資安合規與資料使用規範
什麼可以丟給 AI、什麼絕對不行
前言:用 AI 最常被問的問題
「我可以把客戶名單丟給 ChatGPT 嗎?」 「用 AI 幫我分析銷售資料,資料會不會外洩?」 「公司的財報數據可以請 AI 幫忙整理嗎?」
這些問題你可能也想過。今天這堂課,我們就來搞清楚界線在哪裡。
一、台灣個資法(PDPA)和 AI 使用的關係
什麼是個人資料?
台灣《個人資料保護法》定義的個人資料,比你想像的範圍更廣:
| 類型 | 範例 | 你可能在哪裡接觸到 |
|---|---|---|
| 直接識別 | 姓名、身分證字號、手機號碼 | 會員資料、訂單紀錄 |
| 間接識別 | Email、IP 位址、消費紀錄組合 | GA 數據、CRM 系統 |
| 特種個資 | 健康狀況、膚質檢測結果 | 膚質諮詢問卷、過敏紀錄 |
把個資丟給 AI 工具,法律上算什麼?
根據個資法,把個資提供給 AI 工具可能構成以下行為:
- 利用:在蒐集目的範圍內使用個資(可能合法)
- 國際傳輸:把個資傳到境外伺服器(需要額外合規步驟)
當你把客戶的 Email 和消費紀錄貼到 ChatGPT 裡做分析,這些資料就被傳送到美國的伺服器了。這在法律上可能構成「個資的國際傳輸」,需要確保符合個資法的規定。
實務上的安全做法
-
去識別化:在丟給 AI 之前,把能識別個人的資訊移除或替換
- 把「王小明」改成「客戶 A」
- 把「0912-345-678」改成「09XX-XXX-XXX」
- 把確切地址改成「台北市某區」
-
用統計數據取代個別資料:
- 不要丟「每個客戶的購買紀錄」
- 改成「本月回購率 35%、客單價 $580、最暢銷品類為保濕」
-
確認 AI 工具的隱私政策:不同工具對資料的處理方式不同(後面會詳細說明)
二、企業資料分級
不是所有資料都一樣敏感。建立清楚的資料分級制度,才能快速判斷「這個可不可以丟給 AI」。
四級分類法
| 等級 | 說明 | 範例 | 可否用於 AI 工具 |
|---|---|---|---|
| 公開 | 已對外公開的資訊 | 官網產品介紹、公開新聞稿、已發布的社群貼文 | 可以自由使用 |
| 內部 | 僅限公司內部使用 | 內部會議紀錄、部門週報、一般行銷企劃 | 可用於企業版 AI 工具(有資料保護) |
| 機密 | 外洩會造成損害 | 未公開的財務數據、供應商合約、新品開發計畫 | 不可用於外部 AI 工具 |
| 極機密 | 外洩會造成嚴重損害 | 客戶個資明細、薪資資料、營業秘密 | 絕對禁止 |
常見判斷情境
情境 1:你想用 AI 幫忙寫下季的行銷企劃
行銷企劃的「策略方向」屬於內部等級,可以用企業版工具。但如果企劃中包含「未公開的新品名稱和上市日期」,那部分內容屬於機密等級,不應該丟給外部 AI。
情境 2:你想用 AI 分析客戶回饋
如果是公開的網路評論(蝦皮、Google 評論),屬於公開等級,可以使用。但如果是客服系統裡的對話記錄(包含客戶姓名和聯繫方式),屬於極機密等級,絕對不行。
情境 3:你想用 AI 翻譯一份供應商報價單
供應商報價屬於機密等級(包含定價策略)。不建議使用外部 AI 工具,可以改用離線翻譯工具或企業版 AI。
三、AI 工具的資料政策比較
不同 AI 工具對你的資料處理方式不同,這直接影響你能不能放心使用。
主要 AI 工具比較(截至 2026 年初)
| 項目 | ChatGPT(免費版) | ChatGPT(企業版) | Claude | Gemini(個人版) | Gemini(企業版) |
|---|---|---|---|---|---|
| 資料是否用於訓練 | 預設是 | 否 | 否 | 可能是 | 否 |
