香港目前的 AI 监管并不是由一部“AI 专法”包办，而是由既有法律、政府生成式 AI 指引，以及个人资料私隐监管指引共同组成。对企业而言，关键不是等到新法例出台才开始行动，而是先把 AI 工具、资料输入、输出使用、员工权限和个人资料风险管起来。

一句话结论：没有单一 AI 专法，但已有合规框架

如果问题是“香港现在有没有一部专门规管 AI 的法律”，按 2025 年公开法律概览，香港目前没有一套专门、单一针对 AI、大数据或机器学习的 standalone legal framework。^[4]

但这不等于 AI 使用没有规则可循。政府层面，数字政策办公室（Digital Policy Office，DPO）于 2025 年 4 月 15 日发布《香港生成式人工智能技术及应用指引》。^[5] 政府新闻资料指出，该指引涵盖生成式 AI 技术的应用范围、限制、潜在风险和治理原则，并为技术开发者、服务提供者和使用者提供实务操作指引。^[8]

隐私与个人资料方面，香港个人资料私隐专员公署（PCPD）在 2025 年 3 月发布《僱员使用生成式 AI 指引清单》，目的是协助机构就员工在工作中使用 GenAI 制定内部政策或指引，同时符合《个人资料（私隐）条例》（PDPO）的要求。^[9]

主要文件和框架：企业最该先看哪些？

文件或框架	主要对象	实务重点
《香港生成式人工智能技术及应用指引》	技术开发者、服务提供者和使用者。[8]	涵盖生成式 AI 的应用范围、限制、潜在风险和治理原则。[8]
DPO 指引中的机构政策建议	采用生成式 AI 服务的机构。[1]	内部政策可列明准用工具、准用用途、适用范围、可输入资料的类型和数量，以及输出资料的使用和储存方式。[1]
《僱员使用生成式 AI 指引清单》	有员工在工作中使用 GenAI 的机构。[9]	协助机构制定员工使用 GenAI 的内部政策或指引，并符合 PDPO 要求。[9]
PCPD 较广泛的 AI 私隐指引	采购、使用或开发涉及个人资料 AI 系统的机构。[10]	提供实务指引、AI 伦理原则和自我评估清单，协助机构在开发和使用 AI 时符合 PDPO。[10]

为什么没有 AI 专法，企业仍然要马上处理？

原因很简单：AI 的法律风险往往不是等“AI 法”出现后才产生。只要涉及个人资料、客户资料、内部文件、雇员资料、商业机密或对外发布内容，企业就已经进入合规和治理场景。

DPO 的生成式 AI 指引已经把应用限制、潜在风险和治理原则放入同一套实务框架；政府资料也点名资料外泄、模型偏见和错误等技术风险需要处理。^[8]

只要 AI 使用涉及个人资料，PDPO 风险就不能忽略。PCPD 的员工 GenAI 清单明确把员工在工作中使用 GenAI、机构内部政策和符合 PDPO 要求放在一起处理。^[9]

企业使用 GenAI：内部政策至少要写清楚什么？

DPO 指引指出，采用生成式 AI 服务的机构应制定内部政策或指引，内容可涵盖准用工具、准用用途、政策适用范围、可输入资料的类型和数量、输出资料的使用，以及输出资料的储存方式。^[1]

实务上，无论是企业、学校、非营利机构，还是任何允许员工使用 GenAI 的团队，都可以先从以下八项开始：

1. 准用工具：列明哪些公开可用或内部开发的生成式 AI 工具可以使用。^[1]
2. 准用用途：界定是否可用于草拟文件、摘要资料，或制作文字、音频、视觉内容等用途。^[1]
3. 政策适用范围：说明政策适用于哪些部门、岗位、工作流程或使用场景。^[1]
4. 可输入资料的类型和数量：规定哪些资料可以输入 GenAI，哪些资料不应输入，并限制输入资料量。^[1]
5. 输出资料的使用方式：说明 AI 生成内容能否对外使用、是否需要人工复核，以及可用于哪些工作。^[1]
6. 输出资料的储存方式：规定 AI 输出应如何保存、是否可复制到其他系统，以及保留安排。^[1]
7. 员工和设备权限：PCPD 资料指出，AI 政策应列明员工可用哪些设备存取 GenAI 工具，以及哪些类别员工获准使用。^[9]
8. 风险管理：把资料外泄、模型偏见和错误纳入评估与复核流程，因为这些是 DPO 指引提到的生成式 AI 技术风险。^[8]

个人资料与 PDPO：AI 合规的核心风险

在香港使用 AI 或 GenAI，只要牵涉个人资料，就要特别留意 PDPO。PCPD 表示，《僱员使用生成式 AI 指引清单》旨在协助机构制定员工使用 GenAI 的内部政策或指引，并在工作使用场景下符合 PDPO 要求。^[9]

PCPD 较广泛的 AI 指引还包括实务指引、伦理原则和自我评估清单，协助机构在开发和使用 AI 时遵守《个人资料（私隐）条例》（Cap. 486）。^[10]

因此，企业的 AI policy 不应只回答“可不可以用某个 AI 工具”。更重要的是，它要处理资料从哪里来、能不能输入、谁可以接触、输出如何保存、是否需要人工复核，以及发生风险时如何追踪和处置。

员工和普通用户该怎么做？

DPO 的生成式 AI 指引对象包括使用者，并不只限于开发商或平台供应商。^[8] 如果你在工作中使用 GenAI，最稳妥的做法是先遵守机构内部政策，而不是自行把公司文件、客户资料或内部资料输入公开 AI 工具。

同时，不应把 AI 输出视为一定正确。政府资料提到，生成式 AI 需要处理模型偏见和错误等技术风险。^[8] 重要文件、对外发布材料、客户沟通，以及涉及法律、医疗或个人资料的内容，都应经过人工复核。

FAQ：香港 AI 监管常见问题

香港现在有 AI 法例吗？

按 2025 年公开法律概览，香港未有一部单一、专门针对 AI、大数据或机器学习的法律框架。^[4] 但香港已有政府 GenAI 指引、PCPD 私隐相关指引，以及 PDPO 等既有法律要求需要一并考虑。^[5][9][10]

DPO 的生成式 AI 指引管什么？

DPO 于 2025 年 4 月 15 日发布《香港生成式人工智能技术及应用指引》。^[5] 政府资料指，该指引涵盖生成式 AI 的应用范围、限制、潜在风险和治理原则，并为开发者、服务提供者和使用者提供实务操作指引。^[8]

公司是否一定要有 AI 使用政策？

PCPD 的资料指出，其《僱员使用生成式 AI 指引清单》旨在协助机构为员工在工作中使用 GenAI 制定内部政策或指引，并符合 PDPO 要求。^[9] DPO 指引也列出机构采用 GenAI 服务时内部政策可涵盖的项目，包括工具、用途、输入资料、输出使用和输出储存等。^[1]

总结

更准确地说，香港 AI 监管的现状是：按 2025 年公开来源，香港暂未见一部单一 AI 专法；但已有政府生成式 AI 指引、PCPD 私隐相关指引，以及 PDPO 等既有法律要求需要同时考虑。^{[4][5][9][10]}

如果企业正在使用或准备部署 GenAI，最实际的第一步是建立可执行的 AI 使用政策：定工具、定用途、定资料输入限制、定输出使用和储存方式、定员工和设备权限，并把私隐、资料外泄、偏见和错误纳入风险管理。^[1][8][9]

以上为根据所列公开来源整理的信息摘要，不构成法律意见；如涉及高风险 AI 部署、个人资料处理或受监管行业，应查阅相关官方文件并寻求专业意见。