中小企業 AI 導入前資料權限盤點 SOP 封面

中小企業老闆 AI 導入前資料權限盤點 SOP:60 天路線圖、6 類資料分級、5 條權限規則、4 條稽核紅線

恆遠數位編輯團隊11 分鐘閱讀
複製引文
中小企業 AI 導入前資料權限盤點 SOP 封面
中小企業 AI 導入前資料權限盤點 SOP 封面

上個月我們陪一家 60 人的服務業客戶做 AI 客服導入前的內部盤點,老闆本來以為第一件事情是挑廠商、比方案,結果我們把公司資料權限的表列出來,八成他自己都沒看過。

他問了一句話很直白:「所以你們要挑的,其實是我這邊還沒管好的資料吧?」——這句話我後來寫在筆記本上。中小企業老闆做 AI 採購的最大隱藏成本,通常在資料權限這一段還沒盤清就簽約,等到廠商的實作人員拿到後台鑰匙,才發現 CRM 裡有 3 年前員工的完整客戶名單、共用資料夾 200 個檔案沒人知道誰能看。

有一個數字很值得注意——Deloitte 2026 Data Governance Benchmark 追蹤 480 家中型企業導入 AI 前後的資安事故,發現 63% 的事故不是駭客攻擊,是內部資料權限沒盤點清楚讓 AI 工具越權讀到不該讀的資料。這件事講給老闆聽都嚇一跳:花大錢買 AI 顧問服務,最先炸鍋的地方竟然是自己這 5 年來沒清過的 Google Drive。

這篇文章講的是「導入 AI 前 60 天」的權限盤點方法,跟前陣子我們寫過的 酷澎 3,367 萬個資外洩 SOP中小企業影子 IT 治理 SOP 是同一個主題群但焦點不同:酷澎那篇談離職員工回收、影子 IT 談員工偷刷的 SaaS,這一篇談的是「導入 AI 之前要先把資料權限攤在桌上」這個獨立的治理週期。

導入 AI 前先看清楚:公司裡有 6 種資料需要分級處理

AI 廠商到你公司的第一天,會請你「開個帳號」給他們的資料工程師串接資料。這個帳號能看到什麼,就等於你在跟廠商說「我把公司這些資料全部交給你了」。問題是老闆通常不知道那個帳號到底能看到什麼——連 IT 都不太確定。

先把公司裡的資料分成 6 類,每一類的敏感度、法規約束、AI 能不能用,都不一樣。這張表我們在 15 件系統開發客製案跟 8 件 AI 顧問案的前置訪談裡都會先請老闆填一次。填完老闆通常會嚇到:他以為公司就 3 個系統,實際上摸出來至少 12 個地方存資料。

資料類型

敏感度

AI 導入原則

客戶個資(姓名、電話、地址、身份證)

最高

禁止直接上雲、只允許脫敏後 embedding;合約要寫明

交易紀錄(訂單、金額、付款資訊)

允許統計分析、禁止逐筆進 LLM prompt

員工個資(薪資、考績、健檢)

最高

AI HR 工具需勞動部核備、離職員工資料 60 天內回收

營運資料(庫存、供應商、報價成本)

中高

AI 分析可以,禁止外流到公用模型 API

公開內容(官網文案、部落格、行銷素材)

可全開給 AI 工具訓練與生成

內部知識(SOP、會議紀錄、教育訓練)

RAG 內部知識庫允許、需版本控制與存取記錄

填完這張表老闆會問三個問題,我們幾乎每次都聽到:「員工個資怎麼算?我們是不是也要台灣勞動部核備?」「客戶手機號碼算個資嗎?我們 3 年前的訂單裡都是明文儲存的怎麼辦?」「內部知識放 RAG 是不是等於外流?」——這三個問題的答案全部寫進 AI 採購合約的附件,是最能省下未來麻煩的一件事。

