ARTICLE
2 July 2026

以香港为出海中枢的AI治理合规框架——PCPD模型框架运行两年后的规则演进、监管逻辑与企业应对

JT
Beijing Jincheng Tongda & Neal Law Firm

Contributor

Beijing Jincheng Tongda & Neal Law Firm (JT&N) is a large full-service law firm founded in 1992 and headquartered in Beijing. It was one of the first partnership-model law firms in China. To date, JT&N has strategically expanded its footprint across key regions of China's economic development and established overseas offices in Hong Kong, Tokyo, and Singapore.
香港正在成为内地企业部署境外AI业务的重要节点。与欧盟和内地不同,香港以《个人资料(私隐)条例》为底座,通过私隐专员公署发布的模型੭
Hong Kong Privacy
Zhu Kai’s articles from Beijing Jincheng Tongda & Neal Law Firm are most popular:
  • in Australia
  • with readers working within the Insurance industries
Beijing Jincheng Tongda & Neal Law Firm are most popular:
  • within Privacy, Antitrust/Competition Law and Tax topic(s)

引言

香港正在成为不少内地企业安排境外服务器、国际数据中心、区域运营总部和AI业务试点的重要节点。与欧盟以统一AI专门法进行风险分级监管、内地以数据合规、算法备案、生成式AI与深度合成规则并行监管不同,香港目前尚未形成统一的AI专门法,而是以《个人资料(私隐)条例》(Personal Data (Privacy) Ordinance,Cap.486,以下简称“PDPO”)为法律底座,由香港个人资料私隐专员公署(Office of the Privacy Commissioner for Personal Data, Hong Kong,以下简称“PCPD”或“私隐专员公署”)通过模型框架、合规检查、员工使用清单、AI Agent风险提示和Deepfake工具包逐步形成AI治理规则体系。1

由PCPD于2024年发布的《人工智能:个人资料保护模范框架》(Artificial Intelligence: Model Personal Data Protection Framework,以下简称“2024模型框架”)已经运行近两年的时间。本文以该框架运行后的香港治理现状为中心,分析PCPD的监管职能、2024模型框架的法律性质、软法规则的硬化路径,以及中国企业在香港部署AI系统时的合规重点。本文认为,香港AI治理的核心并非“无监管”或“低监管”,而是以个人资料保护、机构问责、风险评估、人工监督和持续审计为核心的中间型治理模式。2

01.问题提出:香港AI治理已经进入框架运行后的总结阶段

对以香港为出海中枢的企业而言,AI治理问题通常不是在企业注册之初即显现,而是在服务器选址、数据中心部署、国际客户运营、跨境团队协作和第三方AI工具采购过程中逐步暴露。企业往往先将香港理解为境外运营平台,再将AI系统视为提升客户服务、销售管理、研发协同或内部效率的技术工具。但一旦AI系统处理客户资料、员工资料、用户画像、交易行为、通信记录或企业知识库,香港个人资料保护规则即会介入。

香港AI治理的制度特点,是以个人资料保护法为底座,以监管机构发布的治理框架和场景工具为操作路径,以合规检查和持续审计推动规则落地。PCPD于2024年发布2024模型框架,目的在于协助机构在采购、实施和使用AI系统时符合PDPO要求,并延续其2021年AI伦理发展与使用指引中的数据治理价值和伦理原则。3

截至2026年,2024模型框架已经不再只是一个“新发布指引”。从2025年生成式AI员工使用清单、2026年Agentic AI风险提示,到2026年针对60家机构的AI使用合规检查,香港AI治理已经呈现由原则到框架、由框架到场景、由场景到检查、由制度文本到审计证据的演进。4

因此,本文不以“介绍2024模型框架”为目的,而是以其运行后的香港治理现状为研究对象,讨论三个问题:第一,PCPD在香港个人资料保护、AI治理和数据合规体系中的法律地位和权力边界;第二,2024模型框架虽非成文法,其为何仍可能成为企业AI部署中的监管参照和合规证明标准;第三,中国企业将香港作为出海中枢时,应如何将香港AI治理要求转化为内部制度、供应商管理和持续审计安排。

