公司第三方AI工具及插件准入标准.docxVIP

公司第三方AI工具及插件准入标准

一、总则

1.1目的

为规范公司引入第三方AI工具及插件（含浏览器插件、IDE插件、办公套件AI模块、API调用等）的行为，防范数据泄露、模型幻觉、知识产权侵权、供应链攻击等风险，保障公司信息安全与业务合规，特制定本标准。

1.2适用范围

适用于所有拟在公司设备、网络环境、业务系统或处理公司数据的场景中使用的，由非本公司开发的AI工具、插件、扩展及在线AI服务。

1.3术语定义

第三方AI工具：由外部主体提供的，利用机器学习、大语言模型、计算机视觉等技术实现自动生成、分析、决策等功能的软件或云服务（如ChatGPT、Copilot、Midjourney、NotionAI等）。

AI插件：附加于浏览器、IDE、办公软件等宿主程序中的第三方AI功能模块，通常通过插件市场分发（如ChromeAI插件、VSCodeAI扩展）。

公司数据：任何与公司业务、员工、客户、合作伙伴相关的非公开信息，包括但不限于代码、文档、设计稿、客户名单、财务数据等。

二、准入基本原则

所有第三方AI工具及插件的引入必须遵循以下原则：

1.最小权限：仅授予完成功能所必需的最低权限，禁止过度索权。

2.数据本地化：优先选择数据不出境、不用于模型训练的供应商；禁止将公司敏感数据输入未经批准的公有AI服务。

3.透明可控：供应商必须提供可解释的数据处理方式、模型特性