【明報社評】生成式人工智能(AI)發展迅速,既為人類帶來無限可能,也帶來不少潛在問題,除了版權爭議,私隱風險同樣不能忽視,之前就有跨國企業員工因為不當使用生成式AI工具,導致公司機密外泄;另外,AI模型訓練需要大量數據,不當蒐集及使用數據,有可能嚴重侵犯個人私隱,甚至炮製出大量不實、誤導或帶有偏見的內容。隨着愈來愈多公司引入生成式AI工具,規管及引導正確使用,是必須認真處理的課題。私隱專員公署最新公布的《僱員使用生成式AI的指引清單》,向前踏出重要一步,當局有必要加強宣傳推廣,提高企業和市民意識,同時積極借鑑內地及海外經驗,為日後立法規管早作準備。
僱員使用AI指引
着眼資料蒐集應用
以往的AI系統,大多專注於自動化及大數據分析決策,生成式AI則可根據輸入的內容及提示,生成出儼如人類創作的新內容,並以聊天機械人、搜索引擎和圖像生成網上平台等方式供人使用。生成式AI可以協助起草文件、回應查詢,以至為客戶製作個人化內容,若能善加運用,可為各行各業大大提升效率,開拓嶄新發展空間及機遇。根據生產力促進局及私隱公署去年底公布的調查,目前本港約有兩成企業在營運中使用AI,當中以大企業使用率較高,達到43%。DeepSeek今年初平地一聲雷冒起,內地及本港企業使用生成式AI,預料更將迎來爆發增長。
現時本港企業應用生成式AI,以聊天機械人或文字辨識工具為主,一些部門及僱員也可能會用AI工具提升工作效率。可是AI使用愈益普遍,也帶來不少新問題。舉例說,現在不少圖片都由AI生成,但版權誰屬未必黑白分明,鑑於生成式AI模型訓練需要用上大量資料,當中有部分可能屬版權材料,如何平衡版權持有人利益和AI發展需要,便是一個複雜問題。政府稍後將提交修例草案,完善《版權條例》下對人工智能技術發展的保障,具體內容還須拭目以待。另外,有關生成式AI訓練及應用可能涉及的私隱和道德問題,同樣惹人關注。
私隱公署先後於2021年及去年發布《開發及使用人工智能道德標準指引》和《人工智能 (AI):個人資料保障模範框架》,兩者均偏向是框架性的文件,相比之下,最新公布的《僱員使用生成式AI的指引清單》(下稱《指引》),內容更趨具體。公署建議企業制定使用生成式AI政策,包括訂明授權使用的人員類別、獲准使用的AI工具及用途範圍(諸如起草、總結資訊、生成文本等),以及列明可輸入和禁止輸入的資料(例如個人資料)、輸出資訊的獲准用途及儲存方式、所適用的資料保留政策等。
生成式AI採用深度學習技術,在沒有監督情况下,自行分析和學習大量非結構化數據,這些數據大多來自互聯網,當中除了可能有版權材料,部分更可能含有敏感個人資料。生成式AI訓練求「材」若渴,近年外界其中一個關注的問題,就是用戶在社交媒體上的個人材料,會否在不知情或未經同意下被蒐集及運用。此外,任何上傳到生成式AI工具的內容,包括用戶與聊天機械人的對答內容,也有可能成為AI模型訓練數據,倘若用戶無意中向系統提供敏感資料諸如個人履歷等,相關資料亦有可能被濫用,甚或成為大語言模型系統的一部分,覆水難收。
平衡發展與安全需要
為日後立法規管準備
另一個可能導致敏感資料外泄的場景,是企業不當輸入資料。兩年前,韓國三星電子便曾經出事,有員工為了做分析,將公司敏感資訊輸入ChatGPT系統,導致資料外泄。對不少企業而言,生成式AI工具用途確很廣泛,既可用於客服查詢,又可用來分析客戶群消費模式等,然而企業有責任確保使用過程不會令客戶敏感私隱外泄,不應允許聊天機械人索要客戶姓名及聯絡資料,運用AI工具做資料分析或模型訓練時,亦不應隨便將客戶個人資料放入系統。
水能載舟,亦能覆舟,企業和機構須以負責任的態度使用生成式AI工具。《指引》強調機構應教育僱員如何有效及負責任使用AI工具,包括說明工具的能力及限制,訂明僱員不能使用AI工具作非法或有害的活動,同時有責任校對及查核事實,核實AI生成的結果是否準確,並對帶有偏見或歧視的生成結果加以糾正,凡此種種,都是合理要求。私隱公署調查稱,大多數受訪企業都關注到AI應用帶來的私隱風險,大企業在這方面相信會比較願意投入資源加強把關,然而中小企人手有限,網上保安亦未必很嚴,隨着愈來愈多中小企投身AI潮流,當局有必要加強宣傳推廣,提高保障私隱資料及慎用AI工具的意識。
放眼世界,各地對監管生成式AI取態不一。歐盟已率先訂立《人工智能法案》,根據可能構成的社會風險,監管AI在不同範疇的應用,風險愈高規管愈嚴,惟亦有人擔心管得太緊會限制創新速度;美國傾向放任自流,寬鬆的監管有利創新,但可能犧牲了私隱和安全。內地則嘗試走中庸之道,目前尚未出台針對AI的獨立法律,但有暫行管理辦法,就AI應用及倫理規範等提出要求。對香港而言,現階段立法規管,也許言之尚早,然而當局必須及早籌謀,密切留意各地經驗,為日後立法規管做準備。