最近半年我們陪幾家中小企業老闆做 AI 導入時觀察到一個共同畫面——業務、客服、行政都已經偷偷在用 ChatGPT 處理客戶資料、財報數字、法務信件,但公司端連一頁正式政策都沒有。問老闆「員工現在用 AI 做什麼?」往往答不出來;問員工「公司允不允許?」得到的答案是「沒人講不能用,那應該可以吧」。
這篇文章要解決的就是這個尷尬的 grey zone。我們把過去幾個月在 AI 顧問服務 諮詢過程中、幫客戶整理 AI 員工政策手冊時的條款骨架公開出來——6 大條款、4 條紅線、3 套使用情境分級,給中小企業老闆把 ChatGPT 開放給員工之前可以直接拿去改的協議框架。這份框架不替代法律顧問,但讓你跟員工坐下來簽協議時,至少有東西可以簽。
先放一組數字定基調。IBM 2025 Cost of a Data Breach Report 統計:因「shadow AI」(員工自行使用未授權 AI 工具)導致的資料外洩事件,平均成本比一般事件多 67 萬美元、單筆事件平均 463 萬美元;同份報告同時揭露:97% 經歷過 AI 相關資安事件的公司,事前沒有 AI 存取控制機制。Gartner 2025 年調查 進一步指出,69% 的企業已有員工使用被禁止的公開生成式 AI 工具,並預測到 2030 年 40% 企業會發生 shadow AI 相關資安或合規事件。對中小企業老闆而言,問題已經從「會不會被滲透」變成「員工已經在用、只是你不知道」。
ℹ️這篇怎麼來的
恆遠數位行銷自家內部目前在跑 20+ 個 AI 流程(行銷文案、客服分流、報價草稿、Code Review、會議紀要)。這份政策手冊框架是我們替自己公司寫過第二版、又陪 AI 顧問諮詢客戶整理過第三版之後沉澱出來的——不是抄外國範本翻譯,是真的有人簽下去過。
為什麼員工 AI 政策手冊在 2026 年比 2025 年更迫切
時序拉一下。2023 年 Samsung 因為員工把半導體機密貼進 ChatGPT,啟動全集團禁用令;2024 年 JPMorgan、Apple、Verizon 跟進,全面禁止員工在工作裝置使用消費級 ChatGPT。到 2025 年下半年風向開始轉——禁不住,乾脆收編。
最具指標性的事件是 2026 年 6 月:Samsung 正式解禁,全集團導入 ChatGPT、Gemini、Claude 企業版,但鋪了三層配套:一、只開企業版、消費版仍封鎖;二、所有員工必須過完內部資安訓練;三、敏感工作走內部模型、外部工具僅限通用任務。JPMorgan 走得更兇——2026 年起 6.5 萬名工程師被強制每天使用內部 LLM Suite,主管會監測使用頻率,AI 使用率成為績效評估項目。
這兩家給中小企業的啟示是同一件事:禁用是過渡期、開放是終局,但開放不能裸奔。你公司今天還沒寫政策手冊,員工早就自己決定哪些事情用 ChatGPT、哪些不用——而他們的決策邏輯是「方便就好」,不是「公司風險最小化」。
台灣的時間表更緊。AI 基本法在 2026 年 1 月 14 日生效,第十一條明定企業應建立 AI 使用內部規範、揭露 AI 參與決策、保留可追溯紀錄。個資法新一輪安維辦法草案也走向「不分行業統一監管」——以前只有特定行業需要寫資料安全維護計畫,現在所有處理個資的公司都跑不掉。員工用 ChatGPT 處理客戶名單、訂單記錄、薪資資料,這些都會被連帶看。
這跟我們先前寫過的 中小企業 AI 治理委員會啟動指南 是上下游關係:那篇講「誰來管」,這篇講「管什麼怎麼簽」。委員會建立之後第一個產出,就是這本手冊。
AI 員工政策手冊 6 大條款骨架:每一條的設計意圖與紅線
先看完整骨架,下面逐條拆。這 6 條的順序不是隨便排的——從「資料怎麼分級」開始,因為其他所有條款都是這條的衍生。
