發展兼顧保護 優化數據治理
陳柏琿 亞洲數字經濟科學院院長
你是否願意讓自己的聊天紀錄、朋友圈、或公開動態被用於人工智能模型的訓練?這是2025年科技界最具爭議的問題。大模型訓練依賴數據,而最能提升能力的往往是貼近真實場景的高質量「人類數據」。問題是,發展與保護的邊界在哪裏、誰來劃定這條邊界?
今年5月,Meta宣布,將重新把歐盟地區Facebook與Instagram用戶的公開內容與互動數據,用於訓練其大型語言模型。這一舉動立刻引發奧地利私隱組織noyb及多國消費者團體的強烈反對,認為Meta以「合法利益」為由繞過用戶同意機制,違反了一般資料保護規則(GDPR)的「最小化」和「目的限制」原則。
至於德國,當地意見分成兩派,一方堅守「數據主權」,另一方強調「算法迭代」。
歐盟「私隱優先」的立場一以貫之。根據GDPR,企業若以「合法利益」為由處理數據,必須通過嚴格的平衡測試並提供可驗證的反對權(opt-out)機制。法國CNIL在2025年發布指南,要求企業在AI訓練中避免抓取敏感數據、不得繞過robots協議、並確保用戶對訓練用途「明知可拒」。換言之,合法並不意味着放任,創新必須受約束。
然而,這種高門檻監管也使歐洲的AI企業面臨困境,包括合規成本高昂、創新周期冗長、數據流通受限。Meta事件暴露出,當法律框架滯後於技術演進,衝突便不可避免。
靈活與信任的「柔性治理」
與歐盟的「硬法約束」不同,新加坡選擇了「柔性治理」的路徑。其《個人數據保護法》(PDPA)明確規定,公開可得的個人數據(如社交媒體公開帖子、論壇發言)不受「收集需同意」的限制,企業可直接用於模型訓練。同時設立「業務改進豁免」和「研究豁免」,允許組織在合理安全前提下,將已收集數據用於技術研發和算法優化。
此外,《版權法2021》引入「計算數據分析例外」(CDA),允許企業在合法取得、尊重版權聲明的前提下,將公開作品用於AI訓練。這為大模型研發提供了制度化的「安全走廊」。
這套體系的核心,是信任與責任的雙向約束:政府提供明確的合規框架,企業承擔自我審計義務,公眾則享有可追溯的權利保障。
至於香港,則為大模型數據治理提供了另一種思路,就是在不重新立法的前提下,通過制度框架與技術規範實現合規落地。
香港《個人資料(私隱)條例》仍是規管數據應用的核心法律依據。2024年,香港私隱專員公署發布《人工智能:模型個人資料保護框架》,明確AI系統在設計、訓練與部署全周期中應遵循「風險為本」原則,要求企業在算法透明度、數據最小化、人工監督與問責機制之間取得平衡。
與此同時,特區政府的《生成式人工智能技術與應用指南》則進一步提出,通過去標識化、聯邦學習與差分隱私等技術手段,在保護個人資料的同時允許企業開展創新實驗。這種「技術緩衝+制度約束」的組合,使香港在全球數據治理版圖中呈現出一種「中間路徑」:既保持了國際數據流動的開放性,又不放棄監管的底線。
值得注意的是,香港的做法更強調「框架治理與公眾信任的互動」。監管機構並不以處罰為主,而是通過發布核查表、行業手冊與案例解釋,引導企業在合規中創新,比「立法滯後、技術先行」的歐陸模式更貼近亞洲數字經濟的實踐邏輯。
從歐盟的強監管,到新加坡的政策彈性,再到香港的框架引導,三者構成了亞歐在AI數據治理上的「實驗坐標系」。在這個系統中,香港扮演着既是內地與國際監管體系之間的橋樑,也是亞洲AI治理標準化進程的現實試驗場角色。
發展與保護不是「零和遊戲」
Meta事件的餘波仍在,但它已成為全球AI治理的分水嶺。未來的關鍵,不在於「誰擁有更多數據」,而在於「誰能更可信地使用數據」。
新加坡與香港的實踐證明,當規則透明、責任明晰、公眾信任存在,創新與合規可以並行不悖。面對AI的未知邊界,監管者、企業與社會都在同一場博弈中尋找答案。科技向前走的每一步,都必須照見「人」的價值。
