Математика за ежедневната експозиция
Проучването на Cyberhaven установи, че корпоративните служители правят средно 3,8 поставяния на чувствителни данни в ChatGPT на потребител на ден. За 100-членен екип за поддръжка на клиенти тази цифра се превежда като 380 случая на чувствителни данни, влизащи в ChatGPT дневно — всеки случай потенциално представлява нарушение на GDPR за минимизиране на данните съгласно член 5, параграф 1, буква в), който изисква личните данни да бъдат „адекватни, подходящи и ограничени до необходимото“.
Цифрата 3,8 не е цифра за служители, които пренебрегват политиката. Той отразява обичайното поведение на работния процес: агентите копират кореспонденцията на клиента в чернови на отговорите, поставят текст на жалбата, за да генерират съпричастни последващи действия, включват подробности за акаунта, за да получат контекстно ориентирани предложения. Всяко поставяне е легитимно действие за продуктивност, което случайно включва лични данни. Служителят не е решил да разкрие клиентски данни; експозицията беше страничен продукт от решението за ефективно използване на AI инструмент.
Одит на ЕС от 2024 г. установи, че 63% от потребителските данни на ChatGPT съдържат лична информация. Само 22% от потребителите знаеха, че могат да се откажат от събирането на данни чрез настройките на ChatGPT. Комбинацията – повечето данни съдържат PII, повечето потребители не знаят за контролите – води до системно ежедневно излагане в мащаб във всяка организация, която не е внедрила технически контрол.
Защо поведението не може да бъде тренирано
Работният процес копиране и поставяне е дълбоко обичаен. Потребителите копират и поставят текст като основно компютърно взаимодействие от десетилетия. Добавянето на AI chatbot като дестинация за поставен текст не промени основното поведение; той разшири установения модел към нова цел.
Обучението за политика, което гласи „не поставяйте PII на клиента в ChatGPT“, изисква служителите да вмъкнат решение за класифициране — „този текст съдържа ли PII?“ — в обичайно действие, което естествено не включва пауза. Ефектът от обучението намалява, когато поведението се върне към навика. Всяко отделно решение за поставяне е микрорешение с ниски залози; кумулативният ефект от 380 ежедневни решения е систематичен риск от спазване на правилата, на който обучението по политиката не може надеждно да се справи.
Техническото решение работи върху слоя, където се формира навикът: самото действие на пастата. Разширението за Chrome прихваща съдържанието на клипборда в момента на поставяне, преди съдържанието да достигне полето за въвеждане. Прихващането не е бариера за прилагане на правилата (потребителите винаги могат да отменят) — това е инструмент за прозрачност. Модалът за предварителен преглед показва на служителя какво е открито, като му дава един момент на видимост в решението за класифициране, преди да продължи.
За екипа за поддръжка на германската компания за електронна търговия, който ръководи изготвянето на отговори на жалби на клиенти: работният процес остава „копиране на жалба, поставяне в ChatGPT, генериране на отговор“. Разширението за Chrome добавя 2-секундна интерлюдия, при която агентът вижда, че имената, адресите и номерата на поръчките са открити и ще бъдат анонимизирани преди изпращане. Агентът кликва продължи. Работният процес продължава. Нарушаването на съответствието не се случва.
Източници:
- [Cyberhaven Research: 3,8 поставяния на чувствителни данни на потребител на ден, корпоративен AI] (https://www.cyberhaven.com/blog/4-2-of-workers-have-pasted-company-data-into-chatgpt)
- [eSecurity Planet 2025: Shadow AI и анализ на експозицията на корпоративни данни] (https://www.esecurityplanet.com/news/shadow-ai-chatgpt-dlp/)
- [CyberPress: Изтичане на данни за корпоративния анализ ChatGPT] (https://cyberpress.org/data-leaks-on-chatgpt/)