4月15日是「全民國家安全教育日」,香港政府及社會不同大小團體連日舉辦多個活動,推廣「國家安全」在香港的重要性及必要性。我編寫及利用電腦程式卅多年,專注「自然語言處理」(Natural Language Processing, NLP),深知資訊安全對有關運作的關鍵性。近十多年,「人工智能」應用系統是利用「深度學習」(Deep Learning, DL)算法,從大量訓練數據而生成的。
所謂「垃圾入,垃圾出」(Garbage In Garbage Out),如果訓練數據內容帶有虛假、偽造、侵犯個人私隱等訊息的話,最終訓練出來的系統便難以可靠,運作潛在不少安全風險。正因如此,「人工智能安全」是國家安全20個重點領域之一,對此香港政、產、學、研、用、投各業界的人工智能用家均不容掉以輕心。
國務院總理李強在今年第十三屆三次全國兩會中發表了《政府工作報告》,提出「持續推進人工智能+行動」為今年政府十大工作任務之一。「人工智能+」是指人工智能應用,以提升業界的生產力及服務水平。香港特區政府同樣重視人工智能,在2025/26財政年度《財政預算案》指出,「人工智能技術的迅速發展正在重塑全球經濟中長期格局,特別是其發展已不再局限於單一技術領域……這場科技變革不僅顛覆傳統的生產方式、商業模式及消費模式,更在重新定義不同經濟體、產業或企業的核心競爭力。」《財政預算案》更建議多項措施支持本地AI發展。黃議員去年曾向政府提交《制定人工智能+策略建議書》,建議政府制定全面的香港人工智能發展策略,推動人工智能在教育及醫療等不同領域的應用。他欣然見到今年《財政預算案》吸納了建議書內多項建議。
OmniGPT外洩3萬人私隱
人工智能已是全球大趨勢,但如果用戶處理數據時不謹慎的話,尤其是在個人私隱保維方面,人工智能便難免會產生安全事故,後果可大可小。例如,一個聊天機械人平台(OmniGPT)於今年2月遭遇黑客入侵,導致公司重大資料外洩,包括超過3萬名用戶的電子郵件地址和部分電話號碼,以及3400萬行的用戶聊天紀錄,當中包含不少敏感個人資料。
然而,根據「私隱專員公署」去年發表的《香港企業網絡保安準備指數及AI安全風險》調查報告指出,在受訪大型香港企業中有43%採用人工智能,大部分機構都意識到人工智能存在私隱風險,69%的企業認為在營運中使用人工智能會帶來顯著的私隱風險。可是,當中只有28%的企業有制定AI安全風險政策。公署認為這情況不如理想,反映出業界大有改進空間。有見及此,署方最近推出《僱員使用生成式AI的指引清單》,旨在協助企業及機構制定僱員在工作時使用生成式人工智能的內部政策或指引。
研發人工智能牽涉海量的訓練數據,在過程中難免會接觸到不少個人資料。因此,《指引》是以《個人資料(私隱)條例》相關規定為導向,以防資料外洩情況發生。理論上,「機器代人」是人工智能的終極目標。而在「法律之前人人平等」(Equality Before the Law)的大原則之下,無論是機械人或是實體人,在運作時它們的行為都要遵守法律,維護客戶個人私隱,所以《指引》制定建基於《私隱條例》無可厚非。
私隱署《指引》來得合時
《私隱條例》是「科技中立」的,保障個人資料的條文和原對收集、使用、儲存、保留及傳送個人資料的不同技術手段,包括人工智能、大數據分析等,都一視同仁。這些法例同樣適用於《指引》關注的「生成式AI」工具所涉及的個人資料。
概括而言,《指引》建議機構在制定保障個人資料私隱內部政策時可考慮以下幾點:
. 清晰說明可輸入至「生成式AI」工具的資訊之種類及數量,以及輸出資訊的獲准許用途,例如可否輸入和輸出個人資料;
. 訂明獲準使用的「生成式AI」工具的性質,例如它是公眾可用的、內部開發的、是商業授權的或是企業版的,因為不同性質的工具所提供的個人資料私隱及保安保障的程度都不同;
. 須訂明AI生成的資訊的用途、儲存方式及其保留政策;以及
. 說明僱員需遵從的相關內部政策,例如機構有關處理個人資料及資訊保安政策。
今年春節,中國製造的生成式AI DeepSeek橫空出世,顛覆全球。DeepSeek推行開源運作模式,而且應用成本低,因此業界相信DeepSeek將愈來愈普及化,應用深入社會各階層。正因如此,人工智能安全對香港發展很關鍵,所以私隱專員公署《指引》正來得合時。
沒有留言:
張貼留言