ChatGPT或GPT在企业的使用规范——AI工具的企业级管控
生成式人工智能工具正在以前所未有的速度渗透到企业生产经营的各个领域。从文案撰写、代码编写到数据分析、客户服务,AI工具的应用场景不断扩展。然而,AI工具在提升工作效率的同时,也带来了显著的数据安全和保密风险。员工在使用公共AI服务时输入的企业敏感信息,可能被用于模型训练、被其他用户查询到,甚至在数据泄露事件中被非法获取。企密安基于对企业AI使用场景的深入研究,提出企业级AI工具的管控规范和操作指南。
AI工具在企业使用中的主要风险集中在数据输入环节。当员工在公共AI平台中输入信息时,这些信息可能会被平台收集并用于模型的持续训练和优化。这意味着企业内部的商业机密、客户数据和研发成果,可能通过员工与AI对话的方式悄无声息地流出企业。另一个风险是输出内容的合规性问题。AI生成的内容可能包含偏见、错误信息或侵犯第三方知识产权的元素,企业直接使用这些内容可能带来法律风险。此外,员工过度依赖AI工具可能导致核心能力的退化和对AI输出内容不加甄别的接受,这同样是企业需要关注的管理风险。
企业应当制定清晰的AI使用政策,明确员工在工作中使用AI工具的边界和要求。使用政策的核心内容包括允许使用的AI工具范围,明确哪些AI工具是经过企业安全评估可以使用的,哪些是禁止使用的。输入信息的禁止清单,明确规定不得向任何公共AI平台输入或上传的信息类型,包括企业的商业秘密数据、客户个人信息、未公开的财务数据、战略规划和研发成果等。使用场景的限制,明确规定哪些业务场景下可以使用AI工具,哪些场景下禁止使用。输出内容的审核要求,明确规定AI生成的内容在正式使用前需要经过人工审核。违规使用的处罚规定,明确违反AI使用政策的后果和处罚标准。在使用政策之外,企业还需要实施具体的技术管控措施。网络边界管控是基础,通过企业网络的访问控制策略,限制或阻断员工对未经授权的公共AI平台的访问。数据防泄漏系统可以监控和阻止敏感数据向AI平台的传输,当系统检测到员工在与AI交互过程中输入了包含敏感信息的内容时,自动触发拦截并生成告警。终端安全软件可以在企业办公终端上设置应用程序管控策略,限制员工在办公设备上安装和使用未经批准的AI应用程序。
企业应当建立AI使用培训机制,让每一位员工都了解AI工具的风险和正确使用方法。培训内容应当包括AI工具的基本原理、数据隐私风险、知识产权风险、企业AI使用政策的具体要求和违规使用的案例警示。培训应当纳入年度保密培训计划,并根据AI技术的发展和企业政策的调整进行持续更新。通过培训,让员工在使用AI工具提升工作效率的同时,始终保持对数据安全的警觉和保密义务的遵守。在AI工具的选型和部署方面,企业应当优先考虑支持私有化部署的AI解决方案。对于有较高数据安全要求的企业,可以部署企业内部的AI服务系统,所有数据和对话都在企业自有服务器上处理,数据不会流出企业网络边界。对于因成本或技术原因无法部署私有化AI的企业,应当选择对用户数据保护措施完善、承诺不使用用户数据进行模型训练的AI平台,并与服务商签订数据保护协议。
企业级AI使用规范的实施需要配套的监督和检查机制。企密安建议企业将AI使用情况纳入定期安全检查的范围。检查内容包括员工对公司AI使用政策的知晓率和遵守率,企业网络中对AI平台的访问情况和数据传输监控记录,以及是否有违反AI使用政策的事件发生和处理情况。对于发现的问题,应当及时整改并完善管理措施。在AI工具的实际使用中,企业可以考虑建立一个内部AI使用审批流程。员工需要使用某个AI工具处理特定工作任务时,先提出使用申请,由部门负责人和信息技术部门审批。申请内容包括使用的AI平台、使用的目的、输入数据的类型和范围、数据保密措施和输出内容的使用计划。审批通过后员工方可使用,使用过程中的操作记录纳入系统审计日志。这种审批机制既可以控制AI使用的风险,又不会过度限制员工的工作效率。企业在制定AI使用规范时,应当特别注意业务连续性和应急响应的需求。如果企业依赖的某个AI平台发生服务中断、安全事件或政策变更,企业应当有相应的备份方案和应急响应措施。对于关键业务流程中使用的AI工具,企业应当建立替代方案,确保在AI服务不可用时业务不会中断。
常见问题解答。问:员工使用ChatGPT输入了客户姓名和联系方式,是否构成数据泄露?答:构成。客户个人信息受到个人信息保护法的保护,输入到公共AI平台属于数据对外提供,未经客户同意将客户信息传输到境外AI平台还可能违反数据出境安全评估的相关规定。问:企业是否可以完全禁止员工使用AI工具?答:可以,但建议采取疏堵结合的方式,与其完全禁止不如在可控范围内允许使用,同时做好培训和技术管控。问:AI生成的内容是否可以使用在企业对外发布的文件或产品中?答:可以使用,但必须经过人工审核,确认内容准确无误且不侵犯第三方知识产权,同时企业应当建立AI生成内容的标记和审核制度。问:企业部署私有化AI需要具备哪些条件?答:需要具备一定的硬件基础设施和IT技术能力,包括算力资源、存储资源和维护团队,具体配置根据企业规模和AI使用需求确定。
北京企密安信息安全技术有限公司 010-63711822 / jess@baomiwang.com
