問「香港而家有冇 AI 法例？」最準確嘅答案係：未有一條單一 AI 專法包晒所有事，但已經有官方指引、私隱要求同既有法律框架要跟。

換句話講，企業唔應該等到新法例出現先開始合規。只要公司、學校、機構或者團隊已經有人用 ChatGPT、Copilot、Gemini 或其他生成式 AI 工具處理工作內容，就應該即刻管好：邊啲工具准用、咩資料可以輸入、AI 輸出點樣覆核同保存、員工權限點分，以及個人資料會唔會踩到 PDPO 風險。

一句講晒：香港係「多層規管」，唔係「一條 AI 法例」

按 2025 年公開法律概覽，香港目前未有一套 standalone、即單一而專門針對 AI、大數據或機器學習嘅法律框架。^[4]

但「未有 AI 專法」唔等於「AI 使用冇人理」。而家香港 AI 規管主要由三層組成：

層面	重點	對企業有咩意思
政府 GenAI 指引	數字政策辦公室發布生成式 AI 技術及應用指引。[5]	要理解 AI 應用限制、風險同治理原則。[8]
私隱監管指引	私隱專員公署就員工使用 GenAI 發布清單。[9]	要有內部政策，避免員工亂輸入個人資料或敏感資料。
既有私隱法例	《個人資料（私隱）條例》（PDPO）仍然適用。[9][10]	只要 AI 涉及個人資料，就要處理收集、使用、保安、保存同權限等問題。

2025 年最值得留意嘅官方 GenAI 指引

數字政策辦公室喺 2025 年 4 月 15 日發布《香港生成式人工智能技術及應用指引》。^[5]

政府新聞資料指，呢份指引涵蓋生成式 AI 技術嘅應用範圍、限制、潛在風險同治理原則，並為技術開發者、服務提供者同使用者提供實務操作指引。^[8]

特別要留意嘅係，政府資料有點名提到生成式 AI 需要處理一啲技術風險，包括資料外洩、模型偏見同錯誤。^[8] 呢幾項唔係抽象概念，而係企業日常用 AI 時最容易出事嘅地方：

• 員工將客戶資料、內部文件或合約內容輸入公開 AI 工具；
• AI 輸出內容有偏見、錯誤或過度自信，但未經人手覆核就對外使用；
• 公司冇清楚記錄 AI 輸出點樣保存、邊個可以存取、幾時要刪除。

公司用 GenAI，內部政策最少要寫清楚咩？

數字政策辦公室指引提到，採用生成式 AI 服務嘅機構應制定內部政策或指引，內容可涵蓋准用工具、准用用途、政策適用範圍、可輸入資料嘅類型同數量、輸出資料嘅使用，以及輸出資料嘅儲存方式。^[1]

用香港公司日常操作嚟講，一份可落地嘅 AI 使用政策，最少應該答到以下問題：

1. 邊啲 AI 工具准用？ 例如公開可用工具，定係只准用公司內部開發或已審批嘅生成式 AI 工具。^[1]
2. 准用嚟做咩？ 可唔可以草擬文件、摘要資料，或者製作文字、音訊、視覺內容等，都要講清楚。^[1]
3. 邊啲部門同場景適用？ 政策應列明適用範圍，避免前線、營運、IT、HR、銷售各自理解唔同。^[1]
4. 咩資料可以輸入？輸入幾多？ 應規定可輸入資料嘅類型同數量，尤其要避免無必要輸入個人資料、機密資料或大量內部文件。^[1]
5. AI 輸出可唔可以直接用？ 要訂明輸出資料嘅准用方式，例如是否需要人手覆核、可否對外發布、可否用於客戶溝通。^[1]
6. AI 輸出點樣儲存？ 要交代輸出資料可否複製到其他系統、保存喺邊、保存幾耐，以及邊個有權存取。^[1]
7. 邊類員工可以用？用咩設備？ 私隱專員公署資料指出，AI 政策應列明員工可用邊類設備存取 GenAI 工具，以及邊類員工獲准使用。^[9]
8. 點樣管理錯誤、偏見同資料外洩？ 因為政府資料已將資料外洩、模型偏見同錯誤列為生成式 AI 技術風險。^[8]

