這篇不是來嚇你不能用 AI 的。
是要告訴你:80% 的中小企業任務沒有風險問題,但剩下 20% 一旦出事,賠的錢可能比 AI 省下的多 100 倍。這篇給你一個 5 分鐘就能跑完的自評流程,讓你判斷哪些可以丟、哪些絕對不行。
💡 本篇定位 「企業主 AI」支線最後一篇。讀完這篇,你就有完整的決策框架可以開始導入了。
先把恐懼跟事實分開
媒體報導 AI 風險常常混在一起講,結果中小企業老闆一邊覺得「好可怕」一邊偷偷在用,最後反而踩到雷。我先把幾件事釐清:
| 常見恐懼 | 事實 |
|---|---|
| 「AI 會把我的對話內容洩漏給其他用戶」 | 不會——除非你用免費版且資料被拿去訓練,但這也不是即時洩漏 |
| 「企業版也會偷偷訓練」 | 沒有公開證據。OpenAI、Anthropic、Google 三家企業版合約都白紙黑字寫不訓練 |
| 「AI 寫的東西有版權問題,會被告」 | 文字類目前還沒有判例。圖片類有風險(下面會講) |
| 「員工把資料丟進 AI 公司會違法」 | 看你在哪個產業 + 丟什麼。一般 B2B 服務業多數情況不違法,但金融、醫療、法律有專屬規範 |
注意:上面的「事實」是 2026 年 4 月的狀態。法規 6 個月會變一次,所以這篇文章我也會老實告訴你:到了 2026 年底,某些建議可能會失效。
5 個檢核點:這份資料能不能丟進 AI?
用法:每次員工要把一份新的資料貼進 AI 之前,跑這 5 題。任何一題答 No,直接停。
✅ 檢核 1:這份資料是不是「已經對外公開」的?
- 公司網站上的內容、新聞稿、產品介紹、公開的提案範本
- 客戶在公開場合分享的資訊
- 產業公開報告
→ 是 = 安全,直接用,不必擔心。
✅ 檢核 2:如果不公開,有沒有去識別化?
「去識別化」= 把個人/公司名稱、聯絡方式、金額、日期等可辨識資訊換成假值或通則化。
- ❌ 「王小明 0912-345-678 客訴 2024/3/15 訂單編號 A-0001 退款 NTD 12,500」
- ✅ 「某客戶因 [產品問題類型] 申請退款,金額約 NT$ 1 萬元」
→ 去識別化過 = 安全,可以丟。
✅ 檢核 3:你用的是企業版還是免費版?
- 企業版(ChatGPT Team / Enterprise、Claude for Work、Gemini Workspace):合約保證不訓練、不留存(或留存有 SLA)
- 個人付費版(ChatGPT Plus、Claude Pro):預設可關閉訓練,但要自己設定
- 免費版:預設會用於訓練(尤其 ChatGPT)
→ 如果是企業版 + 通過檢核 1 或 2 → 可以丟 → 如果是免費版 → 只能丟通過檢核 1(已公開)的資料
✅ 檢核 4:這份資料外洩了會不會違法?
特定產業有額外規範:
- 金融業(銀行、保險、券商)→ 受 [個資法] + [金融資料保護] 雙重規範,客戶資料絕對不能丟雲端 AI,需自架或專屬合約
- 醫療業 → 病歷、檢驗結果受 [醫療法] + [個資法] 嚴格規範,同上
- 法律事務所 → 律師保密義務,案件資料不可未經當事人同意丟 AI
- 政府案 / 軍工 → 看標案合約,通常完全禁止
- 一般 B2B / B2C 服務業 → 沒有額外法規,但要遵守 [個資法] 基本原則
→ 你在前 4 種產業 → 找專業律師,不要看一篇文章決定。剩下的產業 → 通過檢核 1–3 就好。
✅ 檢核 5:這份資料萬一出現在 AI 訓練資料裡,你能不能接受?