02.香港AI治理的制度底座:个人资料保护法上的AI治理

香港现阶段尚未形成类似欧盟《人工智能法》(Artificial Intelligence Act,以下简称“AI Act”)的统一AI专门法。其AI治理并非以AI系统准入许可、算法备案或行政审批为主要路径,而是在既有法律框架内,通过PDPO、六项数据保障原则、PCPD指引及行业实践,形成针对AI系统使用个人资料的合规要求。5

PDPO的核心是规范数据使用者对个人资料的收集、持有、处理和使用,其附表1确立了六项数据保障原则(Data Protection Principles,以下简称“DPPs”),覆盖收集目的及方式、准确性及保留期间、使用限制、保安措施、资讯公开、资料查阅及改正等内容。AI系统一旦涉及个人资料,不论是用于训练、微调、检索增强、客户交互、员工管理还是自动化分析,均需要回到DPPs所要求的合法、合理、必要、安全、透明和可纠错框架之下。6

从治理结构看,香港AI合规与数据合规高度绑定。AI系统中的数据输入、模型处理、输出使用、权限访问、日志留存、供应商调用和跨境访问,均可能同时触发个人资料保护、数据安全、信息保安、合同责任和行业监管要求。对于跨境运营企业而言,香港实体虽然可能只是服务器所在地、数据中心所在地或区域运营中心,但其在系统权限、业务目的、客户告知、供应商合同和数据访问安排中的角色,足以使其承担个人资料处理责任。

此外,香港并非不存在数据跨境治理。PDPO第33条虽长期未全面实施,但PCPD持续发布跨境转移相关建议和示范合同工具;在粤港澳大湾区个人信息跨境流动议题中,PCPD亦强调“粤港澳大湾区(内地、香港)个人信息跨境流动标准合同”在规则衔接中的意义。这说明香港对数据跨境采取的是以合同、透明、保障措施和问责为核心的治理路径,而非简单放任。

03.PCPD的法律地位、监管职能及其与其他机关的关系

准确理解PCPD,是理解香港AI治理的前提。PCPD不是行业协会,也不是单纯提供宣传教育材料的机构。它是根据PDPO设立并运行的香港个人资料保护法定监管机构,职能包括监督条例实施、处理投诉、开展调查和检查、发出执行通知、发布指引和实务工具、进行公众教育,并在特定条件下向数据主体提供法律协助。7

与中国内地网信、工信、公安、市场监管等多部门行政监管体系不同,PCPD的定位更接近GDPR语境下的数据保护监管机关(data protection authority)。但香港制度又有自身特点:PCPD通常并非以事前审批或备案为主要工具,而是通过投诉、调查、合规检查、执行通知、指引发布和个案报告推动合规。

1810620a.jpg

在大规模数据泄露、隐私安全事件或个人资料权利受侵害时,PCPD、香港法院、警方及行业监管机构之间存在分工。PCPD通常是个人资料合规问题的核心入口,负责投诉处理、调查、检查、执行通知和发布调查报告;香港法院负责民事赔偿、司法审查以及相关刑事案件审判;警方及其他执法机关处理黑客攻击、诈骗、身份盗用、严重网络犯罪或起底等刑事违法;金融、医疗、电讯等行业监管机构则可能基于持牌业务、消费者保护或行业安全要求叠加监管。8

这一区分对中国企业尤其重要。企业不能简单认为“没有AI专门法就没有AI监管”,也不能把PCPD文件理解为一般宣传材料。在香港当前制度下,凡AI系统涉及个人资料,PCPD就是最直接、最活跃且规则产出能力最强的监管入口。