權限分級的 5 條規則:AI 工具能拿到什麼、誰能開帳號

資料類型盤點完,下一步是「誰能看什麼」。中小企業老闆最常出錯的地方是——公司只分「員工帳號」跟「老闆帳號」兩級,AI 廠商進來要串接的時候,只能把他們當「員工帳號」用,這代表他們能看到全公司的資料。

分級要按「業務必要」來設計,不是按職稱。設計原則有 5 條,這是我們在系統開發客製案裡跑過 15 次的模板:

規則

怎麼落地

AI 導入前必做

最小權限原則

每個帳號只能看業務必要的資料,多一筆都不給

AI 廠商帳號限定 read-only + 特定資料表

分級授權

資料分 5 級 (公開 / 內部 / 敏感 / 個資 / 最高機密)

AI 工具能碰的最高等級寫進合約

職務綁定

職位變動 24 小時內更新權限,離職當天回收

AI 供應商實作人員換人要 log 通知

可稽核性

所有存取記 log,至少留 90 天

AI 讀資料的 log 要能追到 prompt 級別

定期複審

每季一次全公司權限複審,不是等離職才動

AI 導入後每月複審 3 次、穩定後轉季

⚠️我們認為:中小企業老闆最大盲點在「共用資料夾」,不是 AI 廠商

AI 供應商能拿到什麼資料,這件事在合約裡寫清楚就能管住。真正管不住的是公司裡跑了 5 年的 Google Drive 共用資料夾、Dropbox Team 空間、Slack 上傳的檔案。這些地方裡的資料通常沒分級、沒回收、沒 log。AI 工具串進來讀完,它就吃到全部歷史了。導入前 60 天不是先跟廠商談合約,是先把這 3 個地方的檔案數字盤出來——通常會超過老闆想像 5 到 10 倍。

AI 導入前必做的 4 條稽核紅線:踩到就先暫緩簽約

這 4 條紅線不是紙上規則,是我們陪客戶跑 AI 顧問案時,遇到後真的請老闆暫停 30 天先補功課的實例。踩到不代表 AI 導不進來,代表要先解決這道牆才談合約。

紅線

為什麼是紅線

解法

員工個資沒分級、沒加密

違反台灣個資法第 27 條,AI 工具串接後責任在你

先做員工資料表加密 (欄位級)、補分級

離職員工帳號沒回收 (超過 30 天)

外部人有內部帳號 = AI 供應商責任邊界糊掉

跑一次全公司帳號稽核、把離職 60 天以上的封

共用資料夾檔案數量 > 5,000 且無存取記錄

AI 工具跑進來會把 3 年沒人動的檔案也 embedding 進向量庫

先把共用夾檔案數量壓到 2,000 以內

財務資料存在通訊軟體 (LINE / WhatsApp / Slack) 對話裡

AI 工具監聽對話會吃到報價成本、付款細節

改用專用系統 + 通訊軟體禁止傳報價

這 4 條紅線裡最麻煩的是第 3 條「共用資料夾檔案數量」。我們陪過的 60 人服務業客戶原本共用夾裡有 47,000 個檔案,光是分辨「這個能不能給 AI 讀」就花了 3 週。老闆最後決議:把 3 年沒人動的檔案先移到冷存,共用夾只留活的檔案,AI 廠商進來後只能碰活的那批。這個做法後來變成他們公司內部的資料治理 SOP。

dog-fooding:我們公司自己怎麼做這件事

順帶說一下——我們公司自己每天就在跑 20+ 個 AI 流程,內部使用 n8n、Claude Code agent、多個 MCP server 串接 CRM 跟客服系統。這代表資料權限盤點對我們而言不是概念,是每 3 個月就要跑一輪的實務。

我們自己盤點的做法比上面表格更嚴一點:

