跨境數據傳輸違規
部署
風險描述
使用境外雲端 AI API 進行推論時,使用者輸入的數據被傳輸至未經核准的境外伺服器。例如台灣企業使用 OpenAI API 時,客戶數據被傳至美國處理。金管會已要求金融業者使用雲端 AI 服務需確保數據在地化處理。歐盟 Schrems II 判決後,向美國傳輸個資面臨更嚴格審查。
框架對照
iso 23894R1
tw principle隱私保護與數據治理
tw principle問責
tw risk type社會系統性影響(Societal Systemic)
控制措施
- 數據在地化評估
- 跨境傳輸合規審查
處理步驟
- 盤點所有使用境外 AI API 的服務,列出數據傳輸路徑
- 評估是否可改用境內部署的替代方案(如本地 LLM)
- 若需跨境傳輸,建立適當的法律保障(SCC、BCR)
- 對高敏感數據(醫療、金融)強制在地化處理