條款 | 核心問題 | 誰負責執行 | 違規後果分級 |
|---|---|---|---|
① 資料分級 | 哪些資料不能丟進 AI? | 資安/IT | 輕到重:口頭警告 → 書面警告 → 解雇 |
② 工具白名單 | 只准用哪些 AI 工具? | IT | 輕:警告;中:扣帳號 |
③ 帳號與計費歸屬 | 誰的帳號、誰付錢、離職怎麼回收? | HR + 財務 | 中:補繳費用;重:解雇追償 |
④ Prompt 與輸出留存 | log 多久、誰能看? | IT + 法務 | 中:影響績效;重:解雇 |
⑤ 對外發布審查 | AI 生成內容對外發前要過誰? | 部門主管 + 行銷 | 中:書面警告;重:解雇 |
⑥ 違規處理流程 | 怎麼界定違規、怎麼罰? | HR + 法務 | 依違規等級套用前 5 條對應後果 |
先說一個我們的判斷,因為這個立場直接影響整本手冊的寫法——
⚠️我們的明確立場:消費版禁用、企業版才開放
走過十幾家中小企業 AI 顧問諮詢之後,我們對「免費版要不要禁」這件事已經沒有中立。立場是這樣:ChatGPT 免費版、Claude 免費版、Gemini 免費版的使用者輸入,預設都會被拿去訓練模型;要關掉這項授權通常要付費升級或在企業後台設定。換句話說,員工用免費版打你公司的客戶名單,等同把名單同意授權給 OpenAI / Anthropic / Google。手冊裡這條一定要白紙黑字寫死——免費版禁用、企業版才開放——不要中庸地寫「請小心使用」,那等於沒寫。
條款 ①:資料分級——把公司資料切成 3 層,員工才知道哪些不能丟
這條是整本手冊的地基。員工不會違規是因為壞——是因為他不知道。一份案子的客戶聯絡資料、一筆未公開的 OKR 數字、一段業務內部群組對話,在員工眼裡可能都是「我自己的工作」,所以丟給 ChatGPT 整理摘要、潤稿、翻譯。
我們建議用 3 層分級,越少越好——超過 5 層員工記不住,記不住就會亂猜。
層級 | 範圍 | AI 使用規則 | 舉例 |
|---|---|---|---|
L1 機密 | 客戶個資、未公開財務、原始碼倉庫、法務人事文件 | 完全禁止輸入任何 AI 工具,含企業版 | 客戶名單 CSV、薪資表、未上線的程式碼 |
L2 內部 | 業務流程、SOP、會議紀要、未公開行銷企劃 | 僅可輸入企業版且關閉訓練授權 | 週會紀錄、下季產品計畫 |
L3 公開 | 已對外發布資訊、市場公開資料 | 可自由使用任意 AI 工具 | 已上線的部落格文章、官網內容 |
實作上有一個小細節最常被忽略——每一份內部文件的檔頭要標註層級。Word 加註腳、Notion 加標籤、Google Doc 加副標題。員工開啟文件第一眼看到「L1 機密」三個字,他要不要複製貼進 ChatGPT 的決策成本就高了。沒有標註等於丟給員工自己判斷,那就回到「方便就好」的預設模式。
條款 ②:工具白名單——明列哪些工具可用、哪些不行,避免「灰色帶」
這條解決的是「員工想用 Perplexity / Copilot / Notion AI / 任意 Chrome 插件」這種長尾問題。市面上 AI 工具每週都有新的,員工會用是好事,但工具沒在白名單裡,意味著公司沒做過資安、合約、訓練授權審查。
白名單怎麼定?我們的建議是「企業版優先 + 三個必要條件」——只要工具同時滿足這三個,就可以審查通過進入白名單:
- 有企業版方案,且企業版預設「不拿輸入訓練模型」(OpenAI ChatGPT Enterprise、Anthropic Claude Team / Enterprise、Google Workspace Gemini Business 等都符合)
