面向 5 到 50 人德语区企业的一页式 AI 政策
您的员工早已在使用 AI。唯一的问题是,他们是以一致而安全的方式使用,还是在您看不见的消费级工具里临时凑合。对于一家位于奥地利、德国或瑞士、规模在 5 到 50 人的企业,您并不需要一本 27 页的治理手册。您需要的是一页真正会被人读完的内容,涵盖:获批工具以及如何申请新工具、哪些数据绝不能放进哪些工具、一项基本的培训要求(您对接欧盟《人工智能法案》素养义务的抓手)、对输出的人工复核规则、聊天机器人与 AI 内容的披露,以及一位指定负责人。下文附有一份可直接复制的模板。目标是安全地放行,而不是封禁,因为封禁只会把 AI 使用转移到您完全看不见的私人账户里。
这是一份实用指南,而非法律意见。其中的监管细节以 2026 年年中为准,部分内容仍在变动;在依赖之前请对照官方来源核实,任何关键之处都请交由您自己的法律顾问把关。
想在一周内把它调整为契合您工具的版本并完成签署吗?
预约免费咨询为什么小公司确实需要一份
不是出于恐惧,只是现实如此。调查显示,知识工作者中使用 AI 的比例约为四分之三,其中大多数人自带工具,在中小企业里更是如此。这就是影子 AI,只要您不提供一条已知且获批的路径作为替代,它就是默认状态。风险是具体的:有员工把机密代码和客户数据粘贴进消费级聊天机器人,未经核实的 AI 输出也已经到达客户和法庭,并带来实际后果。一页纸不会增加官僚程序。它用一条人们真正能够遵循的路径,取代了那种看不见、随意而为的使用方式。
此外还有一股法律推力。欧盟《人工智能法案》的 AI 素养义务(第 4 条)自 2025 年 2 月 2 日起,对提供者和部署者均已适用,也就是说几乎适用于任何员工在使用 AI 的企业。门槛是有意设得灵活的:按角色调整的、有记录的基础培训,而非认证项目;也没有专门针对第 4 条的罚款,执法将从 2026 年 8 月起通过各国主管机构进行。一项放宽第 4 条的提案(Digital Omnibus)曾在 2026 年流传,但尚未获得通过,因此请把当前义务视为有效。
政策里应包含什么
八个简短的章节,每一个都有它存在的理由。
| 章节 | 内容要点 |
|---|---|
| 适用范围与原则 | 它覆盖谁、覆盖什么,再加上几条朴素的原则:始终由人来负责、保护数据、保持透明、在依赖之前先核实。 |
| 获批工具 | 按使用场景列出获批工具的具体名单,以及一行说明如何申请新工具。正是这一点消除了影子 AI:一条"可以"的路径。 |
| 数据处理 | 哪些数据绝不能放进哪些工具。消费级和免费档不适合公司数据;带有已签署 DPA 或 AVV(数据处理协议)的商业档才是获批路径。 |
| AI 素养 | 一项简短而有记录的要求:员工要接受基础培训。这就是您对接第 4 条的抓手。 |
| 输出规则 | 强制人工复核;在面向客户、法律或财务的场景中,不得出现未经核实的 AI 输出。关键输出适用四眼原则(Vier-Augen-Prinzip,即双人复核)。 |
| 披露 | 当人们在与机器人对话时要告知他们;在法律要求处为 AI 内容加标注,并附上下文所述的人工编辑控制例外情形。 |
| 升级与负责人 | 一位指定负责人和一个联系方式。没有负责人,政策就会与现实渐行渐远。 |
| 复审周期 | 至少每六个月复审一次。工具和法律都变化很快。 |
德语区的数据保护部分
当员工把个人数据或客户数据输入某个工具时,是您的公司决定处理的目的和方式,因此公司就是数据控制者,并承担 GDPR(《通用数据保护条例》)下的义务。使用外部 AI 提供商处理个人数据通常需要一份数据处理协议(即第 28 条下的 AVV),而消费级免费档往往不提供,还可能拿您的输入去训练;商业档则通常会提供,并且默认不会用您的数据训练。瑞士修订后的数据保护法(revDSG)平行适用,且被视为技术中立,因此同样涵盖 AI 处理。一个值得提醒、且在变动中的细节是:提供商的条款变化很快,因此请引用每家提供商当前的 DPA,而不要想当然。关于这些制度如何叠加,我们在GDPR 与《人工智能法案》如何在德语区 SaaS 上叠加一文中作了说明。
