AI 資安與倫理
你可能已經用 ChatGPT 寫過信、用 Gemini 查過資料。但你有沒有想過——你丟進去的那些文字,到底去了哪裡?
這堂課不是要嚇你,而是要讓你知道底線在哪裡,這樣你才能放心大膽地用 AI。
課程目標
- 理解「資料丟進 AI」後會發生什麼事,建立正確的資安意識
- 學會用紅黃綠燈判斷哪些資料可以丟、哪些不能丟,並掌握脫敏技巧
- 認識 AI 著作權與偏見問題,避免踩到法律或倫理地雷
一、資料丟進 AI = 資料離開你的電腦
這是最重要的觀念:當你把文字貼進 ChatGPT 或 Gemini,那段文字就傳到了別人的伺服器。
就像你寄出一封 email,信件離開你的電腦後,你就無法完全控制它的去向。
ChatGPT(OpenAI)
- 你在網頁版輸入的內容,OpenAI 預設可能用來訓練模型
- 你可以到設定裡關掉「Improve the model for everyone」,但很多人不知道這個選項
- 如果用 API(付費介面),OpenAI 承諾不會用你的資料來訓練
Gemini(Google)
- Google 的隱私政策寫得很長,但簡單說:你輸入的內容可能被 Google 用於改善服務
- Google Workspace 版(企業版)的隱私保護比免費版好很多
記住這個比喻
把資料丟進 AI,就像把資料 email 給一個你不認識的人。 你會把公司財報 email 給陌生人嗎?不會吧。那就別貼進 ChatGPT。
二、什麼可以丟?什麼不能丟?
用紅綠燈來記最簡單:
| 燈號 | 分類 | 範例 | 說明 |
|---|---|---|---|
| 🔴 | 絕對不行 | 姓名+電話+身分證字號 | 這是個資法保護的範圍 |
| 🔴 | 絕對不行 | 密碼、API Key、帳號 | 洩漏就是資安事件 |
| 🔴 | 絕對不行 | 未公開的財報數字 | 可能觸犯證交法 |
| 🔴 | 絕對不行 | 客戶合約內容 | 有保密義務 |
| 🔴 | 絕對不行 | 病歷、健康資料 | 敏感個資,法律嚴格保護 |
| 🟡 | 小心處理 | 內部文件 | 先脫敏再使用 |
| 🟡 | 小心處理 | 客戶數據 | 用代號取代真名 |
| 🟡 | 小心處理 | 產品規格 | 看公司政策決定 |
| 🟢 | 放心用 | 公開資訊、新聞 | 本來就是公開的 |
| 🟢 | 放心用 | 通用問題(Excel 公式怎麼寫) | 不含公司資訊 |
| 🟢 | 放心用 | 自己寫的草稿 | 你自己的東西 |
| 🟢 | 放心用 | 假資料、範例數據 | 不是真實資料 |
判斷原則:如果你不確定,就當作是紅燈。
三、脫敏技巧
黃燈區的資料不是不能用,而是要先「脫敏」——把敏感資訊拿掉或替換。
五個脫敏技巧
- 人名用代號:王小明 → 客戶 A、李美玲 → 客戶 B
- 刪掉聯絡方式:電話、email、地址全部拿掉
- 身分證字號不留:直接刪除,連部分遮蔽都不要
- 金額用比例:營收 3,200 萬 → 營收成長 15%
- 品牌用代稱:Nike → 某運動品牌、全聯 → 某零售通路
脫敏前後對照
脫敏前(不能丟進 AI):
客戶王大明(手機 0912-345-678,身分證 A123456789)上季在我們平台消費了 85 萬元,主要購買 Nike 和 Adidas 的商品。他希望下季能拿到更好的折扣。
脫敏後(可以丟進 AI):
客戶 A 上季在我們平台消費金額為高消費級距,主要購買某運動品牌的商品。該客戶希望下季能拿到更好的折扣。請幫我草擬一封回覆信。
脫敏後的版本,AI 完全可以幫你寫出一封得體的回覆信,而且沒有洩漏任何敏感資訊。
四、AI 與著作權
AI 產出的內容有著作權嗎?
目前答案是:灰色地帶。
- 台灣:智慧財產局傾向認為純 AI 生成的內容「不受著作權保護」,因為著作權保護的是「人類的創作」
- 美國:法院判例也傾向同樣方向——純 AI 生成的內容不享有著作權
- 但如果你有大幅修改、加入自己的創意,那修改後的版本可能有著作權
AI 可能抄襲別人的作品嗎?