- 通過 SOC 2 Type II 或同等資安認證(這是個資法「適當安全維護措施」的最低門檻)
- 提供管理員 console 可以集中 SSO 登入、查看使用日誌、移除離職員工帳號
Chrome 插件、第三方 AI wrapper、不知名 prompt 工具——預設一律不在白名單。員工要新增工具,走「白名單申請表」由 IT 與資安共審。表單範本可以很簡單:工具名稱、用途、處理什麼層級資料、是否有企業版、SOC 2 證明連結、計費歸誰。我們服務的客戶最常拿掉的一條是「處理什麼層級資料」——這條留著、員工自己會先過濾一輪,省下資安後續審查成本。
條款 ③:帳號與計費歸屬——「員工自己訂閱、公司報帳」是最大坑
這條很瑣碎、但出事最容易——員工用個人 email 訂閱 ChatGPT Plus、公司用零用金報帳。一旦離職,這個帳號裡兩年累積的 prompt 歷史、上傳檔案、訂閱資訊全部跟著員工走,公司一毛權利都沒有。我們碰過最痛的案例是業務離職前一週密集把客戶溝通記錄上傳 ChatGPT 整理,離職後這些記錄留在他個人帳號裡——民事追償成本遠高於當初省下的 IT 採購流程。
這條的硬規則只有三句:
- 所有 AI 訂閱必須由公司帳號(company.com 結尾的 email)建立、公司信用卡計費
- 員工不得用個人 email 訂閱後申請報銷——這條要寫進員工手冊、寫進報帳 SOP
- 離職交接清單新增「AI 帳號回收」項目:撤銷 SSO、下載對話歷史、確認資料移轉
計費歸屬有另一個經常被問到的問題:那「員工自己用個人時間、個人裝置、個人 ChatGPT Plus 處理工作」算不算違規?我們的建議是「不報帳、不上 L1/L2 資料」就 OK——但要在手冊裡明寫,否則員工會自行詮釋成「我自己的時間做的就不算公司事」,連帶把客戶資料貼進去也覺得沒事。
條款 ④:Prompt 與輸出留存——log 多久、誰能看,這條對應勞基法與個資法
這條是手冊裡最敏感的一條,因為它直接撞上「員工隱私」。中小企業老闆很容易過頭走向兩個極端:要嘛完全不 log(出事追不回來)、要嘛 log 全部(撞勞基法第十二條與個資法)。中間怎麼拿捏?
我們建議的 baseline 是「企業版 audit log 開啟 + 90 天保留 + 限三人可閱」。意思是:
項目 | 我們的建議設定 | 為什麼這樣設 |
|---|---|---|
log 範圍 | 企業版 admin console 自帶的使用日誌(誰用、何時、用了哪個模型、token 數) | 不 log prompt 內容本身,避免侵犯員工 thinking process |
保留期限 | 90 天滾動 | 對應 GDPR / 個資法的最短保留期實務原則,事件追查通常 30 天內發生 |
可閱讀人員 | IT 主管 + 資安主管 + 必要時 HR,共三人 | 符合「目的限制 + 最小必要原則」 |
閱讀觸發條件 | 懷疑資料外洩 / 客戶申訴 / 主動稽核 | 不能「主管想看就看」,避免變監控 |
如果你公司想做更深的 prompt 內容 log(記下員工輸入的所有文字),這條要先過勞基法與個資法檢驗:勞動契約裡要寫清楚、員工要簽同意書、log 用途要限縮、可閱讀範圍要明列。我們陪客戶走過的版本都會建議搭配
如果你考慮的是把員工 AI 使用變成績效管理工具——這個方向我們有另一篇專文討論,請參考 AI 員工效能追蹤系統採購完整指南,那篇詳細拆了 5 條勞基法紅線跟 3 個報價區間,這條政策條款跟那篇是配套關係。
條款 ⑤:對外發布審查——AI 生成內容上線前要過誰,這條決定品牌風險上限
AI 寫的 LinkedIn 文、AI 改的客戶回信、AI 生成的產品描述——這些對外發布的內容如果出錯(事實錯誤、引用幻覺、語氣冒犯、抄襲),對外的承擔者是公司不是員工。所以這條的核心問題是「誰幫公司守最後一道閘」。