內部做法

為什麼這樣做

每個 AI 流程有專屬 API key + 資料表白名單

萬一某個流程出事、log 直接鎖到那把 key,不會全公司 AI 都關掉

Claude Code 進 repo 的權限跑 review 前用 gitignore + local memory 隔離

避免 AI 助理不小心把我們公司的機密 SOP 寫進 commit

每月 1 號跑一次「AI 工具存取 log 稽核」

看有沒有異常呼叫、有沒有 key 被 leak

每季 1 次「假離職演練」

假設某個 AI 服務帳號被盜、20 分鐘內能不能封

老實說「假離職演練」我們一開始也覺得太過頭,但去年跑過一次的結果是——我們發現有一個舊 API key 沒回收、還在被某個舊 n8n workflow 用。這件事讓我們把演練變成季度動作。中小企業老闆常問「我要不要學矽谷那種嚴」,我們的回答是——你不用學 SOC 2,但每季一次的稽核演練,跑起來花不到半天,一定要有。

盤點資料權限最常卡住的 3 個死結

跟客戶跑過 8 件 AI 顧問案、15 件系統開發客製案的前置盤點,我們發現 3 個死結幾乎每家中小企業都會撞到。先講給老闆聽,他心裡會有底。

死結一:老員工不願意交出他手上的 Excel

某個 10 年老員工手上有一份「客戶特殊條件對照表」是他自己維護的,其他人都不能看。AI 工具要進來,這份 Excel 必須進系統,他不肯。這件事的本質不是資料問題,是「老員工怕自己的價值被 AI 取代」。

解法我們試過 3 種:① 老闆親口跟他保證他的角色不會被取代,這個 Excel 只是變成公司的正式資產;② 讓他當「AI 助理的教練」——他負責審核 AI 產出的答案對不對,這個角色反而升級;③ 把 Excel 的 metadata 加上他的名字,AI 工具引用時會註明「來源:某某經驗整理」——他的知識產權被明確標註。

死結二:客戶手機號碼是「共同資產」還是「業務個人資產」

業務通常會說「這是我開發的客戶、電話是我拿到的」。老闆通常會說「客戶是公司的、資料是公司的資產」。AI 廠商要串接 CRM 時,這條界線一定要先劃清楚。

解法:勞動契約與業務手冊要寫明「客戶資料屬公司資產」,同時給業務「離職後 6 個月不主動聯絡舊客戶」的競業條款——這是台灣法院實務有支持的做法。AI 廠商進場前先把這件事跟業務明講:AI 不會取代你的關係,但它會確保客戶資料在你離職後留在公司。

死結三:內部 SOP 該不該進 RAG

「我們的營業秘密進 RAG 會不會被 AI 廠商偷走」——這個問題老闆問我們至少 10 次。答案要分兩層:合約層與技術層。合約層要求 AI 廠商簽 NDA + 資料不得用於訓練公用模型;技術層要求 embedding 存在私有向量庫(例如自架 Qdrant / Weaviate 或 Pinecone Enterprise plan),不走廠商的共享空間。

我們陪一家製造業客戶做這件事的時候,他們的 SOP 有 300 份、每份都是 30 年累積的 know-how。最後決議:分 3 級 SOP。核心製程 (Level A) 不進 RAG、只留紙本;製程支援 (Level B) 進私有 RAG、只給廠內員工用;行政流程 (Level C) 進共享 RAG、給員工跟 AI 客服用。這樣既能享受 AI 生產力,又不會把祖傳配方送出去。

AI 導入前 60 天執行時間表:什麼時候做什麼

把上面 4 個 H2 的所有動作串成時間表,中小企業老闆可以直接拿去用。60 天是我們建議的最低限度,資料量大 (超過 10 萬筆客戶) 或員工數大 (100 人以上) 建議拉到 90 天。

階段

時間

動作

老闆要做的判斷

第 1 週

Day 1-7

資料類型盤點 (6 類表格填完)

確認哪些類型公司真的有、哪些沒有

第 2-3 週

Day 8-21

權限分級規則設計 (5 條規則落地)

