員工要用 AI,公司該定什麼規範?
// 一句話回答
員工用 AI 前,公司至少要先寫清楚四件事:哪些資料不能貼進去、產出一定要人工查證、對外用途要標示與負責、以及誰能開哪些帳號。與其禁止,不如給一份看得懂、做得到的簡單規範。
先講結論:規範不是為了「管人」,是為了「敢用」
很多老闆對員工用 AI 的第一反應是兩種極端:要嘛全面封鎖(怕機密外洩),要嘛完全放任(反正大家都在用)。這兩種都會出事——封鎖會逼員工偷偷用個人帳號(反而更不受控),放任則遲早有人把客戶名單或報價單貼進去。
一份好的 AI 使用規範(英文常叫 AI Usage Policy,就是一份公司內部白紙黑字的『可以做什麼、不可以做什麼』文件),目的不是嚇員工,而是讓大家在有護欄的情況下放心用。就像公司會有『機密文件不能帶出辦公室』的規定,不是不信任員工,而是先把界線畫清楚,大家做事才不會提心吊膽。
- 封鎖派的代價:員工改用私人手機、私人帳號偷用,公司完全看不到、管不到,風險更大
- 放任派的代價:沒人教『什麼不能貼』,出事時才發現客戶資料早就外流
- 護欄派(建議):明確告訴大家紅線在哪、產出要怎麼查證,剩下的放手讓大家用
規範的核心:四條紅線先講清楚
不用一開始就寫成幾十頁的法律文件。中小企業第一版規範,把下面這四件事講清楚就贏過八成公司了。
- 第一條:哪些資料絕對不能貼進 AI。這是最重要的一條。把『機密清單』列成大白話——客戶個資(姓名、電話、地址、身分證字號)、還沒公開的財報與報價、原始碼與密碼、合約條款、員工個資。要貼之前先『去識別化』(把能認出是誰的資訊拿掉或改成代號,例如把『王小明 0912-xxx』改成『客戶 A』)。
- 第二條:AI 產出一定要人工查證才能用。AI 會『一本正經地說錯話』(業界叫 hallucination,中文常譯『幻覺』,就是它會編造看起來很真、其實是假的內容——假的法條、假的數字、假的引用來源)。規範要寫明:法律、財務、醫療、對外報價這類高風險內容,人要負最後的責任,不能直接複製貼上就送出去。
- 第三條:對外用途要標示與負責。用 AI 寫的對外文案、給客戶的提案、社群貼文,發布前要有人看過並掛名負責。誰按下送出鍵,誰就是責任人——不能事後說『是 AI 寫的』來卸責。
- 第四條:帳號與工具要走公司管道。規定大家用『公司開的帳號或指定的工具』,而不是各自拿私人帳號亂接。這樣公司才管得到權限、看得到用量、也能確保用的是『資料不會被拿去訓練』的方案(企業/團隊方案通常有這個保障,實際條款以官方最新公告為準)。
一個生活比喻:AI 像新來的超強實習生
把 AI 想成一位『反應超快、什麼都略懂、但完全不了解你們公司規矩、而且有時會自信地唬爛』的實習生。你會怎麼帶這個實習生?