我們建議分三級審查路徑——按「外洩風險 × 品牌曝光」交叉判斷:
內容類型 | 風險等級 | 審查路徑 |
|---|---|---|
內部 email、會議紀要、SOP 草稿 | 低 | AI 直出可用,作者自核 |
客戶溝通信、提案書、報價單 | 中 | AI 生成 + 業務主管覆核 + 原內容比對 |
官網、新聞稿、社群貼文、廣告文案 | 高 | AI 生成 + 行銷主管覆核 + 法務/品牌一致性檢核 |
合約條款、法律意見、財報相關 | 極高 | AI 不得獨立生成,僅可輔助校對;必過法律顧問 |
這條手冊條款要搭配實作機制——光寫「要審查」沒用,員工趕時間就會跳過。實務上的做法是:高風險內容的對外發布工具(社群排程、email 寄送、官網 CMS)做「強制 reviewer」設定,AI 生成的內容必須帶上「reviewed by 人名」標記才能送出。沒有這個機制,條款條款只是紙。
條款 ⑥:違規處理流程——按等級套後果,避免主觀裁量爭議
這條是手冊的「執行末端」。很多中小企業的政策寫到第五條就停了——以為「禁止」兩個字寫了就有效。但勞基法與職場紀律的實務是,沒有預先講清楚違規分級與對應後果,事後解雇/扣薪要打勞資爭議官司勝率不到一半。
我們建議違規處理流程切三級,對應前面五條條款的不同違規程度:
違規等級 | 情境舉例 | 處理流程 | 後續觀察 |
|---|---|---|---|
輕微 | 用了不在白名單的工具但未上傳 L1/L2 資料、未經審查 AI 生成的內部 email | 口頭提醒 + 補做訓練 | 3 個月內無再犯結案 |
中等 | 用免費版處理 L2 資料、用個人帳號訂閱後報帳、跳過 reviewer 發布中風險內容 | 書面警告 + 部門主管面談 + 補簽承諾書 | 6 個月內無再犯結案;再犯升級 |
嚴重 | 把 L1 機密丟進 AI、用 AI 偽造客戶溝通記錄、離職前下載大量 AI 對話 | 立刻撤銷 AI 存取 + 啟動內部調查 + 視情節解雇 / 民事追償 | 依勞基法第十二條解雇程序執行 |
實務上,我們建議違規處理流程要走「事件管理單」制度——每一次違規開一張單,記載事件、處理流程、結案結果、可閱讀範圍限三人。這份紀錄之後在勞資爭議調解或訴訟時是關鍵證據,沒有紀錄等於沒有發生。
4 條絕對紅線:踩了就直接走嚴重違規流程的資料類別
除了 6 大條款的常態規範,手冊裡要單獨開一頁「紅線清單」——這 4 類資料即使用企業版、即使關了訓練授權、即使是「自己人看」,都不准輸入任何 AI 工具。
這 4 條紅線不是我們發明的,是回頭看過去兩年國內外公開的 AI 資安事件之後,歸納出最常踩雷的四類。
紅線 | 範圍定義 | 為什麼這條必須紅線 | 踩雷後典型損失 |
|---|---|---|---|
紅線一:客戶個資 | 姓名、電話、地址、email、身分證、信用卡、健保/醫療紀錄、未經授權的客戶照片 | 個資法第五條最小必要原則 + 個資外洩第二十九條罰則 + 民事求償 | 單一事件 5–500 萬罰鍰、客戶集體求償、品牌信任崩盤 |
紅線二:未公開財務 | 未發布財報、現金流、訂單金額、員工薪資、未公開的併購 / 募資資訊 | 證交法內線交易條款 + 商業機密法 + 合約保密義務 | 公司股價暴跌、被監管調查、員工面臨刑責 |
紅線三:程式碼倉庫敏感區 | 未上線商業邏輯、API key / 密碼 / 加密金鑰、客戶資料庫 schema、未修補的安全漏洞報告 | 智慧財產權外洩 + 客戶系統被滲透 + 商業競爭優勢喪失 | Samsung 2023 三起連環外洩就是這類;事後挽救成本遠高於事前規範 |
