在香港快速發展的 AI 應用市場中,因為獨特的地緣政治原因,Poe 平台成為一款熱門的聊天機器人工具,吸引眾多企業用戶探索 AI 企業方案。然而,最新調查顯示,Poe 允許用戶輸入數據由獨立開發者託管的 RAG 伺服器處理,當中並無嚴格的數據保護合規要求。這不僅可能導致敏感資訊外洩,還對香港企業的 AI 部署帶來潛在法律風險。企業在選擇 AI 方案時,需謹慎評估數據安全,以避免違反本地隱私法規。
RAG 技術,即檢索增強生成,能提升回應準確性,是 AI 企業方案的核心功能,能提升回應準確性。在 Poe 平台上,用戶可透過自訂機器人利用 RAG 伺服器分析數據,但這些伺服器往往由第三方獨立開發者管理。香港企業若採用此類 AI 工具,可能無意中將客戶資料傳送至身份不明的第三者,這凸顯了香港廉價 AI 應用市場的數據流動風險。
Poe 的隱私政策明確指出,用戶與機器人互動的內容會分享給第三方 AI 模型提供者和開發者,包括聊天記錄和上傳文件。對於託管在獨立開發者伺服器的機器人,數據處理完全依賴開發者的自家政策,而 Poe 並未強制要求如 GDPR 或香港個人資料私隱條例等的合規認證。這意味著香港企業在使用 AI 企業方案時,數據可能暴露於一個毫無保障的環境,增加洩露機率,出事後亦難以通過法律手段進行追討。
獨立開發者在 Poe 平台上可輕鬆建立伺服器機器人,接收用戶輸入進行 RAG 處理,但平台未設合規門檻。開發者如何存取聊天數據用於模型訓練,怎樣處理個人識別資訊,對香港 AI 企業方案用家而言,是一個黑洞,尤其是涉及金融或醫療數據的企業,採用此等缺乏第三方認證的數據處理商,極可能導致企業違反本地法規,面臨罰款或聲譽損失。
來自 Asiabase 的網絡安全專家警告,類似的聊天機器人模式雖然便利,但忽略了企業級安全需求,故非必要時,千萬不要把任何個人或企業資訊放入聊天記錄,否則一經洩漏,不是過往通知涉事網站刪除相關帖子便能解決。
AI 企業方案需符合個人資料私隱專員公署的指引,若數據流向無合規第三方,企業可能承擔法律責任。近期多宗 AI 數據洩露事件,提醒香港企業在選用類似 Poe 等平台時,應評估 RAG 伺服器的託管方背景,避免將敏感資訊置於風險中。