香港 AI 管治與公共服務：政府如何在 200 個程序中導入人工智能

引言：香港公共服務的 AI 轉型藍圖

2026 年，香港正站在人工智能大規模落地的關鍵節點上。特區政府宣布將在 2027 年底前於超過 200 個行政程序中導入人工智能技術，涵蓋數據分析、客戶服務、牌照審批等多個範疇。這項宏大的計劃不僅標誌著香港公共服務的數碼轉型進入新階段，也為整個城市的 AI 管治架構帶來了前所未有的考驗。

對於香港的企業和專業人士而言，政府率先大規模應用 AI 具有雙重意義。一方面，這為私營機構樹立了標杆，展示了 AI 在行政流程中的可行性與價值；另一方面，隨著 AI 在公共服務和商業領域的滲透加深，監管框架的完善程度將直接影響企業的合規成本和營運策略。

本文將從政府的 AI 部署計劃出發，全面梳理香港現行的 AI 監管架構，對比歐盟和中國內地的監管路徑，並為香港企業提供切實的合規建議。無論你是正在部署 AI 系統的技術主管，還是需要了解合規要求的管理層，這篇分析都旨在為你提供一個清晰的行動框架。

200 個行政程序：政府的 AI 部署計劃

香港政府的 AI 部署計劃分為兩個階段推進。第一階段目標是在 2026 年內完成 100 個行政程序的 AI 導入，主要集中在三大領域：數據分析、客戶服務和牌照審批。第二階段則計劃在 2027 年底前將 AI 應用擴展到超過 200 個程序。

數據分析領域

在數據分析方面，政府部門將利用 AI 處理和分析大量行政數據，以識別趨勢、預測需求和優化資源分配。例如，運輸署可利用 AI 分析交通流量數據，預測擁堵情況並制定應對措施；社會福利署可透過 AI 分析服務使用模式，提前部署社區資源。這類應用的風險相對較低，因為 AI 主要擔任分析輔助角色，最終決策仍由人類官員作出。

客戶服務領域

客戶服務是 AI 應用最為直觀的範疇。政府計劃在多個部門部署 AI 驅動的智能客服系統，處理市民查詢、預約服務和資訊提供等日常互動。這些系統能夠以廣東話、普通話和英文提供 24 小時服務，大幅提升服務效率和市民體驗。然而，AI 客服處理的並非僅僅是資訊查詢——當涉及個案投訴、權益申訴或敏感個人資料時，如何確保 AI 系統的準確性和公平性將成為關鍵議題。

牌照審批領域

牌照審批是這三個領域中最具挑戰性的。AI 將參與評估牌照申請的文件完整性、核實申請資料，甚至對低風險類別的申請進行初步審批建議。這意味著 AI 系統的判斷可能直接影響到商戶的經營許可和個人的權益。如何確保 AI 審批的透明度，以及如何建立有效的申訴和人工覆核機制，是政府需要審慎處理的管治課題。

香港 AI 監管框架全景

了解香港 AI 管治的首要前提是認識其核心特徵：香港目前並沒有一部專門針對人工智能的法例。這一點與歐盟的《人工智能法案》（AI Act）形成鮮明對比。香港採取的是所謂「情境為本」（context-based）的監管方式，即根據 AI 的具體應用場景，由相關的現行法例和監管機構分別處理。

在這套分散式框架下，幾個關鍵的政府機構各自承擔着不同範疇的 AI 管治職責：

• 數字政策辦公室（Digital Policy Office, DPO）：負責統籌香港整體的 AI 政策和發展策略，是推動 AI 在公共服務和經濟領域應用的核心機構
• 個人資料私隱專員公署（PCPD）：在 AI 應用涉及個人資料處理時，負責確保符合《個人資料（私隱）條例》的要求，並發布 AI 相關的數據保護指引
• 香港金融管理局（HKMA）：監管銀行業的 AI 應用，確保金融機構的 AI 系統符合審慎監管要求
• 證券及期貨事務監察委員會（SFC）：監管證券和基金管理行業的 AI 應用，特別關注 AI 在投資決策和風險管理中的角色
• 保險業監管局（IA）：負責保險業 AI 應用的監管指引