PDPO 先係企業最易踩界嘅位置

喺香港講 AI 合規，唔可以只問「呢個 AI 工具好唔好用」。更實際嘅問題係：你有冇將個人資料交畀 AI 處理？有冇足夠理由？有冇保安措施？員工有冇權咁做？

私隱專員公署喺 2025 年 3 月發布《僱員使用生成式 AI 指引清單》，目的係協助機構就員工喺工作中使用 GenAI 制定內部政策或指引，同時符合《個人資料（私隱）條例》（PDPO）要求。^[9]

另外，PCPD 較廣泛嘅 AI 私隱指引包括實務指引、AI 倫理原則同自我評估清單，協助機構喺開發同使用 AI 時遵守《個人資料（私隱）條例》（Cap. 486）。^[10]

所以，一份真正有用嘅 AI policy 唔應該只係寫「可以用」或者「唔可以用」。它應該同時處理：

• 資料來源是否合法同合適；
• 員工可否輸入個人資料或客戶資料；
• AI 工具會否保存、學習或再使用輸入內容；
• 輸出內容點樣覆核同更正；
• 權限、設備、記錄同保存安排；
• 出事時點樣匯報同補救。

一般員工用 GenAI：記住三個底線

數字政策辦公室嘅生成式 AI 指引對象包括使用者，唔只係開發商或平台服務供應商。^[8] 如果你係普通員工，日常用 GenAI 時可以先記住三個底線：

第一，唔好自行將公司文件、客戶資料、員工資料或內部資料輸入公開 AI 工具。 除非公司政策清楚容許，否則好容易引起資料保安同私隱風險。

第二，AI 寫出嚟嘅嘢唔等於真。 政府資料已提到生成式 AI 有模型偏見同錯誤等技術風險。^[8] 對外文件、客戶訊息、合約草稿、法律或醫療相關內容，都應該有人手覆核。

第三，唔好用 AI 政策空白當成默許。 如果公司未有 AI 使用政策，反而更應該先問清楚主管、IT、法務或私隱負責人，唔好自己決定將敏感資料交畀 AI 工具處理。

FAQ：香港 AI 規管常見問題

香港而家有冇 AI 法例？

按 2025 年公開法律概覽，香港未有一部單一、專門針對 AI、大數據或機器學習嘅法律框架。^[4] 但香港已有政府 GenAI 指引、PCPD 私隱相關指引，以及 PDPO 等既有法律要求需要一併考慮。^[5][9][10]

數字政策辦公室嘅 GenAI 指引管啲咩？

數字政策辦公室喺 2025 年 4 月 15 日發布《香港生成式人工智能技術及應用指引》。^[5] 政府資料指，該指引涵蓋生成式 AI 嘅應用範圍、限制、潛在風險同治理原則，並為開發者、服務提供者同使用者提供實務操作指引。^[8]

公司係咪一定要有 AI 使用政策？

私隱專員公署資料指出，《僱員使用生成式 AI 指引清單》旨在協助機構為員工喺工作中使用 GenAI 制定內部政策或指引，並符合 PDPO 要求。^[9] 數字政策辦公室指引亦列出機構採用 GenAI 服務時，內部政策可涵蓋工具、用途、輸入資料、輸出使用同輸出儲存等項目。^[1]

如果 AI 完全唔涉及個人資料，仲使唔使理？

仍然要理。即使唔涉及個人資料，生成式 AI 仍可能有錯誤、偏見、資料外洩或輸出使用不當等風險；政府資料亦將資料外洩、模型偏見同錯誤列為需要處理嘅技術風險。^[8]

小結：唔好等「AI 專法」先開始管 AI

香港 AI 規管嘅準確講法係：截至 2025 年公開資料，香港暫未見一部單一 AI 專法；但政府生成式 AI 指引、PCPD 私隱相關指引，以及 PDPO 等既有法律要求，已經需要企業一併考慮。^{[4][5][9][10]}

如果機構已經使用或者準備部署 GenAI，最實際第一步係建立一份可執行嘅 AI 使用政策：定工具、定用途、定資料輸入限制、定輸出使用同儲存方式、定員工及設備權限，並將私隱、資料外洩、偏見同錯誤納入風險管理。^[1][8][9]

以上為根據所列公開來源整理嘅資訊摘要，唔構成法律意見；如涉及高風險 AI 部署、個人資料處理或受監管行業，應查閱相關官方文件並尋求專業意見。