AI工具和外部在线平台正在快速渗透企业的日常运营,从研发辅助、文案生成、数据分析到客户服务,几乎所有业务场景都能看到AI的身影。但大量企业忽视了一个关键问题:当AI工具和外部在线平台接触到商业秘密时,定密前置要求是否已经跟上?根据定密实施方案的要求,AI和外部在线工具场景必须单独设置定密前置条件,否则商业秘密保护从一开始就存在结构性漏洞。
第一个前置要求是场景识别。企业在允许员工使用AI工具或外部在线平台前,必须先对使用场景进行商业秘密风险评估。需要识别的场景包括但不限于:使用AI进行技术方案撰写、将经营数据输入在线分析工具、利用外部平台处理客户信息、在云端协作工具中讨论研发项目、使用AI辅助合同起草等。每个场景需要单独评估输入信息的类型和敏感程度,不能把所有AI场景混为一谈。场景识别完成后形成AI工具使用场景清单,每个场景标注是否涉及商业秘密以及涉及的最高密级。
第二个前置要求是定密前置标注。在员工将信息输入AI工具或外部在线平台之前,信息本身必须先经过定密程序。已经有密级的信息按照原有密级管控,未定密的信息在输入前需完成快速定密评估。具体做法是建立输入信息分级规则:涉及核心技术参数、未公开研发方案、客户名单、财务数据、战略规划等信息,原则上在输入AI工具前必须先标注密级。信息归属部门负责前置标注,没有密级标注的信息默认不得输入未经企业批准的AI工具。
第三个前置要求是平台安全认证。企业使用的外部AI工具和在线平台必须通过安全评估和认证。评估内容包括数据存储位置在哪里、数据传输是否加密、模型训练是否会使用输入数据、数据删除机制是否可验证、是否有第三方审计报告等。对于涉及核心秘密的场景,原则上应当使用企业本地部署的AI工具,或者使用签订了严格保密协议的SaaS版本。任何未经安全认证的外部平台,一律不得用于处理商业秘密。
第四个前置要求是输出结果复审。AI工具和外部平台生成的结果中可能包含商业秘密信息。输出结果在使用或对外发布前,必须经过信息归属部门的复审。复审要点包括检查输出内容是否泄露了原始输入中的敏感信息、是否存在超范围输出的情况、输出结果的密级是否与输入信息匹配。如果AI输出涉及多源信息融合,还需要评估融合结果是否产生了新的商业秘密。复审记录保存备查。
第五个前置要求是权限与留痕。使用AI工具处理商业秘密的员工应当经过专门授权,不是所有人都有权将敏感信息输入AI平台。每次输入都应当在系统中留下操作记录,包括操作人、时间、输入信息的类型、密级以及使用的工具名称。操作留痕既是事后审计的依据,也是异常行为检测的基础数据来源。
以下回应几个常见疑问。
问:使用ChatGPT或文心一言这些公开AI工具处理工作内容有什么风险?答:公开AI工具的输入数据可能被用于模型训练,一旦商业秘密信息被输入,理论上可能出现在对其他用户的输出中。企业应当明确禁止将任何商业秘密信息输入未经安全认证的公开AI工具。
问:企业在采购AI工具时需要注意什么?答:重点看服务协议中的数据保护条款,包括数据是否用于模型训练、是否支持数据删除、服务器部署位置、是否符合中国数据安全法的要求。建议在采购合同中加入数据保护附录,明确商业秘密的例外处理机制。
问:员工个人使用AI工具处理工作内容怎么办?答:需要通过制度明确告知员工哪些信息可以输入AI工具、哪些绝对不可以。同时部署技术措施,在关键数据出口进行检测和拦截,配合定期的安全意识培训,让员工理解不是所有工具都能用来处理所有信息。——北京企密安信息安全技术有限公司
文章来源:北京企密安信息安全技术有限公司,专注商业秘密保护,提供AI工具安全评估、定密体系建设和保密培训服务。如需了解AI场景下的定密解决方案,欢迎联系我们的专业团队。
