生成式 AI 正快速進入企業,但卻沒有一套合理的治理框架,這將引爆前所未有的營運風險,也是企業必須面對的挑戰。參考據 OECD、NIST、EU AI Act 等建議,企業可從四大面向建立治理制度,而 CIO 可從三大面向落實。
編譯/林裕洋
在 AI 力等於競爭力的趨勢下,企業正加快將生成式 AI 技術應用於多項領域之中,如客服自動回覆、行銷文案生成、財務報告分析,期盼藉此提升員工的工作效率,進而在產業中取得領先優勢。然生成式 AI 如兩面刃,除是企業提升整體營運效率的數位助理之外,也因存在先天上的設計缺陷,存在幻想、偏誤、洩密等風險,除重所皆知的資安風險之外,也有多數企業忽略的治理機制風險。
目前最知名案例,除 2023 年三星電子將敏感的公司機密資料,如半導體測量數據、設備故障代碼、會議紀錄等輸入 ChatGPT 之中,導致機密資料被用於訓練 OpenAI 模型,最終成為被其他用戶搜尋到的資料。而 2025 年 DeepSeek AI 資料外洩事件,則有超過百萬用戶的聊天記錄、API 金鑰等免感被洩漏。而2025 年 K&L Gates 和 Ellis George 等律師因運用生成式 AI 提交含有虛假引證的文件,被判罰款 31,100 美元。
正因如此,建立建立一套穩健的 AI 應用治理機制,已成為企業必須要落實的工作。根據 Gartner 研究報告指出,儘管目前只有 19% 受訪組織已針對運用生成式 AI 工具的制定政策,不過已有 73% 受訪組織正著手製定或計劃制定生成式 AI 工具政策。
制定四大治理機制 克服生成式 AI 缺點
從 2022 年底生成式 AI 被廣泛運用至今,大致上被發現有下列特性,首先是「非確定性」,即每次輸入可能產出不同結果,無法保證一致性。其次是「不可解釋性」,即模型決策過程難以追蹤與說明。第三點是「輸出無保證」,生成的內容可能侵犯版權、帶有偏見,甚至含有錯誤資訊。第四點是」「難以監控」,模型輸出往往是自然語言,不像傳統程式有固定邏輯可測試。
儘管生成式 AI 模型開發公司均已在開發過程中加入 AI 倫理機制,結合 RAG 技術也有助於降低變異性。只是最終仍然無法克服前述四大問題,若企業不加以管理前述風險,當後續運用範圍越大與廣泛時,將面臨出錯機率愈高、付出代價也就越高。
根據 OECD、NIST、EU AI Act 等政府法規、研究機構的白皮建議,生成式 AI 治理應該從「應用盤點與風險分級」、「prompt 可追溯與審查制度」、「輸出內容責任與產權管理」、「模型與資料來源治理」等四大面向著手。
在「應用盤點與風險分級」部分,考量到每個AI 應用之間的風險差距極大,對安全性要求自然也不同,因此企業應建立低、中、高風險分級架構。在「低風險」部分,大致上有行銷文案草稿、內部會議記錄整理等類型,主要供內部員工參考。在「中風險」部分,則有對外信件初稿、報表初步分析,若未經人工審核可能容易被誤導。最後「高風險」部分,如法律合約草擬、財務預測或公告,若直接採用能能會造成法律或財報風險。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 IG,與全球CIO同步獲取精華見解 ]
在「Prompt 可追溯與審查制度」部分,由於 AI 模型回應品質與輸入提示密切相關,若企業未建立輸入紀錄與稽核機制,最終將無法還原生成過程,也難以追溯責任。因此企業可從「建立自動紀錄系統,保存每次 Prompt 與輸出」、「為不同部門提供經審核的 Prompt 範本」、「對高風險輸出內容設置複審流程,結合人力與自動化工具」等三方面著手,有助於降低降低 AI 誤用風險,避免因一時疏忽發布錯誤訊息。
儘管依照各國的著作權法規,由於 AI 模型並非自然人,其創作完成成果自然不屬於著作權法保護的著作,原則上無法享有著作權,不過日後是否會改變仍然是未定之數。所以在「輸出內容責任與產權管理」部分,建議企業從「審查生成內容是否引用受保護素材,避免侵權」、「明訂 AI 內容審核流程,確保人類決策主導」、「在外部溝通或出版時,標註 AI 參與內容比例或來源,以提高透明度」等著手。在現今在法律模糊空窗期,企業需自我要求更高的合規標準,才能因應未來市場的挑戰。
在開源 AI 模型隨手可得下,帶動企業開始將內部資料用於微調(fine-tuning),進而在公司內部署,只是若資料來源不清或缺乏紀錄,將可能造成資安與合規風險。所以在「模型與資料來源治理」部分,也可從「模型是否由可信供應商提供,以及是否持續更新與監控?」、「微調資料是否完成匿名化與合法授權?」、「訓練與應用過程是否完整記錄,以便未來查核與問責?」
CIO 三大策略進行 落實治理制度
生成式 AI 已是不可逆的趨勢, 企業能否取得領先優勢關鍵在加速導入 AI 專案,且能妥善運用與管理。相反,在追求效率與創新的同時,企業若忽略治理機制,反而能引爆前所未有的信任與合規危機。特別在 2024 年 8 月生效 EU AI Act 中,直接禁止企業使用包括社會評分、員工情緒監控、AI 深度偽造等高誤用風險系統之外,也強制透明與可解釋性要求,包括提供模型輸入來源摘要、生成內容標示,對於違反法規的重大違規事件,最高可達全球營收 7% 或 3,000 萬歐元。
在推動生成式 AI 治理工作時,CIO 可從三大面向進行推動:
- 首先是「成立跨部門治理小組」,負責整合 IT、資安、法務、品牌與業務等工作,以及制定 AI 使用準則。
- 其次「推動內部 AI 使用政策」,明訂哪些工具可用、哪些場景禁用,以及必須審核的流程。
- 最後則是導入具有審計能力的 AI 平台,選用支援 Prompt 記錄、權限管理與內容審查的工具,如 Azure OpenAI、Anthropic Console、Notion AI Enterprise 等。
生成式 AI 正在改變全球商業模式與組織運作機制, 生成式 AI 治理的目標是在鼓勵技術創新的同時,有效控制其潛在風險,確保 AI 的發展始終符合人類的價值觀和長遠利益。生成式 AI 治理將是持續演進的動態過程,企業隨著技術的發展、社會的變遷和新的挑戰的出現,不斷調整和完善治理框架,才能在享受生成式 AI 帶來優勢時,同時將背後風險降到最低。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