紅線四:法務與人事文件 | 未公開合約條款、員工申訴記錄、勞資糾紛內部紀錄、董事會決議文件 | 合約保密條款 + 員工隱私 + 公司治理機密 | 員工申訴可被翻案、合約對手反咬、董事會信任度受損 |
🚨紅線的「絕對」是真的絕對
這 4 條紅線跟前面 6 大條款的差別是——條款違規可以分級處理,紅線是「一次性嚴重違規」的同義詞。手冊要白紙黑字寫:「踩紅線即適用條款 ⑥ 嚴重等級處理流程」。為什麼要這麼硬?因為這 4 類資料一旦離開公司邊界,外洩成本完全不對稱:員工被罰最多解雇,公司被罰可能是六位數美金(IBM 數字)+ 客戶集體訴訟。
3 套 AI 使用情境分級:哪些情境完全禁、哪些受監控、哪些自由
有了條款、有了紅線,最後一步是把「員工日常會遇到的情境」分級,讓他開啟 ChatGPT 之前 3 秒就能判斷自己處在哪一級。情境分級越具體越好——抽象規則員工記不住,具體場景才記得住。
我們在客戶手冊裡用的是 3 級制——完全禁止、受監控允許、自由使用——對應前面條款 ① 的 L1/L2/L3 資料分級:
使用情境分級 | 對應資料層級 | 工具限定 | 可做的事情舉例 | 不可做的事情 |
|---|---|---|---|---|
Tier 1 完全禁止 | L1 機密 | 任何 AI 工具皆不可用 | (無) | 處理客戶個資、薪資表、未公開財務、原始碼倉庫敏感區 |
Tier 2 受監控允許 | L2 內部 | 僅企業版白名單工具,audit log 開啟 | 整理週會紀要、潤稿內部 SOP、翻譯內部文件 | 上傳完整客戶名單、未公開財務數字、原始碼 |
Tier 3 自由使用 | L3 公開 | 任意白名單 AI 工具 | 練習 prompt 技巧、研究公開資料、改寫已對外發布內容 | (無特別限制,但仍適用對外發布審查條款) |
實務上這 3 級制有個額外的好處——員工問「我這個情境算哪一級」的時候,主管可以一句話回答:「你在處理哪一層的資料?」資料層級確認了,AI 使用級數就確認了。這比一條一條去查條款快得多。
國外政策案例:Samsung 從禁到放、JPMorgan 強制使用、Apple 持續鎖死
把這三家拉出來對照,是因為它們代表了三條完全不同的路線——而中小企業老闆要選的路,通常落在這三條中間。
Samsung:禁 3 年、解禁時帶完整配套
Samsung 2023 年因半導體機密被員工貼進 ChatGPT 啟動禁令,2026 年 6 月正式解禁,全集團導入 ChatGPT Enterprise、Gemini Business、Claude Team 三家企業版並行。中小企業可以學的是「禁令 → 開放」這個轉折要怎麼設計:
- 禁令期間建立自家內部 LLM(Samsung Gauss),確保員工有替代品可用
- 解禁前先完成全員資安訓練,2026 年底前所有員工跑完課程
- 解禁後採「雙軌制」——敏感工作走內部模型、通用任務走外部工具
- 三家企業版並行而非獨家——避免單一廠商風險
對中小企業而言,「內部 LLM」這條學不來(建一套自家 LLM 動輒千萬以上),但「分軌制」可以學——把 L1 工作硬鎖在不用 AI 的流程、L2 走企業版、L3 隨意。這就是分軌制的縮小版。
JPMorgan:禁消費版、強制內部版、AI 使用率列績效
JPMorgan 從 2023 年的「禁 ChatGPT」走到 2026 年的「強制每天使用內部 LLM Suite」,6.5 萬名工程師被列入績效監測:用得太少會被主管約談、影響年度評等。這是「禁 → 開」走到極致的另一端。
中小企業學這條的點不是「強制使用」(規模不夠這樣壓員工會出問題),而是「公司自己選定一個工具、付費、訓練、然後員工就用這個」——把選擇成本從員工身上拿掉。員工不用煩惱「我該用哪個」,公司也不用煩惱「他用了哪個我管不到」。
