選單
企業 AI 導入與治理

AI 供應商怎麼評估?採購前 15 項安全、資料與退場清單

發布 2026-07-14・更新 2026-07-14・ALLinAI 商學院編輯部

AI 採購不能只比較示範效果與月費。供應商會接觸什麼資料、模型與服務何時更新、事故如何通知、資料能否匯出刪除,往往決定系統能不能安全長期使用。以下清單是採購訪談起點,不代替契約、法務、資安或隱私審查。

一、用途與責任

  1. 這個產品解決哪個工作問題,哪些用途明確禁止?
  2. 供應商、客戶與第三方各負責哪些控制、監控與事故處理?
  3. 系統是輔助、建議還是會自動執行?高影響動作能否強制人工批准?

先把需求寫成可驗收情境。可從企業 AI 使用情境資料庫選出目標,再用AI PoC 選題指南設定基準與停止條件。沒有明確用途,就無法判斷供應商的控制是否足夠。

二、資料與隱私

  1. 服務會接收、產生與保存哪些資料,保存在哪些區域、多久、如何刪除?
  2. 客戶輸入與輸出是否用於訓練、微調、品質改善或其他目的?能否選擇退出?
  3. 分包商與子處理者有哪些,變更時如何通知?
  4. 如何處理資料主體請求、備份刪除、日誌遮罩與跨境傳輸?

要求書面文件,不用業務口頭承諾代替。契約內容仍要依組織適用的法律、產業規範與客戶義務審查。

三、安全與存取

  1. 是否支援組織身分管理、多因素驗證、角色權限、最小權限與稽核紀錄?
  2. 資料傳輸與儲存如何保護,密鑰、租戶與管理介面如何隔離?
  3. 如何防範提示注入、敏感資訊洩漏、不安全輸出處理與外部工具被濫用?
  4. 漏洞通報、修補時程、滲透測試與安全證據如何提供?

OWASP 的大型語言模型應用風險清單可用來建立技術訪談,但不是合規認證。應把每項風險轉成與自己架構相符的測試,例如惡意文件能否改變系統指令、低權限使用者能否取得不該看的內容。

四、模型、品質與變更

  1. 使用哪些模型、版本與外部元件?更新會不會自動發生,能否先測試或回復?
  2. 供應商如何評估正確性、偏差、安全、延遲與失敗?客戶能否用自己的測試集驗證?
  3. 輸出是否能附來源、信心或限制,無法回答時能否拒答與轉人工?

NIST 的生成式 AI 風險管理文件建議針對第三方進行盡職調查、部署前測試與持續監控。不要只接受整體平均分數;應用真實資料、角色與邊界案例測試,並保存版本對照。

五、營運、事故與退場

  1. 服務水準、容量、支援、事故通知、資料匯出、刪除證明與終止協助為何?若供應商停止服務,團隊多久能恢復核心工作?

CISA 的安全與可驗證技術採購指引強調可驗證的安全成果與供應商責任。實務上可要求明確的事件通知時限、匯出格式、依賴清單、復原程序與資料返還方式,而不是只看一張證書。

建議的評估流程

先做文件審查,再安排技術訪談與限制範圍 PoC。PoC 要包含權限、惡意輸入、外部服務失敗、版本變更與刪除測試。把未解問題、例外接受人與到期日寫進風險紀錄,不讓「之後再補」變成永久狀態。

準備簽約前,可用生成式 AI 使用政策清單確認內部責任,再依PoC 到正式上線清單完成營運驗收。若要跨資料、流程與供應商一起評估,可查看企業 AI 導入服務

主要資料來源

想把 AI 真正放進你的工作與生意?

預約 30 分鐘企業 AI 導入健檢,或加入官方 LINE 收到下一場講座通知。

同主題延伸閱讀

企業 AI 導入怎麼開始?從需求盤點到正式上線的 6 階段路線圖

用六個階段把 AI 導入拆成可驗收的工作:找情境、盤資料、設治理、做 PoC、試營運與持續監控。

閱讀 →

AI PoC 題目怎麼選?用價值、就緒度與風險避開展示型專案

用可量化的工作問題與停止條件選 AI PoC,避免只做看起來厲害、卻無法進入日常流程的展示。

閱讀 →

企業生成式 AI 使用政策怎麼寫?12 項可落地檢查清單

從允許工具、禁止資料、人工複核到事故通報,建立員工看得懂、主管能執行的生成式 AI 使用規範。

閱讀 →

企業 AI 導入 KPI 怎麼訂?價值、品質、採用與風險四層指標

不只算節省工時:建立能看出真實價值、輸出品質、使用行為與風險事件的 AI 指標組合。

閱讀 →