香港人工智能(AI)相关监管要求概览
2026.06.15 乔喆沅 成晓宇 郭安琪
引言
随着人工智能(Artificial Intelligence,简称AI)应用日益普及,围绕AI的新型商业模式不断涌现。香港政府已拨款超过30亿港元设立人工智能资助计划和数码港人工智能超级计算中心,以全力支持AI行业在香港的发展。
目前,香港尚未针对AI业务设立专门立法或强制性的牌照要求,但相关政府部门根据AI技术对社会及使用者的影响及其在不同行业的应用出台了多套非强制性的参考指引,对AI服务提供者及使用者具有重要指导意义。这些参考指引包括《人工智能道德框架》、《香港生成式人工智能技术及应用指引》、《人工智能:个人资料保障模范框架》。金融机构在使用生成式AI模型时,除需遵守现行法例外,还须留意香港金融管理局(“金管局”)及证券及期货事务监察委员会(“证监会”)等监管机构就AI应用发布的相关通函与指引。
此外,AI开发、应用及其他相关业务也受香港现行法例(包括《个人资料(私隐)条例》(香港法例第486章)及《版权条例》(香港法例第528章))的全面约束。
本文旨在简要介绍香港AI相关的各项监管指引的内容。
一、AI业务模式
尽管市场上与AI相关的业务模式多种多样,但基本可以分为两类:
AI基础设施与模型提供商(如Open AI、Anthropic):从事AI系统基础模型及算法的开发、训练及维护,通过向AI模型用户开放AI大模型收取费用,或直接向企业用户出租 GPU 算力、提供分布式训练及微调集群服务。
AI服务提供商:基于AI基础设施与模型提供商创建的AI大模型,以中间商角色向底层用户提供相关服务,使用户能够更轻松、有效、快捷地调用不同AI大模型。这些服务可能包括 Software as a Service (SaaS)、AI agents、针对不同AI大模型的API接口、提供允许用户自主创建和调用各类AI大模型的平台、或其他更为定制化的AI应用集成与解决方案。AI服务提供商本身并不拥有底层AI大模型,他们一般通过用户对底层AI大模型的实际调用量收取费用。
二、与AI相关的监管指引
A、《人工智能道德框架》
香港数字政策办公室于2025年12月发布了最新版的《人工智能道德框架》,旨在协助企业在规划、设计及推行AI项目和服务时,妥善应用AI及大数据分析技术。此框架也为企业在开展AI项目时应遵守的指导原则、最佳实务方案及AI评估机制提出建议,从而帮助企业管理相关项目的效益、影响及风险。《人工智能道德框架》既适用于AI基础设施与模型提供商,也适用于AI服务提供商。
1. 12项核心道德原则
根据《人工智能道德框架》,所有AI项目均应遵守十二项人工智能道德原则。
透明及可解释
以清晰易懂方式向使用者解释AI决策过程,避免黑盒问题。
可靠、稳健及安全
确保模型长期稳定运行,抵御攻击,并维持系统安全性。
公平
AI应用所作出的建议或产生的结果应公平对待相似群体中的每个人,不得产生歧视或偏见。
多元与包容
尊重不同参与方的利益,兼顾多元化用户需求。
人为监督
根据道德风险严重程度,设定适当的人类干预机制。
合法与合规
严格遵守现行法律及监管要求。
数据私隐
遵守《个人资料(私隐)条例》的个人资料保障原则,保障个人资料相关的权利。
安全
确保AI应用不会危害人类身体安全或心理健全。
问责
明确可识别的问责方。
有益的AI
AI应促进共同福祉。
合作与开放性
培养AI生态环境中各个参与方开放合作的文化。
可持续性与公正转型
制定策略以缓解AI对社会及环境系统的潜在影响。
2. AI管治架构
《人工智能道德框架》建议管理及控制AI项目与应用的企业采用“三道防线”治理模式,确保上述道德原则贯穿始终,实现全机构的风险管控与问责。
