S0058重大

跨境數據傳輸違規

部署

風險描述

使用境外雲端 AI API 進行推論時,使用者輸入的數據被傳輸至未經核准的境外伺服器。例如台灣企業使用 OpenAI API 時,客戶數據被傳至美國處理。金管會已要求金融業者使用雲端 AI 服務需確保數據在地化處理。歐盟 Schrems II 判決後,向美國傳輸個資面臨更嚴格審查。

框架對照

iso 23894R1
tw principle隱私保護與數據治理
tw principle問責
tw risk type社會系統性影響(Societal Systemic)

控制措施

  • 數據在地化評估
  • 跨境傳輸合規審查

處理步驟

  1. 盤點所有使用境外 AI API 的服務,列出數據傳輸路徑
  2. 評估是否可改用境內部署的替代方案(如本地 LLM)
  3. 若需跨境傳輸,建立適當的法律保障(SCC、BCR)
  4. 對高敏感數據(醫療、金融)強制在地化處理