快速摘要
AI 工具的採購比傳統軟體更複雜——你需要評估資料安全政策、模型訓練條款、SLA、智財歸屬和退場策略。本文提供一份可執行的採購流程,幫你避免常見的合約陷阱。
需求評估
在開始比較工具之前,先回答這些問題:
- 誰會使用這個工具?多少人?
- 處理的資料敏感度如何?
- 需要與現有系統整合嗎?
- 預算是多少?每月還是每年?
- 是否需要本地部署或可接受雲端?
工具評估清單
| 評估維度 | 關鍵問題 | 權重 |
|---|---|---|
| 功能符合度 | 是否解決核心需求 | 30% |
| 資料安全 | 資料儲存位置、加密、訓練使用政策 | 25% |
| 合規性 | 是否符合 GDPR、個資法要求 | 15% |
| 成本 | 總持有成本(含培訓、整合、維護) | 15% |
| 使用體驗 | 學習曲線、中文支援、回應品質 | 10% |
| 退場策略 | 資料匯出、合約終止條件 | 5% |
安全審查重點
在採購任何 AI 工具前,IT 安全團隊必須審查:
- 資料處理:輸入的資料是否會被用於訓練模型?
- 資料儲存:資料儲存在哪個地區?保留多久?
- 加密:傳輸中和靜態的加密方式?
- 存取控制:供應商的員工可以存取客戶資料嗎?
- 事故處理:發生資料洩露時的通知程序?
- 第三方分包:是否有子處理者?資料是否會流經其他公司?
- SOC 2 / ISO 27001:是否有獨立的安全認證?
合約關鍵條款
AI 工具的合約中,以下條款必須特別注意:
- 資料使用限制:明確禁止將客戶資料用於模型訓練
- 智財歸屬:AI 生成的內容歸客戶所有
- 資料處理協議(DPA):符合 GDPR 和當地法規要求
- SLA:可用性保證、回應時間、Token 速率
- 損害賠償:資料洩露時的賠償範圍
- 退場條款:合約終止後的資料刪除時程
- 價格變動:鎖定價格的期限、漲價的通知期
常見陷阱:許多 AI 供應商的標準條款允許他們使用客戶輸入來改善模型。企業版通常有不同的條款,但需要主動要求。不要假設企業版就自動排除訓練使用。
談判技巧
- 要求試用期(至少 14 天,最好 30 天)
- 要求客製化 DPA,不接受一刀切的標準條款
- 年約通常比月約便宜 20-30%,但確保有提前終止條款
- 談量價折扣時,要考慮實際使用量可能低於預期
- 要求供應商提供安全白皮書和最新的稽核報告
常見問題
可以直接用信用卡買 AI 工具嗎?
不建議。用個人或部門信用卡購買 AI 工具會產生 Shadow AI 問題,也無法確保合約條款符合企業要求。所有 AI 工具採購應通過 IT 和法務審查。
免費的 AI 工具可以用在企業嗎?
免費工具的使用條款通常允許供應商使用輸入資料。如果只處理公開資訊可以考慮,但涉及任何敏感資料時必須使用企業版。
採購流程通常需要多久?
從需求確認到合約簽署,小型採購(< $5,000/年)約 2-4 週,中型採購約 1-2 個月,大型採購可能需要 3-6 個月。安全審查通常是最耗時的環節。