快速摘要
你的同事正在把客戶名單貼進 ChatGPT 整理。這安全嗎?答案是「看情況」。本文提供一個簡單的三步驟判斷流程,讓每個員工都能自己判斷:這份資料可不可以給 AI?
現實狀況
根據多項調查,超過 60% 的員工在未經 IT 部門核准的情況下使用 AI 工具處理工作資料。這被稱為 Shadow AI——公司不知道員工在用 AI 做什麼。
問題不是「員工不該用 AI」,而是「沒有人告訴他們哪些資料可以用、哪些不行」。
三步驟判斷流程
每次把資料貼進 AI 之前,問自己三個問題:
- 這份資料公開了會怎樣?
- 沒什麼影響 → 可以用
- 有點尷尬但不嚴重 → 需要脫敏後再用
- 會造成損失或法律問題 → 不能用
- 裡面有沒有個人資料?
- 姓名、電話、Email、身分證字號、住址 → 需要脫敏
- 沒有 → 下一步
- 公司有沒有 AI 使用政策?
- 有 → 依照政策
- 沒有 → 預設為「機密以上不使用」
資料分類快速指南
| 分類 | 範例 | 可以給 AI? |
|---|---|---|
| 公開 | 公司官網內容、產品說明 | 可以 |
| 內部 | 會議紀錄、專案進度、內部流程 | 脫敏後可以 |
| 機密 | 財務報表、客戶名單、合約 | 不建議(除非企業版) |
| 高度機密 | 營業秘密、未公開財報、法律文件 | 絕對不行 |
各平台的資料處理方式
| 平台 | 免費版 | 付費版 | 企業版 |
|---|---|---|---|
| ChatGPT | 可能用於訓練 | 可關閉訓練 | 不用於訓練 |
| Claude | 可能用於改善 | 不用於訓練 | 不用於訓練 |
| Gemini | 可能用於改善 | 不用於訓練 | 不用於訓練 |
安全使用的最佳實踐
- 脫敏:把真實姓名換成 A 先生、B 小姐
- 去識別化:移除可辨識個人的資訊
- 使用企業版:如果需要處理機密資料
- 關閉訓練:在 ChatGPT 設定中關閉「Improve the model」
- 不要上傳檔案:手動複製需要的內容,不要整份檔案上傳
可直接使用的判斷表
員工 AI 使用判斷表
在使用 AI 工具前,請確認以下項目:
- □ 資料不包含個人可識別資訊(PII)
- □ 資料分類為「內部」以下
- □ 已移除客戶名稱、金額等敏感數字
- □ 使用的 AI 平台已關閉訓練選項
- □ 結果不會直接用於外部溝通(需人工審查)
常見問題
我只是用 ChatGPT 潤稿,也需要擔心嗎?
如果文稿中不包含公司機密或客戶資訊,通常是安全的。但如果你在潤飾的是客戶合約或內部備忘錄,就需要先脫敏。
企業版是不是就完全安全了?
企業版解決了「資料不會用於訓練」的問題,但資料仍然會傳輸到 AI 供應商的伺服器。對於高度機密的資料,即使是企業版也應謹慎。
老闆說可以用就可以用嗎?
口頭同意不是正式的 AI 使用政策。建議推動公司制定書面的 AI 使用政策,明確定義資料分類和使用範圍。