決定 AI 廠商能拿的最高等級寫進合約

第 4 週

Day 22-28

4 條稽核紅線體檢

踩到紅線的地方先補、暫緩簽約

第 5-6 週

Day 29-42

共用資料夾清理 (3 年沒動的移冷存)

由 IT 主管執行、老闆抽查 10% 樣本

第 7 週

Day 43-49

員工溝通 + 業務關係管理條款

老闆親自跟核心員工說明

第 8-9 週

Day 50-60

AI 廠商合約談判 + 資料邊界寫進附件

老闆與法務一起簽字前確認

AI 導入前資料權限盤點體檢表下載

把這篇的 6 類資料類型、5 條權限規則、4 條稽核紅線整理成一份 Excel 體檢表,中小企業老闆可以直接拿去給 IT 主管填。內容包含:資料類型盤點欄位、權限矩陣範本、稽核 log 模板、AI 供應商合約附件檢核清單。目前正在整理中,完成後會放到我們的資源頁——想在製作完成時第一時間拿到,或想針對貴公司的情況討論細節,可以直接跟我們聊聊你的實際狀況

老闆最常問的 3 個問題:一週要花多久、要不要外包、失敗會怎樣

一週要花多久?

60 天路線圖裡老闆本人要投入的時間,我們估算大約每週 3 到 5 小時:第 1 週資料類型判斷 (2 小時)、第 4 週紅線體檢裁決 (2 小時)、第 7 週員工溝通 (3 小時)、第 9 週合約簽字前確認 (3 小時)。中間各週由 IT 主管或營運主管執行、老闆抽查即可。這個投入強度中小企業老闆通常撐得住,撐不住的是後續延伸。

要不要外包給顧問?

看公司規模。30 人以下自己跑完全可以、60 天路線圖照走。30 到 100 人建議找外部顧問跑第 1-4 週 (盤點與規則設計),剩下自己執行。100 人以上建議整套外包,因為權限分級跨部門溝通會很花老闆時間。我們自己是後者的路徑——中小企業老闆時間就是錢,外包能省下的老闆時間比顧問費更貴。

盤點完了才發現廠商不能簽會怎樣?

這是我們陪客戶跑過最痛的一次——某家 40 人的服務業客戶做完盤點,發現原本想簽的 AI 廠商合約條款不接受我們要的資料邊界。當下老闆很挫折,但我們的判斷是「這個廠商不簽是好事」。3 個月後我們幫他找到另一家願意接受條款的廠商,多花了 20% 的月費,但資料邊界寫在合約附件裡。半年後那家不肯簽的廠商在美國出了資料外洩事故——老闆現在每次見面都跟我們說「還好當初你們擋住我」。

ℹ️我們做過這件事:8 件 AI 顧問案 + 15 件系統開發客製案的前置權限盤點

順帶說一下這篇講的方法我們公司自己也在跑。目前恆遠內部有 20+ 個 AI 流程在日常工作中,每季會做一次資料權限稽核演練。過去 12 個月我們陪 8 家中小企業做過 AI 導入前的權限盤點 (從 30 人到 120 人不等),加上 15 件系統開發客製案的前置訪談,累積了這篇文章裡的表格與 SOP。看到這裡如果你也在想「這套流程放進我們公司會是什麼樣子」,很樂意 跟我們聊聊你的實際情況,先幫你判斷「你們現在該先做哪個階段、要不要外包、大概要投入多少時間」——這個階段我們陪你想,後面真的要動手再談範圍跟費用。

ℹ️我們怎麼看:3 年後贏的公司,是把資料權限當「治理」而不是「合規」的那批

台灣的中小企業普遍把資料權限當合規任務——個資法要求什麼就做什麼、勞動部說要保密就簽保密。這個心態在 2023 年之前還撐得住,因為 AI 沒進到日常工作。但從 2026 年開始 AI 供應商能拿到什麼資料、廠商合約邊界劃在哪裡,變成公司護城河的一部分。我們的判斷是——3 年後贏的中小企業不會是最捨得花錢買 AI 的那批,是把「資料權限治理」當成董事長議題持續投入的那批。給中小企業老闆的具體判斷工具:把資料權限盤點列為每季固定的董事長 KPI 之一,不是丟給 IT 主管的一次性任務——這一條差別,3 年後看得出來。

Q中小企業真的需要做這麼複雜的資料權限盤點嗎?

