制定 AI 使用政策 — 允许什么，禁止什么

员工已经在使用 AI 了。 问题是你不知道这件事。

没有政策的 AI 走向两个极端

我们看到两种情况。

一边，员工把客户数据粘贴到 ChatGPT 里生成报告。没人安排他们这样做，但因为方便就在用了。公司不知道。

另一边，"别用 AI"的氛围让所有人都不敢碰。竞争对手已经用 AI 把客户响应时间缩短了一半，自家团队还在用老方法。

两种情况的根本原因相同：没有政策。

政策不是"禁止清单"。而是**"到这里可以自由使用，超过这里需要审批"的界限**。有了界限，人们才能在其中自由行动。

分三个层级就够了

不需要搞得复杂。把 AI 使用分为三个区间。

自由区间：无需审批。一般工作辅助、基于公开信息的作业、内部头脑风暴。

审核区间：需要团队负责人或指定审批人批准。涉及客户数据的工作、对外发布的内容生成、辅助决策。

禁止区间：不得使用。个人身份信息（身份证号、医疗记录）、合同原文、未公开财务信息、商业机密。

这三个区间的边界因公司而异。重要的是边界存在，且所有人都知道。

数据分级是核心

归根结底是"什么数据可以输入 AI"的问题。

公开数据：已在网上公开的信息，通用行业知识。可自由用于任何 AI。

内部数据：公司文档、会议纪要、流程说明。可在企业级 AI（数据不用于训练的付费版）中使用。

敏感数据：客户个人信息、合同条款、财务数据。仅在审批后或私有化 AI 环境中使用。

绝密数据：未公开的并购、核心技术、法律纠纷材料。禁止 AI 使用。

这是将安全与隐私篇中的原则具体落地。

政策文档一页就够

一张 A4 纸，或公司 Wiki 的一个页面。太长了没人看。

应包含的内容：

目的："本政策旨在实现安全且积极的 AI 使用。"明确说明限制不是目的。

许可工具清单：公司正式认可的 AI 工具。例："ChatGPT Team、Claude Pro、Copilot 可以使用。免费版存在数据训练风险，禁止用于工作。"

三级区间表：自由/审核/禁止区间及示例。

违规处理流程：以学习为导向而非惩罚 —"报告 → 影响评估 → 改进"。

更新周期：每季度审查一次。AI 环境变化快，政策也必须保持活力。

三个常见错误

错误 1：起步太严格。"所有 AI 使用都需要事先审批。"这样没人会用。先把自由区间开大，有问题再缩小。

**错误 2：只制定政策不做培训。**光发文档不够。正如培训与入职篇中所述，需要 30 分钟的说明会。

**错误 3：不允许任何例外。**现实工作经常跨越区间边界。需要一个"不确定就问"的通道。提问本身就是数据 — 相同的问题反复出现时，就该细化政策了。

政策的真正效果

好的 AI 政策不是限制使用，而是促进使用。

当"到这里没问题"是明确的，人们就会在边界内积极实验。"我到底能不能用？"这种模糊的焦虑消失了。

要让 AI 成为组织文化，实验必须感觉安全。政策就是创造安全感的围栏。

正如有了围栏孩子们才能自由奔跑，有了政策员工们才能自由使用 AI。