先抓重點
- 公司用 AI 前,先分資料:公開、內部、機密、個資。
- 對外輸出內容要有人審,尤其是法律、財務、醫療、價格、保固、廣告。
- 企業應建立工具白名單、禁止上傳資料類型與使用紀錄。
判斷流程
先把問題拆成五個關卡
這個流程用來判斷公司能不能用、怎麼用,以及哪些情況要升級給主管、法務或資安確認。
- 01
先看資料類型
要輸入 AI 的內容是公開資料、內部文件、客戶資料,還是營業秘密?不同資料,能用的工具與審核強度不同。
- 02
確認工具與權限
工具是否列入公司白名單?帳號、工作區、資料留存與模型訓練設定是否有人管理?
- 03
判斷輸出用途
只是內部草稿,還是會變成客服、廣告、契約、法務、財務或醫療相關對外內容?用途越接近對外承諾,越需要人工審核。
- 04
指定責任邊界
誰能送出?誰要覆核?出錯時誰修正?不要讓 AI 產出直接變成公司承諾。
- 05
留下必要紀錄
工具審核、教育訓練、對外內容覆核與例外核准都要留下紀錄,之後才說得清楚公司怎麼管理風險。
官方已確認
現在可以放心寫進頁面的事
- 行政院生成式 AI 參考指引是公部門使用生成式 AI 的官方參考,明示安全性、隱私性、資料治理、問責、自主權與控制權等治理重點。
- 人工智慧基本法已建立 AI 治理與風險管理上位框架,具體產業要求仍需看目的事業主管機關。
- 個資法、營業秘密法與著作權法分別會影響客戶資料、公司機密與 AI 生成輸出內容的處理方式。
尚待細則
不要寫成已定案
- 行政院生成式 AI 參考指引主要適用公部門,民間企業可參考其治理原則,但不能直接寫成民間企業法定義務。
- 民間企業各產業的具體 AI 使用義務仍需看目的事業主管機關後續指引。
實務風險
真正容易出事的地方
這些不是為了嚇人,而是公司在導入 ChatGPT 或其他雲端 AI 工具前,最需要先擋住的常見破口。
員工把未分類的客戶資料、契約內容或公司機密上傳到未核准的 AI 工具。
AI 產生不實、侵權或不適合對外承諾的內容後直接發布。
公司沒有工具核准、輸出審核與紀錄,事後難以說明管理流程。
建議行動
第一版制度先做這幾件事
不用一開始做成厚重制度,先讓員工知道哪些資料不能丟、哪些輸出要審、哪些工具可以用。
- 建立企業 AI 使用規範與資料分級表。
- 列出允許使用、限制使用與禁止使用的 AI 工具。
- 禁止上傳個資、營業秘密、未公開財務、契約或原始碼等未核准資料。
- 對外內容需經人工審核,尤其是法律、財務、醫療、價格、保固與廣告。
紀錄與佐證
公司至少要留這些紀錄
工具審核紀錄員工教育訓練紀錄對外內容審核紀錄例外核准紀錄
補充說明
先不要問工具,先問資料
公司使用 ChatGPT 時,第一個問題不是「能不能用」,而是「要拿什麼資料去用」。
公開資料、一般文案草稿、已去識別化資料、內部機密文件、客戶資料,風險完全不同。
建議基本規則
| 資料類型 | 建議處理 |
|---|---|
| 公開資料 | 通常風險較低,但仍要查證輸出內容 |
| 內部文件 | 先確認是否機密或契約限制 |
| 客戶資料 | 進入個資檢查流程 |
| 營業秘密 | 原則上禁止上傳未核准雲端 AI |
| 對外文案 | 需人工審核,不可直接發布 |
企業第一版可以先做什麼?
不需要一開始寫厚厚一本制度。
先做三張表:
- AI 工具白名單 / 黑名單。
- AI 資料分級表。
- 對外內容審核表。
常見問題
公司可以完全禁止員工用 ChatGPT 嗎?
可以建立內部規範,但實務上更可行的是分級管理:哪些工具可用、哪些資料不能上傳、哪些輸出要審核。
只拿 AI 寫草稿也有風險嗎?
有。草稿可能含不實資訊、侵權內容、洩漏內部資訊,若對外使用仍應審核。
行政院生成式 AI 參考指引是直接管民間公司嗎?
主要是公部門使用生成式 AI 的官方參考。民間公司可以借鏡其中的安全、隱私、資料治理與問責原則,但仍要回到自身產業、契約與資料類型判斷。
來源與查證
- 行政院及所屬機關(構)使用生成式 AI 參考指引 / 行政院 / 查證 2026-06-03
- 人工智慧基本法 / 國科會主管法規共用系統 / 查證 2026-06-03
- 個人資料保護法 / 全國法規資料庫 / 查證 2026-06-03
- 營業秘密法 / 全國法規資料庫 / 查證 2026-06-03
- 著作權法 / 全國法規資料庫 / 查證 2026-06-03