先抛个数据:你公司买的那些打着 AI 旗号的软件,十个里有六个,不告诉你它背地里把数据转手喂给了哪家 AI。
这是数据隐私公司 DataGrail 在 6 月 1 日发布的《2026 隐私与 AI 趋势报告》里的一笔账。它扒了 2400 家宣传自己有 AI 能力的商业软件供应商,结果 63.6% 在法律文件里压根没披露第三方 AI 子处理方(subprocessor)。
“影子 AI”:你以为只用了一家,其实数据流了一圈
子处理方这个词听着绕,说白了就是:你买了 A 公司的 SaaS 工具,A 把你的数据又转给了 B 家的大模型去跑,B 说不定再接了 C。你签合同时只看见 A,后面这一长串你既不知道、也没审过。
报告把这个叫 “shadow AI”——影子 AI。数据顺着这条看不见的链子流出去,真出了事,你都不知道该找谁。
更让人坐不住的是另一个数字:32.8% 的 AI 系统,至少在干一件高风险的事。把这两条摆一起——一边是高风险操作不少,一边是六成厂商连用了谁都不肯说,这雷埋在哪儿,企业自己心里没底。
一边监管狂飙,一边合规团队被砍
报告里这几个数,拼在一起很微妙。
监管这头,2025 年光美国各州就通过了 145 部 AI 相关法律,另有 1000 多个 法案在排队修订。围着追踪像素打的集体诉讼,一年就 1400 多起。
可企业这头呢?隐私合规团队不仅没扩编,反而挨了刀——报告说有的团队裁掉了高达 33% 的人手。一边是规则越来越多、罚单越来越狠,一边是干活的人越来越少。
DataGrail 的 CEO Daniel Barber 一句话点穿了 2026 年的隐私现状:
“If there’s one word that sums up data privacy in 2026, it’s ‘more’: more regulation, more risk, more pressure.”
讲人话就是——2026 年的数据隐私,只有一个字配得上:多。规矩更多,风险更多,压力也更多。
最扎心的:四成公司把 AI 项目干脆停了
报告里还有个数,值得单独拎出来:2025 年,42% 的公司砍掉了手上的 AI 项目,理由直接写着”隐私顾虑”。
这就把问题挑明了。过去两年大家拼命往业务里塞 AI,塞着塞着发现,数据流向说不清、子处理方查不到、监管又一天比一天严——算下来,有近一半的项目最后选择了收手。
| 报告里的关键数字 | 数值 |
|---|---|
| 不披露第三方 AI 子处理方的软件商 | 63.6% |
| 至少干一项高风险操作的 AI 系统 | 32.8% |
| 2025 年因隐私顾虑下马的 AI 项目 | 42% |
| 2025 年各州新通过的 AI 法律 | 145 部 |
| 部分隐私团队被裁的人手比例 | 高达 33% |
所以这份报告真正想说的,不是”AI 不能用”,而是:你用 AI 之前,先搞清楚数据到底流去了哪儿。这件最不起眼的事,正在变成企业最大的一笔隐性负债。
参考来源:145 AI laws passed in 2025 and privacy teams aren't catching a break(Help Net Security);DataGrail Privacy and AI Trends Report 2026(DataGrail)