AI、董事會議事錄與保密-2026/03/21

這篇"AI, Board Minutes and Confidentiality"是由Mary Lee Sharp與Andrew Shapiro合寫，2026年2月12日在Directors and Boards網站刊出的文章。先前與法律界專家談了下AI及未來的董事責任，現在連先進市場對這個議題在法律、規管上都還沒定論。不過這不代表就不重要。

董事會會議可不是一般的會議。這邊會討論最敏感的策略、法律及人為決定。讓AI可以「聽取」相關資訊的決定，引發了關於保密、特權及發現方面的複雜問題，還有關於AI生成的議事錄(相較於傳統手寫版)的複雜問題。

對於保密的變與不變

從法律角度看，AI並沒有改變基本原則：不管是人做的還是機器做的，會議紀錄原則都是一樣。而AI改變的是量、地點與可取得性。相對於簡短的手寫筆記，董事會現在或許可以生成音檔、完整逐字稿、議事錄草稿，以及多重AI摘要—所有都可能存在於供應商的雲端服務上，而且比起董事的筆記本，其格式更容易訴訟當事人搜尋及挖掘。

法律事務所就下述事宜，提出了治理風險：

*保密與網路安全。若供應商沒有嚴格控管的話，透過雲端AI工具所記錄的董事會討論，暴險會升高。

*特權(privilege)。如果具特權性質的法律建議被轉錄與儲存在第三方系統，但卻沒有適當的保護，法院或許會認為這不符合保密，可能會破壞其特權。

*雙重紀錄。當正式議事錄有簡潔與詳細兩版的AI轉錄稿時，不一致之處會引發問題—哪一份才是真的？怎麼詮釋衝突之處？

*正確與幻覺。AI工具會產生聽起來合理、但實際上錯誤的內容，包括錯誤的理由、捏造的決定或「根本不存在」的討論。在AI產出到成為正式紀錄之前，人為審視與驗證還是很重要。

除了會議轉錄稿以外，董事與高階經理人或許會使用AI草擬董事會文件、分析情境。這些互動都會留下聊天及使用紀錄，要是供應商儲存下來，就具有可蒐證性(discoverable)。原則還是一樣：在公司控制系統內任何AI生成的紀錄，或許有一天或受到監理機關及對手審視。

防護機制：董事會層級的確認清單

為平衡效率及保密，董事會可採行一組實務性的防護機制：讓董事、有志於董事者可負責任地使用AI，以下的架構反映了法律及治理專家所提的最佳實務。直接的作法包括：使用特殊治理工具，其明確規範了資料所有權及刪除的條款，在任何資料成為正式紀錄之前須先進行人工審視，且音檔與草稿在議事錄經核准後就自動刪除。以下的清單，可供董事、公司秘書、總法務顧問以及審計委員會在第一次發展AI政策時，作為實務性的架構：

1.使用治理等級的工具，而非消費者用的應用程式

*特殊的治理平台典型上會隔離資料並保密。董事會應該要透過盡職調查流程驗證這些承諾

2.進行嚴格的供應商盡職調查

*確認資料儲存在哪、儲存多久

*確保董事會資料不會用作模型訓練，或者向第三方分享

*協商明確的資料所有權條款，確認公司握有AI產出，以及供應商無權留存、使用或訓練董事會相關資料

*就保密、違規通知及資料刪除獲得契約式的承諾

3.獲得參與者知情的同意

*揭露會議何時、如何記錄及轉錄

*要求各方遵守同意要求。很多司法管轄區要求，在紀錄私人對話前要各方同意。依董事會成員所在區域、公司經營地區以及會議所處地點，檢驗組織法律義務是否達成。

*處理資料保密義務。若AI供應商在處理董事會紀錄時會獲取個資，那就要確保遵守相關的隱私法規

*事先處理好相關問題，並就何時要停止記錄達成共識（比如對特權的執行會議）

4.限制要保留的內容及時間，並清楚標示AI的產出

*標示所有AI產出的轉錄稿及草稿是「草擬中的工作文件，而非正式記紀錄」，以維持特權與否的差異，並明述其仍處於初步狀態

*要求公司秘書驗證：的確有正確反映董事會行動，然後才讓正式議事錄定案

*建立保留政策—會在董事會核准30天內自動刪除原始檔案、AI轉錄稿與草稿(受法律所約束)

*避免出現多重、彼此衝突的版本(比如有原稿、又有另一份A的「超級議事錄」)，除非存在明確的治理理由，因為如此會引發雙重記錄的可蒐證性問題

5.限制需要知道的人才能進入

*將AI輸出儲存在安全的董事會入口網站，而非電郵信箱裡

*使用按職位為基礎的許可與查核日誌，唯有被授權者才能看到高敏感性的資料

*為高階主管執行會議設置存取控制。獨立董事的執行會議與其他閉門會議，應該有不同的存取許可。管理階層與內部董事不該有權取得獨立董事會議議事錄、記錄或AI產出，除非有受到獨立董事授權

6.流程中一定要有人為審視

*視AI產出是需要驗證的草稿。AI工具會生成幻覺。不能依靠沒有人為審視過的資料

*要求公司秘書與總法務顧問在考慮正式記錄前，要先審視、編輯與驗證，尤其是驗證聲明、決定以及確認哪位發言者是正確的

7.採行「董事會AI」政策

*釐清哪些是允許的使用(比如製作議事錄草稿與文件摘要)，哪些是禁止的使用(比如將機密的董事會資料輸入到未經核准的外部工具)

*指派委員會進行監督(通常是審計或風險)，當法律和技術演進時要求定期審視

*要求總法律顧問(以及適當的話外部法律顧問)審視並核准「董事會AI」政策，以確保其符合特權、蒐證以及資料保護的義務

8.將董事會決定的AI書面化

*在部署任何AI工具之前，董事會、審計委員會或風險委員會應先核准明文的架構，其涵蓋允許使用哪些工具、誰控制供應商契約、禁止公開哪些資料，以及AI產出可留存多久

*由於工具與風險不斷在變，故要每年審視一次政策

董事不需要是技術專家，但需要問對問題：

*當我們使用AI時，董事會資料存放何處？

*誰可以看這些資料，不管是公司內部人、還是供應商？

*資料會留存多久？

*我們有什麼計畫，可供監理機關、法院或股東查閱？

資料來源：https://www.directorsandboards.com/board-issues/ai/ai-board-minutes-and-confidentiality/