Apple:消費版鎖死,內部走自家方案
Apple 從 2023 年至今一直維持「禁用 ChatGPT、Copilot 等消費版」的政策,內部跑自家 Apple Intelligence 與 ChatGPT 的特殊整合版(隱私模式)。這條路只有極度重視商業機密、且口袋夠深的公司能走——中小企業學不來,但可以學它「立場一致、規則明確」這個態度。Apple 從來不公告「員工可不可以用」的曖昧政策,永遠是黑白分明的禁與許。
我們公司自己怎麼跑這份手冊:恆遠的內部版本
這節是 dog-fooding。寫到這裡如果讀者還在想「這套東西到底實不實用」,就用我們自己的版本當答案。
恆遠數位行銷自家內部跑 20+ 個 AI 流程,從文案、客服分流、報價草稿、Code Review、會議紀要、合約初稿到行銷企劃都有 AI 參與。我們的政策手冊長這樣——不是完美版、是運作中的版本:
條款 | 我們的實作 | 踩過的坑 |
|---|---|---|
資料分級 | Notion 每個 page 加 L1/L2/L3 標籤;客戶 portfolio、財務報表、員工資料一律 L1 | 曾經把「客戶會議錄音逐字稿」分到 L2,後來改回 L1(裡面可能有客戶個資) |
工具白名單 | Claude Team / ChatGPT Team / Gemini Business / n8n / Cursor / Copilot;其他工具要申請 | 曾經員工用 Perplexity 個人版搜內部競品資料,後來統一改成 Perplexity Enterprise |
帳號計費 | 全部 SSO 走公司 Google Workspace,個人 email 不報帳 | 曾經有同事離職後個人 ChatGPT 仍存有 demo 帳號歷史;現在離職交接清單第一項就是 AI 帳號回收 |
Prompt log | 企業版 audit log 90 天、限 CTO + 資安顧問可閱 | 沒踩過坑(我們對這項刻意保守,沒做 prompt 內容 log) |
對外審查 | 客戶提案 AI 生成 + 業務 / PM 雙人覆核;官網 / 廣告 + 行銷主管覆核 | 曾經 AI 生成的客戶建議書直接送出,發現引用了不存在的競品數據,被客戶當場挑出來 |
違規流程 | 事件管理單制度,每事件留紀錄;目前 18 個月內 0 嚴重事件、3 件輕微 | 輕微事件多半是「用了不在白名單的新工具」,補申請通過後結案 |
最有感的不是「條款多嚴」,是「事件管理單制度」——每次有人踩到邊界,開一張單記下來、團隊月會回顧一次。半年下來,員工自己會說「這個我不敢用,怕又開單」。文化比規則重要,但文化要靠規則撐出來。
可下載的 AI 員工政策手冊範本(製作中)
我們正在整理一份可以直接拿去改的 AI 員工政策手冊範本(Word + PDF 雙版,含 6 大條款條文、4 條紅線清單、3 套使用情境分級對照表),預計 2026 年 7 月上線下載連結。如果想第一時間拿到,可以先到 AI 顧問服務頁 留下聯絡方式,或直接 email support@foreverwebs.com,我們上線後第一時間寄給你。
中小企業老闆現在能做的下一步:30 天落地行動
讀完上面這些,如果現在你公司還沒有任何 AI 員工政策,接下來 30 天可以拆成三段,分別給三個角色——老闆自己、IT / 資安、HR——讓這份手冊真的長出來。
時段 | 主導角色 | 完成項目 | 對應 KPI |
|---|---|---|---|
Day 1–7 | 中小企業老闆 | 盤點公司現有 AI 使用情況(員工問卷、IT log 抽查)+ 確認預算可分配多少 | 100% 員工填寫使用問卷 |