第一道防线由项目团队负责日常风险评估、执行缓解措施及记录AI评估工作。
第二道防线为项目督导委员会及保证小组,负责独立审查项目、制定验收标准及在予以批准前,完成AI评估以确保符合AI道德标准。
第三道防线由资讯科技委员会或首席资讯官负责,并可以聘请外部顾问提供建议,负责审核、建议及监管高风险AI应用。
3. AI项目生命周期
AI项目生命周期分为六个主要阶段:(1) 项目策略;(2) 项目规划;(3) 项目生态环境;(4) 项目开发;(5) 系统部署;以及(6) 系统运作与监察。管理及控制AI项目与应用的企业在AI项目生命周期的不同阶段需要持续进行风险评估与人为监督,并形成持续反馈循环,确保AI应用在各阶段均符合相关要求。
4. AI应用影响评估
管理及控制AI项目与应用的企业应该在AI项目生命周期的不同阶段对AI项目的风险等级、涉及问题及影响等进行评估。相关企业可以参考《人工智能道德框架》附录C的“AI应用影响评估范本”。相关企业还应定期更新或在项目发生重大变化时重新进行相关评估,以有效管控潜在风险。
B、《香港生成式人工智能技术及应用指引》(“《生成式人工智能指引》”)
香港数字政策办公室于2025年12月发布了《生成式人工智能指引》。该指引旨在为AI技术开发者、服务提供者及服务使用者,提供应用生成式AI技术的实务操作指引,其内容涵盖生成式AI技术的应用范围、应用局限、潜在风险与治理原则。
《生成式人工智能指引》既适用于开发生成式AI的基础设施与模型提供商,也适用于通过生成式AI技术提供服务的服务提供商。
1. 技术开发者、服务提供者及服务使用者的定义
《生成式人工智能指引》中:
技术开发者:指从事生成式AI系统基础模型及算法的开发、训练及维护的机构及个人。
服务提供者:指作为开发者与用户之间的中介,负责将生成式AI技术部署为面向客户的应用或服务的机构。
服务使用者:指出于个人或专业用途而使用生成式AI服务的个人或机构。
2. 生成式AI技术的局限及风险
《生成式人工智能指引》鼓励技术开发者、服务提供者以及服务使用者了解生成式AI技术的局限及风险,例如:
模型幻觉:模型生成的信息与真实世界情况不符,比如编造不存在的事实或数据。
模型偏见:模型在生成内容或做决策时,带有某种不合理的偏好或倾向,影响结果的公平性和公正性。
黑盒问题:生成式AI模型内部运作机制复杂且不透明,导致开发者或用户难以理解模型是如何得出某个结果的。
3. 生成式AI技术的服务风险
《生成式人工智能指引》明确了一个四层风险分类系统,技术开发者应根据潜在危害程度制定相应的管治方式。
风险级别
定义
如何处理
不可接受风险
对社会构成生存性威胁的系统
全面禁止
涉及开发或部署的行为的技术开发者需承担法律责任
高风险
用于医疗诊断或自动驾驶等关键基础设施的系统
必须通过合规评估
必须设有人为监督
实时监测和持续监控
有限风险
带来中等社会影响的系统(例如:招聘工具或教育AI应用)
履行资讯透明的责任
提供用户选择退出的机制
每年定期进行合规审计
低风险
例如:垃圾邮件过滤器或创意设计工具等
企业自我认证
另外,除了技术开发阶段,技术开发者、服务提供者以及服务使用者也应意识到生成式AI在服务阶段同样存在风险。生成式AI模型算法本身并不能直接推向普通用户或企业市场。它必须经过商业化处理,才能成为可被实际使用、收费和监管的产品或服务。因此,生成式AI在服务阶段仍然可能产生新的安全风险问题,如传播不良内容,制造以假乱真的多媒体内容及模型越狱——也就是故意绕过开发者设置的安全机制,让生成式AI被用于危险或不当目的。
4. 人为监督
