员工不断向AI工具输入不可撤销的机密信息

员工正将敏感数据上传至公共AI工具，员工而许多企业却缺乏相应管控措施阻止这一行为 。不断Kiteworks发布的向A销的信息最新报告显示，大部分企业尚未建立管理此类数据的具输机密基础防护机制
。

一、可撤企业对员工使用AI的员工防护措施严重不足

仅有17%的企业部署了技术手段 ，用于拦截或扫描上传至公共AI工具的不断内容 ，其余83%的向A销的信息企业仅依赖培训课程 、邮件警示或指导准则 ，亿华云具输机密部分企业甚至完全没有相关管理政策 。可撤

员工常通过安全团队无法监控的员工设备，向聊天机器人或AI助手分享客户记录 、不断财务数据 ，向A销的信息甚至账号凭证  。具输机密一旦这些数据进入AI系统，可撤便再也无法撤回——它们可能在训练模型中留存数年，其访问方式往往超出企业的预测范围。

更值得警惕的是 ，企业对自身管控能力的过度自信进一步加剧了问题。云计算三分之一的高管认为公司能够追踪所有AI使用行为
，但实际上仅有9%的企业拥有可正常运行的AI治理系统 。这种 “认知与现实的差距”
，导致企业对员工泄露信息的规模完全不知情 。

二、AI数据使用的合规风险持续凸显

全球监管机构正加速推进AI领域的监管工作。2024年 ，美国各机构发布的新AI监管法规达59项 ，服务器租用数量较前一年翻倍，然而，仅有12%的企业将 “AI合规违规” 列为首要关注点，企业对合规风险的重视程度与监管力度严重不匹配。

日常运营中的实际风险远高于企业认知，具体可从三类法规要求与企业实践的矛盾中体现 ：

• 《通用数据保护条例》(GDPR)要求记录所有数据处理活动，但企业无法追踪员工向聊天机器人上传的内容，导致数据处理记录不完整;

• 《健康保险流通与责任法案》(HIPAA)规定，患者信息的访问需留存审计痕迹，但 “影子AI”(未经授权的香港云服务器AI使用行为)的存在 ，使审计追踪完全无法实现;

• 金融企业与上市公司在遵循《萨班斯 - 奥克斯利法案》(SOX)及相关管控要求时，也因无法监控AI数据流向，面临类似合规困境
 。

实际上 ，多数企业连 “哪些AI工具存储了客户数据”“若监管机构要求删除数据该如何操作” 等基础问题都无法回答。在缺乏数据可见性的情况下 ，员工向聊天机器人输入的每一条指令 ，都可能成为合规失败的隐患。

三、对CISO的核心启示

对CISO而言，免费模板报告结论明确了两大优先任务 ：

其一，强化技术管控能力 。拦截敏感数据上传、在内容抵达AI平台前完成扫描 ，应被视为企业AI数据安全的基础防护措施 。员工培训虽有辅助作用
，但数据表明，仅靠培训无法独立应对当前的风险挑战。

其二，完善合规管理体系。监管机构已明确要求企业建立AI治理体系 ，并开始对违规行为实施处罚。CISO需证明其所在企业能够实时掌握数据流向AI系统的完整路径，模板下载并具备有效的管控能力 。

Kiteworks企业营销与研究副总裁Patrick Spencer指出 ：“无论是中东地区企业100%无法实现24小时风险检测，欧洲企业仅12%达到《欧盟数据法案》合规要求 ，还是亚太地区35%的企业无法评估AI风险
，其根本原因始终一致——企业无法保护‘看不见’的数据 。”