可直接复制的一页式模板
粘贴它,填好方括号,删去不适用的部分。它是为 5 到 50 人的企业打造的,而非大型集团。
AI 使用政策,[公司名称]
版本 [1.0] · 负责人:[姓名或职位] · 上次复审:[日期] · 下次复审:[+6 个月]
1. 适用范围与原则。 本政策适用于所有为 [公司] 工作而使用 AI 工具的员工和承包商。我们的原则:每一项输出始终由人来负责;我们保护客户数据、个人数据和机密数据;我们对 AI 的使用保持透明;我们在依赖之前先核实。
2. 获批工具。 只使用:[例如 ChatGPT Team 或 Enterprise、Microsoft 365 Copilot、Claude for Work]。不要用个人或免费账户处理公司工作。要申请新工具,请在使用前先询问 [负责人]。
3. 数据规则。 绝不要在任何未获批的工具中输入:个人数据或客户数据、机密信息或合同信息、凭据,或源代码。带有已签署 DPA 或 AVV、且不用我们的数据训练的获批商业工具,可按其档位处理工作数据。若不确定,请询问 [负责人]。
4. 培训。 每位使用 AI 的人都要完成 [简短的入职培训或链接],并 [每年] 复训一次。若不清楚某个工具如何运作或它的边界在哪,请询问 [负责人]。
5. 输出规则。 AI 输出是草稿,绝不是最终答案。在使用前,由一位合格人员就准确性与上下文复核每一项输出。对于面向客户、法律或财务的内容,适用四眼原则(双人复核)。绝不要把未经核实的 AI 输出发送给客户或主管机构。
6. 披露。 当人们在与 AI 聊天机器人互动时要告知他们。在法律要求处为 AI 生成的内容加标注;对于经人复核并由其承担责任的内容,无需逐条加标注。
7. 提问与升级。 负责人:[姓名、职位、联系方式]。请立即上报任何数据泄露、任何已到达客户的错误输出,或任何 "这样做是否允许" 之类的问题。提问不会被追责。
8. 复审。 至少每六个月复审一次,并在工具或法律发生重大变化时随时复审。已确认:[签名或批准]。
"一份人们真正会去读、会去遵守的一页式政策,胜过一份躺在文件夹里的 27 页文档。任务不是看起来合规,而是给您的团队一个安全的「可以」,而不是一条看不见的变通做法。"
哪些内容要刻意留白
这里的敌人是做样子。略去那些含糊的愿景式措辞("负责任地使用 AI" 却没有任何具体内容),它只会制造一种虚假的合规感。略去完整的 ISO 42001 认证或一整套 NIST AI 风险管理体系的搭建;两者都属于大型企业级别,对小团队而言不成比例,不过若日后规模扩大,它们可以作为参考词汇。略去那些没人维护的冗长风险分类和详尽用例目录。也绝不要发布一份没有指定负责人或没有复审日期的政策,因为这两者都注定让它沦为空文。只保留那一页会被人读完的内容。
常见问题
小公司需要一份 AI 政策吗?
根据欧盟《人工智能法案》,一份 AI 政策必须包含什么?
员工可以在工作中使用 ChatGPT 吗?
免费版 ChatGPT 处理客户数据是否符合 GDPR?
消费级 AI 档位与商业级 AI 档位有什么区别?
我们必须为 AI 生成的内容加标注吗?
在小公司里,AI 政策应由谁负责?
欧盟《人工智能法案》的 AI 素养义务(第 4 条)是什么?
有没有免费的德语 AI 政策模板(KI-Richtlinie Vorlage)?
一页式政策真的够用吗?
最终思考
对一家德语区小公司而言,AI 政策不是一个合规项目。它是一份一页式的约定,为您的团队提供一条安全、已知的途径,去使用他们本就在用的工具。
列出获批工具,围绕数据划出一条硬线,设定一条人工复核规则,指向基础培训,指定一位负责人,并一年复审两次。这就足以满足真正落到您头上的义务,并阻止机密数据流向个人账户。写下那一页会被人读完的内容,然后随着工具和法律的变动让它保持最新。
想找人帮忙把它变成您真正的、已签署的政策吗?
预约免费咨询