資訊裸奔1/不要餵這些資料! 逾七成企業導入有風險的AI地雷
人人爭當「AI 時代」的領航員,企業們紛紛高喊「數位轉型」,但現在的威脅不再只是防止商業間諜潛入辦公室,而是員工自動將資料貼進第三方的大語言模型或 AI 工具,形同在職場上悄悄把公司機密的鑰匙交給全世界,埋下不定時炸彈。
用 AI 幫忙工作、篩選資訊,在當前職場已是再正常不過的事。甚至有業者沾沾自喜地向本刊表示,把幾百份求職者的PDF檔直接丟進 AI,就能快速找出最強的候選人,還說:「這年代誰還會笨到一份一份把履歷全都看完?說不定,其中很多履歷本身也是用 AI 寫的。」
104 人力銀行日前發出一篇新聞稿,指出「企業若將求職者履歷上傳至 AI 平台,恐踩三大地雷,最高可罰 1,500 萬元」,在目前一片吹捧數位轉型的氛圍下,成為罕見的「煞車信號」。
104 人力銀行人資長江錦樺表示,依據《個人資料保護法》,履歷表上的姓名、出生年月日、身分證字號、聯絡方式、教育背景、職業經歷與自傳內容,在蒐集與處理時其實都受到法律限制原則的規範。
若企業人資將這些個人資料放上 ChatGPT、Gemini 等第三方的大語言模型平台進行分析,這些平台在服務條款中都明文指出,輸入內容會被用來訓練模型,這在法律上就可能構成「特定目的外之利用」。
而且企業還無法確定這些資料會被送往哪個國家的伺服器,若被傳送到中國大陸,就可能違反《個資法》第 21 條;再加上,求職者的自傳中可能提及「因病休養經歷」或「過去法律糾紛」等敏感個人資料,一旦被 AI 平台外洩,企業可能因未善盡安全維護義務,而面臨「限期改善」的命令,若期限內未改善或情節重大,將處以 15 萬元以上、1,500 萬元以下的行政罰鍰。
一旦資料進入公有雲上的大型語言模型,就形同「潑出去的水」,不但無法追蹤流向,也幾乎不可能再收回。
新創公司Harmonic在去年的報告中指出,有一家銀行內部員工使用超過 50 種未經批准的 AI 工具,其中僅有 2 種獲得公司授權;另一家科技公司工程師則將 400 GB 資料上傳至未授權平台,甚至有新進員工在完成資安訓練後,仍然將公司的原始碼上傳至中國境內的大型語言模型平台。
雖然很多企業訂有 AI 使用政策,甚至推動公司內部使用統一的 AI 工具平台,但員工往往會繞過限制,改用自己順手的工具,久而久之,企業甚至趨於放任模式。數據顯示,約有三成企業僅封鎖高風險工具,其他則採取「眼不見為淨」的態度。
趨勢科技的最新調查也發現,全球有 67%、台灣更有 74% 的受訪企業,曾在存在安全疑慮的情形下,仍被迫批准 AI 導入;其中約有七分之一的受訪者表示,他們當時面臨「極為嚴重」的安全風險,但由於要追趕競爭對手,且因應內部需求,企業最終選擇忽視風險。
趨勢科技企業事業群營運長金敬秀表示,企業組織並非沒有風險意識,但當 AI 部署動機來自競爭壓力,而非治理成熟度時,AI 就會在缺乏必要控管機制的情況下,被嵌入企業的關鍵系統中。
近期許多公司的資安團隊也提到,由於高層決定導入 AI,資安團隊只能被動因應,結果大量未經授權的 AI 工具在職場上浮現,反而形成「影子 AI」(Shadow AI)。員工將公司未公開的財報、製程參數,甚至客戶會議記錄,通通貼進公司未核准的 AI 工具中。
Gartner 的最新研究指出,他們針對500 家企業進行調查,發現有 68% 的員工在未經 IT 部門批准的情況下使用 AI 工具,而有 54% 的影子 AI 工具,曾上傳過敏感的公司資料,包括程式碼、客戶資訊與內部文件。
Nitro 的調查數據顯示,有 33% 的員工承認,他們曾將公司機密資訊輸入至未經審核的 AI 工具中。
有資安公司在對企業訪談時發現,一家金融科技新創公司,其工程團隊使用了 23 種不同的 AI 工具,但沒有一種獲得正式批准,其中一位開發人員甚至將客戶資料上傳至 AI 聊天機器人,用於分析與測試。
另有一家醫療科技新創公司,開發人員曾使用 ChatGPT 來調試一段包含患者資料範例的程式碼,事後被稽核人員發現,導致要多花6個月時間修復相關安全漏洞。
因此,不少業者指出,解決之道並非禁止 AI,而是企業要提供更好的替代方案,並建立一套明確、有規範、且經過認證的 AI 工具與使用流程,讓員工找到安全的平衡點。
加鏡LINE新聞不漏接
資訊裸奔2/養龍蝦變「養小鬼」!對岸慘案頻傳 數發部推自保令
重啟核電連英系也轉向 童子賢:民意支持擺脫反核舊思維