Короткий ответ: в Гонконге пока нет одного «закона об искусственном интеллекте», который закрывал бы все вопросы AI, больших данных и машинного обучения. По открытым правовым обзорам 2025 года, standalone legal framework специально для AI, big data или ML в Гонконге сейчас не действует.^[4]

Но это не означает, что AI можно использовать без правил. Практическая рамка уже складывается из трёх блоков: существующего законодательства о персональных данных, официального руководства по генеративному ИИ и рекомендаций регулятора приватности. Для компании самый разумный подход — не ждать будущей реформы, а уже сейчас описать, какие AI‑инструменты допустимы, какие данные нельзя вводить, кто имеет доступ и как проверяются результаты.

Что уже есть: не один закон, а набор правил и ориентиров

В апреле 2025 года правительственный Digital Policy Office, или DPO, выпустил Hong Kong Generative Artificial Intelligence Technical and Application Guideline.^[5] Это важно: в гонконгском контексте DPO здесь означает именно Управление цифровой политики, а не «data protection officer» в европейском смысле.

Правительственные материалы поясняют, что руководство охватывает сферу и ограничения применения генеративного ИИ, потенциальные риски и принципы управления, включая технические риски вроде утечки данных, модельной предвзятости и ошибок.^[8] Документ адресован не только разработчикам, но и поставщикам сервисов и пользователям GenAI‑технологий.^[8]

Отдельный пласт — персональные данные. В марте 2025 года Office of the Privacy Commissioner for Personal Data, или PCPD, опубликовал Checklist on Guidelines for the Use of Generative AI by Employees, чтобы помочь организациям подготовить внутренние правила использования GenAI сотрудниками на работе и соблюдать Personal Data (Privacy) Ordinance, PDPO.^[9]

Документ или рамка	Кого касается	Что означает на практике
Hong Kong Generative Artificial Intelligence Technical and Application Guideline	Разработчиков, поставщиков сервисов и пользователей GenAI.[8]	Описывает сферу применения, ограничения, потенциальные риски и принципы управления генеративным ИИ.[8]
Рекомендации DPO по внутренним политикам	Организаций, которые внедряют генеративные AI‑сервисы.[1]	Внутренние правила могут охватывать разрешённые инструменты, допустимые цели, применимость политики, типы и объём вводимой информации, использование и хранение результатов.[1]
Checklist PCPD для сотрудников	Организаций, где сотрудники используют GenAI в работе.[9]	Помогает подготовить внутренние политики или инструкции и учитывать требования PDPO.[9]
Более широкие AI‑рекомендации по приватности	Организаций, которые закупают, используют или разрабатывают AI‑системы с персональными данными.[10]	Включают практические рекомендации, этические принципы и self‑assessment checklist для соблюдения PDPO при разработке и использовании AI.[10]

Почему бизнесу не стоит ждать «большого закона об ИИ»

Если вопрос сформулировать строго — есть ли в Гонконге единый специальный закон об ИИ, больших данных и машинном обучении, — ответ на основе открытых обзоров 2025 года будет отрицательным.^[4]

Но для бизнеса это не главная точка риска. Риски возникают уже в повседневных процессах: сотрудник вставляет клиентский документ в публичный чат‑бот, отдел маркетинга генерирует текст для внешней публикации, служба поддержки использует AI для обработки обращений, разработчики тестируют модель на реальных данных. Как только появляется персональная информация, в игру входит PDPO.

PCPD прямо связывает рабочее использование GenAI сотрудниками с необходимостью внутренних политик или руководств и соблюдением PDPO.^[9] А более широкие AI‑материалы по приватности включают практические рекомендации, этические принципы и чек‑лист самооценки, которые должны помогать организациям соблюдать Personal Data (Privacy) Ordinance, Cap. 486, при разработке и использовании AI.^[10]

Минимум для внутренней AI‑политики компании

Руководство DPO указывает, что организации, внедряющие генеративные AI‑сервисы, должны разрабатывать внутренние политики или инструкции. Они могут охватывать разрешённые инструменты, допустимые цели использования, применимость политики, типы и объёмы вводимой информации, использование результатов и их хранение.^[1]

На практике такой документ стоит строить не как формальность «для галочки», а как рабочую инструкцию для сотрудников:

1. Разрешённые инструменты. Укажите, какие публичные или внутренне разработанные GenAI‑инструменты и приложения можно использовать.^[1]
2. Допустимые цели. Определите, можно ли применять GenAI для черновиков, резюме документов, создания текстового, аудио- или визуального контента.^[1]
3. Сфера действия политики. Зафиксируйте, на какие подразделения, роли, проекты или бизнес‑процессы распространяются правила.^[1]
4. Вводимые данные. Опишите, какие типы информации можно вводить в GenAI, какие нельзя, и какие ограничения действуют по объёму вводимых данных.^[1]
5. Использование результатов. Установите, когда AI‑ответ можно применять только как черновик, когда требуется проверка человеком и когда результат можно публиковать или отправлять клиенту.^[1]
6. Хранение результатов. Определите, где и как сохраняются AI‑выводы, можно ли переносить их в другие системы и как долго они хранятся.^[1]
7. Устройства и категории сотрудников. PCPD указывает, что AI‑политика должна определять типы устройств, с которых сотрудники могут получать доступ к GenAI‑инструментам, и категории сотрудников, которым такой доступ разрешён.^[9]
8. Управление рисками. В процедуру оценки стоит включить утечки данных, модельную предвзятость и ошибки — именно такие технические риски названы в правительственных материалах по GenAI.^[8]

