「治理」聽起來像是有合規部門的大企業才需要操心的事。但對台灣中小企業而言，它其實更簡單、也更急迫：它就是「能穩定運作的 AI」與「製造出一堆你得回頭收拾的麻煩的 AI」之間的差別。

OECD 2025 年中小企業勞動力與生成式 AI 調查揭露了這道治理缺口。在已經使用生成式 AI 的中小企業裡，只有 28.6% 訂有員工使用規範；只有 23.6% 表示員工參與過 AI 相關訓練；只有 35.6% 研究過著作權、法律或法規問題。多數企業在「沒有規則」的情況下使用 AI——而 McKinsey 的研究顯示，大部分「AI 表現不如預期」的抱怨，正是從這裡來的。

本指南列出每一家台灣中小企業在啟用 AI 客服「之前」都該處理的八個治理領域。每一條都能用一頁紙寫完，不需要律師、不需要委員會，只需要老闆做出八個明確的決定，並把它們寫下來。

必備的 8 個治理領域

下表先給你一個全貌，後面再逐條展開。每一條都對應一個「出錯時誰來扛、怎麼防」的問題。

#	治理領域	一句話重點
1	准許與禁止的使用情境	明確寫出 AI 可以做什麼、絕不能做什麼
2	資料處理規則	哪些資料可以、哪些資料絕不能輸入 AI
3	AI 揭露標準	何時、如何告知顧客正在與 AI 對話
4	真人審核門檻	哪些輸出送出前需要真人核可
5	升級轉接觸發條件	什麼情況下對話必須轉給真人
6	工具權限	AI 能讀寫哪些商業系統
7	紀錄與事件通報	錯誤與異常如何記錄、追蹤、修正
8	訓練與當責	誰負責這份政策、團隊如何受訓

1. 准許與禁止的使用情境。 員工可以叫 AI 做什麼、絕不能叫它做什麼。例如：AI 可以回答產品問題、收集聯絡資料、預約掛號；AI 絕不可以處理退款、提供醫療建議，或對公開價目表以外的價格做出承諾。把這份清單寫得明確——模糊地帶正是出錯的地方。

2. 資料處理規則。 哪些顧客、財務、個人或營業機密資料，可以被輸入哪些系統。例如：顧客姓名與電話可以透過 AI 對話收集；信用卡號、身分證件、健康資訊則絕不可輸入 AI 系統；付款資料只能透過安全的付款連結收取。這一條直接牽涉個資法（個人資料保護法，法務部）的合規。

3. AI 揭露標準。 何時必須告知顧客正在與 AI 互動。最佳實務：永遠在對話一開始就揭露。SurveyMonkey 2026 年資料顯示，14% 的消費者會因為 AI 涉入未被揭露而流失信任。揭露的語氣要簡短而自信，不要像在道歉。

4. 真人審核門檻。 哪些輸出或行動，在送出或執行前需要真人核可。例如：任何涉及標準價目表以外定價的 AI 回覆、任何關於到貨時程的承諾、任何關於保固條款的陳述。把「一旦講錯就會帶來財務或商譽後果」的主題定義出來。

5. 升級轉接觸發條件。 什麼情況下對話必須移交給真人。例如：訊息中出現「客訴」「退款」「主管」等字眼、或顧客表達不滿；AI 兩次都無法理解問題；顧客明確要求由真人處理。

6. 工具權限。 AI 可以從哪些商業系統讀取、或寫入。例如：AI 可以讀取知識庫與產品目錄、可以把顧客資料寫入 CRM；但不可以存取財務紀錄、員工資料或內部通訊。這一點對 AI 代理尤其關鍵——當 AI 會「採取行動」（查訂單、串接 Airtable、寫入名單），權限邊界就等同於風險邊界。

7. 紀錄與事件通報。 錯誤、幻覺、資料外洩或不當行為如何被記錄與處理。維護一份簡單的事件日誌：日期、發生什麼、影響到什麼、如何修正。每月檢視一次。這建立起當責，也留下一條改善軌跡。

8. 訓練與當責。 誰擁有這份 AI 治理政策、員工如何受訓、合規如何被審查。指派一個人（哪怕是兩人團隊）擔任 AI 負責人。辦一場訓練（20 分鐘），每年或在重大變動時更新一次。

治理對台灣中小企業，為什麼這麼重要？

因為「先立規則」的店家，從 AI 拿到的價值，明顯高於「先上線、出事再立規則」的店家。McKinsey 2025 年的 AI 現況研究指出，真人驗證、回饋循環、導入路線圖、KPI 追蹤與顧客信任實務，是與「AI 創造價值」相關性最強的幾個因素。換句話說：在啟用 AI 之前就把規則訂好，回報會更高。

McKinsey 也發現，「由最高負責人親自督導 AI 治理」是與獲利影響相關性最高的特質之一。對台灣中小企業而言，這個「最高負責人」往往就是創辦人或老闆本人——這代表治理不需要一個委員會，它需要的是老闆做出那八個明確決定，並把它們寫下來。

很多 AI 專案之所以失敗，根源其實在於缺乏這層治理。延伸閱讀：為什麼中小企業的 AI 專案會失敗。

台灣的法規環境長什麼樣？

對台灣中小企業而言，核心法規是個資法（個人資料保護法，由法務部主管）。只要你的店家在處理顧客的個人資料——而 AI 客服必然在處理——個資法就適用，與公司規模無關。在導入 AI 前，至少要確認：蒐集了哪些個資、告知與同意是否到位、資料保存與刪除的規則、以及委外處理（例如交給雲端供應商）時的責任歸屬。