你不會把保險箱密碼直接告訴他(對應紅線一:機密不外貼);他交的報告你一定會自己再核對一次才敢給老闆(對應紅線二:人工查證);他寫的對外信件,一定是你署名寄出、你負責(對應紅線三:對外要負責);你也會給他一張公司門禁卡,而不是讓他自己配一把鑰匙(對應紅線四:走公司帳號)。規範其實就是把『你怎麼帶實習生』寫成全公司通用的一頁紙。
照抄就能用:一頁式規範範本骨架
下面這個骨架,你可以直接貼到公司內部文件(例如 Google 文件或 Notion)當第一版,再依產業調整。刻意寫得白話,讓非技術同事也一看就懂。
- 適用範圍:本規範適用於全體同仁使用任何生成式 AI 工具(生成式 AI 指能自動生成文字、圖片、程式等內容的 AI,例如聊天機器人、文案助手)處理公司相關工作時。
- 可以放心用的情境:整理會議記錄、草擬內部文件、腦力激盪、翻譯、把長文摘要、寫程式的輔助、學習新知。
- 禁止貼入 AI 的資料(紅線):客戶/員工個資、未公開財務數字、報價與成本、合約、密碼與金鑰、原始碼。需要用到時先去識別化。
- 必須人工查證的產出:對外文案、數據與統計、法律/財務/醫療內容、引用的來源與連結。發布前由 ___(職稱)覆核。
- 帳號規定:一律使用公司提供之 ___ 帳號/工具,不得以私人帳號處理公司資料。
- 違規處理:資料外洩或未查證造成損害,依 ___ 處理;有疑慮先問 ___(窗口)。
- 生效日與版本:v1,___ 年 ___ 月起適用,每半年檢視一次。
對中小企業與創業者的實際意義
對只有幾人到幾十人的公司來說,這件事的投資報酬率非常高:花半天寫一頁規範,換來的是省下一次可能上新聞的資料外洩。你不需要法務部門、不需要花錢買軟體,一份 Google 文件加一次十五分鐘的內部說明會就能起步。
更重要的是,規範讓 AI 從『少數人偷偷用的工具』變成『全公司公開的生產力資產』。當大家知道界線在哪,就會更大方地把 AI 用在對的地方——業務用它寫初稿、客服用它草擬回覆、行銷用它發想貼文——而不是因為怕踩雷而完全不敢碰。規範不是踩煞車,是讓你敢把油門踩下去。
- 先求有再求好:第一版寫得不完美沒關係,有一頁看得懂的規範,遠勝過一份沒人看的完美法律文件
- 搭配一次教學:規範發下去還要口頭講一次『為什麼』,尤其示範『怎麼去識別化』,同事才做得到
- 指定一個窗口:留一個『有疑慮找誰問』的人,避免大家各自猜界線
常見的雷與落地建議
- 雷一:規範寫得像法律條文,沒人看得懂。用大白話、給例子。『不要貼機密』太模糊,要具體到『不要貼客戶電話、報價單、身分證字號』。
- 雷二:只發文件、不做教學。多數員工不知道『去識別化』怎麼做。開一次十五分鐘的示範會,現場演一遍『把真名改代號再貼』,效果遠勝發十頁 PDF。
- 雷三:訂完就束之高閣。AI 工具與方案更新很快,規範至少每半年看一次。模型名稱、方案內容、價格這些都會變,規範裡盡量寫『原則』而不是寫死某個產品的某個數字。
- 雷四:忘了資料會不會被拿去訓練這件事。免費版與企業版的資料保護條款不同,選工具時要確認『輸入的內容不會被用來訓練模型』,這通常是團隊/企業方案的重點,實際條款以官方最新公告為準。
- 落地順序建議:① 寫一頁規範 → ② 開公司統一帳號/工具 → ③ 開一次教學會示範去識別化 → ④ 指定問題窗口 → ⑤ 半年後檢視更新。
常見問題
我們公司只有五個人,也需要寫 AI 使用規範嗎?
需要,而且更划算。人越少,一個人出包造成的傷害占比越大——一位員工不小心把客戶名單貼進 AI,就可能是全公司的信任危機。好消息是五人公司不用寫得多複雜,一頁 Google 文件講清楚『哪些資料不能貼、產出要查證、走公司帳號』,再開一次十五分鐘說明會,就足夠了。
與其訂規範,直接禁止員工用 AI 不是更安全嗎?
通常反而更危險。全面禁止的結果,往往是員工改用自己的手機、私人帳號偷偷用,公司完全看不到也管不到,等於把風險趕到暗處。給一份清楚的規範、開公司統一帳號,讓大家在護欄內公開地用,比假裝沒人在用要安全得多。
『去識別化』到底是什麼?我該怎麼教員工做?
去識別化就是把『能認出是哪個人/哪家公司』的資訊拿掉或改成代號再貼給 AI。例如把『王小明 0912-345-678,訂單 5 萬』改成『客戶 A,訂單金額(略)』。教學時最有效的方法是現場示範一次:拿一份真實文件,當著大家的面把姓名、電話、金額改掉,再貼進 AI。看過一次,大家就會做了。
規範裡要不要寫明只能用哪一家 AI、哪個方案?
可以指定『用公司提供的帳號或工具』,但不建議在規範正文裡寫死某個產品的價格、方案名稱或參數,因為這些變動很快,寫死了很快就過時。比較穩的做法是寫原則(例如『須使用資料不會被拿去訓練的企業/團隊方案』),實際選哪家、哪個方案另外維護一份清單,並以官方最新公告為準。