這種多機構、跨領域的監管架構有其優勢——它允許各行業根據自身特點靈活應對，避免了「一刀切」可能帶來的不合理限制。但同時，它也帶來了碎片化和不一致的風險。一間同時經營銀行、保險和資產管理業務的金融集團，可能需要同時遵循 HKMA、SFC 和 IA 三套不同的 AI 管治要求，這對企業的合規團隊而言是不小的挑戰。

核心指引與法規逐項解析

過去兩年間，香港各監管機構陸續發布了多份與 AI 相關的指引和框架文件。以下逐一分析這些核心文件的內容和意義。

2024 年 7 月：道德人工智能框架（Ethical AI Framework）

數字政策辦公室於 2024 年 7 月發布的《道德人工智能框架》，是香港政府在 AI 管治方面的綱領性文件。該框架確立了 AI 開發和應用應遵循的基本原則，包括透明度、公平性、問責制、私隱保護和安全性等核心要素。雖然這份框架不具法律約束力，但它為政府部門和私營機構提供了一套共同的價值基準和行為參考。

對於企業而言，道德人工智能框架的重要性在於它反映了政府的政策方向。即使目前不具強制性，但在未來的法規制定過程中，這些原則很可能成為立法的基礎。提前將這些原則融入企業的 AI 管治體系，不僅是負責任的做法，也是對未來監管環境的一種預先準備。

2025 年 4 月：生成式人工智能技術及應用指引（自願性質）

隨着 ChatGPT、Claude 等生成式 AI 工具在商業領域廣泛應用，數字政策辦公室在 2025 年 4 月發布了《生成式人工智能技術及應用指引》。這份指引屬於自願性質，主要面向在業務中使用或開發生成式 AI 應用的機構。

該指引涵蓋的關鍵議題包括：生成式 AI 輸出的品質控制和事實核查、內容生成中的知識產權風險管理、防止 AI 系統產生有害或不當內容的措施、以及員工使用生成式 AI 工具的內部管理政策。對於正在大量使用 ChatGPT 或其他 AI 工具的香港企業來說，這份指引提供了一套實用的框架來建立內部使用規範。

2024 年 6 月：人工智能個人資料保護模範框架

個人資料私隱專員公署於 2024 年 6 月發布的《人工智能個人資料保護模範框架》，聚焦於 AI 應用中個人資料處理的合規要求。這份框架建基於《個人資料（私隱）條例》的六項保障資料原則，並針對 AI 的特殊性作出具體指引。

該框架特別強調了幾個 AI 特有的數據保護挑戰：用於訓練 AI 模型的數據集的合法性和知情同意問題、AI 系統自動化決策對個人權益的影響、AI 處理敏感個人資料（如生物識別數據、健康資料）的額外保障要求，以及跨境數據傳輸在 AI 應用中的合規處理。

金融服務業的 AI 管治要求

金融服務業是香港 AI 應用最為密集的行業之一，也是監管要求最為嚴格的領域。香港金融管理局（HKMA）和證券及期貨事務監察委員會（SFC）在 AI 管治方面均設有明確的期望和指引。

HKMA 的監管期望

HKMA 對銀行業的 AI 應用監管涵蓋多個層面。在風險管理方面，銀行在使用 AI 進行信貸評估、反洗錢（AML）監測和市場風險分析時，必須確保 AI 模型的穩健性和可解釋性。HKMA 特別關注 AI 模型的「黑箱」問題——如果銀行無法向監管機構解釋其 AI 系統如何作出特定決策，那麼該系統在監管審查中可能面臨挑戰。

在客戶保護方面，使用 AI 提供投資建議或銷售金融產品的銀行，需要確保 AI 系統的建議符合客戶的風險承受能力和投資目標。此外，如果 AI 系統的決策可能對客戶產生重大影響（例如拒絕貸款申請），銀行必須提供人工覆核的途徑。

