應對生成式AI帶來的私隱及道德挑戰

個人資料私隱專員兼香港會計師公會資深會員鍾麗玲，探討會計專業如何在引入生成式AI的同時，管理好當中的私隱及道德風險

隨着各行各業營運業務時引入生成式人工智能（AI），會計行業亦不例外。今年7月，一家世界知名的會計師事務所宣佈將投入至少20億美元用於開發雲端和生成式AI工具。今年10月，另一家知名事務所亦推出了一款AI聊天機器人，聲稱其能力可媲美行內資深人士。

儘管生成式AI有望重塑我們的工作方式，並釋放新的增長潛力，但它是否毫無風險？

首先，甚麼是生成式AI？根據其中一個知名應用程式ChatGPT所給的答案，它是「人工智能的一種類別，可透過數據從中學習，並將之生成新內容，例如圖片、文字或音樂，這些內容類似但不同於所依據的相關學習數據。」

生成式AI用途廣泛。舉例說，它可以「讀取」文件，將發票轉換成系統上的支出；它可以分析大量文件，例如年度報告和財務報表，發現為人類所忽略的規律，例如支出賬戶中的異常情況；它還可協助分析工作，通過預測付款行為模式來提升現金流管理。最後，它還可以編寫一些針對特定情境的報告，包括稅務協議和回答客戶查詢。這些功能有望為會計行業帶來眾多潛在好處，例如提高效率、提升準確度、降低成本、加強決策能力，以及提高客戶滿意度和合規水平。

私隱陷阱及道德風險

儘管生成式AI正對會計實務帶來革命性的改變，但大家在應對隨之而來的私隱和道德挑戰上仍然非常重要。我們可以參照《個人資料（私隱）條例》中的保障資料原則，以分析當中所牽涉的私隱風險。該六項原則涵蓋了個人資料處理的整個生命週期。

第一個風險涉及資料收集。訓練生成式AI模型需要大量數據。如果收集此類資料的原本目的並不包括AI模型訓練，則可能違反了以公平方式和在知情的情況下收集個人資料之收集和具透明度原則（即保障資料第1及第5原則）。

與生成式AI工具的互動亦會帶來另一個風險。用戶輸入的內容，例如客戶查詢，可能會包含如身份證號碼等敏感信息。如果這些資料被用於「新目的」，即訓練生成式AI，則可能違反限制使用的原則（保障資料第3原則）。

鑒於模型訓練需要海量資料，第三個私隱風險涉及用戶能否查閱及更正其個人資料（保障資料第6原則），以及控制資料保留的可行性（保障資料第2原則）。

第四個風險有關於資料的保安（保障資料第4原則）。生成式AI系統存儲了大量用戶對話，亦容易遭受「越獄」破解，令到洩露客戶信息的後果不容忽視。

最後，生成式AI會帶來道德風險。訓練數據之多令我們難以從輸出數據追尋回特定的輸入數據，因此，詮釋生成式AI所作的決策亦甚具挑戰性。此外，當數據集存有偏見或包含歧視性信息時，生成式AI模型亦可能給予錯誤陳述。

指引及監管

為了營造一個能讓AI發展和運作並同時尊重私隱和保障資料的環境，世界各地已提出或實施了一些法律與法規。前者包括歐盟提議的《人工智能法案》，而後者包括內地制訂的《生成式人工智能服務管理暫行辦法》，後者是全球首條專門針對AI生成內容的法規。

除法規外，政府和監管機構還發佈了有關採用與發展AI的指引和建議。在撰寫本文時，內地剛剛推出了《全球人工智能治理倡議》，概述了我國對AI治理的倡議。而於本港，香港個人資料私隱專員公署於2021年8月發佈了《開發及使用人工智能道德標準指引》（指引）。

該指引概述了在尊重私隱和盡可能降低道德風險前提下採用AI的框架，旨在促進AI的安全、健康和合乎道德的開發和使用。為了實現這一目標，該指引提出了三組建議，包括（a）三項數據管理價值（尊重、互惠和公平）；（b）七項道德原則（問責、人為監督、透明度與可解釋性、數據私隱、公平、有益的AI，以及可靠、穩健和安全）；和（c）包含四個步驟的實務指引，包括建立內部管治架構、進行全面的風險評估、實行AI模型的開發及管理系統，以及與持份者進行良好溝通。

此外，我們建議AI開發者或用戶採用個人資料私隱管理系統。這系統基本上是一個管理框架，令機構可負責任地收集、持有、處理及使用個人資料。該系統強調三個組件：機構的決心、適當的系統管控措施，以及持續評估及修訂，旨在加強機構的數據安全，讓他們能夠管理與AI相關的私隱風險。

會計師發揮的作用

作為專業會計師，無論大家是在商業機構工作還是私人執業，都需要理解和應對生成式AI為會計行業帶來的革命性改變。很多時候，會計師會負責與資訊科技團隊溝通，又或是負責監督或審查資訊科技團隊，以確保機構的資訊系統運作暢順與安全。因此，我們需要積極進行研討，應對挑戰，建立一個精通科技、更為強大的會計行業。

本文為編譯版本，原文Navigating the privacy and ethical challenges of generative AI首發於香港會計師公會會員雜誌《A Plus》2023年第4期。