04.2024模型框架的性质:非成文法,但正在成为监管参照标准

2024模型框架的法律性质需要谨慎界定。它并非香港立法会通过的成文法,也不是直接设定罚则的行政规章;更准确地说,它是PCPD基于PDPO监管职责发布的AI治理操作框架和监管期望文件。但“非成文法”并不等于“无合规意义”。在香港以原则性法律义务和监管指引共同运作的制度环境下,该框架至少具有四重实务功能。9

第一,它将PDPO下的抽象义务转化为AI全生命周期的操作要求。PDPO要求数据使用者遵守合法收集、目的限制、数据安全、透明度和资料主体权利等原则;2024模型框架则进一步要求机构在AI战略、采购、风险评估、人工监督、模型定制、持续监测和利益相关方沟通中落实这些原则。

第二,它正在成为PCPD开展AI合规检查的参照标准。2026年5月19日,PCPD公布对60家机构使用AI影响个人资料私隐的合规检查结果。该检查不仅关注机构在使用AI系统收集、使用和处理个人资料时是否符合PDPO,也检查其是否落实2024模型框架以及生成式AI员工使用清单的建议,并评估整体AI治理表现。10

第三,它可以成为企业证明已经尽到合理注意义务的证据标准。发生AI相关个人资料事件时,企业是否曾进行个人资料影响评估、是否设置人工监督、是否开展供应商审查、是否保存日志和审批记录、是否对员工进行培训,都会影响其在投诉、调查、民事索赔或客户尽调中的抗辩能力。

第四,它可能影响监管整改和法律责任评价。香港个人资料保护制度中,违反DPPs通常本身不当然构成刑事犯罪;但如果数据使用者不遵守PCPD发出的执行通知,则可能触发刑事责任。因此,企业未按模型框架建立AI治理体系,不会当然构成独立违法,但在发生个人资料泄露、非法使用、越权处理或权利损害时,将增加被认定治理失当、未采取合理可行措施或需接受整改的风险。11

05.2024模型框架运行后的治理演进:从文件发布到可审计合规

2024模型框架发布时,其主要贡献在于把AI治理从抽象伦理原则落到企业治理流程。框架以风险为本方法,为拟采购、实施和使用AI系统的香港企业提供具体建议,并覆盖企业采购现成AI方案以及按自身需要定制AI方案的不同情形。12

运行近两年后,香港AI治理已经出现明显阶段性变化。第一,从原则到框架。2021年PCPD发布AI伦理发展与使用指引,强调数据治理价值和伦理原则;2024模型框架则将这些原则转化为企业内部治理架构、风险评估、人工监督和持续监测。第二,从框架到场景。PCPD围绕生成式AI员工使用、AI聊天机器人、AI Agent、Deepfake及儿童保护持续发布清单、工具包和风险提示,使AI治理从通用框架进入业务场景。13

第三,从建议到检查。2026年PCPD第三轮AI合规检查覆盖60家机构,行业包括银行金融、美容、教育、政府部门、保险、医疗、公用事业、零售、社福、电讯、交通,并扩展至会计、餐饮、创新科技、物流和物业管理等领域。检查结果显示,57家机构(95%)在日常运营中使用AI;其中45家使用AI超过一年,29家使用三个或以上AI系统。这一组数据说明,AI已被香港监管机构视为日常运营中的常规合规风险,而非少数科技企业的前沿技术问题。14

第四,从制度文本到审计证据。未来企业不只需要说明“我们有AI政策”,还需要证明AI政策已被执行、被记录、被复核、被培训、被审计。AI系统具有持续迭代特征,模型版本、提示词、知识库、插件、API、供应商条款和权限配置均可能改变风险状态。因此,AI治理应被设计为持续管理机制,而不是一次性上线审查。

06.2024模型框架下的四大治理要求

(一)AI战略与治理架构

2024模型框架第一部分是AI战略与治理架构。其核心并非要求企业制定宏观科技愿景,而是要求企业明确AI使用目的、治理责任、采购机制、审批流程、培训安排和问责结构。对以香港为出海中枢的企业而言,尤其需要回答:哪些业务可以使用AI,哪些业务应被禁止或限制;谁有权批准新AI系统上线;香港实体、内地母公司、海外团队和供应商之间的数据角色如何划分;AI输出错误或泄密时由谁负责。

