員工正將敏感數據上傳至公共AI工具，而許多企業卻缺乏相應管控措施阻止這一行為。Kiteworks發布的最新報告顯示，大部分企業尚未建立管理此類數據的基礎防護機制。

一、企業對員工使用AI的防護措施嚴重不足

僅有17%的企業部署了技術手段，用于攔截或掃描上傳至公共AI工具的內容，其余83%的企業僅依賴培訓課程、郵件警示或指導準則，部分企業甚至完全沒有相關管理政策。

員工常通過安全團隊無法監控的設備，向聊天機器人或AI助手分享客戶記錄、財務數據，甚至賬號憑證。一旦這些數據進入AI系統，便再也無法撤回——它們可能在訓練模型中留存數年，其訪問方式往往超出企業的預測范圍。

更值得警惕的是，企業對自身管控能力的過度自信進一步加劇了問題。三分之一的高管認為公司能夠追蹤所有AI使用行為，但實際上僅有9%的企業擁有可正常運行的AI治理系統。這種 “認知與現實的差距”，導致企業對員工泄露信息的規模完全不知情。

二、AI數據使用的合規風險持續凸顯

全球監管機構正加速推進AI領域的監管工作。2024年，美國各機構發布的新AI監管法規達59項，數量較前一年翻倍，然而，僅有12%的企業將 “AI合規違規” 列為首要關注點，企業對合規風險的重視程度與監管力度嚴重不匹配。

日常運營中的實際風險遠高于企業認知，具體可從三類法規要求與企業實踐的矛盾中體現：

? 《通用數據保護條例》(GDPR)要求記錄所有數據處理活動，但企業無法追蹤員工向聊天機器人上傳的內容，導致數據處理記錄不完整;

? 《健康保險流通與責任法案》(HIPAA)規定，患者信息的訪問需留存審計痕跡，但 “影子AI”(未經授權的AI使用行為)的存在，使審計追蹤完全無法實現;

? 金融企業與上市公司在遵循《薩班斯 - 奧克斯利法案》(SOX)及相關管控要求時，也因無法監控AI數據流向，面臨類似合規困境。

實際上，多數企業連 “哪些AI工具存儲了客戶數據”“若監管機構要求刪除數據該如何操作” 等基礎問題都無法回答。在缺乏數據可見性的情況下，員工向聊天機器人輸入的每一條指令，都可能成為合規失敗的隱患。

三、對CISO的核心啟示

對CISO而言，報告結論明確了兩大優先任務：

其一，強化技術管控能力。攔截敏感數據上傳、在內容抵達AI平臺前完成掃描，應被視為企業AI數據安全的基礎防護措施。員工培訓雖有輔助作用，但數據表明，僅靠培訓無法獨立應對當前的風險挑戰。

其二，完善合規管理體系。監管機構已明確要求企業建立AI治理體系，并開始對違規行為實施處罰。CISO需證明其所在企業能夠實時掌握數據流向AI系統的完整路徑，并具備有效的管控能力。

Kiteworks企業營銷與研究副總裁Patrick Spencer指出：“無論是中東地區企業100%無法實現24小時風險檢測，歐洲企業僅12%達到《歐盟數據法案》合規要求，還是亞太地區35%的企業無法評估AI風險，其根本原因始終一致——企業無法保護‘看不見’的數據?！?/p>