產業追蹤／數位信任體系 五面向構建

AI快速發展，使企業面臨前所未有的數位安全風險。2024年初，香港某跨國公司遭詐騙集團利用深度僞造技術，僞造多人視訊會議騙取財務人員信任，誘騙財務人員支付匯款，致使損失超過2,500萬美元，該事件暴露AI技術已突破傳統辨識能力，顯示現行驗證流程面對深僞攻擊存在重大漏洞。

根據全球反詐騙聯盟（GASA）統計，全球詐騙案件的損失一年超過1兆美元，其中約七成詐騙發生在亞洲區，包含深僞技術、生成式AI與自動式釣魚攻擊，都因AI的技術精進，使詐騙更難以辨認。

AI工具普及也帶來內部風險。三星電子開放員工使用ChatGPT後，發生三起機密資料外泄事件，涉及半導體設備資料、軟體程式碼與會議紀錄等。主因部分員工缺乏使用規範意識，將敏感資訊上傳ChatGPT系統。

OpenAI也告誡用戶不應在對話中分享敏感資訊，因爲這些資訊會被用於訓練AI模型。事件發生後，三星啓動應變措施並警告將嚴格限制AI使用。該事件顯示，即使是世界級企業，面對員工使用新興AI工具，也需建立明確規範和強化管理，以防無意間造成機密外泄。

AI快速演進和廣泛應用下，着重傳統資安的網路安全防護已無法因應，企業需要建立更全面、深入的信任保護模式。

2022年，世界經濟論壇（WEF）提出「數位信任」概念，後來國際電腦稽覈協會ISACA、憑證授權中心DigiCert及麥肯錫與KPMG等顧問公司皆提出「數位信任」的重要。

「數位信任」即用戶（包含企業與一般消費者）對數位世界的信心，知道他們的數據、交易和互動是安全可靠的，可以放心分享個人資訊、進行購買或與平臺互動。而數位信任不僅是技術層面的資安防護，而是涵蓋多面向的整體性概念，分別包含人員（People）、組織政策（Policies）、資料流程（Processes）、技術（Technology）、生態藍圖（Ecosystem）的PPPTE五個構面：

人員方面：強化員工數位素養與倫理意識，落實數位信任制度與責任。組織政策：涉及制定內部治理政策與規範，明確責任歸屬、風險管理流程，以及問責機制，以推動組織內部落實數位信任原則。資料流程：建立透明、可追溯且安全的資料處理流程至關重要，確保資料使用的可靠性與安全。

技術：運用先進的安全與隱私保護技術，保障數據安全並提升系統可信度。生態藍圖：針對前瞻數位環境與社會議題可能帶來的風險，建立跨領域合作與國際接軌，完善且具備公信力的數位信任生態圈。

企業可從七個關鍵行動着手，強化企業數位信任，包含數位素養、數位身分、可信任AI、總體合規評估、資料治理、系統安全，以及供應鏈風險控管與透明化。

其中數位素養：提升員工對生成式AI的理解與風險辨識力，針對客服人員與產品設計部門進行培訓，包括prompt 指令、模型偏誤、虛假生成風險等。數位身分：建立存取權限控管與追蹤，員工須以單一簽入系統登入後纔可使用AI服務，所有使用紀錄與結果會與帳號綁定稽覈。可信任AI：確保AI決策透明、建立監督與補救制度，建立人工覆核流程，客服AI回覆須可人爲覆查與改寫。

總體合規評估：確保技術工具的使用範圍合理，並符合法規，如個資法、歐盟GDPR、人工智慧法（AIA）等，法遵部門需定期進行法規變動追蹤與AI服務法遵風險盤點。資料治理：確保使用過程中資料匿名化與合法使用，建置個資過濾模組，輸入層會自動過濾姓名，降低個資誤傳至外部AI供應商伺服器的風險，以及設計「資料最小化」流程。系統安全：提升API存取與內容安全防護能力，設計對應的內容審查模型，過濾不當迴應，防止外部非授權使用API。供應鏈風險控管與透明化：評估生成式AI供應商的風險與信任機制，要求供應商簽署資料不留存保證文件，並對外公告與AI應用範圍與資料政策透明的說明。

單純依賴資安防護已不足以建立數位工具使用信心。企業需要從人員、政策、流程、技術和生態等面向，全面構建數位信任體系，並將數位素養、數位身分、可信任AI、總體合規評估、資料治理、系統安全、供應鏈風險控管與透明化等關鍵領域，作爲具體行動的重點。以數位信任作爲企業數位安全防護網，將是未來數位經濟時代，企業贏得客戶、合作伙伴和員工的信任，持續發展和成功的關鍵。（作者是資策會MIC產業分析師）