企业应建立跨部门治理架构,将管理层、法务、合规、信息安全、IT、业务部门和采购部门纳入统一流程。对于涉及个人资料、客户权益、员工评价或自动化业务决策的AI项目,应设置上线前审查、风险分级、审批记录和定期复核机制。

(二)风险评估与人工监督

风险评估与人工监督是香港AI治理从“原则合规”进入“可操作合规”的关键。企业需要识别AI系统是否收集或使用个人资料,是否涉及敏感或高影响数据,是否影响个人权益、客户机会、雇佣评价、交易判断或公共服务。对于高风险场景,应设置人工介入、人工复核和人工否决机制,而不能将AI输出直接作为最终决定。

在香港语境下,风险评估不应局限于技术安全测试,还应覆盖个人资料合法来源、使用目的变化、数据保留、第三方访问、输出偏差、透明告知、数据主体查询更正和事故响应等问题。企业如无法说明AI系统处理了什么数据、影响了谁、由谁监督、如何纠错,其合规风险将显著上升。

(三)模型定制、实施与持续监测

第三部分关注模型定制、实施和持续监测。中国企业在香港的典型部署并非从零开发基础大模型,而是采购第三方AI SaaS、调用API、部署私有化模型、接入企业知识库或通过检索增强生成(Retrieval-Augmented Generation,简称“RAG”)将内部文件与大模型连接。此时,企业既是AI系统使用者,也可能因定制、配置和业务嵌入而承担更高治理责任。

持续监测至少包括数据准备、测试数据合法性、模型输出抽查、版本更新评估、权限控制、日志留存、供应商变更、异常事件处置和退出删除机制。特别是在AI系统接入客户管理系统、邮件、合同库、财务系统或员工数据库时,应将权限矩阵、数据分区和最小权限原则作为基本控制。

(四)透明度、解释与反馈机制

第四部分强调与利益相关方沟通。AI治理不能只停留在后台安全,还需要前端透明、可解释、可投诉和可追责。企业应在个人信息收集声明、隐私政策、员工制度、客户协议或业务界面中适当说明AI使用情形、处理目的、数据类别、转移对象及数据主体权利。

在涉及自动化分析、客户分层、客服回复、信用或风险判断、HR筛选等场景时,企业应提供合理解释和反馈渠道。解释并不必然要求公开算法源代码,但至少应使个人理解AI系统在何种目的下处理其个人资料、如何影响其权益、如何提出查询、更正或投诉。

07.以香港为出海中枢的三个重点AI部署场景

(一)香港服务器、数据中心或国际运营中心部署AI系统

第一类高频场景,是企业将服务器、数据中心或国际运营中心放在香港,并以香港实体承接境外客户服务、区域营销、订单管理、风控分析、知识库检索或内部运营支持。此时,合规问题不在于服务器是否位于香港本身,而在于数据从哪里来、由谁控制、谁有权限访问、是否涉及个人资料、是否向内地或第三地回传、AI输出是否影响个人权益。

一个更典型、也更容易产生误判的场景是:集团在香港设立实体,由香港实体持有或租用数据中心和服务器;海外分支机构在日常业务中收集当地客户、员工或合作伙伴数据,并将数据汇入香港服务器;内地母公司基于集团管理、产品研发、风控分析或AI运营目的,对香港服务器中的数据享有访问、配置或实质控制能力;同时,内地第三方云服务商、AI模型供应商或软件技术服务商为该系统提供模型调用、算法优化、系统维护或安全运维服务。在这种结构下,企业不能简单以“数据在香港”或“香港公司持有服务器”作为责任划分结论,而应回到各主体对个人资料处理目的、方式、权限和利益归属的实际控制状态。