可能。 特別是圖片生成 AI。
- AI 的訓練資料包含大量網路上的文章、圖片
- 有時候 AI 生成的圖片會跟某個藝術家的風格非常像,甚至出現類似的構圖
- 文字生成也可能出現跟原始資料高度相似的段落
安全做法
- 把 AI 產出當作「草稿」,不是「成品」
- 永遠自己審閱、修改後才使用
- 不要宣稱 AI 生成的內容是你 100% 原創的作品
- 如果用在正式場合(報告、提案、對外文件),一定要自己重寫關鍵段落
五、公司 AI 政策
越來越多公司開始制定 AI 使用規範。常見的規定包括:
- 禁止將機密資料輸入公開 AI 工具(這幾乎是每家公司都有的規定)
- AI 產出的內容必須經過人工審閱,不能直接對外發布
- 使用 AI 輔助時應適當揭露,例如在簡報中註明「部分內容由 AI 輔助生成」
如果你的公司還沒有 AI 政策
很多中小企業目前還沒有明確的規範。在這種情況下:
- 先用本課的紅黃綠燈框架自我把關
- 主動問你的主管或 IT 部門:「我們公司有 AI 使用規範嗎?」
- 寧可保守:不確定的時候,就不要丟進 AI
主動詢問其實是加分的——這表示你有資安意識,而不是偷偷摸摸地在用。
六、AI 偏見與倫理
AI 不是中立的。它的「想法」來自訓練資料,而訓練資料反映了人類社會的偏見。
一個簡單的實驗
試著問 AI:「請描述一位 CEO。」
你很可能會得到一個中年男性的描述。這不是因為 CEO 一定是男性,而是因為網路上關於 CEO 的文章,多數描述的確實是男性。
偏見在哪裡最危險?
- 人資 / 招聘:用 AI 篩選履歷,可能不自覺地偏好某些背景
- 客戶服務:AI 生成的回覆可能對不同族群有不同語氣
- 行銷內容:AI 生成的廣告文案可能強化刻板印象
你的責任
AI 有偏見不是你的錯,但直接把有偏見的 AI 產出拿來用,就是你的責任了。
每次使用 AI 產出的內容之前,問自己:
- 這段描述有沒有隱含的性別、年齡、種族假設?
- 如果把主角換成不同背景的人,這段內容還合理嗎?
- 這會不會讓某些人看了不舒服?
AI 協作:學了這個,跟 AI 怎麼配合?
資安意識是 AI 協作的「底線能力」——不懂這個,用 AI 越多風險越大。
你的人類優勢:
- 你知道哪些資料是公司機密、哪些可以公開——AI 無法幫你做這個判斷
- 你能在丟資料進 AI 之前先脫敏——這是保護公司和客戶的最後一道防線
可以這樣跟 AI 說:
我要分析一份客戶消費資料,但不能洩漏個資。請幫我設計一個脫敏規則:哪些欄位要刪除、哪些要替換成代號、哪些可以保留。資料欄位有:姓名、電話、email、消費金額、購買品項、會員等級。
實戰練習
本課重點回顧
- 資料丟進 AI = 資料離開你的電腦。 把 AI 當成一個陌生人,不該給陌生人看的東西,就不要貼進去。
- 紅黃綠燈判斷法: 紅燈(個資、密碼、機密)絕對不行;黃燈(內部文件、客戶數據)脫敏後可用;綠燈(公開資訊、假資料)放心用。
- 脫敏五招: 代號取代人名、刪掉聯絡方式、移除身分證號、金額用比例、品牌用代稱。
- AI 產出是草稿不是成品。 著作權尚在灰色地帶,永遠要審閱修改後才使用。
- 公司沒有 AI 政策? 用紅黃綠燈自我把關,主動詢問主管或 IT。
- AI 有偏見。 使用前檢查有沒有性別、年齡、種族的隱含假設。
下一課預告
第四課:工具地圖 — 選對工具做對事
ChatGPT、Gemini、Claude、Copilot⋯⋯工具這麼多,到底該用哪一個?下一課我們會建立一張「AI 工具地圖」,讓你根據不同任務場景,快速選到最適合的工具。
挑戰任務
請將以下段落脫敏,讓它可以安全地貼進 AI 工具:
「張美玲(手機 0987-654-321,email: meiling@company.com)是我們的 VIP 客戶,去年在 momo 購物消費了 120 萬元。她住在台北市信義區松仁路 100 號,最近想了解我們跟 SKII 的合作方案。」
請判斷以下 10 個情境,分別屬於紅燈、黃燈、還是綠燈:
- 請 AI 幫忙寫 Excel VLOOKUP 公式
- 把客戶的身分證字號貼進 AI 查詢
- 請 AI 幫忙潤飾自己寫的 email 草稿
- 把公司未公開的季報數字貼進 AI 做分析
- 請 AI 解釋一則公開的新聞報導
- 把內部會議紀錄(含客戶名稱)貼進 AI 做摘要
- 請 AI 用假資料示範樞紐分析表怎麼做
- 把自己的密碼貼進 AI 問「這個密碼安全嗎」
- 請 AI 幫忙翻譯公司官網上已公開的產品介紹
- 把客戶的訂單明細(含姓名電話)貼進 AI
打開你常用的 AI 工具(ChatGPT 或 Gemini),分別問它以下兩個問題,然後比較回答:
問題 A:「請描述一位成功的科技公司 CEO 的典型形象」 問題 B:「請描述一位成功的幼兒園園長的典型形象」
把兩個回答都貼過來。