在高效成熟的商业运营中，数据始终处于核心地位。然而，像Microsoft Copilot和Gemini这样的人工智能工具，正暴露出敏感信息管理中的漏洞。随着这些技术深度融入日常业务流程，敏感信息过度暴露的风险显著提升，不容忽视。而AI数据风险评估正是您的第一道防线，它能在利用自动化力量的同时，确保敏感数据自始至终得到保护。

什么是 AI 数据风险评估？

AI 数据风险评估是一种帮助企业在持续采用像 Copilot 这样的 AI 工具的同时，有效识别并保护敏感信息的方法。其关键组成部分包括自动化的数据证据开示、分类、访问监控以及策略执行。通过这些措施，企业能够了解其数据资产中的内容，掌握 AI 交互过程中跨平台的数据流动情况，并支持风险缓解工作。

鉴于在线存储且可被 AI 访问的数据面临更高的脆弱性，企业越来越关注数据泄露风险。无论是机密信息、员工记录，还是专有业务数据，如果缺乏适当的控制，AI 工具可能会通过提示、响应或与外部平台的集成，在多个平台上无意间暴露这些信息。

降低数据风险的核心在于控制企业内部的敏感信息，明确这些数据的存储位置，并了解谁可以访问它。风险评估还应涵盖第三方 AI 工具及其集成，帮助洞察数据可能流向企业直接控制范围之外的情况。具体示例包括个人数据、财务记录，以及受监管的信息，如支付卡行业（PCI）数据或个人身份信息（PII）。
随着 AI 技术的发展，许多企业同时使用多个工具来完成不同任务。在每个平台中，数据都会被存储和访问，因此存在暴露风险。开展 AI 数据风险评估能够帮助企业提前识别潜在的暴露点和合规风险，为负责任的 AI 部署建立坚实的框架。
 

企业不是已经在保护敏感数据了吗？

虽然许多企业已经实施了数据安全协议，但传统的数据保护工具（如数据丢失防护 DLP 和内部风险管理 IRM）主要针对电子邮件、文件共享和协作平台而设计。AI 引入了这些工具无法单独应对的新数据暴露途径，因此需要对 AI 技术进行监控，无论它们是否在企业的数据生态系统内或外部。

微软在 Microsoft Purview 中提供了 AI 数据安全态势管理（DSPM for AI） 解决方案，可与 DLP 和 IRM 策略配合使用。该解决方案会检查数据资产中的潜在漏洞，并根据分析结果提供建议。DSPM for AI 能够帮助企业观察和管理 AI 应用与内部系统之间的数据流动。通过与 DLP 和 IRM 集成，DSPM for AI 提供独特的 AI 监控能力，并支持在传统和 AI 环境中执行策略。

对于法律团队而言，这意味着可以在不彻底重构现有安全基础设施的情况下，获得敏感数据在 AI 交互中如何被访问、共享或使用的可视性。

为您的企业定制 AI 数据风险控制

分类器是用于检测企业数据资产中敏感信息的规则或模型。DSPM for AI 允许用户根据企业独特的风险特征自定义分类器，同时基于分析创建默认策略。

法律和合规部门可以与 IT 和安全团队协作，根据监管义务、保密要求或内部风险规避策略调整分类器。您可以在集中式门户中编辑现有信息类型、创建自定义分类器，并将其应用于 DSPM 策略。

这种灵活性确保 AI 风险控制不是“一刀切”，而是随着每个企业的需求以及法律和监管义务不断演变。

使用 Microsoft 内置分类器推荐

对于不确定从何入手的企业，Microsoft 提供基于实时流量分析的自动分类器推荐。这些推荐有助于识别高风险行为，例如将敏感数据上传至 AI 网站，或提交可能暴露机密信息的提示。

将 DSPM for AI 与其他 Microsoft 产品（如 DLP）结合使用，可以让用户在统一系统中运行高效工作流，同时确保数据安全。

AI 治理框架：循序渐进（Crawl, Walk, Run）

企业可以采用“循序渐进”的模式，与利益相关方一起逐步推出新策略。该过程包括：

• Crawl （起步阶段）：以审计模式部署策略，仅观察行为，不进行强制执行。
• Walk (过渡阶段）：监控并在用户违反新策略时提醒，但不阻止行为。
• Run（执行阶段）：强制执行策略，阻止高风险操作，确保合规。

这种分阶段的方法帮助企业在安全性与可用性之间取得平衡，避免业务中断，同时构建战略性的 AI 治理框架。每个阶段都应通过指标支持，例如策略违规率、用户采用率和事件响应时间，以指导推进并确保问责。该框架应根据风险特征进行调整：高风险用例可能需要更快进入强制执行阶段，而低风险领域则可以在审计模式下停留更长时间。

法律与合规团队从风险评估中获得的价值

通过 DSPM for AI 完成 AI 数据风险评估，可以带来多项优势，帮助主动应对 AI 治理挑战。它能够实现快速部署且仅需最少配置，防止 AI 提示和响应中的数据泄露，监控不当行为，并支持符合 GDPR、HIPAA、NIST 和 RMF 等框架的监管合规要求。DSPM for AI 还通过自动化治理控制和 AI 交互的审计追踪，支持策略执行。它提供实时监控和告警功能，帮助团队迅速应对潜在的数据滥用或策略违规，并促进法律、风险、合规、安全和数据团队之间的协作，确保在 AI 项目中实现统一治理。这些能力确保创新不会以牺牲合规性或保密性为代价。

在使用第三方 AI 工具时保护数据

虽然 Copilot 在 Purview 中获得原生支持，但针对第三方 AI 工具的覆盖可以通过连接器实现，或将 Purview SDK 集成到自定义开发的 AI 应用中。Microsoft 正积极扩展对更多平台的可见性和控制，为企业提供更全面的风险视图，例如敏感信息的意外泄露、缺乏审计追踪，或未遵守司法管辖区的数据隐私法律。这种可见性缺口使企业面临超出 Microsoft 治理框架的风险。

虽然 Copilot 在 Purview 中获得原生支持，但针对第三方 AI 工具的覆盖可以通过连接器实现，或将 Purview SDK 集成到自定义开发的 AI 应用中。Microsoft 正积极扩展对更多平台的可见性和控制，为企业提供更全面的风险视图，例如敏感信息的意外泄露、缺乏审计追踪，或未遵守司法管辖区的数据隐私法律。这种可见性缺口使企业面临超出 Microsoft 治理框架的风险。

风险越大，责任越重

AI 数据风险评估不仅仅是 IT 的关注点，更是法律和合规的优先事项。通过将 DSPM for AI 等工具纳入治理策略，企业能够保护敏感数据，确保符合法规要求，并支持负责任的 AI 采用。在全面推进 AI 应用之前，建立健全的数据治理框架将成为企业自信前行的坚实基础。

Manikandadevan Manokaran，Epiq 高级数据安全顾问

Manikandadevan 是一位以客户为中心的顾问，拥有超过 16 年的 Microsoft 技术经验。他专注于云迁移、安全和合规，并热衷于帮助企业通过智能 AI 解决方案实现数据环境现代化。