Shadow AI 是什麼?企業盤點未核准 AI 工具的治理步驟
Shadow AI 指員工或部門在組織沒有充分知道、審查或管理的情況下使用 AI 工具。它可能是一個免費聊天帳號、會議轉錄外掛、瀏覽器擴充,也可能是團隊自行串接的 API。風險不只在工具本身,更在公司不知道哪些資料進去了、輸出被用在哪裡,以及事故發生時找不到負責人。
為什麼禁令通常不夠
員工使用未核准工具,常是因為真實工作有需求:整理文件太慢、核准工具缺功能、申請流程太久,或沒人說清楚可以怎麼做。若只發一封禁止信,使用可能轉到私人裝置與帳號,組織反而更難看見。
治理應同時處理風險與需求:提供申報入口、允許低風險試用區、快速審查替代工具,並對高風險資料與用途設清楚底線。
第一步:建立不究責的初步盤點
請部門回報工具、使用者、用途、輸入資料、輸出用途、帳號類型、付費方式、串接系統與 owner。第一輪重點是看清現況,不急著處罰善意回報者。可搭配匿名問卷、費用報表、瀏覽器與 SaaS 管理資料,但監控方式仍須符合公司政策與適用法律。
使用企業 AI 使用情境資料庫的部門分類,可幫助把工具名稱轉成工作需求,避免同一需求被不同工具名稱拆散。
第二步:依資料、動作與影響分級
低風險可能是公開資料的內部草稿;較高風險包括個資、客戶機密、原始碼、未公開資訊、付款、聘僱、法律結論、對外發布或能直接呼叫系統的 Agent。也要看輸出是否可發現、可撤回,以及是否有人複核。
本站的「低、中、高」只能作初步排序,不是官方或法律分類。實際分級需由資料、資安、法務與業務 owner 共同校準。台灣個人資料的蒐集、處理與利用應依《個人資料保護法》與具體情境判斷。
第三步:做出四種處置
每項工具可暫定為:核准使用、限縮條件使用、等待補件、停止並遷移。處置要說明理由、替代方案、責任人與期限。若要求停用,先確認資料匯出、刪除、帳號終止與工作不中斷。
新工具可用AI 供應商評估清單檢查資料用途、存取、分包、事故與退場,不能只因知名品牌就跳過審查。
第四步:補上可行的核准路徑
建立簡短申請表:要解決的工作、資料類型、預計使用者、是否對外、是否自動執行、現有替代方案。低風險案走快速通道,高風險案再進完整審查。公布可用工具與範例,讓員工不必猜測。
同時用生成式 AI 使用政策清單定義禁止資料、人工複核、事件通報與例外流程。行政院生成式 AI 指引是政府機關參考,但其中不輸入機密或未經同意個資、由人負最終責任等原則,可作企業政策討論材料,不應誤稱民間強制規範。
第五步:持續看使用與事故
維護工具登錄冊,至少記錄 owner、用途、資料、供應商、權限、版本、核准狀態、最後複查日與退場方式。設定週期複查,也允許事件、功能重大更新、供應商條款改變或資料範圍擴大時提前重審。
追蹤的不只是工具數量,還包括未核准使用原因、申請處理時間、替代方案採用、敏感資料事件與平均處置時間。NIST AI RMF 強調治理責任與持續管理,盤點完成若沒有 owner 與後續處置,只會變成另一份過期試算表。
員工發現誤傳資料時
政策應要求立即停止繼續輸入、不要自行刪除所有證據、通知指定窗口並記錄工具、帳號、時間、資料範圍與已採取動作。由事件負責人評估供應商刪除、權限撤除、法定或契約通知與後續改善。具體法律義務需由適任人員判斷。
若團隊正在建立正式導入計畫,可接著看企業 AI 六階段路線圖與企業 AI 內訓規劃。