東網電視
更多新聞短片
1/4
隨着現今生成式人工智能(Generative AI)時代,網絡攻擊對數據管理的威脅愈來愈大,包括身份安全風險、機器身份,以及數碼生態系統的第三方和第四方風險。個人資料私隱專員公署今日(31日)發表《僱員使用生成式AI的指引清單》,協助機構制訂僱員工作時使用生成式AI的內部政策或指引,遵從《私隱條例》相關規定。
私隱署建議,機構需訂明獲准使用的生成式AI工具,包括公眾可用或內部開發的工具,獲准許的用途,如列明可用AI的員工起草、總結資訊等。機構亦需提供清晰指示,說明批准及不可輸入生成式AI工具的資訊種類及數量,例如是否包含個人資料或其他資料。
私隱署又建議,機構訂明僱員不能進行非法或有害的活動使用生成式AI工具,強調僱員有責任透過校對及查核事實等方式,核實生成結果是否準確,並訂明僱員違反政策或指引可引致的後果。
此外,私隱署亦公布一宗有關俊思管理有限公司資料外洩事故的調查結果。私隱署表示,俊思於去年5月31日向私隱署通報資料外洩事故,俊思於去年5月15日收到黑客的勒索訊息,聲稱竊取其資料並威脅出售相關資料。調查發現,黑客於去年5月4日入侵一個俊思於去年4月24日在防火牆設立的臨時用戶帳戶,黑客利用相關帳戶取得進入俊思網絡的訪問權限,並在俊思的網絡進行橫向移動,利用一個應用程式伺服器上已終止支援的操作系統的保安漏洞,進一步入侵網域控制器及其他載有個人資料的伺服器。外洩事件導致約68GB的資料從俊思的網絡外洩,共4台伺服器及5個系統帳戶被入侵。
外洩事件牽涉俊思營運的兩個會員計劃,分別為ICARD會員計劃及Brooks Brothers會員計劃,合共影響127,268名人士的個人資料,包括100,185名ICARD會員、27,069名Brooks Brothers會員、14名俊思現職僱員及前僱員等。涉及的個人資料包括會員的姓名、電郵地址、電話號碼、出生月份、性别及國籍,以及僱員的護照副本等。
俊思在外洩事件發生後已通知所有受影響的資料當事人,並為受影響的資料當事人提供支援,俊思亦採取一系列的補救措施以提升系統安全。私隱專員已向俊思送達執行通知,指示其採取措施以糾正違規事項,以及防止類似違規情況再次發生。
個人資料私隱專員公署發表《僱員使用生成式AI的指引清單》。(黃仲民攝)
Brooks Brothers部分會員受外洩事件影響。(黃仲民攝)
私隱署建議,機構需訂明獲准使用的生成式AI工具獲准許的用途。(黃仲民攝)
