鍾麗玲(中)提醒，機構若使用公眾可用的生成式AI，並要在工具內保留資料，應該避免輸入機構內部機密資料。

【橙訊】個人資料私隱專員公署今日發表《僱員使用生成式AI的指引清單》，建議機構在內部政策中，訂明獲准使用的生成式AI工具，以及獲准許的用途，例如起草、總結資訊或生成文本等，並說明可輸入至生成式AI工具的資訊種類及數量，清晰指示輸出資訊的獲准許用途，以保障個人資料私隱。

私隱專員鍾麗玲表示，指引同時建議機構訂明僱員不能使用生成式AI進行非法或有害的活動，強調僱員有責任核實AI生成的結果是否準確，更正及報告帶有偏見或歧視的結果，亦應訂明僱員違反政策或指引可引致的後果。

鍾麗玲指，上月已向60間公共服務、金融等多個行業的機構開展循規審查，檢視機構使用人工智能時，是否符合《私隱條例》，期望在今年夏季發表結果。

鍾麗玲又提醒，機構注意資訊保安，若使用公眾可用的生成式AI，並要在工具內保留資料，應該避免輸入機構內部機密資料，涉及顧客資料時，亦須事先向他們說明資料使用目的及取得同意。

連卡佛旗下俊思的網絡被入侵，導致127,268名人士個人資料外洩。資料圖片

連卡佛旗下俊思資料外洩涉員工疏忽

私隱專員公署又發表連卡佛旗下俊思管理有限公司資料外洩事故的調查結果。調查發現，黑客於去年5月4日入侵一個俊思在防火牆設立的臨時用戶帳戶，黑客利用一個應用程式服器上已終止支援的操作系統的保安漏洞，入侵網域控制器及其他載有個人資料的伺服器。事件導致俊思共4台伺服器及5個系統帳戶被人侵，約68GB 的資料外洩，影響127,268名人士個人資料，包括100,185名ICARD會員、27,069名Brook Brothers會員及14名俊思現職及前僱員。涉及的個人資料包括會員的姓名、電郵地址、電話號碼、出生月份、性别及國籍，以及僱員的護照副本等。

鍾麗玲指，雖然俊思長期維持供遠端存取的帳戶存在被未獲授權的第三方入侵俊思網絡的風險，但由於員工疏忽，俊思未有在修復系統故障後適時刪除相關帳戶，最終導致黑客在設立相關帳戶的10天後利用相關帳戶入侵俊思的網絡。此外，俊思缺乏創建和管理此類臨時帳戶的標準程序，令刪除臨時帳戶與否完全依賴個別員工的做法。

鍾麗玲又說，相關應用程式伺服器的操作系統自2020年12月起不再獲安全更新，惟基於資源考慮，俊思原定在2024年底前才更換相關應用程式伺服器，相關伺服器暴露在風險中超過三年。這導致黑客得以利用相關服器中的保安漏洞入侵俊思的網絡，造成個人資料外洩。她指，俊思只在有需要時才檢查防火牆日誌，以致在收到黑客的勒索訊息前無法偵測到約68GB的資料從其網絡外洩。俊思亦沒有對載有個人資料的系統的保安狀況進行全面的評估及審計。

鍾麗玲指，該署建議機構應採用「最小權限」的原則及「角色為本」的存取管控機制，定期檢視帳戶權限及刪除不必要的帳戶；並停止使用已被終止支援的軟件，或適時更新軟件。署方亦建議實施有效措施以預防、偵測及應對網絡攻擊，從而減低資料外洩的風險，包括定期進行漏洞掃瞄、以及適時修補保安漏洞。