本文核心結論: 企業導入 AI 時需兼顧隱私與資安合規。本文提供 20 項檢查表,涵蓋個資法、資料最小化、同意取得、跨境傳輸、存取控制、合約條款等面向,協助企業在導入前自評風險。資料來源參考個人資料保護法、經濟部與資安相關指引,適用台灣企業。
作者:FlyPig AI 團隊 | 發布日期:2026-02-06 | 閱讀時間:11 分鐘
摘要
AI 常需處理個人資料,企業若未做好隱私與資安規劃,可能違反個資法、影響信譽。本文提供可勾選的 20 項檢查表,分為「蒐集與目的」「儲存與傳輸」「存取與控管」「合約與治理」四大類,便於導入前檢視。
目錄
檢查表使用說明
評分方式
- ✅ 已達成
- ⚠️ 部分達成,需改善
- ❌ 未達成,優先處理
使用時機
- 導入 AI 前:規劃階段
- 導入後:定期(如每季)覆核
類別一:蒐集與目的
| # | 檢查項目 | 狀態 |
|---|---|---|
| 1 | 已明確定義 AI 處理的個資範圍與目的 | |
| 2 | 僅蒐集達成目的所需之最小必要資料 | |
| 3 | 已取得當事人同意或符合法定事由(契約、合法利益等) | |
| 4 | 隱私政策/告知事項已更新,涵蓋 AI 使用說明 | |
| 5 | 敏感個資(如健康、身分)有額外保護措施或避免蒐集 |
類別二:儲存與傳輸
| # | 檢查項目 | 狀態 |
|---|---|---|
| 6 | 資料儲存位置已確認(本地/雲端/區域) | |
| 7 | 跨境傳輸(如至美國、中國)已評估並取得同意或法定依據 | |
| 8 | 傳輸過程有加密(如 TLS) | |
| 9 | 與 AI 供應商有簽署 DPA(資料處理協議) | |
| 10 | 資料留存期限已訂定,到期可刪除或匿名化 |
類別三:存取與控管
| # | 檢查項目 | 狀態 |
|---|---|---|
| 11 | 僅授權人員可存取 AI 系統與資料 | |
| 12 | 有存取日誌可追蹤誰、何時、存取什麼 | |
| 13 | AI 產出若含個資,有管控再分享範圍 | |
| 14 | 已設定帳號權限分級與定期審查 | |
| 15 | 離職人員帳號與權限可即時停用 |
類別四:合約與治理
| # | 檢查項目 | 狀態 |
|---|---|---|
| 16 | AI 供應商合約中有明訂資安與個資責任 | |
| 17 | 有指定個資保護聯絡窗口或負責人 | |
| 18 | 已進行或規劃隱私影響評估(PIA) | |
| 19 | 有事件應變計畫(如資料外洩通報流程) | |
| 20 | 定期對員工進行個資與資安教育訓練 |
個資法重點提醒
台灣個人資料保護法要點
| 原則 | 說明 |
|---|---|
| 目的明確 | 蒐集時須告知目的 |
| 最小必要 | 僅蒐集必要範圍 |
| 當事人權利 | 查詢、閱覽、更正、刪除、停止利用 |
| 安全維護 | 防止竊取、竄改、滅失 |
| 跨境傳輸 | 需符合法定要件或取得同意 |
罰則參考
- 違反個資法可處 NT$ 2 萬–20 萬罰鍰(非意圖營利)
- 意圖營利、致生損害於他人者,刑責更重
- 民事上當事人可請求損害賠償
常見問題 (FAQ)
Q:用 ChatGPT 處理客戶資料可以嗎? A:OpenAI 會將輸入用於訓練(除非企業方案),企業敏感個資建議使用企業版或自建方案,並評估合規性。
Q:檢查表全部要做到嗎? A:視業務與資料敏感度而定,高敏感度(如醫療、金融)建議盡量達成,其餘可依風險分階段改善。
<script type="application/ld+json"> { "@context": "https://schema.org", "@type": "Article", "headline": "企業導入 AI 的隱私與資安風險檢查表", "author": {"@type": "Organization", "name": "FlyPig AI"} } </script>
參考來源與審核說明
資料時間:2026-05-28。本文涉及工具、商業、學習、法規、財務或健康相關內容時,僅供一般資訊與流程設計參考,不構成法律、投資、醫療、心理治療或財務建議;正式採購、投資、導入或決策前,請以官方文件、合格專業人士與你自己的實際數據為準。
導購揭露:本文未置入新的商業推薦連結;文中提及工具、平台或案例僅作情境說明與操作示例。