通过创造另一个合规风险来解决一个合规风险的问题
已经内化了 AI 工具数据泄露风险的组织通常会实施一个看似合理的解决方案:在敏感内容到达 AI 提供商之前进行匿名化,使用不可逆的永久或单向匿名化。
从安全的角度来看,这个逻辑是合理的。Cyberhaven 的 2025 年第四季度分析发现,34.8% 提交给 ChatGPT 的内容包含敏感信息。Ponemon Institute 2024 年的研究表明,AI 数据泄露的平均成本为 210 万美元。来自 eSecurity Planet 和 Cyberhaven 的研究发现,77% 的员工每周与 AI 工具共享敏感数据。风险是真实的、频繁的且代价高昂。
但是,永久匿名化——不可逆的单向哈希、破坏性删减或不保留密钥的假名化——解决了 AI 安全问题,同时创造了另一个问题:证据毁灭。
对于面临诉讼、监管调查或发现义务的组织来说,永久性地销毁从其匿名化表示中恢复原始数据的能力可能构成根据联邦和州发现规则的证据毁灭。已被永久匿名化且无法恢复原始信息的文档可能被视为已销毁的证据。
使这一问题紧迫的数据共享规模
77% 的每周共享率确立了范围。各行业的员工——法律、医疗、金融服务、技术——将与工作相关的内容作为其工作流程的常规部分提交给 AI 工具。
这些内容包括:
- 客户沟通和信函
- 合同草案和谈判条款
- 内部战略讨论和商业计划文档
- 财务预测和建模数据
- 法律研究备忘录和案件策略笔记
- 患者信息和临床文档
- 员工记录和人力资源沟通
当一个组织将永久匿名化作为其 AI 安全控制时,正常业务过程中经过该控制的每个文档都可能以破坏其证据价值的方式被更改。如果这些文档中的任何一份在未来的诉讼中变得相关——对于在受监管行业中大规模运营的组织来说,这在数年内几乎是必然的——该组织就可能产生了证据毁灭。
GDPR 的可逆性要求
欧盟的数据保护监管框架明确在假名化的背景下解决了可逆性问题。
GDPR 第 4 条第 5 款将假名化定义为“以这样的方式处理个人数据,使得在没有额外信息的情况下,个人数据无法再归因于特定的数据主体,前提是这些额外信息被单独保存,并且受到技术和组织措施的保护,以确保个人数据不归因于已识别或可识别的自然人。”
该定义要求“额外信息”——允许重新归因的密钥——被维护。根据 GDPR,假名化的数据是可以使用单独存储的密钥重新识别的数据。无法重新识别的数据在 GDPR 下不是假名化的——它是匿名化的,而 GDPR 的区分对于合规目的至关重要。
欧洲数据保护委员会关于假名化使用的指南 05/2022 确认了可逆性是根据该法规假名化的定义要求。实施永久单向匿名化的组织并未按照 GDPR 的定义实施假名化——他们实施的是匿名化。合规影响不同:假名化的数据保留了一些 GDPR 义务,而真正匿名化的数据可能超出 GDPR 的范围,但操作上的区别同样重要——假名化的数据可以为合法目的(包括法律发现)恢复,而永久匿名化的数据则不能。
联邦规则证据毁灭框架
根据联邦民事诉讼规则,诉讼各方有责任保留可能与预期或实际诉讼相关的文档和电子存储信息。这一责任在合理预期诉讼时附加——而不是在诉讼提起时。
第 37(e) 条赋予法院在一方未能保留应当保留的电子存储信息时施加制裁的权力,而该失败导致另一方受到偏见。制裁可能包括:
- 推定的不利推论指示(陪审团被指示假设已销毁的证据对毁灭证据的一方是不利的)
- 证据的排除
- 在严重情况下的案件决定性制裁
在永久匿名化的背景下,证据毁灭分析如下:如果一个组织在正常业务过程中使用永久匿名化文档的 AI 工作流程,而这些文档后来变得与诉讼相关,则该组织以一种防止恢复其原始内容的方式修改了这些文档。如果修改发生在附加保留责任之后——或者如果该组织知道或应该知道被匿名化的文档类型可能与合理预期的诉讼相关——该组织面临证据毁灭的风险。
这并非假设。在面临持续监管审查、重复诉讼风险或合同争议历史的行业中,组织面临着对广泛类别文档的合理诉讼预期的持续状态。在文档工作流程中部署永久匿名化而不对潜在相关材料进行例外处理是系统性的证据毁灭风险。
技术区别:可逆与不可逆
可逆和不可逆匿名化之间的技术区别是架构性的,而不是增量性的。
不可逆匿名化(哈希、永久替换、破坏性删减)以无法撤销的方式转换数据。对客户姓名进行 SHA-256 哈希生成一个固定长度的哈希,无法从中推导出姓名。永久删减以破坏底层文本的方式替换内容。
可逆假名化(保留密钥的令牌替换、AES-256-GCM 加密)以可以使用单独存储的信息撤销的方式转换数据。用结构化令牌替换的客户姓名可以通过映射表重新关联到原始姓名。AES-256-GCM 加密的内容可以使用相应的密钥解密。原始内容仍然可以恢复。
出于 AI 安全目的——防止敏感数据以可用形式到达 AI 提供商——这两种方法都实现了相同的目标。AI 模型处理令牌或假名化内容,并且从未看到原始敏感数据。
出于法律合规——保留为发现、监管响应或合法商业目的恢复原始内容的能力——只有可逆假名化是兼容的。不可逆的方法消除了恢复能力,并创建了上述的证据毁灭风险。
合规架构
同时解决 AI 安全和发现合规的架构使用可逆的 AES-256-GCM 假名化:
- 在提交给 AI 工具之前处理文档
- 敏感实体——姓名、账户号码、标识符、PHI、特权内容——被替换为结构化令牌
- 令牌与原始内容的映射单独存储,并具有适当的数据敏感性访问控制
- AI 处理发生在令牌化版本上——AI 模型从未接收可恢复的敏感内容
- 结果通过存储的映射进行去令牌化,以供合法商业使用
- 当发现义务附加时,映射受到诉讼保留的约束
在该架构下,原始内容从未被销毁。AI 提供商从未以可用形式接收它。令牌映射保留了在法律要求时恢复原始内容的能力。证据毁灭风险被消除,因为没有证据被销毁——只是以可逆的方式暂时假名化。
GDPR 第 4 条第 5 款下的假名化要求得到满足:额外信息(令牌映射)被单独维护,并采取适当的技术和组织措施。联邦规则的保留要求得到满足:在诉讼保留适用时,可以恢复原始内容。
实施 AI 安全控制的组织面临二元选择:永久匿名化并创造发现风险,或可逆假名化并同时满足安全和合规要求。驱动安全控制决策的 210 万美元平均 AI 泄漏成本应与潜在的证据毁灭制裁成本进行权衡——在具有重大金钱利益的案件中,制裁成本可能达到相同或更大的数量级。
来源: