「員工已經在用 ChatGPT 改報告了,我們公司到底要不要管?要怎麼管?」這是某家 80 人製造業 CEO 在第一次顧問會議拋出的問題。三個月後,他成立了 AI 治理委員會,公布了一份四頁的 AI 使用政策。又三個月,他在董事會說:「我以為這是規矩問題,後來才知道這是競爭力問題。」
2026 年的中小企業老闆,已經沒有「要不要管」的選擇——員工會自己用、客戶會問你有沒有 AI 政策、銀行貸款盡職調查表新增了 AI 風險欄位。Gartner 2026 企業 AI 治理年度報告指出,2026 全球將有 73% 的中型企業正式設立 AI 治理機制,比 2024 年的 31% 翻了一倍多。落後的真正代價,在於出事時公司沒有任何 paper trail 可以自保,而不只是當下的單一事件。
這篇文章寫給「人力不到 200 人、想做但不知從哪做起」的中小企業老闆。不講大公司那套 30 人 AI 委員會、ISO 42001 認證、Responsible AI Officer 的版本——那不適合你。我們講的是 4 個人、3 個月、可以實際跑起來的最小可行治理。文末附一份你可以直接拿去改的 AI 政策範本。
為什麼 2026 必須做:三個你躲不掉的外部壓力
過去兩年「AI 治理」聽起來像大公司的合規開銷。2026 年變了,理由有三個。
壓力一:員工已經在用,而且你不知道用得對不對
延伸閱讀過 員工開始偷用 ChatGPT 了,老闆該怎麼辦 的人應該知道——根據 Microsoft Work Trend Index 2026,台灣職場 AI 使用率達 84%,但有公司政策的不到 30%。中間這 54% 的差距是員工自發行為——好的時候是創新,壞的時候是商業機密外洩。
壓力二:客戶與供應鏈開始要求 AI 政策
2026 年第一季開始,B2B 採購流程的 due diligence 表單普遍新增「貴公司是否有書面 AI 使用政策」「處理客戶資料時是否使用第三方 AI」這兩題。沒有政策的後果是直接被排除候選名單,並不只是扣分這麼簡單。台灣已有多家上市公司供應鏈廠商收到要求補件通知,沒交的合作關係延遲半年甚至中止。
壓力三:法規開始長牙齒
台灣 人工智慧基本法 雖未正式罰則上路,但已建立行政指導機制。歐盟 AI Act 2026/8 月開始對高風險應用實施罰款,最高為全球營收 7%——出口到歐盟或服務歐洲客戶的台灣中小企業也在範圍內。再不動,就是賭立法速度。
最小可行 AI 治理委員會:4 個人、4 個角色、每月 1 小時
大公司的 AI 治理委員會動輒 20 人、每週開會、出 60 頁政策。中小企業學那個會直接做不下去。實務上 80 人以下公司,4 個人開始就夠。
角色 | 由誰擔任 | 主要責任 | 投入時間 |
|---|---|---|---|
主席 | CEO 或營運長 | 對外背書、最終決策 | 每月 2-3 小時 |
技術 | IT 主管或外部顧問 | 工具選型、資安評估、AI 廠商盡職調查 | 每月 4-6 小時 |
法務 / HR | 法務顧問 + HR 主管 | 政策起草、員工培訓、爭議處理 | 每月 3-5 小時 |
業務代表 | 業績單位主管輪值 | 從第一線回報員工實際用法、痛點 | 每月 2 小時 |
請外部顧問參與,但別把治理外包
中小企業常見的誤區是把 AI 治理整個外包給顧問公司。顧問可以協助起草、訓練、年度體檢,但治理本身必須留在公司內部——因為治理需要根據業務變化每季調整,外包會讓你失去那個學習迴圈。
4 步驟啟動指南:90 天從零到第一版政策上路
Step 1(Week 1-2):盤點員工現在到底在用什麼
不要先寫政策,先做匿名調查。三題問卷:你最近 30 天用過哪些 AI 工具?最常用來做什麼?有沒有把客戶資料、營收數字貼進去過?
