鍾麗玲：員工忽視AI風險私隱面臨挑戰

數碼浪潮下的隱憂：員工使用AI的私隱挑戰與應對之道

隨著人工智能（AI）的觸角深入職場，許多企業和員工正積極擁抱這項創新技術，以提升效率、激發創意。然而，在這股勢不可擋的浪潮下，個人資料私隱專員鍾麗玲女士發出了重要的提醒：員工在使用AI時往往忽略潛藏的風險，而企業若未能提供適切的指引，將可能引發嚴重的私隱危機。這不僅是技術層面的問題，更關乎企業責任、員工認知以及個人資料保護的基石。我們必須正視這個課題，深入剖析箇中風險，並探索建構安全的AI使用環境之道。

AI普及帶來的雙面刃

人工智能，尤其是生成式AI，已不再是遙不可及的未來科技，而是許多員工日常工作中可能接觸甚至依賴的工具。從協助撰寫電郵、生成報告摘要，到進行數據分析、設計圖像，AI的應用場景日益豐富。它的便捷與高效，讓許多人趨之若鶩。然而，這種「隨手可得」的便利性，恰恰掩蓋了其背後的潛在風險。

許多員工可能並未意識到，他們在使用AI工具時，不經意間就可能將敏感的客戶資料、公司的機密信息，甚至是個人的隱私數據輸入到AI系統中。這些數據在經過AI處理的過程中，存在被不當使用、洩露或儲存的風險。更令人擔憂的是，部分員工可能是在缺乏公司明確規定的情況下自行摸索使用AI，對於哪些資料可以輸入、哪些行為應避免，一無所知，這無疑是為資料外洩埋下了隱患。

私隱專員的洞見：風險在於「不留意」與「欠引導」

個人資料私隱專員鍾麗玲女士的觀點一針見血地指出了問題的核心：風險源於員工的「不留意」以及企業的「欠適切引導」。她強調，儘管不少機構對資訊安全風險有基本意識，甚至部分大型機構已設立內部架構來審視及降低AI使用風險，但整體而言，情況並不理想。特別是中小企，可能缺乏足夠的資源和專業知識來制定相關的AI使用政策。根據公署的調查，發現只有少於三成的機構已經制定與AI相關的員工指引，這顯示絕大多數企業在這方面仍有很大的進步空間。

這種情況下，員工在缺乏明確指引的情況下使用AI，就像在沒有交通規則的道路上開車，危險程度可想而知。他們可能不知道某些免費或公共AI工具的資料使用條款，不了解輸入的數據是否會被用於訓練AI模型，也不知道一旦發生資料洩露會有什麼後果。這種「無意識」或「低意識」的使用行為，是當前職場AI私隱風險最令人擔憂的一環。

潛在的私隱風險具體範疇

員工在缺乏指引下使用AI可能帶來的私隱風險是多方面的：

敏感資料輸入風險： 員工可能在無意中將包含個人身份資訊（姓名、聯絡方式、證件號碼等）、財務資料、健康狀況等敏感客戶或員工資料輸入到AI工具中，導致這些資料被第三方AI服務提供者獲取或處理。
公司機密資料洩露： 員工為提高工作效率，可能將公司的業務計劃、技術細節、客戶名單等機密資訊輸入AI進行分析或生成內容，這會導致公司重要的商業秘密面臨洩露風險。
訓練數據導致偏見或不準確： 如果員工使用帶有偏見或不準確的數據訓練或使用AI，不僅可能產生有偏見的結果，也可能將這些偏見固化到AI模型中，進而影響後續的使用和決策。
缺乏追蹤和監管： 在缺乏內部政策的情況下，企業難以追蹤員工如何使用AI、輸入了哪些資料，一旦發生問題，難以回溯和追查責任，增加了應對風險的難度。
合規性風險： 將個人資料輸入AI處理，必須符合《個人資料（私隱）條例》的相關規定，例如資料的使用目的需要與收集時的目的相符，或者需要取得資料當事人的同意。若員工不了解這些法規要求，可能導致企業違反法規，面臨法律訴訟和罰款。