SFC 的監管框架

SFC 對資產管理和證券業的 AI 管治同樣提出了嚴格要求。特別是在使用 AI 進行算法交易和投資組合管理方面，SFC 要求持牌機構確保 AI 系統的充分測試、持續監控和應急預案。對於使用 AI 提供自動化投資建議（即「智能投顧」）的機構，SFC 要求其確保適當的客戶分類和風險披露。

值得注意的是，HKMA 和 SFC 的 AI 管治要求並非純粹的建議——它們嵌入在各自的監管框架中，違規可能導致監管行動。對於金融機構而言，AI 管治已經從「有則更好」的自願實踐，演變為合規的必要組成部分。

保險業的 AI 監管動態

保險業監管局（IA）在 AI 管治方面的動作近期尤為活躍。2026 年，IA 更新了其 AI 應用指引，進一步明確了保險公司在承保、理賠、客戶服務和風險評估中使用 AI 的管治要求。

更新後的指引重點關注幾個議題。首先是公平性和非歧視——AI 在保險定價和核保中的應用不能導致對特定群體的不公平歧視。例如，如果 AI 定價模型因訓練數據的偏見而對某些地區或人口群體收取不合理的高額保費，保險公司需要有機制來識別和糾正這些偏差。

其次是透明度要求。IA 期望保險公司能夠向投保人解釋 AI 系統如何影響其保單定價或理賠結果。這對使用複雜機器學習模型的保險公司提出了技術上的挑戰——如何在保持模型性能的同時，提供足夠的可解釋性。

AI Cohort Programme

IA 推出的 AI Cohort Programme 是一個值得關注的監管創新。該計劃為有意在業務中導入 AI 的保險公司提供一個與監管機構緊密溝通的平台。參與計劃的保險公司可以在受監督的環境下測試和部署 AI 應用，在實踐中逐步建立合規能力。IA 則透過這個計劃收集行業反饋，為未來的監管政策提供實證基礎。

這種「邊做邊學」的監管模式反映了香港監管機構在 AI 管治上的務實態度——既不急於制定可能束縛創新的嚴格法規，也不放任行業自行發展，而是透過結構化的溝通和試驗來尋找平衡點。

關鍵基礎設施保護法的影響

2026 年 1 月，《保護關鍵基礎設施（電腦系統）條例》正式生效。這部法例雖然並非專門針對 AI，但對在關鍵基礎設施中部署 AI 系統有着重要的影響。

條例涵蓋的關鍵基礎設施範疇包括能源、通訊、運輸、金融、醫療和政府服務等。在這些領域運營的機構，如果其電腦系統（包括 AI 系統）被列為關鍵基礎設施，將面對一系列強制性的網絡安全要求，包括定期安全評估、事故通報義務和應急響應計劃。

對於在上述領域部署 AI 系統的企業而言，這部法例意味着額外的合規義務。AI 系統的安全性——包括對抗性攻擊的防禦、數據完整性的保護和系統可用性的保障——將成為法律層面的硬性要求，而非僅僅是最佳實踐。企業需要將 AI 系統的安全合規納入系統設計和日常運營中。

中國內地的 AI 監管脈絡

作為中國特別行政區，香港的 AI 監管不可避免地受到內地政策走向的影響。了解中國內地的 AI 監管動態，對於在兩地均有業務的企業尤為重要。

網絡安全法修正案

中國內地持續強化網絡安全法律框架，包括對《網絡安全法》的修正和完善。這些修正案進一步明確了網絡運營者在數據安全和個人信息保護方面的責任，對在內地運營的 AI 系統有着直接的規範作用。對於在香港和內地同時開展業務的企業，需要同時考慮兩套法規要求，確保 AI 系統在兩個司法管轄區域均符合規定。

國家數據局與 AI 標準化

國家數據局正在規劃制定 30 多項新標準，涵蓋 AI 代理（AI Agents）和數據集等領域。這些標準化工作的範圍和深度值得香港企業密切關注。具體而言，這些新標準預計將涵蓋以下領域：

