香港目前的 AI 規管重點，不是一條 AI 專法一網打盡，而是由既有法律、政府生成式 AI 指引和私隱監管指引共同組成。對企業來說，真正要做的不是等新法例才開始合規，而是先把 AI 工具、資料輸入、輸出使用、員工權限和個人資料風險管起來。

先講結論：未有單一 AI 專法，但已有官方規管框架

按 2025 年公開法律概覽，香港目前未有一套專門、單一針對 AI、大數據或機器學習的 standalone legal framework。^[4] 但這不代表 AI 使用處於完全空白地帶。

政府方面，數字政策辦公室於 2025 年 4 月 15 日發布《香港生成式人工智能技術及應用指引》。^[5] 政府新聞資料指出，該指引涵蓋生成式 AI 技術的應用範圍、限制、潛在風險和治理原則，並為技術開發者、服務提供者和使用者提供實務操作指引。^[8]

私隱方面，私隱專員公署在 2025 年 3 月發布《僱員使用生成式 AI 指引清單》，目的是協助機構就員工在工作中使用 GenAI 制定內部政策或指引，同時符合《個人資料（私隱）條例》（PDPO）的要求。^[9]

香港 AI／GenAI 主要文件一覽

文件或框架	主要對象	實務重點
《香港生成式人工智能技術及應用指引》	技術開發者、服務提供者和使用者。[8]	涵蓋生成式 AI 的應用範圍、限制、潛在風險和治理原則。[8]
DPO 指引中的機構政策建議	採用生成式 AI 服務的機構。[1]	內部政策可列明准用工具、准用用途、適用範圍、可輸入資料的類型和數量，以及輸出資料的使用和儲存方式。[1]
《僱員使用生成式 AI 指引清單》	有員工在工作中使用 GenAI 的機構。[9]	協助機構制定員工使用 GenAI 的內部政策或指引，並符合 PDPO 要求。[9]
PCPD 較廣泛的 AI 私隱指引	採購、使用或開發涉及個人資料 AI 系統的機構。[10]	提供實務指引、AI 倫理原則和自我評估清單，協助機構在開發和使用 AI 時符合 PDPO。[10]

為何未有 AI 專法，企業仍要立即處理？

如果問題是：香港是否已有一條單一 AI 專法？答案是，按 2025 年公開法律概覽，未見一套專門處理 AI、大數據或機器學習的單一法律框架。^[4]

但如果問題是：香港是否已有 AI 相關合規要求和官方指引？答案就是有。DPO 的生成式 AI 指引已把應用限制、潛在風險和治理原則放入同一套實務框架；政府資料亦點名資料外洩、模型偏見和錯誤等技術風險需要處理。^[8]

只要 AI 使用涉及個人資料，PDPO 風險就不能忽略。PCPD 的員工 GenAI 清單明確把員工在工作中使用 GenAI、機構內部政策和符合 PDPO 要求連在一起處理。^[9]

企業使用 GenAI：內部政策最少要覆蓋甚麼？

DPO 指引指出，採用生成式 AI 服務的機構應制定內部政策或指引，內容可涵蓋准用工具、准用用途、政策適用範圍、可輸入資料的類型和數量、輸出資料的使用，以及輸出資料的儲存方式。^[1]

實務上，企業、學校、非牟利機構或任何有員工使用 GenAI 的團隊，可先從以下八項開始：

1. 准用工具：列明哪些公開可用或內部開發的生成式 AI 工具可以使用。^[1]
2. 准用用途：界定是否可用於草擬、摘要資料，或製作文字、音訊、視覺內容等用途。^[1]
3. 政策適用範圍：說明政策適用於哪些部門、工作流程或使用情境。^[1]
4. 可輸入資料的類型和數量：規定哪些資料可以輸入 GenAI，哪些資料不應輸入，並限制輸入資料量。^[1]
5. 輸出資料的使用方式：說明 AI 生成內容可否對外使用、是否需要人手覆核，以及可用於哪些工作。^[1]
6. 輸出資料的儲存方式：規定 AI 輸出應如何保存、是否可複製到其他系統，以及保留安排。^[1]
7. 員工和設備權限：PCPD 資料指出，AI 政策應列明員工可用哪些設備存取 GenAI 工具，以及哪些類別員工獲准使用。^[9]
8. 風險管理：把資料外洩、模型偏見和錯誤納入評估和覆核流程，因為這些是 DPO 指引提到的生成式 AI 技術風險。^[8]

個人資料與 PDPO：AI 合規的核心風險

在香港使用 AI 或 GenAI，只要牽涉個人資料，就要特別留意 PDPO。PCPD 表示，其《僱員使用生成式 AI 指引清單》是為了協助機構制定員工使用 GenAI 的內部政策或指引，並在工作使用情境下符合 PDPO 要求。^[9]

PCPD 較廣泛的 AI 指引亦包括實務指引、倫理原則和自我評估清單，協助機構在開發和使用 AI 時遵守《個人資料（私隱）條例》（Cap. 486）。^[10] 對企業來說，AI policy 不應只回答可否使用某個 AI 工具，還要處理資料來源、輸入內容、存取權限、輸出保存和人手覆核。

一般員工和用戶應該怎樣做？

DPO 的生成式 AI 指引對象包括使用者，並不只限於開發商或平台供應商。^[8] 如果你在工作中使用 GenAI，最穩妥的做法是先遵守機構內部政策，而不是自行把公司文件、客戶資料或內部資料輸入公開 AI 工具。

同時，不應把 AI 輸出當成一定正確。政府資料提到，生成式 AI 需要處理模型偏見和錯誤等技術風險。^[8] 重要文件、對外發布材料、客戶溝通，以及涉及法律、醫療或個人資料的內容，都應有人手覆核。

FAQ：香港 AI 規管常見問題

香港現在有 AI 法例嗎？

按 2025 年公開法律概覽，香港未有一部單一、專門針對 AI、大數據或機器學習的法律框架。^[4] 但香港已有政府 GenAI 指引、PCPD 私隱相關指引，以及 PDPO 等既有法律要求需要一併考慮。^[5][9][10]

DPO 的生成式 AI 指引管甚麼？

DPO 於 2025 年 4 月 15 日發布《香港生成式人工智能技術及應用指引》。^[5] 政府資料指，該指引涵蓋生成式 AI 的應用範圍、限制、潛在風險和治理原則，並為開發者、服務提供者和使用者提供實務操作指引。^[8]

公司是否一定要有 AI 使用政策？

PCPD 的資料指出，其《僱員使用生成式 AI 指引清單》旨在協助機構為員工在工作中使用 GenAI 制定內部政策或指引，並符合 PDPO 要求。^[9] DPO 指引亦列出機構採用 GenAI 服務時內部政策可涵蓋的項目，包括工具、用途、輸入資料、輸出使用和輸出儲存等。^[1]

總結

香港 AI 規管的準確講法是：按 2025 年公開來源，香港暫未見一部單一 AI 專法；但已有政府生成式 AI 指引、PCPD 私隱相關指引，以及 PDPO 等既有法律要求需要同時考慮。^{[4][5][9][10]}

如企業正在使用或準備部署 GenAI，最實際的第一步是建立可執行的 AI 使用政策：定工具、定用途、定資料輸入限制、定輸出使用和儲存方式、定員工和設備權限，並把私隱、資料外洩、偏見和錯誤納入風險管理。^[1][8][9]

以上為根據所列公開來源整理的資訊摘要，不構成法律意見；如涉及高風險 AI 部署、個人資料處理或受監管行業，應查閱相關官方文件並尋求專業意見。