[NGO AI 搞掂資安] 香港NGO數據隱私檢查清單：使用AI前必知事項

AI科技愈來愈普及，香港好多NGO都開始用AI協助服務、分析受眾需要、提升營運效率。但你有冇諗過，用AI處理會員、捐款人、受助者資料，其實潛藏住唔少私隱風險？一個唔小心，資料外洩，唔止影響信譽，仲可能觸犯法例！

今次就同大家拆解，點樣用專業級AI私隱檢查清單，幫你一步步搞掂AI私隱，安心用AI，專心做善事！

為什麼NGO要特別留意AI私隱？

NGO服務對象多數係弱勢社群、會員、捐款人，佢哋嘅資料一旦外洩，後果可以好嚴重。加上香港《個人資料（私隱）條例》（PDPO）要求所有機構——包括NGO——都要妥善處理個人資料，否則隨時面臨罰款甚至刑責。

AI系統往往需要大量數據訓練、分析，如果資料收集、使用、外判、保安等程序做得唔夠細心，分分鐘「出事」。所以，無論你係NGO老細、IT、前線同工，都一定要識得點樣守住私隱底線！

NGO用AI常見私隱風險

NGO專業級AI私隱檢查清單

（照住做，AI用得安心！）

1. 資料最小化原則

收集最少所需資料，唔好貪方便攞多啲！

• 每次設計AI分析，先問清楚：邊啲資料真係用得着？唔用就唔收。
• 例如：只需要年齡層分析，就唔好收身份證號碼、地址。

2. 透明告知及取得同意

收集資料前，清楚話畀對方知資料點用，攞明確同意。

• 表格、網上申請頁面要列明AI用途，例如：「本會會用你嘅資料作AI分析，改善服務。」
• 提供選擇權（opt-in/opt-out），唔強迫參加。

3. AI供應商審查與合約

外判AI服務要揀啱供應商，合約要寫明責任。

• 供應商要有ISO 27001或GDPR等國際認證。
• 合約要列明資料用途、保安要求、違規責任。
• 要求供應商唔可以將資料用作其他用途，處理完要刪除。

4. 數據加密與存取控制

資料存儲、傳送、備份都要加密，權限分級，唔係人人都查到。

• 用Google Workspace、Microsoft 365等都要開啟加密功能。
• 敏感資料唔好用WhatsApp、USB、私人電郵傳送。

5. 員工AI及私隱培訓

所有接觸AI及資料同事都要定期培訓，唔好以為淨係IT要識！

• 新人入職即做私隱e-learning。
• 定期用真實案例做小測，提升警覺。

6. AI數據匿名化／去識別化

AI訓練數據如涉及個人資料，必須去識別化（匿名化／假名化）。

• 只留必要資訊，如年齡、地區，唔要全名、電話。
• 減低資料外洩時對當事人嘅影響。

7. 私隱影響評估（PIA）

推新AI功能或大升級前，一定要做私隱影響評估。

• 評估AI項目有冇收集過多資料、外判有冇風險。
• PCPD有免費PIA工具下載，有需要搵顧問協助。

8. 資料當事人權利處理

設立查閱、更正、刪除資料的申請流程，明確回應時限（如40日內）。

• 網站／表格要有資料查詢專線或電郵。
• 所有查詢要有登記及跟進紀錄。

9. 第三方資料轉移監控

資料轉交第三方（如AI供應商）前，要有審批流程及書面記錄。

• 轉移後定期抽查供應商有冇亂用資料。
• 必要時要求供應商提供刪除證明。

10. 資料外洩應變計劃

有明確外洩通報、補救、通知當事人及PCPD的流程。

• 每年做一次桌面演練，確保同事識應對。
• 出事時要即時通報，減低損失。

11. 定期審計及持續改善

每年至少一次內部或外部審計AI私隱及保安措施，有問題即時改善。

• 建議用清單自查+找第三方審計，保障更全面。

實戰小貼士

• 唔好貪方便：敏感資料唔好用WhatsApp、個人電郵、USB傳送。
• AI服務要問清楚：供應商有冇合規、數據放邊度、支援咩私隱要求都要問清楚，唔好淨係睇價錢。
• 主動溝通：AI新功能上線前，主動同會員／受助人解釋點保障佢哋資料，建立信任。

AI可以幫NGO突破資源限制、服務更多有需要人士，但安全永遠都係第一步。只要落足功夫做足檢查清單，無論用邊種AI方案，都可以安枕無憂，專心做好服務！

想知更多？歡迎聯絡我哋i2hk，了解度身訂造同即買即用AI方案點樣幫你搞掂資安，實現數碼轉型！

立即行動checklist：

☑️ 下載免費版AI效率checklist

☑️ 預約專家診斷：15分鐘找出最適合你嘅AI切入點

參考資料

• 私隱專員公署AI指引
• ISO/IEC 27001:2022 資訊安全管理系統
• 歐盟GDPR官方網站
• NGO私隱管理指引（PCPD）