• AI 代理的行為規範：隨着 AI Agent 技術在商業領域的普及，如何規範自主 AI 系統的行為邊界、責任歸屬和安全保障，是標準化的重點方向
• 訓練數據集的品質和合規標準：包括數據來源的合法性、數據標註的品質要求、以及敏感數據的處理規範
• AI 系統的測試和評估標準：建立統一的 AI 系統性能、安全性和公平性評估方法
• AI 生成內容的標識要求：要求對 AI 生成的文字、圖像、音頻和影片內容進行明確標識

雖然這些內地標準不會直接適用於香港，但考慮到兩地經濟的緊密聯繫，許多在粵港澳大灣區開展業務的企業在實務中可能需要同時兼顧兩地的要求。此外，內地的標準化經驗也可能影響香港未來的政策方向。

歐盟 AI 法案的對照與啟示

歐盟的《人工智能法案》（EU AI Act）是全球第一部全面的 AI 專門立法，對理解香港監管路徑的特點和不足提供了有價值的參照。

歐盟的風險為本（risk-based）監管方式有其明確的優勢。統一的法律框架為企業提供了清晰的合規預期，風險分類體系幫助企業根據自身 AI 應用的風險等級來配置合規資源。然而，歐盟方式也受到批評——部分業界人士認為過於嚴格的監管可能窒礙創新，特別是對中小企業而言，合規成本可能成為採用 AI 技術的障礙。

香港的情境為本方式則提供了更大的靈活性。各行業可以根據自身特點和風險水平，以更適切的方式管理 AI 應用。但這種方式的代價是監管碎片化和潛在的監管缺口——某些跨行業的 AI 應用可能落在現有監管機構的職責範圍之外，導致「三不管」的局面。

對於同時在香港和歐洲市場運營的企業，歐盟 AI 法案的域外效力意味着它們可能需要同時遵循兩套監管要求。在這種情況下，以歐盟的較嚴格標準為基準來建立 AI 管治體系，可能是一種更具效率的合規策略。

專家呼聲：香港是否需要獨立 AI 監管機構？

隨着 AI 應用的規模和影響力持續擴大，越來越多的專家和業界人士呼籲香港設立一個專門的 AI 監管機構。這一呼聲背後有幾個核心論據。

首先是統一性問題。目前由多個機構分散監管的模式，可能導致不同行業之間的監管標準不一致。一間科技公司開發的同一個 AI 系統，應用在金融領域需要遵循 HKMA 的要求，應用在醫療領域可能需要遵循另一套標準，應用在零售領域則可能幾乎沒有特定的 AI 監管要求。這種不一致不利於建立統一的市場預期和公平的競爭環境。

其次是專業性問題。AI 技術的發展速度極快，監管需要具備深厚的技術理解才能有效執行。一個專門的 AI 監管機構可以集中技術專才，建立專業的技術評估和審計能力，而非讓各個行業監管機構各自發展這些能力。

第三是前瞻性問題。通用人工智能（AGI）、AI Agent、多模態大語言模型等新技術不斷湧現，現有的監管框架可能難以及時回應這些新挑戰。一個專門的機構可以更靈活地跟蹤技術發展，提前制定應對策略。

然而，反對意見同樣值得重視。有觀點認為，設立新的監管機構可能導致官僚主義膨脹，增加企業的合規負擔。另外，AI 的應用跨越眾多行業，一個新成立的機構未必能夠比各行業的現有監管者更了解特定行業的實際運作和風險特徵。

較為務實的折中方案可能是在現有架構下加強協調，例如由數字政策辦公室擔任更積極的統籌角色，建立跨機構的 AI 管治協調機制，同時逐步制定適用於所有行業的基礎 AI 管治標準。

