企業生成式 AI 使用政策怎麼寫?12 項可落地檢查清單
生成式 AI 使用政策的目的不是寫一份沒人讀的禁令,而是讓員工知道什麼可以做、什麼資料不能放、輸出如何查核,以及出事時怎麼停下來。以下是一般治理清單,不是法律意見;涉及個資、營業秘密、勞動、醫療或金融等事項,仍應由適任專業人員依實際情境審查。
1. 定義適用對象與範圍
說明政策適用員工、承攬人、實習生與哪些裝置或帳號。不要只寫 ChatGPT 等品牌名稱,應涵蓋生成文字、圖片、影音、程式、會議轉錄與嵌入既有軟體的 AI 功能。
2. 公布允許、限制與禁止工具
建立核准工具清單、申請流程與用途。列出免費個人帳號、瀏覽器擴充、未經審查 API 或自架模型能否使用。工具更新或資料條款改變時,要有複查責任人。
3. 定義不得輸入的資料
至少處理個人資料、客戶機密、營業秘密、未公開財務、密碼、金鑰、原始碼、合約與受管制資料。行政院生成式 AI 參考指引明確提醒政府使用者不得輸入應保密或未經同意揭露的個人資料;民間企業可把此原則轉成自己的資料分級規則,但仍須另依適用法律與契約判斷。
4. 明確列出允許用途
用正面範例降低猜測,例如公開資料摘要、已核准文案改寫、非機密會議待辦草稿、程式測試案例或內部知識搜尋。可從企業 AI 使用情境資料庫挑選並改成公司版本。
5. 列出禁止自動決策
聘僱、績效、解僱、授信、付款、法律結論、安全控制與正式對外承諾,不應在沒有適當治理下交給 AI 單獨決定。政策要指定誰有最終權責,以及系統只能提供何種輔助。
6. 要求查核事實與來源
流暢文字不代表正確。規範使用者查核人名、數字、日期、引用、授權與專業結論。若是知識庫問答,要求保留原文件連結、版本與無答案機制,可先使用RAG 就緒度檢查。
7. 規定人工複核與對外揭露
誰複核、複核什麼、留下什麼紀錄要寫清楚。必要時向客戶或閱聽人揭露 AI 參與,避免把未經確認的生成內容當成官方立場。
8. 處理著作權與授權
輸入素材、訓練資料、生成內容與輸出使用方式都可能涉及權利。要求員工使用有權處理的資料、保存來源,對外素材另做商標、肖像、授權與抄襲檢查,不把「AI 生成」當成自動取得使用權。
9. 設定帳號、權限與保存
公司用途優先使用組織管理帳號,啟用適當身分驗證與最小權限。定義對話、檔案、日誌與產出的保存期限、存取人員與刪除程序,離職或職務異動時同步撤權。
10. 建立申請與例外流程
當現有工具無法滿足需求,員工應知道去哪裡申請新工具、要附哪些資料、由誰評估。沒有可行申請路徑,容易把使用推向看不見的 Shadow AI。可搭配Shadow AI 盤點與治理指南建立申報入口。
11. 設計事件通報與停用
誤傳資料、錯誤對外發布、權限越界、供應商事故或疑似提示注入時,要能立即停止、自主通報、保存必要證據並聯絡負責人。政策應鼓勵早報,不讓員工因害怕處罰而隱瞞。
12. 教育、複查與版本管理
新進、工具上線與政策更新時都要訓練,並用真實情境確認理解。政策標示 owner、版本、生效日與下次複查日。可參考企業 AI 內訓怎麼規劃設計角色課程。
一頁政策可以先上線,但背後仍要有工具清單、資料分級、供應商審查、事件處理與聯絡窗口。若需要從需求到治理一起盤點,可查看企業 AI 導入服務。