大多数公司高估了AI治理，因为隐私风险激增-安全KER

Kiteworks 发布了其 AI 数据安全和合规风险调查，强调了亚太地区（APAC）和全球 AI 采用与治理成熟度之间的差距。

该调查基于 461 名网络安全、IT、风险管理和合规专业人士的回复，显示只有 17% 的组织实施了技术控制措施，阻止访问公共 AI 工具以及数据丢失防护（DLP）扫描。尽管如此，26% 的受访者表示，员工输入公共 AI 工具的数据中超过 30% 是私有的，27% 的受访者专门针对亚太地区证实了这一数字。

这些发现是在事件不断增加的背景下出现的;斯坦福大学的 2025 年 AI 指数报告记录了 AI 隐私事件同比增长 56.4%，去年总计 233 起。根据 Kiteworks 的调查，只有 40% 的组织通过培训和审计来限制 AI 工具的使用，20% 的组织仅依赖警告而不进行监控，13% 的组织没有任何具体政策，使许多组织面临数据隐私风险。

收养和控制之间的脱节

“我们的研究揭示了 AI 采用和安全实施之间存在根本性的脱节，”Kiteworks 首席战略官 Tim Freestone 说。“当只有 17% 的 CEO 通过 DLP 扫描进行技术阻止控制时，我们正在目睹系统治理失败。Google 报告称，44% 的零日攻击以数据交换系统为目标，这一事实破坏了组织所依赖的保护系统。

调查表明，组织对其 AI 治理成熟度持续过度自信。虽然 40% 的受访者表示他们已经完全实施了 AI 治理框架，但 Gartner 的数据显示，只有 12% 的组织拥有专门的 AI 治理结构，55% 的组织没有任何框架。

德勤的研究进一步强调了这一差距，显示只有 9% 的受访企业达到了“就绪”级别的治理成熟度，尽管 23% 的受访企业认为自己“已做好充分准备”。行业数据表明，86% 的受访者缺乏对 AI 数据流的可见性，这加剧了这种差异。

安永最近的研究表明，科技公司继续快速部署 AI，48% 的科技公司已经在使用 AI 代理，92% 的公司计划增加投资（自 2024 年 3 月以来增长了 10%），在证明回报合理性方面存在“巨大压力”，从而提高了快速采用 AI 的激励措施，但以牺牲安全性为代价。

“自我报告的能力与衡量的成熟度之间的差距代表了一种危险的组织盲目形式，”Freestone 解释说。“根据德勤的说法，当声称治理的组织发现他们的跟踪揭示的风险明显高于德勤的预期，并且当 91% 的组织只有基本或正在进行的 AI 治理能力时，这种过度自信恰恰在威胁升级时使风险敞口成倍增加。”

法律部门和政策意识

根据调查数据，法律行业对数据泄露表现出高度关注，31% 的法律专业人士将其视为最大风险。然而，实施滞后是显而易见的，15% 的学校缺乏针对公共 AI 使用的政策或控制措施，19% 的学校依赖于不受监控的警告。总体而言，只有 23% 的组织在部署 AI 系统之前拥有全面的隐私控制和定期审计。

在律师事务所内部，15% 的律所没有正式的隐私控制措施，但优先考虑快速采用 AI，这比各行业 23% 的平均水平有所提高，但在以降低风险为根本的行业中仍然很重要。汤森路透的数据支持这一点，报告称，只有 41% 的律师事务所制定了与 AI 相关的政策，尽管 95% 的律师事务所预见到 AI 将在五年内成为核心。

亚太地区的安全控制和数据泄露

亚太地区的组织与全球模式密切相关，40% 的组织依赖于员工培训和审计，17% 的组织利用 DLP 扫描的技术控制，20% 的组织发出警告而不执行。同时，11% 的受访者仅提供指导方针，12% 的受访者没有制定政策。这意味着 83% 的受访者缺乏自动化控制，尽管亚太地区处于全球 AI 市场的前沿。

私人数据的暴露遵循全球趋势：27% 的受访者表示，超过 30% 的 AI 摄取数据是私人的，24% 的受访者表示暴露率为 6-15%，15% 的受访者不知道其暴露水平。显示能见度略有提高，这可能反映了区域技术专长。

对于 AI 治理，40% 的亚太地区受访者表示已全面实施，41% 表示部分实施，而 9% 的受访者没有计划，3% 的受访者计划实施控制措施。

监管复杂性和跨境风险

APAC 的职责涉及应对复杂的国家法规，包括中国的《个人信息保护法》、新加坡的 PDPA、日本的 APPI、澳大利亚的《隐私法》改革、印度的《数字个人数据保护法》草案和韩国的 PIPA。调查强调，鉴于该地区的多样性，该地区 AI 数据流存在 60% 的可见性差距尤其具有挑战性，这限制了遵守数据本地化、跨境数据传输规则和同意要求的能力。

亚太地区的控制不力使组织在监控中国数据本地化法规的合规性、管理新加坡-澳大利亚数字协议以及了解 AI 工具如何在受限制的司法管辖区路由数据方面面临困难。

组织战略和差距

在隐私投资方面，34% 的组织采用平衡的方法，包括数据最小化和选择性使用隐私增强技术。大约 23% 的学校拥有全面的控制和审计，而 10% 的学校保持基本政策但专注于 AI 创新，另外 10% 的学校仅在法律要求时才解决隐私问题。同时，23% 的企业没有正式的隐私控制措施，同时优先考虑快速采用 AI。

Kiteworks 建议企业认识到对其治理成熟度的高估，部署自动化和可验证的合规性控制措施，并通过量化和解决任何风险差距来为日益严格的监管审查做好准备。