對於有跨境業務的外貿型中小企業，若服務到歐盟顧客，歐盟 AI 法案也可能適用，其禁止性條款與 AI 素養義務已自 2025 年 2 月起生效、治理規則自 2025 年 8 月起、全面適用日為 2026 年 8 月。但對多數只服務台灣市場的店家來說，把個資法的合規做扎實，才是第一順位。

品質保證該怎麼做？

治理若沒有審查，等於有政策卻沒有執行。對中小企業而言，品質保證至少應包含以下四項，重點不在於華麗的儀表板，而在於有人真的去看對話。

每週抽樣對話。 每週讀 10 到 15 則 AI 對話，檢查準確度、語氣，以及轉接是否恰當。
轉接稽核。 檢視被升級的對話是否被妥善處理——真人有沒有收到足夠脈絡？顧客有沒有被迫重複資訊？
幻覺標記。 標出任何含有「知識庫裡沒有的資訊」的 AI 回覆，然後更新知識庫以補上缺口。
每月紅隊測試。 每月一次，刻意問 AI 一些刁鑽的問題——定價邊界情境、政策例外、敏感主題——確認它的回應是否恰當。

Comm100 2026 年基準報告指出，AI 聊天機器人轉接真人專員的 CSAT 達到 92.6%。這證明「轉接品質」本身就是一個可衡量的功能——也是一項競爭差異化的利器。想把整套交接練好，可以參考如何訓練團隊與 AI 客服協作。

該如何把這 8 條政策真正落地，而不是寫完就鎖進抽屜？

治理最常見的死法，不是「沒寫」，而是「寫完就沒人再看」。對台灣中小企業而言，把政策變成日常運作的一部分，需要的不是更多文件，而是把規則綁進每天會碰到的流程裡。以下是一條務實的 30 天落地路徑。

階段	時程	重點動作
第一週	撰寫	老闆一次坐下來，把八個領域各寫成幾條重點，產出一頁政策
第二週	設定	把「禁止使用情境」「升級觸發條件」「工具權限」直接設定進 AI 平台
第三週	訓練	辦一場 20 分鐘團隊訓練，現場走過揭露話術與轉接時機
第四週	審查	開始每週抽樣對話、建立事件日誌，指派 AI 負責人

這條路徑的關鍵，是把第 1、5、6 條（使用情境、升級觸發、工具權限）從「紙上規則」變成「平台設定」。一個成熟的 AI 代理平台，應該讓你能直接定義 AI 能對哪些資料採取行動、在哪些字眼或情境下必須轉真人——讓政策變成系統行為，而不是仰賴員工自律。以 Omago 為例，它本身就是一個會擷取與分流名單、引導多步驟流程、查訂單、串接 Airtable 等工具與資料庫並對資料採取行動的 AI 代理；正因為它會「動手」，所以工具權限與升級轉接的邊界，能直接在平台上被定義成明確規則，而不是事後祈禱員工記得。

換句話說，治理對一個只會問答的機器人來說，多半只是「該不該回這句話」；但對一個會採取行動的 AI 代理來說，治理還包含「該不該執行這個動作、能不能寫進這個資料庫、改不改得了這筆訂單」。後者的風險更高，但回報也更高——因為一旦把邊界設對，AI 替你省下的，就不只是回訊息的時間，而是整段流程的人力。

另一個常被忽略的點是「版本控管」。每次你更新知識庫、調整定價、或新增一條禁止情境，都該回頭更新這份一頁政策，並在事件日誌標註變動日期。這樣當半年後有人問「為什麼 AI 當時這樣回」，你才有一條可追溯的軌跡。導入初期的 KPI 該怎麼設，可以對照AI 客服導入的 30/60/90 天 KPI，把治理審查和成效追蹤綁在同一套節奏裡。

常見問題

寫一份 AI 治理政策要花多久？

對中小企業來說，一到兩小時。上述八個領域每一項只需要幾個條列重點，不需要長篇法律文字。目標是清楚，不是面面俱到。一頁、員工真的會讀的政策，比一份 20 頁、沒人會打開的文件更有價值。

我需要請律師才能做 AI 治理嗎？

對多數中小企業來說，不需要。上述八個領域是老闆就能拍板的營運決定。但如果你的店家屬於受高度監理的行業（醫療、金融、法律），或服務到歐盟顧客，那就該就特定合規要求諮詢專業人士。

我已經在沒有治理的情況下用 AI 了，怎麼辦？

現在就把政策建立起來，本週就訓練你的團隊。沒有治理的 AI，風險不在於「一定會出事」，而在於「真的出事時，你沒有任何框架去辨識、修正或防止它再次發生」。

在台灣，法律有強制要求 AI 治理嗎？

目前還沒有專門的 AI 立法，但個資法適用於任何處理個人資料的店家，這就包含了 AI 客服。在導入前先把個資的蒐集、告知、同意、保存與刪除規則梳理清楚，即使沒有專門的 AI 法，也能保護你的店家。

資料來源：OECD 生成式 AI 與中小企業勞動力（2025）、McKinsey AI 現況（2025、2026）、SurveyMonkey 顧客服務統計（2026）、歐盟 AI 法案、Comm100 2026 線上客服基準報告。

導入 AI 客服前，台灣中小企業需要哪 8 條治理政策？