先抓重點
- 可識別個人的客戶資料上傳 AI 前,應先進入個資檢查流程。
- 使用雲端 AI 可能涉及委外、跨境或資料保存問題。
- 公司應禁止員工自行上傳未核准客戶資料。
判斷流程
先把問題拆成五個關卡
這個流程用來判斷公司能不能用、怎麼用,以及哪些情況要升級給主管、法務或資安確認。
- 01
先看資料類型
要輸入 AI 的內容是公開資料、內部文件、客戶資料,還是營業秘密?不同資料,能用的工具與審核強度不同。
- 02
確認工具與權限
工具是否列入公司白名單?帳號、工作區、資料留存與模型訓練設定是否有人管理?
- 03
判斷輸出用途
只是內部草稿,還是會變成客服、廣告、契約、法務、財務或醫療相關對外內容?用途越接近對外承諾,越需要人工審核。
- 04
指定責任邊界
誰能送出?誰要覆核?出錯時誰修正?不要讓 AI 產出直接變成公司承諾。
- 05
留下必要紀錄
工具審核、教育訓練、對外內容覆核與例外核准都要留下紀錄,之後才說得清楚公司怎麼管理風險。
官方已確認
現在可以放心寫進頁面的事
- 個資法是可識別自然人資料蒐集、處理與利用的核心法源。
- 個資法施行細則對個資處理、委託處理與安全維護等事項有補充規範。
尚待細則
不要寫成已定案
- 個資法 2025-11-11 修正部分條文尚未生效,需持續追蹤。
- 金融、醫療、教育等產業若另有主管機關指引或契約限制,需依產業規範再檢查。
實務風險
真正容易出事的地方
這些不是為了嚇人,而是公司在導入 ChatGPT 或其他雲端 AI 工具前,最需要先擋住的常見破口。
員工把未遮蔽的會員資料、客服紀錄或交易資料貼到未核准的雲端 AI。
資料被 AI 工具保存、轉供應商處理、跨境傳輸或用於模型改善,超出公司原先掌握範圍。
使用目的超出原本告知或蒐集目的,事後難以說明資料使用基礎。
建議行動
第一版制度先做這幾件事
不用一開始做成厚重制度,先讓員工知道哪些資料不能丟、哪些輸出要審、哪些工具可以用。
- 禁止員工自行上傳未核准、未分類或未遮蔽的客戶資料。
- 建立資料去識別化、遮蔽與可輸入欄位規則。
- 企業版工具上線前先審查資料保存、再利用、委外與跨境條款。
- 高風險個資使用需由法務、資安或資料保護負責人核准。
紀錄與佐證
公司至少要留這些紀錄
資料分類紀錄去識別化或遮蔽規則版本工具條款審查紀錄員工使用紀錄例外核准紀錄
補充說明
判斷流程
- 這段資料是否可識別自然人?
- 使用目的是否和原本蒐集目的相符?
- AI 工具是否會保存、再利用或跨境處理資料?
- 公司是否有和供應商的資料處理條款?
- 是否能用去識別化、遮蔽或本地環境降低風險?
常見問題
只貼一小段客服對話也算個資嗎?
如果內容可以直接或間接識別特定自然人,就可能屬於個資。
去識別化後就可以丟進 AI 嗎?
不一定。仍要確認去識別化是否足夠、工具是否會保存或再利用資料、是否涉及委外或跨境,以及公司是否保留核准與使用紀錄。
來源與查證
- 個人資料保護法 / 全國法規資料庫 / 查證 2026-06-03
- 個人資料保護法施行細則 / 全國法規資料庫 / 查證 2026-06-03