這份調查的目的是建立基準線,並不是要抓人。實務上盤點完你會發現:員工用的 AI 工具種類比你想像多 3 倍,最敏感的資料外流場景往往來自最意想不到的部門(例如 HR 用 ChatGPT 改面試評估、財務貼整張 Excel 問問題)。
Step 2(Week 3-5):起草政策草案,五大區塊缺一不可
一份合用的中小企業 AI 政策不需要 30 頁。4-6 頁,包含這五個區塊:
區塊 | 重點內容 | 中小企業常見坑 |
|---|---|---|
1. 適用範圍 | 哪些員工 / 哪些工作場景適用 | 寫太籠統,員工不知道自己在不在範圍內 |
2. 允許的工具 | 白名單 + 灰名單(需申請)+ 黑名單 | 只列白名單,新工具進不來 |
3. 資料分級 | 哪些資料絕對禁止貼 AI(PII、財報、客戶清單) | 沒分級就是「都不能貼」,員工繞道 |
4. 申請與審核 | 想用名單外工具的申請流程(48hr 內回覆) | 審核太慢,等於不准用 |
5. 違規與爭議處理 | 三級處理(提醒 / 警告 / 處分) | 直接寫處分,違反勞動契約 |
⚠️資料分級這一塊不要學歐美範本
歐美企業政策範本常用「Public / Internal / Confidential / Restricted」四級分類,台灣中小企業套用會卡死——員工分不清什麼算 Internal、什麼算 Confidential。實務做法:用「具體資料類型清單」取代抽象分級,例如「以下資料禁止貼入公網 AI:身分證號、客戶手機、未公開財報、合約全文、員工薪資」。具體比抽象好用 10 倍。
Step 3(Week 6-8):培訓 + 員工簽署
政策寫好不等於落地。最關鍵的一步是「全員 1 小時培訓 + 簽署 acknowledgement」。培訓內容三段:
一、為什麼公司要做這件事(5 分鐘):用一兩個真實案例(例如 2024 年三星工程師把 source code 貼 ChatGPT 事件)讓員工理解這不是找麻煩。
二、政策五大區塊解說 + 三個情境演練(40 分鐘):演練比朗讀政策有效 10 倍。情境例如「你想用 AI 改一份客戶提案,提案裡有客戶手機,怎麼辦?」答案是「先用 user_001 之類替代再貼」。
三、Q&A + 簽署(15 分鐘):讓每位員工簽一份 acknowledgement,內容是「我已閱讀並同意遵守 AI 使用政策 v1.0」。這份簽署文件未來出事時是公司舉證、員工免責的雙向保護。
Step 4(Month 3+):每月委員會 + 季度檢視
政策上線後最大的失敗模式是「政策變成壁上文」。預防做法:每月第一週委員會 1 小時例會,固定議程三題:本月有沒有新 AI 工具進入名單?有沒有任何違規或爭議?業務代表回報員工新發現的痛點是什麼?季度檢視則把政策版本號往前推(v1.0 → v1.1),公布更新點與生效日。
可直接拿去改的中小企業 AI 政策範本(4 頁版)
以下是恆遠協助多家中小企業落地後沈澱出來的政策骨架,4 頁就把五大區塊講完。你可以複製貼上 Google Docs 改成貴公司版本,主要替換掉中括號內的描述。
ℹ️政策範本 v1.0(複製去 Google Docs 改)
**第一條 目的與適用範圍**:本政策適用於 [公司全名] 全體員工、約聘、實習生與承攬廠商。目的為規範 AI 工具使用、保障公司與客戶資料安全。
**第二條 允許的 AI 工具**:白名單(可直接使用):[列 3-5 個]。灰名單(需 IT 申請):所有未列入白名單的工具。黑名單(禁止):[列 1-2 個有疑慮的]。
**第三條 資料使用限制**:以下資料禁止貼入任何公網 AI 工具:客戶 PII(姓名、電話、Email、身分證、地址)、未公開財務資料、員工薪資、未公開合約、原始程式碼與內部系統認證資訊。
**第四條 工具申請流程**:員工可向 IT 部門提出新工具申請,48 小時內回覆。申請需說明:用途、處理資料類型、預期效益。
**第五條 違規處理**:三級制——口頭提醒、書面警告、依勞動契約處分。爭議由 AI 治理委員會討論決議。
90% 中小企業 AI 治理會踩的 5 個坑
失敗模式 | 為什麼會發生 | 預防做法 |
|---|---|---|
政策寫得太理想化 | 抄歐美大公司範本,員工看不懂 | 用「具體資料清單」取代抽象分級 |
全面禁止用 AI | 怕出事索性都禁,員工偷用 | 白名單 + 申請制,比禁止更安全 |
只有政策沒有培訓 | 簽完就放著,員工照舊 | 每季 30 分鐘短訓 + 情境演練 |
治理委員會走形式 | 每月例會變閒聊 | 固定三題議程 + 季度政策版本更新 |
沒準備事故應變 SOP | 資料外流時手足無措 | 預先寫好 3 種事故的 24hr 處理流程 |
🚨事故應變 24 小時黃金時間
如果發生「員工誤貼客戶資料進 AI」事件,前 24 小時的處理決定了損害規模。標準 SOP:1) 立即聯繫該 AI 廠商請求刪除對話紀錄(多數有應變窗口)2) 評估外洩範圍與客戶名單 3) 24 小時內向治理委員會回報 4) 視情況依個資法第 12 條向當事人通知。沒有 SOP 的公司平均要花 5-7 天才完成這套,期間風險持續擴大。
中小企業 AI 治理常用工具與資源清單
不需要買 GRC 平台,2-3 個免費或低成本工具就能跑:
用途 | 工具推薦 | 成本 | 備註 |
|---|---|---|---|
政策文件協作 | Google Docs / Notion | 已有 | 版本管理用 Notion 較好 |
員工 acknowledgement | Google Forms | 免費 | 簽署紀錄自動存 Sheet |
AI 工具白名單管理 | Notion 資料庫 / Airtable | 免費起 | 可加申請表單 |
風險評估 | 簡單 Excel 矩陣 | 免費 | 可能性 × 影響度 |
培訓教材 | 公司內部 LMS / Google Classroom | 免費起 | 短影片 + 測驗 |
延伸閱讀:企業 AI 廠商資安紅線指南 與 選 AI 工具不能只比價格:廠商紅線與國別風險評估,這兩篇可以幫委員會建立 AI 廠商盡職調查問卷。
中小企業老闆最常問的 6 個 AI 治理問題
Q公司不到 30 人需要設 AI 治理委員會嗎?