Персональные данные: центральная зона риска

Для гонконгского AI‑комплаенса ключевой вопрос часто звучит не «используем ли мы ИИ?», а «какие данные мы в него вводим и что потом делаем с результатом?». Если в процессе участвуют данные клиентов, сотрудников, кандидатов, пациентов, пользователей сервиса или иных физических лиц, организация должна учитывать PDPO.

PCPD выпустил чек‑лист по использованию GenAI сотрудниками именно для того, чтобы помочь организациям выработать внутренние политики и при этом соблюдать требования PDPO.^[9] Более широкие материалы по AI и приватности также направлены на организации, которые закупают и используют AI‑системы, включая предиктивные и генеративные, если такие системы связаны с персональными данными.^[10]

Поэтому внутренняя AI‑политика не должна ограничиваться вопросом «можно ли пользоваться ChatGPT‑подобным сервисом». Она должна отвечать как минимум на пять практических вопросов: откуда берутся данные, что сотрудник вправе вводить, кто имеет доступ, как проверяется результат и где он хранится.

Что делать обычным сотрудникам и пользователям

Руководство DPO адресовано не только разработчикам и поставщикам сервисов, но и пользователям GenAI.^[8] Поэтому сотрудникам безопаснее исходить из простого правила: сначала проверить внутреннюю политику компании, а не самостоятельно загружать в публичный AI‑инструмент договоры, клиентские сведения, кадровые документы или внутренние материалы.

Не стоит воспринимать AI‑вывод как гарантированно правильный. Правительственные материалы отдельно называют модельную предвзятость и ошибки среди технических рисков GenAI.^[8] Всё, что уходит наружу — клиентские письма, юридически значимые тексты, медицинские или финансовые материалы, публичные заявления, — должно проходить человеческую проверку.

Частые вопросы

В Гонконге уже есть закон об ИИ?

Единого специального закона или самостоятельной правовой рамки именно для AI, big data и machine learning, по открытым обзорам 2025 года, сейчас нет.^[4] Однако уже есть официальное GenAI‑руководство DPO, рекомендации PCPD по приватности и требования PDPO, которые нужно учитывать вместе.^[5][9][10]

Что регулирует руководство DPO по генеративному ИИ?

Digital Policy Office выпустил Hong Kong Generative Artificial Intelligence Technical and Application Guideline 15 апреля 2025 года.^[5] Согласно правительственным материалам, документ охватывает сферу и ограничения применения GenAI, потенциальные риски, принципы управления и практические операционные рекомендации для разработчиков, поставщиков сервисов и пользователей.^[8]

Компании обязательно нужна внутренняя AI‑политика?

PCPD объясняет, что его чек‑лист предназначен для помощи организациям в разработке внутренних политик или руководств по использованию GenAI сотрудниками на работе и соблюдении PDPO.^[9] Руководство DPO также перечисляет, что может входить во внутренние политики организаций, внедряющих GenAI‑сервисы: разрешённые инструменты, цели, вводимые данные, использование и хранение результатов.^[1]

С чего начать малой или средней компании?

Самый практичный первый шаг — составить короткую, но исполнимую AI‑политику: список разрешённых инструментов, запрет или ограничения на ввод персональных и конфиденциальных данных, порядок проверки AI‑результатов, правила хранения и круг сотрудников, которым доступ разрешён. Эти элементы прямо соотносятся с пунктами, названными в руководстве DPO и материалах PCPD.^[1][9]

Итог

Точная формула для Гонконга на 2025 год такая: отдельного всеобъемлющего закона об ИИ пока нет, но AI‑использование уже находится в поле официальных руководств, приватности и корпоративного управления рисками.^{[4][5][9][10]}

Для компаний, которые уже используют или только планируют внедрять GenAI, главный вывод прост: не ждать новой специальной нормы, а сейчас описать допустимые инструменты, цели, вводимые данные, использование и хранение результатов, доступы сотрудников и устройств, а также процедуры проверки на утечки, предвзятость и ошибки.^[1][8][9]

Материал подготовлен как информационный обзор на основе указанных открытых источников и не является юридической консультацией. Для высокорисковых AI‑проектов, обработки персональных данных или деятельности в регулируемых отраслях стоит обращаться к официальным документам и профессиональным консультантам.