生成式AI系统的生命周期可分为四个阶段:(1)规划与数据获取;(2)模型开发;(3)部署与集成;以及(4)使用与维护。生成式AI模型生命周期中的人为监督至关重要。《生成式人工智能指引》明确了在不同阶段中存在的风险,以及技术开发者、服务提供者及服务使用者应采取的应对方法。
5. 实用指南
《生成式人工智能指引》就技术开发者、服务提供者及服务使用者三方在开发、应用及使用生成式AI模型时各自的责任提供了详细的建议。
技术开发者
建立数据团队及负责人
设立算法工程团队
设立质控团队
建立营运原则(如透明及可解释性)
设立合规团队
对高风险的生成内容(如深度伪造、身份证明文件)加设不可移除的水印或嵌入式标识码
针对内容准确性、偏见、有害输出及私隐合规的风险设立独立评估机制
服务提供者
保证服务合规及资料安全
保证系统安全及可信性
建立明确的财务协议与服务安全协议
开展服务风险评估
开展小规模的试点专案
持续维护服务
服务使用者
合法合规的使用服务
坚持自主判断
建立机构政策及指引
了解自身的责任及义务
明确说明是否使用了生成式AI参与内容生成或决策
保护个人私隐
谨慎传播生成内容
尊重知识产权
C、《人工智能:个人资料保障模范框架》
香港个人资料私隐专员公署于2024年6月11日发布《人工智能 :个人资料保障模范框架》。此框架根据《个人资料(私隐)条例》下的六项个人资料保障原则,针对会采购、实施和使用AI方案的机构,提供四个核心范畴的针对个人资料保障的实用建议措施。
1. 制定AI策略及管治架构
机构高层需明确承诺负责任地使用AI,并制定机构层面的AI策略。同时,机构需设立AI管治委员会,负责统筹治理工作。针对不同层级的员工,机构需定期开展AI私隐风险的定期培训及意识提升计划。此外,在采购第三方AI解决方案时,机构须将私隐与保安责任纳入机构的尽职调查及合同条款中。
2. 风险评估及人为监督
机构须在采购AI方案过程中或对现有的AI系统进行重大更新时进行风险评估,并根据相关风险采取适当的人为监督。
风险
人为监督
高风险的AI系统
人在环中(human-in-the-loop)
人类决策者保留控制权,以防止及减低AI系统出错或输出不当结果或作出不当的决定。
风险最小或较低的AI系统
人在环外(human-out-of-the-loop)
AI系统在没有人类介入下采纳输出的结果或作出决定。
如人在环中或人在环外均不适用(例如当风险程度不可忽视,且人在环中不能符合成本效益或不可行)
人为管控(human-in-command)
利用AI 系统输出的结果,监督AI系统的运作,有需要时才介入。
3. AI模型的定制与AI系统的实施及管理
机构在准备用于AI模型定制和使用的数据时应遵从《个人资料(私隐)条例》,确保:
收集足够的数据,以确保结果是准确和不存在偏见的;
通过合法渠道获取数据;
妥善记录数据处理情况(包括数据来源,准许用途,储存位置等)。
机构还应对AI模型进行严格测试及验证,确保模型按预期运作,并在使用模型前评估其可靠性、稳健性和公平性。在可行和适当的情况下,机构应该过滤可能引起道德问题的内容。
机构应制定AI事故(指因AI系统的开发或使用对人、财产或环境造成损害的事件)应变计划,并且定期进行内部审核,以确保内部人员持续遵从相关政策。
4. 与用户的沟通及交流
在不会对商业敏感或保密信息造成损害的前提下,机构应向用户提供充足的信息说明其产品或服务中使用AI系统的目的及风险。
D、证监会《致持牌法团的通函 - 生成式AI语言模型的使用》
证监会于2024年11月12日发布了《致持牌法团的通函 - 生成式AI语言模型的使用》,旨在明确证监会对持牌机构使用AI语言模型方面的监管要求。若持牌机构使用生成式AI语言模型或以生成式AI语言模型为基础的第三方产品提供与受规管活动有关的服务或功能,那么该持牌机构应评估其数据治理与风险管理是否符合该通函的要求。