| 資料保留期間 | 30 天 | 依合約 | 30 天 | 依政策 | 依合約 |
| 對話紀錄可刪除 | 可以 | 管理員控制 | 可以 | 可以 | 管理員控制 |
| 適合企業使用 | 不適合 | 適合 | 視方案 | 不適合 | 適合 |
| 資料處理地區 | 美國 | 可選區域 | 美國 | 美國 | 可選區域 |
關鍵差異
免費版 vs 付費版的最大差別:免費版的對話內容可能被用來「訓練 AI 模型」,也就是說你輸入的資料可能以某種形式出現在其他人的回答中(雖然機率很低,但理論上有可能)。
企業版的優勢:
- 明確承諾不用你的資料訓練模型
- 資料隔離(你的資料和其他企業分開)
- 管理員可以控制資料保留和刪除政策
- 通常有合規認證(SOC 2、ISO 27001 等)
實務建議
- 公開資訊:任何工具都可以用
- 內部資訊:優先使用企業版工具,或確認工具的資料政策
- 機密以上:不使用任何外部 AI 工具,或使用完全私有部署的 AI
四、制定部門 AI 使用守則
有了資料分級的概念後,下一步是把它變成一份可以執行的守則。以下是一個模板供你參考和修改。
AI 使用守則模板
═══════════════════════════════════════════
[部門名稱] AI 工具使用守則(範本)
版本:v1.0 | 生效日:____年____月____日
═══════════════════════════════════════════
一、目的
本守則規範本部門同仁使用 AI 工具(包括但不限於
ChatGPT、Claude、Gemini、Copilot、NotebookLM 等)
時的資料安全與合規要求。
二、適用範圍
本部門所有正式員工、約聘人員及實習生。
三、核准使用的 AI 工具
- [列出部門核准使用的工具清單]
- 使用未列入清單的 AI 工具前,需經主管同意
四、資料使用規範
【可以使用 AI 處理的資料】
□ 已公開發布的產品資訊和行銷素材
□ 公開的市場資訊和新聞報導
□ 去識別化後的統計數據
□ 通用的文案撰寫和創意發想(不含機密策略)
□ 公開來源的競品資訊
【禁止使用 AI 處理的資料】
□ 客戶個人資料(姓名、電話、Email、地址等)
□ 未公開的財務數據
□ 未發布的新品資訊
□ 供應商合約和報價
□ 員工個人資料
□ 公司營業秘密
□ 任何標示為「機密」或「極機密」的文件
五、使用流程
1. 使用前:確認資料等級,必要時去識別化
2. 使用中:不在 prompt 中輸入機密或個資
3. 使用後:檢查 AI 產出的正確性和合規性
六、AI 產出內容管理
- AI 產出的內容必須經過人工審核後才能對外使用
- 對外發布的內容不標示「AI 生成」,但內部記錄需保留
AI 輔助的標記
- 產品相關的宣稱必須由產品開發部門確認
七、違規處理
違反本守則的行為,將依公司資安管理辦法處理。
八、更新與維護
- 本守則每半年檢視更新一次
- AI 工具政策有重大變更時,即時更新
═══════════════════════════════════════════
五、常見 Q&A
Q1:我用 AI 幫忙寫 Email,算不算有資安風險?
看 Email 內容。如果是一般的商務溝通(「幫我把這段話改得更專業」),通常沒問題。但如果 Email 裡包含客戶個資、合約細節或機密資訊,就不應該貼到 AI 工具中。
Q2:我把產品照片丟給 AI 做分析,有風險嗎?
如果是已公開的產品照片,沒有問題。但如果是未發布的新品照片,就屬於機密等級,不應使用外部 AI 工具處理。另外要注意:有些 AI 工具會保留你上傳的圖片。
Q3:我在 AI 對話中不小心貼了機密資料怎麼辦?
