員工正將敏感數(shù)據(jù)上傳至公共AI工具，而許多企業(yè)卻缺乏相應(yīng)管控措施阻止這一行為。Kiteworks發(fā)布的最新報(bào)告顯示，大部分企業(yè)尚未建立管理此類數(shù)據(jù)的基礎(chǔ)防護(hù)機(jī)制。

一、企業(yè)對(duì)員工使用AI的防護(hù)措施嚴(yán)重不足

僅有17%的企業(yè)部署了技術(shù)手段，用于攔截或掃描上傳至公共AI工具的內(nèi)容，其余83%的企業(yè)僅依賴培訓(xùn)課程、郵件警示或指導(dǎo)準(zhǔn)則，部分企業(yè)甚至完全沒有相關(guān)管理政策。

員工常通過安全團(tuán)隊(duì)無(wú)法監(jiān)控的設(shè)備，向聊天機(jī)器人或AI助手分享客戶記錄、財(cái)務(wù)數(shù)據(jù)，甚至賬號(hào)憑證。一旦這些數(shù)據(jù)進(jìn)入AI系統(tǒng)，便再也無(wú)法撤回——它們可能在訓(xùn)練模型中留存數(shù)年，其訪問方式往往超出企業(yè)的預(yù)測(cè)范圍。

更值得警惕的是，企業(yè)對(duì)自身管控能力的過度自信進(jìn)一步加劇了問題。三分之一的高管認(rèn)為公司能夠追蹤所有AI使用行為，但實(shí)際上僅有9%的企業(yè)擁有可正常運(yùn)行的AI治理系統(tǒng)。這種 “認(rèn)知與現(xiàn)實(shí)的差距”，導(dǎo)致企業(yè)對(duì)員工泄露信息的規(guī)模完全不知情。

二、AI數(shù)據(jù)使用的合規(guī)風(fēng)險(xiǎn)持續(xù)凸顯

全球監(jiān)管機(jī)構(gòu)正加速推進(jìn)AI領(lǐng)域的監(jiān)管工作。2024年，美國(guó)各機(jī)構(gòu)發(fā)布的新AI監(jiān)管法規(guī)達(dá)59項(xiàng)，數(shù)量較前一年翻倍，然而，僅有12%的企業(yè)將 “AI合規(guī)違規(guī)” 列為首要關(guān)注點(diǎn)，企業(yè)對(duì)合規(guī)風(fēng)險(xiǎn)的重視程度與監(jiān)管力度嚴(yán)重不匹配。

日常運(yùn)營(yíng)中的實(shí)際風(fēng)險(xiǎn)遠(yuǎn)高于企業(yè)認(rèn)知，具體可從三類法規(guī)要求與企業(yè)實(shí)踐的矛盾中體現(xiàn)：

? 《通用數(shù)據(jù)保護(hù)條例》(GDPR)要求記錄所有數(shù)據(jù)處理活動(dòng)，但企業(yè)無(wú)法追蹤員工向聊天機(jī)器人上傳的內(nèi)容，導(dǎo)致數(shù)據(jù)處理記錄不完整;

? 《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA)規(guī)定，患者信息的訪問需留存審計(jì)痕跡，但 “影子AI”(未經(jīng)授權(quán)的AI使用行為)的存在，使審計(jì)追蹤完全無(wú)法實(shí)現(xiàn);

? 金融企業(yè)與上市公司在遵循《薩班斯 - 奧克斯利法案》(SOX)及相關(guān)管控要求時(shí)，也因無(wú)法監(jiān)控AI數(shù)據(jù)流向，面臨類似合規(guī)困境。

實(shí)際上，多數(shù)企業(yè)連 “哪些AI工具存儲(chǔ)了客戶數(shù)據(jù)”“若監(jiān)管機(jī)構(gòu)要求刪除數(shù)據(jù)該如何操作” 等基礎(chǔ)問題都無(wú)法回答。在缺乏數(shù)據(jù)可見性的情況下，員工向聊天機(jī)器人輸入的每一條指令，都可能成為合規(guī)失敗的隱患。

三、對(duì)CISO的核心啟示

對(duì)CISO而言，報(bào)告結(jié)論明確了兩大優(yōu)先任務(wù)：

其一，強(qiáng)化技術(shù)管控能力。攔截敏感數(shù)據(jù)上傳、在內(nèi)容抵達(dá)AI平臺(tái)前完成掃描，應(yīng)被視為企業(yè)AI數(shù)據(jù)安全的基礎(chǔ)防護(hù)措施。員工培訓(xùn)雖有輔助作用，但數(shù)據(jù)表明，僅靠培訓(xùn)無(wú)法獨(dú)立應(yīng)對(duì)當(dāng)前的風(fēng)險(xiǎn)挑戰(zhàn)。

其二，完善合規(guī)管理體系。監(jiān)管機(jī)構(gòu)已明確要求企業(yè)建立AI治理體系，并開始對(duì)違規(guī)行為實(shí)施處罰。CISO需證明其所在企業(yè)能夠?qū)崟r(shí)掌握數(shù)據(jù)流向AI系統(tǒng)的完整路徑，并具備有效的管控能力。

Kiteworks企業(yè)營(yíng)銷與研究副總裁Patrick Spencer指出：“無(wú)論是中東地區(qū)企業(yè)100%無(wú)法實(shí)現(xiàn)24小時(shí)風(fēng)險(xiǎn)檢測(cè)，歐洲企業(yè)僅12%達(dá)到《歐盟數(shù)據(jù)法案》合規(guī)要求，還是亞太地區(qū)35%的企業(yè)無(wú)法評(píng)估AI風(fēng)險(xiǎn)，其根本原因始終一致——企業(yè)無(wú)法保護(hù)‘看不見’的數(shù)據(jù)。”