需要,但可以更精簡。30 人以下的公司可以由 CEO + IT 負責人 + HR 主管 3 人組成「小型治理小組」,每月開會 30 分鐘,每季更新政策。真正的重點是有沒有正式的決策窗口,規模本身反而是其次。
Q我們已經買了 ChatGPT Enterprise,還需要政策嗎?
需要。Enterprise 版本解決了「資料不會被拿去訓練」的疑慮,但沒解決「員工自己貼客戶資料是否合法」「跨部門使用是否一致」「離職員工的權限怎麼處理」這些問題。買 Enterprise 是好開始,不是終點。
Q政策上線後員工抱怨綁手綁腳怎麼辦?
九成抱怨來自「白名單太短」+「申請太慢」。對策:保持白名單可以每月更新、申請流程 48 小時 SLA、每季蒐集員工痛點調整政策。讓員工感受到政策會進化而不是石頭一塊,抗拒會降低 70%。
Q如果發生資料外流要不要主動通報?
看資料類型與規模。客戶 PII 外流且超過一定規模,台灣個資法第 12 條要求向當事人通知。建議的決策框架:影響 < 50 人 → 內部記錄;50-500 人 → 通知當事人;> 500 人 → 通知主管機關。具體判斷請諮詢法務。
QAI 政策要怎麼跟 ISO 27001 / 27701 對接?
AI 政策可以視為 ISO 27001 控制項的補充,特別是 A.5(資訊安全政策)、A.8(資產管理)、A.18(合規)。如果公司已有 ISMS,AI 政策直接放在資訊安全政策框架下做為子文件即可,不用另外重建治理結構。
Q外包廠商或承攬人員適用嗎?
適用。實務做法是合約附件加上「AI 使用同意書」,內容與正職員工的 acknowledgement 一致。特別是接觸客戶資料的外包(行銷代理、客服外包、開發外包)必須簽。
把 AI 治理變成競爭力,不只是合規
ℹ️治理委員會成立後,第一個該演練的情境
這篇講的是中小企業如何啟動 AI 治理委員會。委員會成立後第一個該演練的情境就是「員工真的把機密貼進 ChatGPT 怎麼辦」——三星花了一個月從事件爆出走到全面禁用,中小企業需要更快。建議搭配 Samsung 三起 ChatGPT 洩密事件完整復盤 一起讀,裡面有可以直接抄的 30 分鐘應急 SOP 與 5 條防呆規則。
「合規」這個詞聽起來很無聊,但治理做對的公司會發現一件事:員工反而敢更大膽用 AI——因為他們知道紅線在哪裡,知道用對了不會被追究。這就是治理的真正價值——給員工一張可以放心向前跑的地圖,從來不是要綁手綁腳。
如果你想啟動 AI 治理但需要外部協助,恆遠的 AI 顧問服務 提供從現況盤點、政策草擬、培訓教材到第一年治理輔導的完整方案。同主題延伸閱讀:中小企業導入 AI 系統的 5 個高 ROI 場景、企業 AI 工具整合策略:少即是多、AI 駭客時代的中小企業資安行動清單,組成一條從技術到治理的完整 Topic Cluster。
AUTHOR
自由揚John
想了解更多?看看我們的相關服務
相關文章
連很多 MCP 會不會很燒 token?AI 助理工具吃掉 context 的真相,與「有需要才載入」的 Tool Search 機制
我們公司怎麼跑出 20+ AI 流程?系列第 4 篇:客戶意向回收與 CRM 同步 SOP , 4 個 trigger 點、3 條去重規則、2 條漏接補救機制
我們公司怎麼跑出 20+ AI 流程?系列第 2 篇:排程治理 SOP,時間表、重試、報警、版本管控 4 維度 + 5 條紅線
中小企業 IT 採購委員會(Steering Committee)完整 SOP:3 個固定角色、5 條議事規則、6 個常見死結、4 種升級時機——把 SaaS / 系統採購從『老闆一人扛』拆成可運作的小組決策
中小企業 SaaS 續約議價完整 SOP:renewal 前 90 天節奏、6 個議價槓桿、5 個替代廠商評估、4 條換廠紅線——把每年那張續約單從『被動續費』變『主動採購』
留言(0)
尚無留言,成為第一個留言的人吧!