三個月前,桃園一家做電子代工的公司,人資主管傳了一份 8 頁的 Word 文件給我。她說是從網路上找到的 AI 使用政策範本,問我可不可以直接套用。

我大概看了三分鐘。

格式很工整,從定義條款到違規罰則全都有。每個章節都有小標,開頭是「本公司為規範人工智慧工具之使用⋯⋯」。

問題是,它沒辦法告訴員工一件最基本的事:我今天用 Claude 幫忙整理客戶報價單,資料可以貼進去嗎?

這一條,整份文件裡找不到答案。

很多公司的 AI 規範都有這個問題。它是為了「合規存在」,不是為了「讓員工知道怎麼做」。

邊界不說清楚,員工就靠感覺

企業 AI 導入走到一定深度,規範不夠清楚是會出問題的。不是法規上的麻煩,是日常操作上的混亂——員工憑感覺決定能做什麼不能做什麼,老闆不知道公司的資料有沒有在流動,出了事才發現大家對「可以」這兩個字的理解完全不同。

我陪那位人資主管從頭想這件事。一份有用的 AI 使用規範,至少要說清楚這幾塊:

第一,哪些資料不能進 AI。

「機密資料不得輸入 AI」這句話沒用,因為員工不知道客戶電話算不算、報價單算不算、下季銷售目標算不算。你要列清楚具體種類:客戶個資(姓名、聯絡方式)、合約條款與金額、未公開的財務數字、供應商報價——這些不能進雲端 AI 工具的對話框,除非你用的是有保密協議的企業版。

一張具體清單比五條抽象條文更有用。

第二,AI 產出的責任歸誰。

員工用 AI 寫了一份客戶提案,裡面有一個數字是錯的,送出去了。這是誰的問題?如果規範裡沒定,事後一定有爭議。我建議寫得很簡單:「AI 工具產出的任何對外文件,送出前必須由負責人員逐項確認。」就這樣,不用更複雜。

第三,公司認可哪些工具。

這條很多公司忘記訂。結果是每個部門用不同的 AI,有人用 ChatGPT 免費版、有人用公司訂的 Claude、有人在手機上問了一堆問題然後截圖傳給同事。資料散在哪裡,你自己也不清楚。要有一份「可以用」的清單,正面列舉比禁止名單更清楚。

第四,對外揭露的原則。

用 AI 幫忙生成的報告或提案,要不要告訴客戶,由誰決定?這在某些產業已經開始出現爭議。規範裡要定清楚,不能讓員工自己判斷——有的員工覺得理所當然要說,有的覺得說了反而讓客戶不放心。你要定一個統一原則,讓所有人照著走。

太嚴的規範也走不長

我在跟那位人資主管討論的時候,她問了一個問題讓我想了一下。

她說:「老師,你覺得規範要寫多嚴才算夠?」

我說我想到易經的節卦。節卦是第六十卦,講的是節制與限制。但這個卦的卦辭有一句值得記住:「苦節,不可貞。」意思是,過度嚴苛的節制,反而走不長。

訂 AI 規範也是這個道理。你把每一條都鎖死,員工遇到不確定的情況就不敢動,或者動了不告訴你——後者比前者更危險。好的規範是讓人知道邊界在哪,然後在邊界內有足夠的空間去判斷,不是把人綁住。

那位人資主管最後把那份 8 頁的範本縮成了 2 頁。清單式,每一條配一個「例如:⋯⋯」。

發出去之後,有員工傳訊息問她:「這樣算是規定了嗎?感覺很清楚。」

她說這句話讓她當天鬆了口氣。

那個「感覺很清楚」,才是規範應該發揮的作用。