从香港PDPO角度看,首先需要识别谁是数据使用者(data user)。如果香港实体决定AI系统的业务用途、数据处理目的、数据保存方式和对外服务流程,通常应被视为香港法下承担个人资料保护义务的核心主体。若内地母公司虽不直接持有服务器,但实质决定系统架构、数据分析目的、模型选择、访问权限和处理规则,则其可能在集团治理层面构成共同控制或实质控制主体;即便香港PDPO概念体系并不完全等同于GDPR下“控制者/处理者”二分法,企业仍需要通过内部协议和数据处理安排明确香港实体与内地母公司之间的责任边界。

从海外分支机构所在地法律看,海外分支将当地个人资料传输至香港服务器,可能同时触发当地数据保护法项下的数据出境、告知同意、合法性基础、数据处理协议和安全保障要求。以欧盟成员国分支为例,如其将欧盟个人数据传输至香港,仍需按照GDPR规则判断跨境传输机制、控制者与处理者关系、数据处理协议和DPIA等义务;以东南亚或其他区域分支为例,也需要分别核查当地个人数据保护法规和监管实践。

从内地法角度看,如果内地母公司远程访问、下载、分析或调取香港服务器中的个人信息,或者内地第三方服务商为香港系统提供模型、云服务、技术运维并实际接触相关数据,则需要进一步判断是否构成向中国境内提供个人信息、从境内发起的处理活动、或者涉及内地个人信息和重要数据的数据出境、个人信息处理、委托处理及安全管理义务。尤其当内地母公司将内地客户或员工个人信息汇入香港AI系统,或通过香港系统向境外模型服务商传输数据时,不能因“系统部署在香港”而当然排除内地个人信息保护法、数据安全法和网络安全法项下的适用。15

因此,该类场景下企业至少应完成五项工作:第一,绘制跨主体、跨法域、跨系统的数据流图,区分数据来源、数据类别、访问路径和输出用途;第二,形成集团内部数据角色矩阵,明确香港实体、内地母公司、海外分支和第三方服务商各自决定或执行的数据处理环节;第三,以合同方式固化委托处理、共同控制、技术服务、保密、安全事件通知、数据删除和审计配合义务;第四,针对高风险AI处理开展个人资料影响评估或类似风险评估,并保留审批、测试、人工监督和日志记录;第五,分别核查香港、内地、海外分支所在地及第三方服务商所在地法律,避免用单一法域结论覆盖全球数据流。

对中国企业而言,把AI系统放在香港,不等于合规风险被切断;相反,香港实体可能成为AI系统个人资料处理、跨境访问和国际业务责任的集中节点。真正的合规判断,不是服务器的物理位置,而是数据处理目的由谁决定、数据由谁控制、系统权限由谁配置、风险由谁承担,以及企业能否提供跨法域、可审计的治理证据。

(二)香港实体采购第三方AI SaaS、API或模型服务

第二类场景,是香港实体采购或调用第三方AI SaaS、API、云端模型服务、插件或自动化工具。企业常将其理解为普通IT采购,但在个人资料保护框架下,第三方AI工具准入本身就是合规控制点。

企业应重点审查供应商是否使用输入、输出或日志训练模型;数据存储地、备份地和访问地在哪里;是否存在云服务商、模型服务商、标注服务商或插件服务商等子处理者;服务终止后数据和日志如何删除;是否提供加密、隔离、访问控制、漏洞响应和事故通知;企业是否享有审计、问询和安全证明获取权。

员工使用公共生成式AI工具,也可归入第三方AI工具准入问题。PCPD关于生成式AI员工使用的清单和文章强调,机构应制定清晰的内部政策或指引,明确可允许使用范围、个人资料保护、合法及伦理使用、防止偏见、数据安全以及违反政策的后果。因此,企业不宜仅以员工个人判断控制AI输入,而应通过工具白名单、禁止输入清单、审批流程和培训记录进行组织化管理。16

