快速摘要
選 AI 廠商時,大多數人只比較功能和價格。但安全和隱私才是決定長期風險的關鍵。這篇提供 20 個你應該問 AI 供應商的安全問題。
資料處理(問題 1-6)
- 我們的輸入資料是否會被用來訓練你的模型?
- 我們的資料儲存在哪個國家/地區?
- 資料在傳輸和靜態時是否加密?用什麼標準?
- 我們可以要求刪除所有資料嗎?流程和時間是?
- 你們是否有子處理者(sub-processors)?名單是?
- 你們是否提供資料處理協議(DPA)?
安全措施(問題 7-12)
- 你們是否有 SOC 2 Type II 或 ISO 27001 認證?
- 你們是否有漏洞揭露計畫或 Bug Bounty?
- 你們的 API 認證機制是什麼?
- 你們是否提供 SSO(單一登入)整合?
- 你們是否有多租戶隔離?如何確保我們的資料不會被其他客戶存取?
- 最近一次安全稽核或滲透測試是什麼時候?可以提供報告嗎?
合規(問題 13-16)
- 你們是否符合 GDPR / 台灣個資法的要求?
- 你們是否能配合我們的合規稽核?
- AI 生成內容的智慧財產權歸誰?
- 你們的服務條款中有哪些免責條款?
營運穩定度(問題 17-20)
- 你們的 SLA(服務等級協議)保證的 uptime 是多少?
- 過去 12 個月的實際 uptime 是多少?有沒有重大事故?
- 如果你們的服務終止,我們的資料如何取回?
- 你們的定價模式是什麼?有沒有費用上限機制?
完整清單
將以上 20 個問題製成評分表,每個問題用 1-5 分評分,總分 100 分。建議門檻:
- 80+ 分:可以放心使用
- 60-79 分:可以使用但需要額外管控措施
- 60 分以下:不建議用於處理內部以上的資料
常見問題
小公司也需要這麼嚴格的評估嗎?
可以簡化,但至少要問:資料是否用於訓練、資料儲存在哪裡、有沒有資料處理協議(DPA)。
免費 AI 工具可以用在企業嗎?
看用途。處理公開資料可以。處理內部或機密資料,必須用企業版或有明確隱私承諾的版本。
評估需要多長時間?
基本評估 1-2 天,深度安全評估(含滲透測試、合約審查)2-4 週。