企業合規實務指南

面對複雜的監管環境，香港企業應如何建立有效的 AI 管治體系？以下是基於現行監管框架的實務建議。

第一步：AI 應用盤點和風險評估

企業首先需要全面盤點目前正在使用和計劃部署的所有 AI 應用，包括員工日常使用的 ChatGPT 等生成式 AI 工具。對每個 AI 應用進行風險評估，考慮因素包括：該應用是否涉及個人資料處理？是否涉及自動化決策？是否應用在受監管行業？決策結果對個人權益的影響程度有多大？

第二步：建立內部 AI 使用政策

根據風險評估的結果，企業應制定明確的內部 AI 使用政策。這份政策至少應涵蓋以下內容：

• 允許使用的 AI 工具清單：明確哪些 AI 工具已經過評估並獲准在業務中使用
• 數據處理規範：規定哪些類型的數據可以輸入到 AI 系統中，特別是限制敏感資料和客戶數據的使用
• 輸出審核流程：建立對 AI 生成內容的人工審核機制，特別是對外發佈或影響決策的內容
• 知識產權管理：明確 AI 生成內容的知識產權處理方式和潛在風險
• 事故報告和處理流程：建立 AI 系統故障或不當輸出的報告和處理機制

第三步：數據保護影響評估

對於涉及個人資料處理的 AI 應用，企業應進行數據保護影響評估（DPIA）。這一步驟雖然在香港目前不屬於法律強制要求，但 PCPD 的模範框架明確建議採用。DPIA 的主要步驟包括：識別 AI 系統處理的個人資料類型和範圍、評估資料處理的必要性和比例性、識別對資料當事人的潛在風險、制定風險緩解措施、以及定期複審和更新評估結果。

第四步：供應商管理和合同安排

大多數企業使用的是第三方供應商提供的 AI 系統或服務。在選擇和管理 AI 供應商時，企業應注意：審查供應商的數據處理實踐和安全措施、在合同中明確數據所有權、保密義務和數據處理限制、確認供應商是否將企業數據用於模型訓練、以及了解供應商的數據存儲位置和跨境傳輸安排。

第五步：持續監控和管治

AI 管治並非一次性工作，而是需要持續投入的管理過程。企業應建立定期的 AI 系統審核機制，監控 AI 系統的表現和偏差，跟蹤監管政策的變化並及時更新內部政策，以及為員工提供持續的 AI 素養和合規培訓。

總結與展望

香港正處於 AI 大規模落地與監管框架完善的交匯點。政府在 200 多個行政程序中導入 AI 的計劃，既展示了對 AI 技術價值的認可，也為全城的 AI 管治水平設定了新的標杆。

從監管角度看，香港目前的情境為本方式為企業提供了一定的靈活空間，但隨着 AI 應用的深度和廣度持續擴大，現有的分散式監管框架能否有效應對跨行業和新型 AI 技術帶來的挑戰，仍有待觀察。國際上，歐盟已經走在了 AI 專門立法的前列，中國內地也在積極推進 AI 標準化工作。香港在這場全球 AI 治理競賽中，需要在保持靈活性和建立充分保障之間找到適切的平衡。

對於企業而言，等到法規完全明確才開始行動並不明智。AI 管治是一項需要時間建立的組織能力——從風險評估、政策制定到員工培訓，每一個環節都需要積累和迭代。在監管框架尚在演進的當下，主動建立 AI 管治體系的企業不僅能夠降低合規風險，更能在 AI 應用中建立客戶信任和市場優勢。

無論監管環境如何變化，有一點是確定的：掌握 AI 技術和管治知識的專業人才，將成為企業 AI 轉型過程中不可或缺的關鍵力量。投資於員工的 AI 能力建設，既是合規的需要，也是競爭力的來源。

如果你希望系統地學習 AI 技術的實際應用和管治知識，歡迎瀏覽我們的 AI 課程。導師 Ivan So 將結合香港的監管環境和商業實務，為學員提供兼顧技術實操和合規意識的培訓內容，協助你和你的團隊在 AI 時代中穩健前行。

本文由 AI Course Hong Kong 導師 Ivan So 撰寫。如有查詢，歡迎電郵至 ivan@hdcourse.com。