1. 与AI语言模型有关的风险
持牌机构应充分理解AI语言模型带来的相关风险,包括:
AI语言模型的输出内容可能不准确、存在偏见、不可靠及不一致;
涉及网络攻击,不慎泄露与机构或其客户有关的机密资料,以及违反个人资料私隐和知识产权法例方面的风险;
持牌机构可能依赖外部服务提供商开发、训练及维持AI语言模型。鉴于这类外部服务提供商为数有限,一旦发生系统无法使用的情况,持牌机构便会面临集中风险,且它们在运作上的抵御能力亦会受到影响。
2. 风险管控措施
持牌机构应以风险为本,即与其AI语言模型的特定用例或应用情况所带来的影响的重大程度及风险水平相称的方式,采取适当的风险管控措施,包括:
(1) 高级管理层的责任
持牌机构的高级管理层应确保在AI语言模型的整个生命周期内落实有效的政策、程序和内部监控措施,并由具备合适资格和丰富经验的人士作出充分的高级管理层监督及管治;
针对AI语言模型的监督及风险管理工作应由适当的职员负责;
为了妥善管理AI语言模型的使用,持牌机构及其高级管理层应确保知悉AI语言模型及当中的输入数据的风险和限制,并在顾及有关风险和限制下,确保所运用的AI语言模型切合所需及适用于所涉特定用例。
(2) AI模型风险管理
如持牌机构进行模型开发活动,在可行的情况下及经考虑用例和所涉风险水平后,设立模型开发职能;
在批准使用AI语言模型前,;及对AI语言模型的设计、假设、输入、计算或输出作出重大改动时,充分地对AI语言模型进行验证,以便处理任何问题;
透过进行全面的端对端测试来评估模型效能;
持续检讨和监察AI语言模型的效能,以确保它们继续切合所需并按照拟定的模式运作。
(3) 风险缓释措施
持牌机构应采取与特定用例的影响和风险严重程度相称的风险纾减措施,尤其是为了应对AI语言模型的幻觉风险;
若AI语言模型用于持牌的客户接口,持牌机构应在用户接口上作出明确披露,说明他们正在与AI(而非真人)互动,且由AI语言模型产生的输出内容未必准确;
针对高风险的用例,采取额外的风险缓释措施(见下文)。
(4) 网络保安及数据风险管理
持牌机构应紧贴有关AI语言模型的现行和新兴网络保安威胁情况,并设立有效的政策、程序及内部监控措施以管理相关的网络保安风险,包括及时识别网络保安入侵和在适当时暂停使用AI语言模型的措施;
持牌机构应对静态和传输中的非公开数据进行加密,以确保数据的保密性和安全性。
(5) 第三方提供者风险管理
持牌机构应以适当的技能、小心审慎和勤勉尽责的态度挑选第三方提供者,包括对其进行适当的尽职审查和持续监察,从而评估有关第三方提供者是否具备所需的技能、专业知识、资源和监控措施,以按照该机构可接受的标准提供产品或服务。
3. 高风险用例
证监会将使用AI语言模型向投资者或客户提供投资建议、意见或研究视为高风险用例。持牌机构须就此类高风险用例采取额外的风险缓释措施,包括在将AI语言模型的输出内容转达给使用者前,在过程中应有人员介入负责处理幻觉风险及确保有关内容的事实准确性。同时,这些持牌机构必须遵守《证券及期货(发牌及注册)(资料)规则》下的通知规定,尽早与证监会商讨相关商业计划。
E、金管局《应用AI的高层次原则》
金管局于2019年11月1日发布的《应用AI的高层次原则》,涵盖企业管治、应用程序的设计与开发及持续监察及维护。受金管局监管的银行类机构可以按情况采纳这些原则,以反映其AI应用程序的性质及所涉风险水平。
另外,基于大数据分析及AI的发展,金管局于2019年11月5日发布了《认可机构就应用大数据分析及AI的消费者保障》通告。银行类机构的董事局及高级管理层需要对AI作出的决定及程序负责,而银行类机构需要确保AI模型能为客户提供客观、一致及公平的结果,并就AI应用程序提供予客户适当的透明度,以及实施有效的客户资料保障措施。
