選單
企業 AI 導入與治理

Shadow AI 是什麼?企業盤點未核准 AI 工具的治理步驟

發布 2026-07-14・更新 2026-07-14・ALLinAI 商學院編輯部

Shadow AI 指員工或部門在組織沒有充分知道、審查或管理的情況下使用 AI 工具。它可能是一個免費聊天帳號、會議轉錄外掛、瀏覽器擴充,也可能是團隊自行串接的 API。風險不只在工具本身,更在公司不知道哪些資料進去了、輸出被用在哪裡,以及事故發生時找不到負責人。

為什麼禁令通常不夠

員工使用未核准工具,常是因為真實工作有需求:整理文件太慢、核准工具缺功能、申請流程太久,或沒人說清楚可以怎麼做。若只發一封禁止信,使用可能轉到私人裝置與帳號,組織反而更難看見。

治理應同時處理風險與需求:提供申報入口、允許低風險試用區、快速審查替代工具,並對高風險資料與用途設清楚底線。

第一步:建立不究責的初步盤點

請部門回報工具、使用者、用途、輸入資料、輸出用途、帳號類型、付費方式、串接系統與 owner。第一輪重點是看清現況,不急著處罰善意回報者。可搭配匿名問卷、費用報表、瀏覽器與 SaaS 管理資料,但監控方式仍須符合公司政策與適用法律。

使用企業 AI 使用情境資料庫的部門分類,可幫助把工具名稱轉成工作需求,避免同一需求被不同工具名稱拆散。

第二步:依資料、動作與影響分級

低風險可能是公開資料的內部草稿;較高風險包括個資、客戶機密、原始碼、未公開資訊、付款、聘僱、法律結論、對外發布或能直接呼叫系統的 Agent。也要看輸出是否可發現、可撤回,以及是否有人複核。

本站的「低、中、高」只能作初步排序,不是官方或法律分類。實際分級需由資料、資安、法務與業務 owner 共同校準。台灣個人資料的蒐集、處理與利用應依《個人資料保護法》與具體情境判斷。

第三步:做出四種處置

每項工具可暫定為:核准使用、限縮條件使用、等待補件、停止並遷移。處置要說明理由、替代方案、責任人與期限。若要求停用,先確認資料匯出、刪除、帳號終止與工作不中斷。

新工具可用AI 供應商評估清單檢查資料用途、存取、分包、事故與退場,不能只因知名品牌就跳過審查。

第四步:補上可行的核准路徑

建立簡短申請表:要解決的工作、資料類型、預計使用者、是否對外、是否自動執行、現有替代方案。低風險案走快速通道,高風險案再進完整審查。公布可用工具與範例,讓員工不必猜測。

同時用生成式 AI 使用政策清單定義禁止資料、人工複核、事件通報與例外流程。行政院生成式 AI 指引是政府機關參考,但其中不輸入機密或未經同意個資、由人負最終責任等原則,可作企業政策討論材料,不應誤稱民間強制規範。

第五步:持續看使用與事故

維護工具登錄冊,至少記錄 owner、用途、資料、供應商、權限、版本、核准狀態、最後複查日與退場方式。設定週期複查,也允許事件、功能重大更新、供應商條款改變或資料範圍擴大時提前重審。

追蹤的不只是工具數量,還包括未核准使用原因、申請處理時間、替代方案採用、敏感資料事件與平均處置時間。NIST AI RMF 強調治理責任與持續管理,盤點完成若沒有 owner 與後續處置,只會變成另一份過期試算表。

員工發現誤傳資料時

政策應要求立即停止繼續輸入、不要自行刪除所有證據、通知指定窗口並記錄工具、帳號、時間、資料範圍與已採取動作。由事件負責人評估供應商刪除、權限撤除、法定或契約通知與後續改善。具體法律義務需由適任人員判斷。

若團隊正在建立正式導入計畫,可接著看企業 AI 六階段路線圖企業 AI 內訓規劃

主要資料來源

想把 AI 真正放進你的工作與生意?

預約 30 分鐘企業 AI 導入健檢,或加入官方 LINE 收到下一場講座通知。

同主題延伸閱讀

企業 AI 導入怎麼開始?從需求盤點到正式上線的 6 階段路線圖

用六個階段把 AI 導入拆成可驗收的工作:找情境、盤資料、設治理、做 PoC、試營運與持續監控。

閱讀 →

AI PoC 題目怎麼選?用價值、就緒度與風險避開展示型專案

用可量化的工作問題與停止條件選 AI PoC,避免只做看起來厲害、卻無法進入日常流程的展示。

閱讀 →

企業生成式 AI 使用政策怎麼寫?12 項可落地檢查清單

從允許工具、禁止資料、人工複核到事故通報,建立員工看得懂、主管能執行的生成式 AI 使用規範。

閱讀 →

AI 供應商怎麼評估?採購前 15 項安全、資料與退場清單

把模型效果以外的資料用途、存取、事故、分包、驗證與退場條件納入 AI 採購。

閱讀 →