Day 8–14 | IT / 資安 | 確定工具白名單 + 訂閱企業版 + SSO 整合 + 建立 audit log 機制 | L1 資料完全與消費版 AI 工具隔離 |
Day 15–21 | HR + 法務 | 完成手冊條款撰寫 + 員工簽署同意書 + 訂入勞動契約附件 + 安排訓練場次 | 80% 員工完成訓練 + 簽署 |
Day 22–30 | 全公司 | 正式上線 + 違規事件管理單啟動 + 月會回顧機制建立 | 0 嚴重違規事件 / 月 |
如果你是中小企業老闆,這份 30 天表的閱讀方式是這樣——「我自己這週要不要請 IT 跑一次盤點?這週末要不要拉 HR 跟我聊一下手冊框架?下個月要不要排一場全員訓練?」——如果三個答案都是「是」,就照表動。如果其中一個卡住(最常見是「我們公司根本沒有專職 IT」),那需要先解這一塊。
一個經常被低估的後續變數是:手冊寫好之後,員工會不會真的照著走?這條我們在 員工拒用 AI 怎麼辦?5 種員工抗拒類型、破局劇本與 30 天落地行動 有完整討論,是這份手冊的配套讀物——手冊講「該做什麼」,那篇講「怎麼讓員工真的做」。
ℹ️把 AI 員工政策手冊放到你公司會長怎樣?聊聊看
我們很樂意聽你聊聊現在公司的 AI 使用實況——有沒有人在用、用什麼、處理哪些資料、有沒有發生過尷尬事件。一起看哪一塊該先動、6 大條款裡哪幾條對你這個產業最關鍵、3 套使用情境分級怎麼長到你的部門結構裡。先聊一下你的情況,這個值不值得做、怎麼做最划算,我們會直接告訴你。詳細服務內容看 AI 顧問服務。
我們怎麼看:3 年後 AI 員工政策手冊的位置
Samsung 從禁到放走了 3 年、JPMorgan 從禁到強制使用走了 3 年——這條時間軸給中小企業的訊號是:3 年後幾乎所有公司都會開放員工用 AI 工具,差別只在「有沒有提前 18 個月就把手冊簽好」。提前簽手冊的公司 3 年後拿著一份運作了 30 個月、迭代了 5 版的成熟政策;現在還沒簽的公司 3 年後才開始補課,補課期間會經歷外洩事件、勞資爭議、合約糾紛,把這 3 年的學費繳完才能站到同一條起跑線。
我們的取捨是把這份手冊當作 AI 顧問服務的標準交付物之一——不是 hard sell 給客戶的選配,是預設帶上去的基本盤。因為「站在 AI 巨人肩膀上」這個願景要長得久,不能讓客戶在還沒爬上肩膀之前就被 shadow AI 拉下來。對中小企業老闆而言,這份手冊的具體意義是——這是你開放員工用 ChatGPT 之前最後一道閘門,過了這道閘門,員工的生產力可以 X 倍,但你公司的法律風險與品牌風險也壓在 baseline。閘門先設好,再開門。
Q我公司只有 10 個員工,真的需要寫這麼正式的政策手冊嗎?
需要,但不需要寫成 50 頁。10 人公司可以把 6 大條款 + 4 條紅線 + 3 套使用情境分級壓縮成一份 A4 雙面就夠。重點是員工有簽、有受訓、知道哪些事不能做。最大的風險倒不是「規模小不被監管看」這件事,真正的風險是「規模小一次外洩就傷到核心客戶」。10 人公司丟一個 L1 客戶名單,可能整年營收就沒了。
Q免費版 ChatGPT / Claude / Gemini 真的不能用嗎?個人時間用個人帳號處理工作算違規嗎?
免費版的核心問題是「輸入會被拿去訓練」,這對 L3 公開資料沒差、對 L1/L2 是違規。我們的建議是手冊白紙黑字寫死:免費版禁用、企業版才開放。個人時間用個人帳號處理工作這條,要在手冊裡說明清楚——可以用、但仍適用資料分級規則(不上傳 L1/L2 資料),而且不可申請公司報銷。這條沒寫清楚員工會自行詮釋成「私時間做的就不算公司事」。
QPrompt 與輸出 log 會不會撞勞基法?員工是不是會抗議監控?