三、GenA.I.沙盒++
金管局、证监会、保险业监管局及强制性公积金计划管理局于2026年3月5日联同香港数码港管理有限公司扩展GenA.I.沙盒++以涵盖多个金融领域。
该计划聚焦三大重点方向:风险管理、反欺诈和客户体验,并持续推进“以AI对抗AI”的策略,利用人工智能技术来管理与AI应用相关的风险。参与的金融机构将获得针对性的监管指引、技术支持,并可免费使用数码港AI超算中心的GPU算力资源,在风险可控的环境下开发、测试和优化自己的应用案例,推动香港金融生态系统负责任地使用AI。
结语
尽管香港尚未针对AI业务设立针对性立法或强制性的牌照要求,但相关政府部门根据AI技术对社会及使用者的影响及其在不同行业的应用已经出台了多套非强制性的参考指引,为AI领域负责任发展提供了清晰指引。AI技术开发者、服务提供者及使用者均应主动参考《香港生成式人工智能技术及应用指引》、《人工智能道德框架》及《人工智能:个人资料保障模范框架》的相关指引,并严格遵守《个人资料(私隐)条例》及《版权条例》的要求,从而有效地鉴别、控制并缓解AI技术带来的风险。
此外,证监会及金管局的相关通函对将AI技术应用于产品及服务的金融机构提出了更高的风控合规要求。
长远而言,各行业的AI技术开发者及服务提供者应主动建立健全的内部治理架构、持续进行风险评估与合规审计。这不仅是履行社会责任的体现,更是推动香港AI生态健康、可持续发展的关键所在。
君合虚拟资产与金融科技团队
我们持续密切关注世界各地对区块链、虚拟资产监管的发展动向,在相关法律领域具有丰富的知识和经验。我们已经为众多机构客户及Web3企业在香港及其他国家地区发展虚拟资产及相关业务提供法律意见。
我们曾就稳定币及虚拟资产相关活动的合规要求发布以下文章,欢迎关注:
(1) 有关证监会开放代币化产品二级市场交易,可参阅我们早前发布的「香港RWA代币化新时代:证监会开放代币化产品二级市场交易」一文。
(2) 有关黄金RWA代币化,可参阅我们早前发布的「2026香港Web3新机遇 - 黄金RWA代币化」一文。
(3) 有关中国大陆监管部门针对虚拟货币及境内资产境外代币化项目的最新监管动向,可参阅我们早前发布的「虚拟货币及RWA新规出台 - 为境内优质资产境外代币化打开大门」一文。
(4) 有关香港财库局及证监会发布的虚拟资产交易服务咨询总结的解读,可参阅我们早前发布的「香港将针对虚拟资产交易、就虚拟资产提供意见、虚拟资产管理设立新的牌照制度」一文。
(5) 有关香港财库局及证监会发布的虚拟资产托管服务咨询文件的解读,可参阅我们早前发布的「香港将针对虚拟资产托管服务建立监管制度」一文。
(6) 有关香港证监会有关虚拟资产交易平台提供质押服务的通函解读,可参阅我们早前发布的「香港开放虚拟资产质押(Staking)(上篇):深度解析香港证监会《有关虚拟资产交易平台提供质押服务的通函》」及「香港开放虚拟资产质押(Staking)(下篇):一文读懂香港证监会《有关中介人虚拟资产相关活动的补充联合通函》」。
(7) 有关金管局为稳定币发行人提供监管指引而推出的《有关受规管稳定币活动的建议反洗钱及反恐怖分子资金筹集(AML/CFT) 要求的咨询文件》及《监管持牌稳定币发行人的指引草案》咨询文件,可分别参阅我们早前发布的「香港稳定币时代正式启航 —— 上篇:《稳定币条例草案》通过开启新篇章」及「香港稳定币时代正式启航 —— 下篇: 金管局指引咨询解密 - 发行人及分销商需知要点」。
(8) 有关香港金管局就在香港实施巴塞尔银行监管委员会对于银行持有加密资产的风险敞口相关的监管标准发布咨询文件,可参阅我们早前发布的「香港将实施有关银行持有RWA, 稳定币及比特币等加密资产的监管标准」一文。