(三)香港部署AI Agent或自动化业务代理

第三类场景,是企业在香港部署AI Agent或自动化业务代理。PCPD于2026年3月针对OpenClaw及Agentic AI发出风险提示,指出相较通常用于文本回复、摘要或内容生成的AI聊天机器人,Agentic AI通常功能更广,可能以较高访问权限部署在本地设备或服务器,读取和写入本地文件、分配系统资源、处理外部服务,甚至可按照预设工作流代表用户执行多步骤任务。17

中国企业在香港部署AI Agent,还有一个非常现实的商业背景:部分海外大模型服务因地域、账号、支付、API政策或合规限制,可能无法由中国境内用户直接稳定使用。企业因此选择在香港设立实体、部署服务器、配置Agent网关或自动化调用层,以便接入海外大模型、境外SaaS服务和国际业务系统。此类安排不能仅被理解为技术路由或网络接入问题,而应被识别为一个由香港实体组织、控制或参与的AI系统部署和数据处理活动。只要该AI Agent在香港环境中处理个人资料、企业客户资料或跨境业务数据,仍需遵守香港PDPO及PCPD关于AI系统、Agentic AI和个人资料安全的监管要求。

AI Agent的风险不再只是“输出内容错误”,而是进入系统权限、自动执行和跨系统数据流转层面。PCPD提示的主要风险包括:默认访问权限较高,可能访问文件、邮件、设备账户凭证和浏览器保存内容;系统设计或安全控制漏洞可能造成整体数据安全风险;未经严格安全审查的插件或技能可能被植入恶意代码并导致账号接管或系统失陷。企业部署AI Agent时,应设置最小权限、分级授权、敏感系统隔离、关键节点人工确认、插件白名单、接口审查、访问日志、输出记录和定期风险复核。18

与中国内地相比,香港目前并没有针对AI Agent部署设置类似生成式AI服务备案、算法备案、深度合成备案或专门伦理审查的统一程序。换言之,企业在香港部署AI Agent,通常不需要因为“部署Agent”这一行为本身向PCPD进行事前备案或审批。但这并不意味着不存在合规义务。香港的监管重点是:该Agent是否处理个人资料,是否符合PDPO下的数据保障原则,是否采取合理可行的安全措施,是否存在透明度、权限控制、供应商管理和人工监督缺陷,以及企业是否能够在投诉、检查或安全事件发生后提供可审计证据。

从内地法角度看,如果AI Agent面向中国境内公众提供生成式AI服务,或者通过算法推荐、深度合成、生成式AI功能影响境内用户,仍可能需要结合内地关于算法推荐、深度合成、生成式AI服务、安全评估、内容安全和标识的规则进行判断。尤其是在内地主体通过香港Agent向境内用户提供服务,或者香港Agent实质服务于内地业务场景时,不能以“香港部署”当然规避内地监管要求。19

从未来趋势看,香港短期内未必会复制内地的备案制或欧盟AI Act的市场准入模式,但PCPD已经通过Agentic AI风险提示将AI Agent纳入监管视野。随着AI Agent在企业系统中的权限加深,香港规则很可能继续沿着“软法工具包、场景化清单、合规检查和安全提示”的路径发展,对高权限Agent、连接个人资料系统的Agent、面向消费者或员工的Agent提出更细化的治理要求。因此,企业即便目前不面临事前备案,也应提前建立AI Agent清单、权限矩阵、工具调用白名单、人工确认节点和持续审计机制。

08.香港、中国内地与欧盟AI治理规则的差异

香港AI治理应放在中国内地和欧盟制度之间理解。香港并非AI合规真空,也不是欧盟式强市场准入监管,更不同于内地以备案、安全评估、内容安全和行政监管为重要特征的监管模式。它更像是一种以个人资料保护、机构问责、监管指引、合规检查和事后调查为核心的中间型治理模式。20

1810620b.jpg

上述差异意味着,中国企业不能将内地合规文件直接平移到香港,也不能用欧盟AI Act的高风险系统逻辑完全替代香港分析。香港更重视个人资料处理过程中的责任治理、透明沟通、风险评估、人工监督、供应商管理和持续审计。

