資料隱私公司DataGrail於6月1日發布《2026隱私與AI趨勢報告》,分析2,400家標榜具備AI能力的商業軟體供應商,發現63.6%在法律文件中完全未揭露第三方AI子處理方(subprocessor)。
「影子AI」:資料在看不見的鏈條中流動
子處理方指的是供應商工具所依賴的第三方AI模型。企業購買A公司的SaaS工具後,資料可能被轉給B公司的大語言模型處理,B公司甚至可能再轉給C公司。企業簽約時只知道A公司,後續環節一無所知,也未曾審查。
DataGrail將此現象稱為「影子AI」。資料沿著看不見的鏈條流出,一旦出事,企業根本不知道該找誰負責。
更令人擔憂的是另一項數據:32.8%的AI系統至少執行一項高風險操作。結合前述六成供應商隱瞞合作對象的情況,企業對風險所在毫無頭緒。
監管急速擴張,合規團隊卻遭裁減
報告中的幾項數字對比鮮明。監管方面,2025年美國各州通過了145部AI相關法律,另有1,000多項法案正在審議。圍繞追蹤像素(tracking pixel)的集體訴訟一年超過1,400起。
然而企業端的隱私合規團隊不僅沒有擴編,反而遭到裁減——部分團隊裁員比例高達33%。一方面法規越來越多、罰款越來越重,另一方面負責執行的人手卻越來越少。
DataGrail執行長Daniel Barber一句話點出2026年的隱私現狀:
「如果用一個字總結2026年的資料隱私,那就是『更多』:更多法規、更多風險、更多壓力。」
最關鍵的:42%企業因隱私顧慮中止AI專案
報告中還有一項值得單獨提出的數字:2025年,42%的企業因「隱私顧慮」直接砍掉了手上的AI專案。
這凸顯了問題的本質。過去兩年企業爭先恐後地將AI嵌入業務,卻發現資料流向說不清、子處理方查不到、監管又日益嚴格——算下來,近半數專案最終選擇收手。
| 報告關鍵數字 | 數值 |
|---|---|
| 未揭露第三方AI子處理方的軟體商 | 63.6% |
| 至少執行一項高風險操作的AI系統 | 32.8% |
| 2025年因隱私顧慮中止的AI專案 | 42% |
| 2025年各州新通過的AI法律 | 145部 |
| 部分隱私團隊裁員比例 | 高達33% |
這份報告真正想傳達的不是「AI不能用」,而是:使用AI之前,先搞清楚資料到底流向了哪裡。這件最不起眼的事,正在成為企業最大的一筆隱性負債。
參考來源:CocoLoop、145 AI laws passed in 2025 and privacy teams aren't catching a break(Help Net Security);DataGrail Privacy and AI Trends Report 2026(DataGrail)