在香港 HR 領域使用 AI 的法律風險與 PDPO (私隱條例) 考量

「這份候選人的履歷寫得實在太長、太沒有重點了，我把它丟進 ChatGPT 裡，請它幫我總結一下這幾段工作經歷的核心亮點。」

「我們公司高階主管的英文水平參差不齊，我把這份即將發布的最新高管薪酬與花紅（Bonus）分配結構的草案，丟給 Claude 幫我潤飾成極度專業的商業英文。」

在 2026 年的今天，當生成式 AI 的便利性已經深深滲透進辦公室的每一個角落時，很多 HR 專員每天都在不知不覺地重複執行上述的這些動作。他們驚嘆於 AI 瞬間提升工作效率的魔法。但從法律合規（Legal Compliance）、企業資訊安全以及隱私保護的角度來看，這種毫無防備的「複製貼上」行為，無異於在企業的心臟地帶埋下一顆可能引發巨大災難的定時炸彈。

當你將應徵者的真實履歷、員工的醫療病假證明（Medical Certificates）、或者是高度機密的績效與薪酬報告，直接輸入到公共版的生成式 AI 模型中時，你極有可能已經嚴重違反了香港的《個人資料（私隱）條例》（PDPO, Personal Data (Privacy) Ordinance），甚至可能觸犯了處罰極度嚴厲的歐盟《一般資料保護規則》（GDPR）。

公有模型 (Public Models) vs. 企業級/API 模型的致命區別

許多非技術背景的 HR 存在著一個危險的知識盲區：他們不知道，市場上供大眾免費使用的 AI 版本，或者是個人自己付費訂閱的普通 ChatGPT Plus 帳號，其使用者條款（Terms of Service）中往往預設了一個極具爭議的霸王條款——「平台有權將您輸入的對話內容與數據，用於訓練未來的新一代 AI 模型」。

這意味著什麼？這意味著如果你為了省事，把一位高管的真實薪酬數據、全名和身份證號碼餵給了 AI，這份極度機密的個人資料就會被永久地「吃進」這個龐大模型的神經網路中。幾個月後，當這個更新後的模型上線時，如果你的競爭對手在另一個完全不相關的對話框中，巧妙地使用了某種提示詞注入攻擊（Prompt Injection），或者是無意間問對了問題，這份薪資機密極有可能會被 AI 像倒大腦裡的回憶一樣，直接「抽出來」展示給對方看。這就是惡名昭彰的「數據洩露（Data Leakage）」。

Alpha HR 的絕對合規實踐標準：建立數位護城河

在 Alpha HR 的日常業務中，我們處理著大量跨國金融機構、避險基金客戶的極度機密戰略數據，以及成千上萬位高階候選人的個人隱私。因此，我們在技術合規與資訊安全上，採取的是絕對的「零容忍（Zero Tolerance）」態度。在為企業提供 AI 轉型顧問服務時，我們強烈建議企業必須強制落實以下三大防護措施：

1. 強制使用 API 或企業版環境 (Mandatory Use of API/Enterprise Editions)：

企業必須透過公司預算，為 HR 部門配置受保護的 AI 環境。例如使用 OpenAI API、ChatGPT Enterprise、或者是 Microsoft Copilot for Enterprise。這些企業級別的服務，都有著具備法律約束力的條款明確保證：「我們絕對不會使用您的數據來訓練我們的模型（Zero Data Retention Policy for Training）」。你的數據在你登出或對話結束後，就會被徹底捨棄，不會成為下一代 AI 的養分。

2. 數據脫敏 (Data Anonymization / De-identification) 成為操作鐵律：

這是在使用任何 AI 工具（即便是號稱安全的企業版）進行數據分析或履歷篩選前，不可妥協的第一道防線。HR 必須利用自動化腳本或企業內部的過濾軟體，在資料離開公司防火牆之前，強制抹除所有的個人識別資訊（PII）。這包括：姓名、身份證號碼、電話、住址甚至是具體的畢業學校。AI 的大腦只需要知道「Candidate A 有 5 年的 Python 開發經驗，並帶領過 10 人團隊」，它完全不需要知道這位候選人叫什麼名字、住在哪裡。

3. 即時更新《收集個人資料聲明》 (Updating the PICS)：

合規的第一步是保障當事人的「知情權」。企業在所有招聘廣告、求職表格以及入職合約中的《收集個人資料聲明（Personal Information Collection Statement, PICS）》中，必須明確增加免責聲明與告知條款：「為提升招募效率與公平性，您的部分去識別化資料可能會被輸入並使用於自動化或由人工智能（AI）輔助的初步篩選與分析流程中。」

結語：在創新與風險管理中取得完美平衡

全面擁抱 AI 技術，絕對不代表企業必須要犧牲員工與候選人的隱私安全。在《未來 HR 實戰班》中，我們特別規劃了這個極度重要的合規章節。我們將教你如何與 IT 部門協作，搭建一個「數據不落地」、完全基於 API 級別安全標準的高階自動化工作流，讓你在一個絕對安全、合規、受保護的環境下，安心地享受 AI 帶來的巨大生產力紅利。