PCPD 2026 AI 私隱合規清單：香港企業用 AI 前要先做哪 6 件事？

PCPD 2026 AI 私隱合規清單：香港企業用 AI 前要先做哪 6 件事？

一間香港零售公司想把 WhatsApp 查詢、會員資料和網店訂單交給 AI 整理；一間教育機構想用 AI 幫學生配對課程；一間專業服務公司想讓 AI 先草擬客戶跟進紀錄。這些想法都很實用，但管理層很快會遇到同一個問題：如果 AI 接觸到客戶姓名、電話、購買紀錄、報名資料或合約內容，誰負責決定可以讀甚麼、保留多久、出錯時怎樣處理？

這不再是遙遠的合規題。香港個人資料私隱專員公署（PCPD）在 2026 年 5 月 19 日公布新一輪 AI 個人資料私隱合規檢查結果，檢查涵蓋 60 間機構，包括銀行、教育、零售、物流、物業管理、餐飲、會計、創科及公共服務等行業。PCPD 指出，60 間受檢機構中有 57 間，即 95%，已在日常營運使用 AI；當中 24 間透過 AI 系統收集或使用個人資料。

對香港企業來說，重點不是「可不可以用 AI」，而是「用 AI 前是否已經有足夠治理」。以下 6 件事，可以作為 SME、營運團隊和 IT manager 的 AI privacy governance 起步清單。

1. 先建立 AI inventory，不要讓工具在部門之間失控

很多公司第一次發現 AI 風險，不是因為正式系統出問題，而是因為不同部門已經各自試用工具。市場部用 AI 寫廣告，客服用 AI 整理客戶查詢，HR 用 AI 改招聘內容，管理層用 AI 總結報表。每一個工具單獨看都像是小事，但加起來就是一個沒有盤點的資料處理環境。

PCPD 的 Model Personal Data Protection Framework 建議企業建立 AI strategy 和 AI inventory，清楚列出公司使用甚麼 AI 系統、用途是甚麼、會否涉及個人資料、由哪個部門負責，以及是否由第三方供應商提供。

實務例子：一間診所或教育中心可以先用表格列出所有 AI 使用場景，例如「客服回覆草稿」、「課程推薦」、「內部會議記錄摘要」。每一項都標明資料來源、是否包含身份證明、付款紀錄或健康資料，以及輸出是否需要職員審批。這份 inventory 不一定複雜，但它是後續權限、合約、培訓和風險評估的基礎。

2. 分清楚 AI 只是輔助，還是正在處理個人資料

不是所有 AI 用法都同樣高風險。用 AI 改寫一般市場文案，和用 AI 分析客戶投訴、會員消費紀錄或求職者履歷，是兩個完全不同的風險層級。

PCPD 在 2026 年 5 月 19 日的結果中提到，24 間透過 AI 系統收集或使用個人資料的機構，涉及的 AI 系統包括 chatbot、OCR、文字/圖片/影片/簡報生成工具和數據分析工具。這提醒企業：只要 AI 工具會讀取、整理、轉換或輸出與個人有關的資料，就應該納入私隱治理，而不是只當成普通辦公軟件。

實務例子：物流公司可以用 AI 產生一般「送貨延誤通知」模板，風險較低；但如果 AI 要讀取客戶地址、電話、訂單號碼和派送時間，再生成個別回覆，就已涉及個人資料處理。這時候應先確認收集目的、資料保留期、供應商處理方式和職員覆核流程。

3. 把 PICS、私隱政策和資料保留期寫清楚

企業採用 AI 後，很多既有文件需要更新，包括 Personal Information Collection Statement（PICS）、私隱政策、內部資料保留表和供應商合約。PCPD 的檢查結果顯示，受檢而透過 AI 收集或使用個人資料的機構，均在收集個人資料時或之前提供 PICS；但只有約 29% 在 PICS 中列明會使用 AI 工具處理個人資料。

這對 SME 很有啟示。公司未必一開始就要寫很長的 AI 政策，但至少要讓客戶、員工或會員知道：資料為甚麼被收集、會否交由 AI 工具處理、會否轉交第三方、保留多久，以及在甚麼情況下刪除。

實務例子：一間網店如果用 AI 客服整理客戶查詢，可以在收集資料頁面和私隱政策補充 AI 處理用途，例如「用於分類查詢、草擬客服回覆及改善服務流程」。同時，系統上應設定查詢紀錄的保留期，例如完成售後服務後按既定規則刪除或匿名化，而不是無限期留在客服工具內。

4. 為員工使用 GenAI 設定邊界，而不是只靠口頭提醒

很多 AI 風險來自人手 copy and paste。員工把客戶資料貼入未經批准的 AI 工具，可能只是想快一點完成報告，但公司很難事後追蹤資料去了哪裡。

PCPD 的 2026 檢查指出，在 24 間透過 AI 系統收集或使用個人資料的機構中，全部都容許員工在工作中使用生成式 AI；當中約 71% 已制定內部政策或指引，另外約 21% 計劃制定。這個數字說明 GenAI employee policy 已經不再是大型企業才需要的文件。

實務例子：一間會計或專業服務公司可以把員工 AI 使用分成三類：可用、需批准、不可用。可用包括改寫不含客戶資料的電郵語氣；需批准包括整理匿名化後的客戶查詢趨勢；不可用包括把完整合約、身份證明、財務報表或未公開商業資料貼入個人 AI 帳戶。政策應配合實際工具權限和培訓，否則只是一份無人執行的文件。

5. 高風險流程要有人在迴路中，並保留審批紀錄

AI 可以提高效率，但不應在所有情況下自動作決定。PCPD 的結果顯示，涉及個人資料的受檢機構中，約 79% 採用 human-in-the-loop，由人保留決策控制，以防止或減低 AI 出錯或作出不當決定；其餘則採用 human-in-command，由人監察系統運作並在需要時介入。

對香港企業來說，最實際的做法是把 AI 權限分成三層：可讀取、可建議、可執行。越接近付款、合約、投訴、拒絕服務、員工評核或敏感個人資料，就越需要人工審批。

實務例子：物業管理公司可以讓 AI 先把住戶維修申請分類，例如水喉、電力、升降機或保安問題；但涉及扣款、投訴回覆、個人資料更正或事故責任的決定，應由職員審批後才發出。系統亦應記錄誰審批、何時審批、改了甚麼內容，日後才有審計線索。