企业AI使用规范
企业 AI 使用规范用于明确哪些场景可以使用 AI、哪些数据不能输入模型、哪些输出需要复核,以及出现问题时如何追溯。
# 1. 规范目标
- 保护企业和用户数据。
- 降低错误决策风险。
- 明确员工使用边界。
- 支持审计和合规。
- 促进 AI 安全落地。
# 2. 数据分级
| 级别 | 示例 | 策略 |
|---|---|---|
| 公开 | 官网文档、公开产品说明 | 可使用 |
| 内部 | 普通流程、内部知识库 | 授权后使用 |
| 敏感 | 客户资料、合同、报价 | 脱敏或私有模型 |
| 高敏感 | 密钥、密码、身份证、生产数据 | 禁止输入或严格审批 |
# 3. 场景分级
| 场景 | 建议 |
|---|---|
| 文案润色 | 可使用,注意敏感信息 |
| 技术学习 | 可使用 |
| 代码辅助 | 可使用,必须审查 |
| 客户回复 | 需要人工确认 |
| 合同分析 | 需要专业复核 |
| 生产操作 | 不允许模型直接执行 |
| 财务和法务决策 | 必须人工主导 |
# 4. 员工使用原则
- 不输入密钥、密码、Token。
- 不输入未经授权的客户或员工隐私。
- 不把 AI 输出直接当作事实。
- 对外发送前人工复核。
- 使用企业批准的 AI 工具。
- 发现泄露或错误及时上报。
# 5. 系统建设原则
| 能力 | 说明 |
|---|---|
| 统一入口 | 避免员工随意使用未知工具 |
| 权限控制 | 按用户身份访问数据 |
| 脱敏机制 | 敏感字段自动处理 |
| 日志审计 | 可追溯使用记录 |
| 模型分级 | 敏感场景使用合规模型 |
| 反馈机制 | 收集误答和风险事件 |
# 6. 输出复核
必须复核的输出:
- 对客户、供应商、监管机构的正式回复。
- 法律、财务、医疗、安全相关建议。
- 代码变更和生产操作方案。
- 涉及个人或企业敏感信息的内容。
# 7. Tips 快问快答
Q:企业能不能完全禁止员工用外部 AI?
A:可以制定限制,但更现实的做法是提供安全可用的企业入口,并明确数据边界。
Q:AI 生成内容版权和责任怎么算?
A:需要结合公司政策、供应商条款和当地法律。正式对外内容应人工复核。
Q:规范写完就够了吗?
A:不够。还要配套工具、培训、日志审计和违规处理流程。
上次更新: 2026/06/25, 17:53:09