09.结论:香港AI治理的关键是“可审计的持续合规”

经过2024模型框架发布、2025年生成式AI员工使用规则细化、2026年Agentic AI风险提示和AI合规检查,香港AI治理已经从原则倡导进入可审计阶段。其核心不是要求企业停止使用AI,也不是通过高强度行政准入限制创新,而是要求企业能够说明并证明:AI系统为何使用、处理何种数据、影响哪些主体、由谁审批、由谁监督、如何纠错、如何记录、如何审计。

对以香港为出海中枢的企业而言,AI治理应至少形成六类合规成果:第一,AI治理政策和职责分工;第二,AI系统清单和数据流图;第三,个人资料风险评估和人工监督机制;第四,第三方AI供应商审查和合同条款;第五,员工使用生成式AI和AI工具准入制度;第六,日志、培训、审批、事故响应和持续审计记录。

香港AI治理的真正价值,在于其能够作为中国企业连接内地合规与国际治理的制度接口。企业如能在香港建立以PCPD框架为参照的AI治理体系,不仅有助于降低香港本地个人资料保护风险,也有助于提升其面对海外客户、投资人、供应商、监管机构和跨境合作伙伴时的合规可信度。

因此,香港不是AI合规真空,而是一个正在形成规则密度、审计要求和监管实践的AI治理节点。未来中国企业将香港作为出海中枢时,需要从“服务器放在哪里”进一步转向“AI系统如何被治理、记录和证明合规”。

Footnotes

1 《个人资料(私隐)条例》(Personal Data (Privacy) Ordinance, Cap.486),香港法例第486章;香港个人资料私隐专员公署(Office of the Privacy Commissioner for Personal Data, Hong Kong)官网关于PDPO及六项数据保障原则的说明;香港个人资料私隐专员公署,Artificial Intelligence: Model Personal Data Protection Framework,2024年6月;香港个人资料私隐专员公署,Checklist on Guidelines for the Use of Generative AI by Employees,2025年;香港个人资料私隐专员公署,The PCPD Issues Alert over the Privacy Risks of OpenClaw and Agentic AI and Reminds Organisations and the Public to Use AI Safely,2026年3月16日;香港个人资料私隐专员公署,Abuse of AI Deepfakes: Toolkit for Schools and Parents,2025年。

2 香港个人资料私隐专员公署,Artificial Intelligence: Model Personal Data Protection Framework,2024年6月;该框架以机构采购、实施和使用AI系统时的个人资料保护治理为核心,提出AI战略与治理、风险评估与人工监督、模型定制及系统管理、利益相关方沟通等建议。

3 香港个人资料私隐专员公署,Artificial Intelligence: Model Personal Data Protection Framework,2024年6月;香港个人资料私隐专员公署,Guidance on the Ethical Development and Use of Artificial Intelligence,2021年。

4 香港个人资料私隐专员公署,Checklist on Guidelines for the Use of Generative AI by Employees,2025年;香港个人资料私隐专员公署,The PCPD Issues Alert over the Privacy Risks of OpenClaw and Agentic AI and Reminds Organisations and the Public to Use AI Safely,2026年3月16日;香港个人资料私隐专员公署,The Privacy Commissioner’s Office has Completed Compliance Checks on 60 Organisations Regarding the Impact of the Use of Artificial Intelligence on Personal Data Privacy,2026年5月19日。

5 Regulation (EU) 2024/1689, Artificial Intelligence Act;《个人资料(私隐)条例》(Personal Data (Privacy) Ordinance, Cap.486),香港法例第486章;香港个人资料私隐专员公署关于PDPO及六项数据保障原则的官方说明。

6 《个人资料(私隐)条例》(Personal Data (Privacy) Ordinance, Cap.486)附表1六项数据保障原则(Data Protection Principles),包括收集目的及方式、准确性及保留期间、使用、保安、资讯公开、查阅及改正等。

