使用AI工具时如何避免泄密政务版安全规范

一、平台选择与权限管控

国产化替代原则

优先选用经国家网信办备案的国产AI大模型（如360智脑、讯飞星火等），禁止使用境外AI工具处理涉密数据

案例参考：三星因使用ChatGPT导致三次机密泄露事件

权限最小化授予

禁止AI应用获取通讯录、位置、相册等非必要权限

涉密设备需关闭跨平台数据同步功能

二、涉密信息处理规范

物理隔离双网原则

涉密网络与互联网物理隔离，严禁使用AI工具处理机密级（含）以上文件

需处理敏感信息时，采用专用终端+国产AI系统+本地化部署模式

数据脱敏与最小化原则

上传数据前需进行字段级脱敏（如身份证号替换为”****1234”）

单次交互数据量不超过1024字节，禁止上传完整涉密文件

三、痕迹管理与应急处置

全生命周期数据管控

每月清理AI应用缓存、搜索记录及历史对话

涉密设备使用国防部认证的”深之度”等国产系统进行专业数据擦除

泄密事件响应机制

建立AI使用日志审计系统，异常访问触发实时告警

发现泄密后立即启动《网络安全事件应急预案》，48小时内上报保密行政管理部门

四、组织保障措施

三级培训体系

新入职人员：保密基础培训（含AI使用规范）

在岗人员：季度性案例警示教育（参考科研机构泄密案例6）

技术人员：年度国产AI系统操作认证

责任倒查机制

实行”谁使用谁负责”制度，将AI保密纳入绩效考核

泄密事件实行”一票否决”，相关人员取消评优资格

特别提示：政务场景需建立AI工具白名单制度，未经审批的AI应用不得接入政务网络。建议参考《党政机关人工智能安全应用指南（2025版）》制定实施细则。