去年十一月,彰化一家做食品配送的老闆打電話給我,語氣有點遲疑。說有一件事想跟我確認一下。
他的財務主管在公司做了十二年,工作認真,從來不出事。幾個月前開始用 ChatGPT 幫客戶算報價,老闆知道這件事,覺得好,說省時間、算得比以前還準。
結果上週,供應商突然打電話來,說他們的進貨單價好像在外面流傳。原因查出來了:財務主管用的帳號,預設沒有關掉 OpenAI 的資料訓練設定。
她不是故意的。她完全不知道這個風險。公司也從來沒有人跟她說過,ChatGPT 在某些設定下會把你輸入的資料拿來訓練模型。
我承認,我那當下第一個反應不是「公司需要規範」,而是:這家公司連 AI 有沒有資料外洩風險這件事都沒有討論過,員工就已經在日常作業裡用了三個月。
類似的狀況,我後來在別的客戶那裡也看過幾次。
台南一家會計師事務所,助理用 Copilot 草擬客戶的稅務說明函,不小心把另一家客戶的公司名稱帶進去了——因為她是複製上一份直接改的,Copilot 沒有提醒她。
新北一家做五金代理的公司,業務用 Claude 幫他寫開發信,老闆後來看到那批信件,問「這是誰寫的」。語氣在那裡,事情就這麼尷尬地浮出來了。
沒有一家公司是刻意讓員工亂用。但「沒有規範」本身就是一種決策——只是你沒有意識到你正在做這個決策。
規範在管什麼?不是「能不能用」,是「知不知道風險在哪裡」
很多老闆聽到「制定 AI 規範」,第一個反應是:會不會讓員工不敢用?
這是對的擔憂,但方向搞反了。
制定規範不是要限制員工用不用 AI,是要讓他們知道:哪些情境用 AI 是安全的、哪些要小心、哪些現在先不要碰。這三類情境,很多公司從來沒有真的列出來過。
易經裡有個前提,問卦之前要先靜心,搞清楚自己到底在問什麼問題。問得模糊,卦象出來了你也解不了,還是不知道下一步往哪走。
AI 使用規範做的事情本質上一樣:它不是在阻止員工問問題,是幫員工在按下送出之前,知道這個問題能不能問、適不適合問。搞清楚這個,再問才有意義。
規範要先回答兩件事。
第一,你公司有哪些資料不能傳給外部雲端 AI?客戶名單、報價結構、進貨成本、員工薪資、合約條款——這些進入 ChatGPT、Claude、Copilot 的消費版服務,都有一定程度的資料外流風險。不是說絕對不能用,但員工得知道這個風險的存在。
第二,AI 的輸出結果,誰來確認準確性?合約草稿、財務試算、客戶開發信——這些東西不能「AI 輸出了就直接用」,要有人過目,要有人負責。
這兩件事如果從來沒有討論過,規範寫了也是空的。
三條規範,半頁 A4
我不建議老闆去找律師寫一份十幾頁的 AI 使用政策,印出來讓員工簽名。
效果最好的規範,是一張 A4 紙,或者一則釘在群組的置頂訊息,寫三件事:
一、哪些工作可以用 AI 輔助(例:整理會議記錄、翻譯英文來件、草擬內部報告)
二、哪些情況先暫停,先問過主管(例:涉及客戶個資、財務數字、對外合約)
三、AI 輸出送出前,誰要確認
就這三條。其他的之後遇到新情境再補。
我見過有公司把規範護貝貼在印表機旁邊,有公司用 LINE 群組置頂,有公司做成一頁 Notion。形式都行——只要員工遇到不確定的時候,能在三十秒內找到答案,就夠了。
很多老闆覺得這樣太簡單。但我說,簡單才有機會被遵守。複雜的政策文件放在那,員工看過一次就忘了,剩下的就是擺著好看。
彰化那位老闆後來怎麼做?在公司群組發了一則訊息:「進貨成本、客戶資料這類的東西先別輸入外部 AI 工具。」財務主管第一個回說「原來這樣,我不知道。」
沒有罰則,沒有文件,沒有開會。就這樣。
他後來說,後悔的不是員工用了 AI,而是自己沒有早點讓大家知道「這個工具用在哪裡要小心」。那個「早點」,大概只需要花十五分鐘想清楚,然後傳一則訊息。
企業 AI 導入走到現在這個階段,工具擺在那,員工自己就會去找來用。問題是,誰告訴他們怎麼用才不會踩雷。
這個人,是老闆你自己。