這是最後一道心理底線。問自己:「就算 AI 公司違反合約把這份資料拿去訓練了,我能不能承受後果?」
- 「不能,這會讓客戶告我」 → 不要丟,即使企業版也不要
- 「不能,但只是丟臉」 → 用企業版可以丟
- 「沒差,反正本來就半公開」 → 隨便丟
我自己的底線:最敏感的客戶名單、財報數字、未公開的併購計畫——即使企業版我也不丟。不是不信任廠商,是這類資料的損失成本太高,省那 30 分鐘整理時間不值得。
真實情境試算:不同類型的資料該怎麼處理
| 資料類型 | 檢核結果 | 建議做法 |
|---|---|---|
| 公司產品介紹寫文案 | ✅ 全通過 | 任何 AI、任何版本都行 |
| 整理會議錄音(內部會議) | ✅ 企業版可丟 | 企業版安全,免費版要先去識別化 |
| 客戶 Email 起草回覆 | ⚠️ 看內容 | 去識別化(改用「客戶 A」)後可丟 |
| 報價單(含金額) | ⚠️ 去識別化 | 把客戶名稱、金額換成通則 |
| 員工薪資表 | ❌ 不要 | 即使企業版也不建議 |
| 客戶名單 + 聯絡方式 | ❌ 不要 | 個資法風險高 |
| 病歷 / 法律合約 | ❌ 不要 | 法規風險,需專業諮詢 |
一份最簡單的「公司 AI 使用規範」(你今天就能寫)
不需要 30 頁的法律文件。一頁就夠。給你模板,你直接抄改:
[公司名] AI 使用規範 v1
2026-04-09 制定
1. 我們允許員工使用 AI 工具(ChatGPT、Claude 等)輔助工作。
2. 公司提供 [ChatGPT Team / Claude for Work] 帳號,
優先使用公司帳號處理工作內容。
3. 以下資料【絕對不可】丟進任何 AI 工具,包括公司帳號:
- 客戶完整聯絡資訊(姓名 + 電話 + Email + 地址)
- 客戶財務資訊、訂單明細、退費紀錄
- 員工薪資、考績、個人資料
- 公司財報、未公開的營運數字
- 未經當事人同意的合約、提案
4. 以下資料【建議去識別化】後才丟:
- 客戶 Email 內容(改用「某客戶」)
- 報價、提案(改金額為通則)
- 內部會議紀錄(改人名為職稱)
5. AI 產出的內容【一律視為初稿】,
發出去前必須由人工審核。
6. 不確定的時候,問主管,或不要丟。
違反規定造成資料外洩者,依公司獎懲辦法處理。這份規範的目的不是「不出事」,是「員工知道界線在哪」。沒有規範 = 員工自己亂判斷 = 出事的時候沒人能怪。
我不確定的事(這篇尤其多)
- 法規會變。台灣 [AI 基本法] 跟 [個資法修正] 還在進行中,2026 年底可能有新規定。這篇的建議到那時候要重看一次
- AI 圖片版權還沒定論。AI 生成的行銷圖、產品圖,目前法律狀態是灰色——可能是你的、可能不是你的。我建議重要的視覺資產(logo、產品主圖)還是找設計師做,AI 圖只用在「社群素材、暫時性內容」這種低風險場合
- 「企業版真的不訓練」我無法 100% 驗證。三家都寫了不訓練,但這是合約承諾,不是技術強制。最敏感的資料還是該避開
- 我不是法律專業。這篇是「老闆視角的常識判斷」,不是法律意見。金融、醫療、法律業請找律師,不要看一篇文章決定
整個支線的總結
如果你從總覽一路讀到這裡,恭喜你——你已經比 90% 的中小企業老闆更知道 AI 該怎麼用了。剩下的事情其實只有一件:開始。
最低可行行動(再講一次):
- 老闆自己這週花 30 分鐘玩 AI
- 下週找 1 位自願員工跑 1 週
- 第 3 週聊 30 分鐘
- 第 4 週決定要不要擴大
如果你跑完這 4 週還是不確定要不要繼續、不確定該打哪個部門、不確定怎麼處理員工抗拒——那就是該找人聊的時候了。 一篇文章能給你框架,但不能替你判斷你公司的具體情境。
❓ FAQ
我們是 5 人小公司,需要寫 AI 使用規範嗎?
需要,但可以非常簡短。上面那份模板你刪到剩 3 條都行:① 哪些絕對不能丟、② 用公司帳號優先、③ AI 產出要人工審。重點不是規範多完整,是「有寫下來、員工有看過、有簽名」——出事的時候這就是責任分界。寫一頁的成本是 30 分鐘,值得。
用 Google 翻譯 / DeepL 翻譯客戶文件,算不算把資料丟給 AI?
算,而且這是最常被忽略的洩漏管道。Google 翻譯免費版會留存資料、可能用於改善服務;DeepL 免費版同。如果你常翻譯敏感的客戶 Email 或合約,請用 DeepL Pro(明確不留存)或 Google 的企業版翻譯 API。這條我看過太多公司沒注意。
如果我已經把客戶資料丟進免費 ChatGPT 了,該怎麼辦?
① 立刻在 ChatGPT 設定裡關掉「Improve the model for everyone」(訓練選項),② 刪除那段對話記錄(設定裡可以全清),③ 未來一律改用企業版或先去識別化。已經丟過去的資料理論上 OpenAI 不會即時取出,實務上也沒辦法追回——但從現在開始守規矩比追究過去重要。
AI 寫的行銷文案、產品描述,我可以拿去申請商標嗎?
可以,但版權保護的範圍可能比人寫的弱。各國法律不同:美國目前傾向「純 AI 產出不享有著作權」;台灣立場還不明確。比較安全的做法:把 AI 產出當「初稿」,經過明顯的人工修改、重組、加入原創元素後再發布——這樣更接近「人類創作」,法律保護較強。