先抓重點
- 公司文件風險包含個資、營業秘密與契約保密。
- 上傳雲端 AI 前應檢查工具條款與資料保存方式。
- 本地 AI 可降低資料外流風險,但仍需權限與日誌。
判斷流程
先把問題拆成五個關卡
這個流程用來判斷公司能不能用、怎麼用,以及哪些情況要升級給主管、法務或資安確認。
- 01
先看資料類型
要輸入 AI 的內容是公開資料、內部文件、客戶資料,還是營業秘密?不同資料,能用的工具與審核強度不同。
- 02
確認工具與權限
工具是否列入公司白名單?帳號、工作區、資料留存與模型訓練設定是否有人管理?
- 03
判斷輸出用途
只是內部草稿,還是會變成客服、廣告、契約、法務、財務或醫療相關對外內容?用途越接近對外承諾,越需要人工審核。
- 04
指定責任邊界
誰能送出?誰要覆核?出錯時誰修正?不要讓 AI 產出直接變成公司承諾。
- 05
留下必要紀錄
工具審核、教育訓練、對外內容覆核與例外核准都要留下紀錄,之後才說得清楚公司怎麼管理風險。
官方已確認
現在可以放心寫進頁面的事
- 營業秘密法保護具秘密性、經濟價值,且所有人已採取合理保密措施的資訊。
- 個資法規範可直接或間接識別自然人的資料蒐集、處理與利用。
尚待細則
不要寫成已定案
- 不同產業或契約可能有額外保密義務。
- 本頁不取代公司契約、供應商條款或產業監理要求的個案審查。
實務風險
真正容易出事的地方
這些不是為了嚇人,而是公司在導入 ChatGPT 或其他雲端 AI 工具前,最需要先擋住的常見破口。
員工把報價、客戶名單、原始碼或未公開策略上傳到未核准雲端 AI,削弱公司保密管理。
文件被供應商保存、再利用、外洩或跨境處理,公司事後難以追蹤。
契約保密義務、客戶 NDA 或供應商資料使用限制被忽略。
建議行動
第一版制度先做這幾件事
不用一開始做成厚重制度,先讓員工知道哪些資料不能丟、哪些輸出要審、哪些工具可以用。
- 建立公司文件資料分級,至少區分公開、內部、機密與高敏感。
- 列出禁止上傳一般雲端 AI 的資料類型。
- 高敏感資料優先使用本地 AI 或企業受控環境,並限制存取權限。
- 對例外上傳或外部工具使用建立主管或資安核准流程。
紀錄與佐證
公司至少要留這些紀錄
資料分類紀錄工具核准紀錄工具條款審查紀錄教育訓練紀錄例外核准紀錄
補充說明
公司文件先分級
最簡單的第一版分級:
| 等級 | 範例 | AI 使用建議 |
|---|---|---|
| 公開 | 已公開新聞稿、產品頁 | 可使用,但仍要查證輸出 |
| 內部 | 會議紀錄、流程文件 | 需確認是否含機密或個資 |
| 機密 | 報價、客戶名單、策略 | 未核准不得上傳雲端 AI |
| 高敏感 | 原始碼、財務、病歷 | 優先使用受控或本地環境 |
常見問題
沒有個資就可以上傳嗎?
不一定。沒有個資的文件也可能是營業秘密或契約保密資料。
用本地 AI 就一定沒問題嗎?
不一定。本地 AI 可以提高資料控制能力,但仍要有資料分級、權限控管、日誌、資安維護與使用紀錄。