2023 年三星半導體一位工程師把機密程式碼貼給 ChatGPT 求 debug——24 小時後三星全集團封鎖 ChatGPT。2024 年蘋果禁止內部使用 ChatGPT。員工用 AI 不是要不要管的問題,是怎麼管的問題。這篇給您一份可直接套用的政策範本。
真實外洩案例:員工不是壞人,只是不知道
2023–2025 年公開的企業 AI 資料外洩案例至少有 17 件,主要模式都一樣:
- 員工想偷懶 / 想效率 → 把工作內容丟給 AI
- 內容包含:客戶清單、報價、原始碼、會議紀錄、財務數字
- AI 服務商把這些內容拿去訓練下一版模型
- 幾個月後,同業向 AI 問問題時,得到包含你公司機密的答案
關鍵:員工不是惡意,是不知道 AI 服務的條款。所以政策的目標不是禁止,是教會他們安全地用。
台灣相關法規的紅線
個人資料保護法
把客戶名單、聯絡方式、身分證字號、健康狀況等個資交給未經授權的 AI 處理,可能違反個資法第 27 條(資料處理之安全維護)。罰則最高新台幣 20 萬元。
營業秘密法
把報價、配方、客戶資料、技術文件交給會用來訓練模型的 AI,可能視為「未採取合理之保密措施」,這會讓營業秘密喪失法律保護地位。
產業特殊規範
- 醫療業:HIPAA-like 規範要求病歷不得外流
- 金融業:金管會對個資與交易資料的傳輸有特別規範
- 政府承包商:可能含資安等級限制
三種隱私等級的部署方式
對應不同敏感度的工作,員工該用不同等級的 AI:
| 等級 | 方案 | 適用 |
|---|---|---|
| L1 公開 | ChatGPT / Gemini 一般版 | 寫公開文案、翻譯、學習 |
| L2 企業 | ChatGPT Team、Gemini for Workspace | 內部 email、報告、會議紀錄 |
| L3 機密 | API + 資料隔離合約 / 私有部署 | 客戶資料、報價、法務 |
員工 AI 使用政策範本(可直接複製)
【公司】生成式 AI 使用規範 v1.0
第一條:適用範圍
本規範適用於本公司所有員工、約聘人員、實習生使用 ChatGPT、Gemini、Claude 等生成式 AI 工具。
第二條:絕對禁止
禁止以下資料輸入任何 AI 工具:
• 客戶姓名、電話、Email、住址、身分證字號
• 員工人事資料、薪資、健康狀況
• 報價單、合約、財務數字
• 公司原始碼、技術專利、配方
• 未公開的策略、會議紀錄
第三條:可在企業版使用
使用公司提供的 ChatGPT Team 或 Gemini for Workspace,可處理:
• 一般工作文件(去識別化後)
• 內部 Email、會議備忘錄
• 行銷文案草稿(不含未發布資訊)
第四條:需要主管核准
以下情況需事先取得部門主管書面同意:
• 處理超過 100 筆的批次資料
• 使用未列入公司核可清單的 AI 工具
• 將 AI 生成內容對外公開(行銷、合約、技術文件)
第五條:違反規範之處置
違反本規範造成公司損失者,依本公司獎懲辦法處理。情節重大者,移送司法。
實施步驟
- 盤點現況(1 週):問問各部門主管,員工目前用什麼 AI、用來做什麼。
- 採購企業版(1–2 週):採購 ChatGPT Team 或 Gemini for Workspace,技術窗口設定 SSO 與權限。
- 公告政策(1 週):發布上述範本,全員簽署同意書。
- 培訓(4 小時):辦一場「AI 安全使用」內訓,講清楚紅線與案例。
- 稽核機制(持續):每季抽查 AI 使用紀錄,每年更新政策。
AI 生成內容的著作權
2024 年美國版權局裁定「純 AI 生成的圖像不得註冊版權」。這對企業的意義:
- 純 AI 生成的圖文,您可能無法主張著作權
- 但「AI + 人類大量修改」的內容,仍可主張
- 建議:所有 AI 生成內容都要有人類審稿、修改、簽署
監控與稽核機制
企業版 AI 通常都提供管理後台,可以看到:
- 每位員工的使用頻率
- 對話紀錄(依隱私設定)
- 異常使用警示
建議每季匯出一次,由資安窗口檢視。不是要監控員工,是要保護員工不踩坑。
結論
2026 年沒有 AI 使用政策的公司,就像 2010 年沒有資訊安全政策的公司——遲早會出事。花一個禮拜寫一份政策,花一個下午訓練員工,避免一次外洩事件就值回票價。