快速摘要
選 AI 廠商時,大多數人只比較功能和價格。但安全和隱私才是決定長期風險的關鍵。這篇提供 20 個你應該問 AI 供應商的安全問題。

資料處理(問題 1-6)

  1. 我們的輸入資料是否會被用來訓練你的模型?
  2. 我們的資料儲存在哪個國家/地區?
  3. 資料在傳輸和靜態時是否加密?用什麼標準?
  4. 我們可以要求刪除所有資料嗎?流程和時間是?
  5. 你們是否有子處理者(sub-processors)?名單是?
  6. 你們是否提供資料處理協議(DPA)?

安全措施(問題 7-12)

  1. 你們是否有 SOC 2 Type II 或 ISO 27001 認證?
  2. 你們是否有漏洞揭露計畫或 Bug Bounty?
  3. 你們的 API 認證機制是什麼?
  4. 你們是否提供 SSO(單一登入)整合?
  5. 你們是否有多租戶隔離?如何確保我們的資料不會被其他客戶存取?
  6. 最近一次安全稽核或滲透測試是什麼時候?可以提供報告嗎?

合規(問題 13-16)

  1. 你們是否符合 GDPR / 台灣個資法的要求?
  2. 你們是否能配合我們的合規稽核?
  3. AI 生成內容的智慧財產權歸誰?
  4. 你們的服務條款中有哪些免責條款?

營運穩定度(問題 17-20)

  1. 你們的 SLA(服務等級協議)保證的 uptime 是多少?
  2. 過去 12 個月的實際 uptime 是多少?有沒有重大事故?
  3. 如果你們的服務終止,我們的資料如何取回?
  4. 你們的定價模式是什麼?有沒有費用上限機制?

完整清單

將以上 20 個問題製成評分表,每個問題用 1-5 分評分,總分 100 分。建議門檻:

  • 80+ 分:可以放心使用
  • 60-79 分:可以使用但需要額外管控措施
  • 60 分以下:不建議用於處理內部以上的資料

常見問題

小公司也需要這麼嚴格的評估嗎?

可以簡化,但至少要問:資料是否用於訓練、資料儲存在哪裡、有沒有資料處理協議(DPA)。

免費 AI 工具可以用在企業嗎?

看用途。處理公開資料可以。處理內部或機密資料,必須用企業版或有明確隱私承諾的版本。

評估需要多長時間?

基本評估 1-2 天,深度安全評估(含滲透測試、合約審查)2-4 週。