7 《个人资料(私隐)条例》(Cap.486)关于私隐专员职能及权力的规定,包括投诉、调查、检查、执行通知、法律协助等;香港个人资料私隐专员公署关于投诉、调查、执行通知及法律协助的官方说明。

8 《个人资料(私隐)条例》(Cap.486)第38条、第50条、第66条、第66B条;香港个人资料私隐专员公署关于投诉处理、调查、执行通知、法律协助及执法报告的官方说明;涉及黑客攻击、诈骗、身份盗用、起底或行业持牌业务时,仍可能由警方、香港法院及金融、医疗、电讯等相关行业监管机构分别介入。

9 香港个人资料私隐专员公署,Artificial Intelligence: Model Personal Data Protection Framework,2024年6月;《个人资料(私隐)条例》(Cap.486)附表1六项数据保障原则。

10 香港个人资料私隐专员公署,The Privacy Commissioner’s Office has Completed Compliance Checks on 60 Organisations Regarding the Impact of the Use of Artificial Intelligence on Personal Data Privacy,2026年5月19日;香港个人资料私隐专员公署,Checklist on Guidelines for the Use of Generative AI by Employees,2025年。

11 香港个人资料私隐专员公署,Data Protection Principles in the Personal Data (Privacy) Ordinance — From the Privacy Commissioner’s Perspective;《个人资料(私隐)条例》(Cap.486)第50条及第64A条。

12 香港个人资料私隐专员公署,Artificial Intelligence: Model Personal Data Protection Framework,2024年6月。

13 香港个人资料私隐专员公署,Guidance on the Ethical Development and Use of Artificial Intelligence,2021年;香港个人资料私隐专员公署,Artificial Intelligence: Model Personal Data Protection Framework,2024年6月;香港个人资料私隐专员公署,Checklist on Guidelines for the Use of Generative AI by Employees,2025年;香港个人资料私隐专员公署关于AI聊天机器人安全使用的官方资料;香港个人资料私隐专员公署,The PCPD Issues Alert over the Privacy Risks of OpenClaw and Agentic AI and Reminds Organisations and the Public to Use AI Safely,2026年3月16日;香港个人资料私隐专员公署,Abuse of AI Deepfakes: Toolkit for Schools and Parents,2025年。

14 香港个人资料私隐专员公署,The Privacy Commissioner’s Office has Completed Compliance Checks on 60 Organisations Regarding the Impact of the Use of Artificial Intelligence on Personal Data Privacy,2026年5月19日。

15 《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》;《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等内地个人信息处理和数据跨境相关规则。

16 香港个人资料私隐专员公署,Checklist on Guidelines for the Use of Generative AI by Employees,2025年;香港个人资料私隐专员公署关于雇员使用生成式人工智能的官方新闻稿、文章及宣传材料。

17 香港个人资料私隐专员公署,The PCPD Issues Alert over the Privacy Risks of OpenClaw and Agentic AI and Reminds Organisations and the Public to Use AI Safely,2026年3月16日。

18 香港个人资料私隐专员公署,The PCPD Issues Alert over the Privacy Risks of OpenClaw and Agentic AI and Reminds Organisations and the Public to Use AI Safely,2026年3月16日;该文件就Agentic AI可能访问本地文件、邮件、账户凭证、浏览器保存内容、外部服务及插件风险提出安全使用提示。

19 《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》《生成式人工智能服务安全基本要求》;涉及面向中国境内公众提供服务、算法推荐、深度合成、生成式AI服务、内容安全、标识和安全评估等情形时,应结合内地规则另行判断。

20 香港方面:《个人资料(私隐)条例》(Cap.486)、香港个人资料私隐专员公署Artificial Intelligence: Model Personal Data Protection Framework及AI相关清单、工具包、合规检查资料;中国内地方面:《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》;欧盟方面:Regulation (EU) 2016/679, General Data Protection Regulation;Regulation (EU) 2024/1689, Artificial Intelligence Act。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

[View Source]

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More