再過不到七天,就要踏入2026年,今日人工智慧已經從小時候的卡通漫畫,跳出來可以幫我畫這個文章的封面、幫我修正錯誤。生成式AI已經不是什麼新鮮事了。打開新聞到處都在講AI,社群上大家都在討論AI,廣告更不用說了,全是AI。ChatGPT、Claude、Gemini這些名字每天出現在你眼前。國外的企業早就把AI當成基本工具在用,麥肯錫說用AI的公司生產力提升了40%,Google的員工平均每天節省2小時工作時間,微軟報告顯示75%的知識工作者已經在用生成式AI。
台灣呢?我們大多數的企業還在討論要不要用。很多員工其實已經不知不覺在用了。從基層員工到主管,大家私底下都在用ChatGPT,可能大多是免費仔,一部份則是付費使用。寫信用AI潤稿、做簡報用AI生成大綱、整理資料用AI摘要、寫程式碼用GitHub Copilot、做設計用Canva的AI功能。每個人都知道這些工具能提升效率,能省時間,能做出更好的成果。
很多員工是自己花錢,因為台灣市場中,越大的公司,流程越多,反而小型的電商因為人力短缺,引入AI越快(因為老闆就是員工啊!)
人家都已經上太空了,我們不能連殺豬公的刀都沒有吧。
但就在這個時候,部分企業內部的阻力出現了。例如有的公司資安部門開出了一連串要求:要符合行政院及所屬機關使用生成式AI參考指引、要比照機密等級管制、要封閉式地端部署。問題是這些要求根本做不到。市面上多數垂手可得的AI服務都是雲端SaaS模式,沒有封閉式地端部署這種選項。那些國際大廠像OpenAI、Anthropic、Google,人家有全球標準的資安認證流程,不會為了你一家台灣企業...這就是事實。
更重要的是,競爭對手早就在用這些工具了。還在內部審查,市場已經不等人了。
法規錯用與概念混淆
當資安部門很認真地把那份指引印出來,上面寫著機密要怎麼處理、封閉式環境要怎麼樣。看起來很專業,很嚴謹。但你仔細看那份指引的第9點、第10點就會發現,它根本不是給私人企業用的。適用對象寫得很清楚:公營事業、公立學校、行政法人、政府捐助的財團法人。它用的詞是「機關」,不是「企業」。那份指引的官方Q&A第一項還寫了:「本指引非屬法律,不具強制性。」連政府機關用都只是參考,現在卻被拿來當企業的強制標準。
這違反了行政法的基本原則,政府不能隨便拿一份參考文件來要求人民或企業做什麼,這叫「法律保留原則」
更大的問題是概念混淆。那份指引講的機密,指的是國家機密文書及一般公務機密文書。這是依據國家機密保護法及其施行細則來的,這是涉及國家安全、國防、外交的事項。這是國家層級的東西,洩漏出去可能危害國家安全。但私人企業哪來的國家機密?除非你是台積電那種每個國家都想要他的秘密的、員工離職帶走東西還被用國安法辦,不然一般企業有的是營業秘密,受營業秘密法保護。這是兩回事,完全不同的法律體系。資安部門把這兩個搞混了。他們看到「機密」兩個字,就把企業的商業文件當成國家機密在管。
那封閉式地端部署是什麼等級的要求?
這是政府機關處理機密文書的標準。更極端的例子是氣隙隔離(Air Gap),像核電廠控制系統、軍事指揮網路、情報機構的機密系統,電腦跟外部網路完全沒有任何物理連接,連Wi-Fi、藍牙都沒有。為什麼要這樣?因為處理的是國家安全、軍事機密、核能安全這種等級的資料。
封閉式地端部署雖然沒那麼極端,但也要求AI模型必須在公司內部伺服器運作,或者用專屬VPN、專線連到台灣的伺服器。這同樣是針對國家機密設計的管制措施。
但企業的內部文件、客戶資料、會議記錄,需要用這種標準嗎?
如果真的要這樣搞,那所有SaaS服務都不能用了(或者是半殘)。ChatGPT、Claude、Slack、Zoom通通不能用,白蘭氏雞精那個堅持要通通去做雞精的阿北就出現了。
因為這些服務的資料都要傳到雲端去處理,沒辦法封閉式地端部署。(GPT可以啦、其他的也有辦法勉強做到,但那個維運成本就...)
那企業到底該用什麼法規?
如果你是數位發展部管的數位經濟產業,該適用的是數位經濟相關產業個人資料檔案安全維護管理辦法。這個辦法的重點是「個人資料保護」,不是「國家機密」。企業資安部門該關心的是:個資有沒有被好好保護?有沒有符合個資法的要求?供應商有沒有通過SOC 2、ISO 27001這些國際認證?資料傳輸有沒有加密?存取權限怎麼控管?
不是把自己當成國安局,用處理國家機密的標準來管商業文件。
沒有留言:
張貼留言