制药行业正加速采用人工智能（AI）来推动新药研发、优化临床试验和提升生产效率。但根据 Kiteworks 的最新研究，行业整体防护水平令人震惊：仅有 17% 的制药公司部署了自动化控制系统来防止敏感数据通过 AI 工具泄露。也就是说，83% 的公司几乎毫无技术防线。

这些企业大多仍依赖人为管理。40% 的公司主要靠员工培训和定期审计；20% 仅发送警示邮件而不进行监督；甚至有 13% 完全没有制定任何 AI 使用政策。在研发节奏紧张的环境下，仅靠员工的记忆和自觉，显然无法防范高风险数据泄漏。

到底泄露了什么？

研究显示，27% 的生命科学组织承认，其 AI 处理的数据中有超过 30% 含有敏感或隐私信息。对制药公司来说，这意味着核心资产正在被持续暴露：包括数年研发、投入上千万美元的专利分子结构；未经公开的临床试验数据；作为商业机密的生产工艺；甚至受到 HIPAA 法规保护的患者健康信息。

更糟的是，这种暴露具有“不可逆”性质。一旦信息被输入 AI 模型，即使表面上已“清理”，模型内部也可能保留并在未来无意中泄露这些信息。即便是匿名化的数据，也可能在特定条件下泄露出企业机密或个人身份。

合规挑战

尽管风险巨大，绝大多数制药公司对合规风险并未给予足够重视。只有 12% 的公司将合规违规列为 AI 风险重点。而实际上，AI 合规监管正在迅速升级。2024 年，美国联邦机构共发布了 59 项 AI 相关法规，是前一年的两倍。斯坦福大学《AI 指数报告》也指出，全球多个国家正在加紧立法。

当前不少企业的做法可能已经违反了 HIPAA、FDA《第 21 卷第 11 部分》、GDPR 等法规。例如，HIPAA 要求对所有电子健康信息进行可审计的访问记录；FDA 要求用于处理临床数据的系统必须验证和认证；GDPR 则要求企业有能力删除个人信息，但一旦信息进入 AI 模型便无法被移除。

更严重的是，“影子 AI”使用常常绕过公司 IT 监管。员工可能在个人设备上使用公共 AI 工具处理敏感数据。根据 Varonis 报告，98% 的企业存在员工使用未经批准的 AI 应用程序，平均每家公司有 1200 个“影子应用”。

制药企业为何特别脆弱

现代制药流程高度依赖外部合作，包括 CDMO、CRO、高校和技术供应商，每一个合作方都可能引入新的 AI 工具和数据漏洞。Verizon 的数据显示，仅一年内，涉及第三方的数据泄露比例就从 15% 飙升至 30%。

同时，制药数据本身极具商业价值。一项独家分子结构可能意味着一个数十亿美元的药品市场；一组临床数据可能决定新药能否获批；生产工艺的优化亦直接关系到成本和竞争优势。而当员工将这些信息上传至 AI 工具时，等同于向全世界公开了自己的核心机密。

应对之道：构建真正的保护体系

Kiteworks 报告明确指出，依赖人为措施的安全策略已在各行业失败，制药行业也不例外。斯坦福的研究表明，虽然 64% 的企业意识到 AI 准确性问题，60% 关注 AI 的网络安全风险，但不到三分之二的公司采取了实际防护措施。

解决之道是引入自动化的技术防线：

企业必须部署实时的数据分类与阻断系统，确保敏感信息（如分子结构、患者数据或临床结果）不会被上传到未经授权的 AI 平台。此外，必须建立 AI 数据网关，对所有 AI 数据流进行实时监控，并实施全域治理，涵盖云服务、本地系统和影子 IT 环境。

制药行业正处于 AI 数据安全的临界点。当前 83% 的企业缺乏基本防护，AI 安全事件年增长率高达 56.4%。这一现状已构成重大合规与商业风险。

行业面临清晰的选择：要么立即建立技术防线，要么准备承受惨重后果——商业机密泄露、合规处罚、患者数据曝光引发信任危机。斯坦福的调查显示，公众对 AI 企业的信任度已从 50% 降至 47%。对依赖创新与公众信任的制药行业而言，如今不采取行动，明天可能就是新闻中的“下一个案例”。现在正是筑牢防线的最后时机。

（来源：Kiteworks）