(9) 有关美国推行《指导与建立美国稳定币国家创新法案》的法案重点,可参阅我们早前发布的「美国《GENIUS法案》 揭幕: 美元稳定币引领全球金融新篇章」一文。
(10) 有关香港政府刊登的《稳定币条例草案》的核心内容及申牌要点,可参阅我们早前发布的「香港稳定币时代加速到来 —— 香港 《稳定币条例草案》立法全速推进」一文。
(11) 有关香港金融管理局推出的数码债券资助计划,可参阅我们早前发布的「香港金融管理局推出“数码债券资助计划”」一文。
(12) 有关《在香港实施稳定币发行人监管制度的立法建议 - 咨询总结》的具体内容以及金管局推出的沙盒安排,可参阅我们早前发布的「一文读懂香港稳定币发行人牌照制度」一文。
(13) 有关《在香港实施稳定币发行人监管制度的立法建议 - 咨询文件》的具体内容以及金管局推出的沙盒安排,可参阅我们早前发布的「稳定币发行人可以开始申请加入香港金管局沙盒(Sandbox)安排」一文。
(14) 有关金管局对稳定币业务监管进行公众咨询得出的结论,可参阅我们之前发布的「香港金管局拟就经营稳定币业务设立强制性发牌制度」一文。
(15) 有关香港政府于2024年2月8日发布的《有关规管虚拟资产场外交易的立法建议》的公众咨询文件的详情,可参阅我们之前发布的「香港OTC立法咨询 - 为虚拟资产交易监管填补空白」一文。
(16) 有关证监会于2023年11月2日发布的两份与代币化证券相关的通函,可参阅我们之前发布的「代币化证券(Tokenised Securities):香港金融市场新趋势」一文。
(17) 有关证监会与香港金融管理局于2023年10月20日发出的《有关中介人的虚拟资产相关活动的联合通函》之内容,可参阅我们之前发布的「金融机构在香港提供虚拟资产相关活动(包括代币化证券业务)的最新监管导向」一文。
(18) 有关香港金融科技及Web3领域相关牌照简介,可参阅我们之前发布的「香港金融科技及Web3领域相关牌照简介 - 一文读懂香港信托或公司服务提供者(TCSP)、储值支付工具(SVF)及金钱服务经营者(MSO)牌照」一文。
(19) 有关美国、新加坡、香港对于稳定币的最新监管情况,可参阅我们之前发布的「浅谈全球稳定币监管(二):美国、新加坡、香港稳定币立法趋势比较」一文。
(20) 有关证监会于2023年2月20日发布的《有关适用于获证券及期货事务监察委员会发牌的虚拟资产交易平台营运者的建议监管规定的咨询文件》的详情,可参阅我们之前发布的「香港证监会就虚拟资产交易平台牌照(1、7号牌照及VASP牌照)申请要求展开咨询」一文。
(21) 有关香港特区政府于2022年10月31日发布的《关于在香港发展虚拟资产的政策宣言》的详情,可参阅我们之前发布的「确保Web3创新发生在香港 – 香港就推动建设虚拟资产中心发布政策宣言」一文。
(22) 有关证监会对VASP的监管体系,可参阅我们之前发布的「香港将针对虚拟资产服务提供商建立发牌制度」一文。
(23) 有关美国加密资产法案的讨论,可参阅我们之前发布的「美国Lummis-Gillibrand 加密资产法案要点解析」一文。
(24) 有关全球各主要国家及地区对于稳定币的监管情况,可参阅我们之前发布的「浅谈全球稳定币监管」一文。
声 明
《君合法律评论》所刊登的文章仅代表作者本人观点,不得视为君合律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容,请注明出处。未经本所书面同意,不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