- 立即刪除該對話紀錄(大多數工具都支援)
- 通報主管和資安負責人
- 記錄事件的時間、工具、涉及的資料內容
- 不要恐慌,但要誠實通報
Q4:用 AI 做的簡報可以給客戶看嗎?
可以,但要注意:
- 確保內容正確(AI 可能會編造數據)
- 確保沒有引用到不應對外的資訊
- 確保文案沒有版權問題
- 建議在簡報中標註「資料來源」以備查
AI 協作:學了這個,跟 AI 怎麼配合?
資安合規是 AI 使用的底線 — 你負責決定什麼資料可以進、什麼不行,AI 才能在安全範圍內幫你做事。
你的人類優勢:
- 你了解公司的資料分級制度和敏感度,AI 無法自行判斷
- 你能根據法規和公司政策設定 AI 的使用邊界
可以這樣跟 AI 說:
我要為部門制定一份 AI 使用守則。我們部門的主要業務是 [描述業務],常接觸的資料類型包括 [列出資料類型]。請根據台灣個資法和企業資安最佳實踐,幫我草擬一份守則,區分「可以用 AI 處理的資料」和「禁止用 AI 處理的資料」。
練習
本堂重點回顧
- 台灣個資法對 AI 使用有直接影響:把個資丟給外部 AI 可能構成「國際傳輸」
- 資料分級(公開/內部/機密/極機密)是判斷「能不能丟給 AI」的第一步
- 免費版 vs 企業版 AI 工具的最大差別在於資料是否會被用來訓練模型
- 每個部門都應該有一份明確的 AI 使用守則
- 遇到不確定的情況,原則是**「寧可保守,不可大意」**
系列課程總結
恭喜你完成了「AI 數據基建與企業治理」四堂課!讓我們回顧一下整個學習路徑:
| 堂次 | 主題 | 核心能力 |
|---|---|---|
| 第一堂 | Data & Knowledge 基礎 | 會整理資料,知道怎麼讓 AI 好用 |
| 第二堂 | 企業專屬知識庫建置 | 會建立部門知識庫,讓 AI 回答更準確 |
| 第三堂 | AI 倫理與品牌風險 | 會辨識和防範 AI 的倫理風險 |
| 第四堂 | 資安合規與資料使用規範 | 會判斷資料分級,制定 AI 使用守則 |
記住:AI 是你的強力助手,但方向盤要握在你手裡。 懂得善用 AI 的人,不只是會按按鈕,更知道什麼時候該踩煞車。
建議的下一步行動:
- 完成第一堂的資料盤點
- 用 NotebookLM 建一個小型知識庫試試看
- 和主管討論部門 AI 使用守則的制定
- 把這四堂課的內容分享給你的團隊
挑戰任務
請為你的部門草擬一份「AI 使用規範」。參考課程中的模板,但根據你部門的實際情況調整。至少包含以下內容:(1) 核准使用的 AI 工具清單(至少 3 個)(2) 至少 5 項「可以使用 AI 處理的資料」(3) 至少 5 項「禁止使用 AI 處理的資料」(4) 違規時的通報流程。
以下是 5 個工作場景,請判斷每個場景的資料等級(公開/內部/機密/極機密),以及是否可以使用免費版 AI 工具處理。如果不行,請說明替代方案。
(A) 用 AI 潤飾已在官網發布的產品介紹文字 (B) 把本月的會員消費明細(含姓名和金額)丟給 AI 做消費分析 (C) 用 AI 幫忙草擬下季新品上市的行銷策略(含未公開品名) (D) 用 AI 翻譯一篇已公開的產業趨勢報告 (E) 把客戶寄來的投訴 Email(含對方全名和訂單編號)丟給 AI 幫忙草擬回覆
你的同事小華告訴你:「我昨天把上個月的客戶名單(含姓名、電話、消費金額)整個貼到 ChatGPT 免費版,請它幫我做 RFM 分析,效果超好的!」你會怎麼回應?請從法規風險、資安風險、正確做法三個角度來說明。