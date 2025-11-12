数据领导者正面临新的双重挑战：一方面要承受为 AI 项目提供数据的压力，另一方面需确保数据安全，防止落入黑客之手。遗憾的是，AI 治理与监督之间的缺口可能导致这些数据面临泄露风险。
IBM 年度《数据泄露成本报告》分析了全球 17 个行业的 600 家遭泄露组织，明确指出：这一缺口可能造成高昂代价，包括数据被盗、运营中断以及向监管机构支付巨额罚款。数据泄露还会导致企业声誉受损、客户信任度下降以及客户流失。
对于首席数据官 (CDO) 及其他数据领导者，或是任何负责数据战略、治理与价值创造的人员而言，这项研究都是一记警钟。在所研究的遭泄露组织中，31% 受到运营中断影响，60% 因 AI 供应链及模型攻击遭遇数据直接泄露，因此这些调查结果绝非只是新闻头条。它们更是 CDO 的行动蓝图。
这些发现的重要性远超安全问题本身——它们构成了一项战略性领导力挑战。CDO 身处数据创新与数据治理的交叉地带，既要确保 AI 的变革力量充分释放，也要保证这种转型不会以牺牲信任、合规性或韧性为代价。
以下是 CDO 在 AI 时代需要了解的五件数据安全相关事宜，以及确保数据安全所需采取的三项行动。
《数据泄露成本报告》显示，所研究的遭泄露组织中，63% 缺乏 AI 治理策略，仅 37% 建立了审批流程或监督机制。虽然这些是 AI 治理牵头团队（通常为法律与合规团队）及安全负责人面临的直接挑战，但 CDO 必须对此保持关注，并且在数据用于训练模型或构建应用程序之前，主动了解相关情况。
这意味着他们需要助力制定这些治理与监督政策，在创新与合规、风险管理之间取得平衡，打造统一战略，使 AI 治理、数据治理与安全三者相辅相成。
五分之一的受访组织 (20%) 遭遇过与影子 AI 相关的数据泄露，即员工在未经 IT 或安全部门监督的情况下，采用了未经批准的 AI 工具。这些事件使平均数据泄露成本增加了高达 67 万美元，且不成比例地暴露了客户的个人身份信息 (PII) 和知识产权。
需要明确的是，影子 AI 不仅是技术问题，更是文化问题。员工面临着采用 AI 工具的压力，这些工具能简化工作流程、提高生产力，并帮助他们获取有关客户、供应链及快速变化的市场环境的宝贵洞察分析。但如果缺乏指导，员工可能会无意中绕过安全协议，上传客户的 PII 或公司的知识产权。
在报告 AI 相关数据泄露的组织中，高达 97% 表示缺乏适当的访问控制措施。虽然 CDO 不负责管理这些控制措施，但他们需要意识到这一潜在的安全疏漏，并向安全负责人及 AI 领域负责人询问这些控制措施是否到位。如果未到位，原因是什么？由于数据是 AI 的核心驱动力，薄弱的访问控制会增加敏感数据泄露的风险。
在接受研究的遭泄露组织中，超过一半 (53%) 报告称客户个人身份信息遭到泄露。在涉及影子 AI 的数据泄露中，这一比例跃升至近三分之二 (65%)。尽管知识产权泄露的频率较低，但在影子 AI 相关的泄露事件中，其单条记录的损失成本最高（每条记录 178 美元）。
尽管数据无论存储在何处都可能存在漏洞，但《数据泄露成本报告》发现，大多数数据泄露涉及分布在多个环境中的数据，例如公有云、私有云和本地部署环境。这些混合云系统虽然便捷，但也可能带来复杂性和风险，而这些风险最终都会转化为成本。涉及多个环境的数据泄露平均成本为 505 万美元，而仅涉及本地存储的数据泄露平均成本为 401 万美元。
将 AI 数据集视为高价值资产，与财务记录或医疗记录同等对待。
保护 AI 数据至关重要，这不仅关系到隐私保护与合规要求，更有助于保障数据完整性、维护组织信任并防止数据泄露。这意味着 CDO 应采取积极措施，对云环境、本地环境及混合环境中的敏感数据进行分类和保护。此外，他们应确保所有 PII 均经过加密处理，无论是静态数据还是传输中的数据。
这种方法要求超越表面化的控制措施，落实扎实的数据安全基础工作：包括数据发现与分类，以及访问控制、加密及密钥管理等数据保护措施。
这还可能包括使用数据及 AI 安全服务。这些措施并非保护 AI 所独有，但随着 AI 既成为威胁载体也成为安全助手，这些措施的重要性已远超以往。
AI 安全与 AI 治理实际上是一个互补的体系。若企业将二者割裂对待，将会推高风险、增加复杂度并提高成本。
组织必须确保 CDO、首席信息安全官 (CISO) 及合规团队定期开展协作。投资集成式安全与治理软件及流程，将这些跨职能利益相关者整合起来，有助于组织自动发现并治理影子 AI。
CDO 在为 AI 搭建安全数据管道、制定明确 AI 使用指南方面，扮演着关键角色。他们还必须对 AI 模型的全生命周期进行管理，并在每个阶段嵌入治理机制。
要认识到，AI 模型和智能体可作为拥有访问权限的身份实体。
对 CDO 而言，从数据治理视角平等对待 AI 智能体与人类至关重要。两者均需通过操作控制访问系统，而关键在于 AI 智能体仅能访问其设计目标对应的特定工作流。
CDO 需采用统一协作的安全与治理方法，在强化身份安全方面发挥关键作用。与人类用户一样，AI 智能体越来越依赖凭据访问系统并执行任务。因此，必须实施完善的运营控制措施（或相关服务）以实现这一目标，并持续监控所有非人类身份 (NHI) 的活动。组织必须能够区分使用托管（存储）凭据与非托管凭据的 NHI。
CDO 的角色从未像现在这样重要。AI 正在重塑数据领导力的规则，而拥抱负责任创新的组织，将定义下一个可信、具备韧性的企业时代。
作为 CDO，您可以将治理嵌入 AI 生命周期的各个阶段，保护为 AI 提供支撑的数据，并牵头跨职能协作，守护组织最宝贵的资产。
《数据泄露成本报告》明确指出，真正的风险并非 AI 本身，而是缺乏治理的 AI。
影子 AI、不完善的访问控制以及碎片化的职责划分正在侵蚀信任并推高成本。
如果您采取正确的措施，不仅能降低数据泄露的风险与成本，还能增强组织自信创新的能力。