會。所以我們建議的 baseline 是只 log「使用元資料」(誰用、何時、用哪個模型、token 數),不 log prompt 內容本身。要做 prompt 內容 log,必須事前明確告知、員工同意書簽署、用途限縮、可閱讀範圍限三人。撞勞基法的風險在於「未事先告知 + 持續監控員工 thinking process」,事先告知 + 元資料 log 在實務上爭議較小。但這條建議搭配在地律師確認,不能光看本文。
Q我們公司沒有專職 IT 也沒有資安人員,6 大條款裡的工具白名單、audit log 怎麼跑?
這是中小企業最常見的卡點。我們的建議是「一次到位 + 外包」——直接買 Google Workspace + Gemini Business 或 Microsoft 365 + Copilot 這類含 SSO + audit log 的整合包,把 6 大條款裡的 ②③④ 條一次性解決(白名單就是這個套件、SSO 自動處理計費歸屬、audit log 內建)。剩下 ①⑤⑥ 條是流程問題,可以委外 AI 顧問或法務顧問幫忙寫初版。
Q已經發生員工把客戶資料丟進 ChatGPT 了,現在補手冊還來得及嗎?
來得及但要分兩段。第一段是補救——立刻評估外洩範圍(OpenAI 數據刪除政策、客戶通知義務、個資法 30 天內通報義務),這部分建議找法務專業;第二段是建制——手冊照本文 6 大條款骨架去寫,並把「過去事件處理紀錄」做成內部 case study 讓員工有具體例子。已經發生過事件的公司,員工對手冊的接受度反而更高,因為大家都看到了實際的後果。
QAI 員工政策手冊跟 AI 治理委員會有什麼差別?兩個都要嗎?
委員會是「誰來管」、手冊是「管什麼」。兩者是上下游關係——委員會的第一個產出就是手冊;手冊執行時的爭議、修訂、年度回顧也是回到委員會處理。10 人以下公司可以委員會精簡到「老闆 + IT + HR」三人,並且手冊與委員會章程合併成一份文件就夠。30 人以上建議拆開兩份文件、四人委員會。
ℹ️我們做過這件事
順帶說一下,這篇講的方法我們自家就在跑——目前內部 20+ 個 AI 流程都在這份手冊框架下運作,迭代過 5 版。這 6 大條款、4 條紅線、3 套使用情境分級的條文與分級表,是我們服務 AI 顧問客戶時的標準交付物之一,已陪客戶從零簽到第一版上線過好幾次。看到這裡,如果你也在想「這套放在我們公司會長怎樣」——我們很樂意 聽你聊聊現在的實際情況,一起看看 6 大條款裡哪幾條對你這個行業最關鍵、能從哪一塊先動。
AI 員工政策手冊不是把工具關起來,是讓員工用得更放心、公司睡得更安穩。把這 6 大條款、4 條紅線、3 套使用情境分級的骨架接到你公司現在的勞動契約、SOP、IT 採購流程裡,AI 才能變成生產力槓桿而不是定時炸彈。下一步是把這份手冊真的寫出來、簽下去、跑起來——你今天要做的第一步,就是把員工現在到底在用什麼工具盤點一遍。
AUTHOR
自由揚AntonyLin
想了解更多?看看我們的相關服務
相關文章
AI agent 部署 6 個月「成本飆 3 倍」真相:token、infra、人工監控 3 段隱形帳完整拆解 + 4 個降本訊號——中小企業老闆 60 天止血行動清單
等 AI 跌價的真實成本算給你看:中小企業老闆 6 個情境試算 + 4 個進場時機判斷 + 4 大隱形帳
老闆級 AI 用語對照表:12 個核心詞彙(RAG / MCP / Fine-tune / Embedding / Agent / Context Window)跟工程師對話前先搞懂
企業資料治理採購完整指南:MDM、資料目錄、權限治理——6 個關鍵決策、3 個報價區間、5 條合約紅線
AI Agent 評估方法論完整指南:中小企業老闆怎麼判斷 AI 是真的省到人——6 個 KPI、3 個量測陷阱、90 天驗收清單
留言(0)
尚無留言,成為第一個留言的人吧!