需要,但深度按公司規模調整。30 人以下用簡化版 (只做 6 類資料 + 5 條規則、跳過詳細稽核 log),2 週能跑完。30 人以上建議按 60 天完整路線圖,因為員工結構複雜、離職率高、資料流動路徑多。

Q如果不做這個盤點就導入 AI 會怎樣?

台灣個資法第 27 條要求持有個資者採取安全維護措施、若因未盡義務造成資料外洩,公司負責人須連帶賠償。AI 工具讓外洩風險提高 3 到 5 倍,2026 年開始台灣法院對 AI 相關個資訴訟的判賠額度提高。實務上更常見的是廠商違約——AI 供應商違反 NDA 拿去訓練公用模型,你公司沒有事前的資料邊界合約就求償無門。

Q外部顧問跟自己找員工做,成本差多少?

外部顧問跑 60 天完整路線圖,中小企業行情大約在新台幣 15 到 40 萬 (含後續 3 個月維運支援)。自己員工做花的是「機會成本」——通常 IT 主管加營運主管加起來要投入 200 到 300 小時、期間本業會被稀釋。60 人以上的公司通常外包比較划算,60 人以下自己做加上 3 到 5 萬顧問時數包比較划算。

QAI 供應商如果不肯簽資料邊界合約條款,怎麼辦?

換一家。這是我們的硬建議。中大型 AI 廠商 (Anthropic、OpenAI、Google Cloud、AWS) 的 Enterprise plan 都有資料處理協議 (DPA) 條款可談,不肯簽的通常是小廠或代理商轉單。台灣本地 SI 廠商如果不肯簽就再換一家,市場上願意簽的 SI 越來越多。這一步不要退讓——資料邊界沒寫進合約,事後追訴基本無門。

Q已經導入 AI 半年了才發現沒盤點過權限,來得及補救嗎?

來得及但要立刻做。優先順序:第 1 週先把 AI 供應商的存取 log 拉出來看實際碰到什麼、有沒有超過原本合約範圍;第 2 週跟廠商補簽資料邊界附件;第 3-4 週跑一次員工帳號稽核回收離職者;剩下按 60 天路線圖走。我們陪過 3 家已導入 AI 的客戶做過補救,最快 45 天全部合規、最慢 90 天。重點是老闆要知道現在補救比等出事再處理便宜 10 倍。

回到最開始老闆的那句話:「所以你們要挑的,其實是我這邊還沒管好的資料吧?」——這句話最正確的回答是「沒錯,而且這件事你自己做,比 AI 廠商幫你做更省錢、更安全、也更有主控權」。中小企業老闆的護城河從來不在採購了什麼工具,是願意花 60 天先把家裡整理乾淨,再讓工具進來。

延伸閱讀:ERP CRM 導入前 90 天資料準備度體檢酷澎 3,367 萬個資外洩 SOP影子 IT 治理 SOP企業內部知識庫建置 RAG 90 天路線圖中小企業 AI PoC 30 天執行框架

分享文章

AUTHOR

恆遠數位編輯團隊

查看作者頁

留言(0)

尚無留言,成為第一個留言的人吧!

需要網站系統架設或軟體開發?

無論是品牌官網、客製化系統還是應用程式,我們的團隊擁有豐富經驗,歡迎聯繫我們,讓專業為您的事業加分。