是什麼？我們提出刪除要求後，資料實際從你們系統消失需要多久？
--- 在香港《個人資料條例》洩漏通報期望下，你們承諾的事件通知時程為何？
--- 你們是否提供一份直接引用原則一至原則六的香港專屬資料處理協議，而非通用 GDPR 樣板？

結語：合規即是香港 2026 AI 市場的競爭優勢

2026 年在 AI 上行動最快的企業，並非省略合規工序的那批，而是早早建立結構化合規計劃的企業。如此一來，每一個新的 AI 應用情境，都可以套入已知的框架，而不必每次都觸發倉促的法律審查。

私隱專員公署從指引轉向執法，並非對 AI 雄心的限制，而是邀請企業以持續性 AI 優勢所需的紀律去運作。將四級風險模型與六項原則視為設計工具的企業，將會領先那些每次公署更新都當作消防演習的競爭對手。

懂 AI 的冷，更懂你的難 — UD 同行 28 年，讓科技成為有溫度的陪伴。合規正是你工作中那些艱難的部分，而這正是熟悉香港監管節奏的夥伴所能發揮真正價值之處。

建立符合《個人資料條例》的 AI 部署

合規框架只有在轉化為員工真正使用的部署時，才有實際價值。UD 的 AI Staff Solution 由第一天起便圍繞香港《個人資料條例》要求設計，內建角色範圍資料存取、可審計日誌記錄，以及可配置的保留期限控制。我們手把手帶你完成每一步，由風險分類、私隱影響評估文件，到實際部署，憑藉 28 年香港企業服務經驗，全程陪你走。