建構防線：公署的指引與企業的責任

為了應對這些挑戰，個人資料私隱專員公署已於今年3月31日發布了《僱員使用生成式AI的指引清單》，旨在協助機構制定僱員在工作時使用生成式AI的內部政策或指引。, 這份為期三頁的清單系統地闡述了五個關鍵要素：使用AI的範圍、保障個人資料私隱、合法和合乎道德使用避免偏見、數據安全，以及違反指引的後果。, 鍾麗玲女士期望這份清單能像「執藥方」一樣，幫助企業根據自身情況制定適切的內部政策，讓員工能夠更安全地使用AI，同時釋放其最大潛力。

這份指引清單的發布，是為企業構建AI使用安全防線提供了重要的藍本。企業應積極參考並落實其中的建議，具體行動應包括但不限於：

制定清晰的使用政策： 明確列出員工可以使用哪些經批准的AI工具（包括公共或內部系統），以及允許使用的具體情境和用途。同時，應清楚說明禁止使用的AI工具和場景。

界定可輸入的資料範圍： 詳細說明員工在使用AI時可以輸入的資料類型和數量，特別要強調哪些個人資料或敏感信息絕對禁止輸入。應提醒員工在輸入資料前審慎評估風險，並考慮使用匿名化或去識別化的數據。

加強員工培訓和意識提升： 定期對員工進行關於AI使用風險、公司內部政策以及個人資料保護法規的培訓。提升員工的私隱意識，讓他們理解為何要遵守相關規定，以及違規可能帶來的後果。

建立監管和審核機制： 考慮建立適當的機制，對員工的AI使用行為進行監管和審核，以便及時發現和處理潛在的風險或違規行為。

設立內部查詢和報告渠道： 建立暢通的內部溝通渠道，鼓勵員工在使用AI過程中遇到疑問或發現潛在風險時，能夠及時向負責部門查詢或報告。公署也設立了AI安全熱線，供企業諮詢。,

持續更新政策： 鑑於AI技術的快速發展，企業應定期審視和更新其AI使用政策，確保其時效性和有效性，以應對不斷出現的新風險。

未來展望：協同合作與持續教育

應對員工使用AI帶來的私隱風險，需要企業、員工和監管機構的共同努力。企業需要承擔起建立安全使用環境的主體責任，員工則需要提高自身的私隱意識和風險辨識能力。監管機構如個人資料私隱專員公署，則通過發布指引、提供諮詢和進行執法，為AI的合規使用提供指引和保障。

鍾麗玲女士強調，公署有權介入AI相關的事故，並會通過發表報告、公開譴責甚至發出執行通知等方式來處理違規行為，如果機構違反執行通知，可能構成刑事罪行。然而，她也指出，公署更希望能夠在事件發生前做好預防工作，因此積極推動教育和推廣，而非僅僅扮演「老虎」的角色。,

長遠來看，將AI安全和私隱保護的教育融入更廣泛的教育體系中，例如在中小學教育中滲透如何正確使用AI和保護個人私隱的內容，將有助於提升整個社會對AI風險的認知水平。

總結而言，員工不留意使用AI風險以及企業缺乏適切引導所帶來的私隱風險，是當前數碼化轉型中不容忽視的挑戰。企業應積極響應私隱專員的呼籲，參考公署發布的指引，迅速行動起來，建立健全的內部政策和管理機制。同時，加強對員工的教育和培訓，提升全員的私隱保護意識。只有企業和員工攜手合作，才能在這波AI浪潮中行穩致遠，在享受技術便利的同時，有效保護個人資料的私隱與安全。這不僅是對法規的遵守，更是企業負責任的體現，是贏得客戶和員工信任的關鍵所在。