「你敢把公司的客戶資料輸入 AI 嗎?」
這是我們最常被台灣老闆問到的問題。而且這個問題問得很對——在 AI 浪潮下,很多企業急著導入,卻沒有認真思考資料安全的問題。
本文不是要嚇你不敢用 AI,而是幫你建立正確的評估框架,讓你在享受 AI 效益的同時,也確保企業資料的安全。
問題一:你的資料去哪裡了?
當你把資料輸入 AI 工具時,資料通常的流向是:
- 從你的裝置/系統 → 供應商的伺服器
- 在供應商的基礎設施上處理(可能使用 OpenAI、Anthropic 等第三方 AI)
- 回傳結果給你
關鍵問題:步驟 2 中,你的資料是否可能被用於訓練 AI 模型?是否被供應商儲存?儲存在哪個國家的伺服器?
評估方法:要求供應商出示資料處理協議(DPA),明確說明資料的流向、儲存地點、保留時間、是否用於訓練。
問題二:哪些資料絕對不能進入公共 AI?
以下類型的企業資料,即使使用企業版,仍要謹慎處理:
- 客戶個人資料:姓名、身分證字號、信用卡號(個資法相關)
- 未公開的財務資訊:下季度業績預測、M&A 計畫
- 商業機密:配方、製程、核心演算法
- 法律特權資訊:律師意見、和解協議
- 員工個人薪資資訊
建議為每類資料建立「AI 可用性分類」(可以/謹慎/絕對不行),並在員工使用 AI 工具的 SOP 中明訂。
問題三:AI 工具本身是否有足夠的存取控制?
企業 AI 平台應該提供:
- 角色型存取控制(RBAC):不同部門只能看到自己的資料
- 操作日誌:記錄誰在什麼時間用 AI 查詢了什麼
- 知識庫分區:財務資料、HR 資料、客戶資料分開存放,各部門只能存取對應分區
- 敏感詞過濾:防止員工意外輸入不該輸入的資訊
問題四:資料傳輸是否加密?
基本要求:所有資料傳輸應使用 TLS 1.2 以上加密,靜態儲存資料應使用 AES-256 加密。這是現代 SaaS 的基本配備,任何供應商都應提供,否則立即排除。
問題五:供應商本身的安全認證
信任標記:
- ISO 27001:國際資訊安全管理系統認證,最常見
- SOC 2 Type II:美國標準,對安全、可用性、保密性的定期稽核
- GDPR 合規:如果你有歐洲客戶,需要確認供應商符合 GDPR
- 台灣個資法合規:確認供應商了解並符合台灣個人資料保護法
問題六:私有化部署 vs 雲端 SaaS,如何選擇?
| 方案 | 安全性 | 成本 | 適合誰 |
|---|---|---|---|
| 公共 AI(ChatGPT 等) | 最低 | 最低 | 個人生產力,非機密資料 |
| 企業 SaaS(有 DPA) | 中 | 中 | 大多數中小企業 |
| 私有雲部署 | 高 | 高 | 製造業機密、金融業 |
| 本地部署(On-premise) | 最高 | 最高 | 政府、醫療、國防相關 |
問題七:員工教育訓練
技術手段之外,最容易被忽略的是「人」的問題。建議做到:
- 制定 AI 使用政策(哪些可以輸入 AI,哪些不行)
- 所有員工簽署 AI 使用承諾書
- 每半年一次 AI 資安意識培訓
- 設立內部 AI 使用回報機制(發現問題可以匿名回報)
問題八:發生資料外洩,怎麼辦?
事前談清楚:
- 供應商的違規通報 SLA(多久內通知你?)
- 資料外洩的責任歸屬和賠償機制
- 你的企業緊急應對計畫(通報主管機關、通知受影響客戶)
AI GO 的資安架構
AI GO 提供的資安保障:
- ISO 27001 認證
- 台灣資料儲存(Google Cloud 台灣區域)
- 企業私有化部署選項
- 知識庫資料不流入公共 AI 訓練
- 角色型存取控制 + 完整操作日誌
- GDPR 和台灣個資法合規
如果你對 AI 資安有更多疑問,或想了解如何在確保安全的前提下導入 AI,歡迎預約免費諮詢,我們提供企業 AI 資安評估服務。
