公司AI工具使用数据安全管理制度.docxVIP

公司AI工具使用数据安全管理制度

第一章总则

第一条制定目的

为规范公司内部人工智能（以下简称“AI工具”）的使用行为，防范AI工具使用过程中的数据泄露、滥用、篡改等安全风险，保护公司核心商业秘密、内部管理数据、客户敏感信息及员工个人信息安全，保障公司业务有序开展，契合《数据安全法》《个人信息保护法》《生成式人工智能服务管理暂行办法》等相关法律法规要求，结合公司实际情况，制定本制度。

本制度旨在平衡AI工具带来的工作效率提升与数据安全防护，明确各岗位人员在AI工具使用中的数据安全责任，堵塞安全漏洞，杜绝因不当使用AI工具引发的经济损失、合规风险及品牌声誉损害。

第二条适用范围

本制度适用于公司全体员工（含正式员工、实习生、外包人员、劳务派遣人员），涵盖员工在工作过程中使用的各类AI工具，包括但不限于：

外部公共AI工具：如ChatGPT、文心一言、豆包、Midjourney、代码生成类AI等；

企业级授权AI工具：如企业微信AI助手、钉钉智能助手、行业专用AI系统（经公司IT部门审核备案的第三方AI工具）；

公司自主研发或定制的AI工具及相关系统。

全体员工在工作场景中使用上述AI工具处理任何公司相关数据，均需严格遵守本制度规定，外包、劳务派遣人员需额外签署《AI工具数据安全承诺书》后方可使用。

第三条核心原则

1.安全优先原则：所有AI工具使用行为，必须以保障数据安全为前提，严禁以提升效率为由规避数据安全管控要求；

2.分级管控原则：根据数据敏感程度分级管理，对核心数据、重要数据、一般数据采取差异化防护措施，兼顾安全与工作效率；

3.权责对等原则：明确员工使用AI工具的权利与义务，数据安全责任落实到个人，做到“谁使用、谁负责，谁泄露、谁担责”；

4.合规可控原则：AI工具使用需符合国家相关法律法规及行业规范，确保数据采集、传输、存储、使用、销毁全流程合规，可追溯、可管控；

5.动态管控原则：根据AI技术发展、行业监管要求及公司业务变化，定期更新AI工具准入清单、数据分级标准及防护措施。

第二章组织职责

第四条管理领导小组

成立AI工具数据安全管理领导小组，由公司总经理担任组长，分管技术、行政、法务的高管担任副组长，各部门负责人为成员，主要职责包括：

审定本制度及相关配套管理办法，审批AI工具准入、退出清单及重大数据安全处置方案；

统筹协调AI工具数据安全管理工作，解决管理过程中的重大问题，监督制度落地执行；

组织开展AI数据安全风险评估，定期听取各部门数据安全工作汇报，部署风险防控重点任务；

审批AI数据安全培训计划，督促各部门开展全员数据安全教育，提升员工安全意识。

第五条各部门职责

1.IT部门（牵头部门）：负责AI工具的准入审核、技术防护、日常监控及运维管理；部署数据防泄漏（DLP）系统等安全工具，建立AI工具使用日志审计机制；排查AI工具使用过程中的技术安全隐患，及时处置数据安全事件；维护AI工具准入、退出清单，定期更新技术防护措施；提供AI数据安全技术支持与咨询服务。

2.法务合规部门：负责审核本制度及相关配套文件的合规性，跟踪AI相关法律法规更新动态；审核AI工具采购合同中的数据安全条款（如数据存储地、使用范围、删除机制、责任划分等）；协助处理AI数据安全相关的合规纠纷、行政处罚及法律追责事宜；参与数据安全风险评估，提供合规指导。

3.人力资源部门：负责将本制度纳入员工入职培训、岗位培训及年度考核内容；在员工劳动合同、保密协议中明确AI工具使用的数据安全责任；负责外包、劳务派遣人员的AI数据安全培训及承诺书签署管理；对员工违规使用AI工具的行为，配合相关部门落实处罚措施。

4.各业务部门：负责本部门员工AI工具使用的日常管理，组织本部门员工学习本制度及相关要求；排查本部门AI工具使用过程中的数据安全风险，及时上报异常情况；明确本部门核心数据、重要数据的范围，督促员工严格按照数据分级要求使用AI工具；配合IT部门、法务部门开展数据安全检查及事件处置工作。

5.员工个人：严格遵守本制度及相关规定，规范使用AI工具；主动学习AI数据安全知识，提高安全防范意识；发现数据安全隐患或异常情况，立即上报部门负责人及IT部门；对自身使用AI工具过程中的数据安全行为承担直接责任。

第三章AI工具准入与管控

第六条AI工具准入管理

1.公司实行AI工具“白名单”管理制度，所有可在工作中使用的AI工具，必须经IT部门联合法务部门审核备案，纳入白名单后方可使用，严禁使用白名单外的任何AI工具处理公司相关数据。

2.AI工具准入审核需重点关注以下内容：数据存储地（优先选择境内存储，避免数据出境违规）、数据处理协议（DPA）条款、隐私政策、数据安全防护能力、服务商资质及信誉、是否存在数据泄露风险等。