Доказване на съответствие с член 32 от GDPR за ИИ инструменти
Актуализирано за 2026 г.
Член 32 от GDPR изисква "подходящи технически и организационни мерки" за защита на личните данни. Когато служителите използват външни ИИ инструменти - ChatGPT, Claude, Gemini - рискът е реален и измерим. Контролите трябва да бъдат измерими също.
Политика, която казва "не споделяйте лични данни с ИИ инструменти", е организационна мярка. Тя не е техническа мярка. Не е достатъчна, когато одитор на надзорен орган пита: "Как знаете, че служителите спазват правилата?"
Какво питат одиторите на надзорните органи за ИИ инструментите
След пробива на Samsung с ChatGPT през март 2023 г., регулаторите погледнаха строго на корпоративните ИИ програми. Одиторите на надзорните органи сега задават конкретни въпроси.
Относно техническите контроли, те питат:
- Какво не позволява на личните данни да достигнат до ИИ системите?
- Как прилагате маскирането в реално време?
- Какви доказателства показват, че контролите работят?
Относно наблюдението, те питат:
- Как проследявате използването на ИИ от служителите за излагане на лични данни?
- Какви показатели събирате? Колко често?
- Как знаете, че контролите не се заобикалят?
Относно засичането на инциденти, те питат:
- Как бихте разбрали за изтичане на лични данни към ИИ инструмент?
- Какъв е вашият план за реакция?
Политическите документи не отговарят на нито един от тези въпроси. Те казват какво служителите трябва да правят. Те не показват какво служителите действително правят.
Пропастта в наблюдението за ИИ инструменти в браузъра
ИТ екипите в предприятията се сблъскват с основен проблем: ИИ инструментите в браузъра са трудни за наблюдение.
HTTPS криптиране
ChatGPT, Claude и Gemini използват HTTPS с HSTS. Мрежовата инспекция не може да чете текст на подкани без TLS декриптиране.
TLS инспекция
SSL инспекцията изисква корпоративни сертификати на всяко устройство. Може да наруши закрепването на сертификати в някои приложения. Създава нови пропуски в сигурността. Може да наруши условията за ползване на ИИ платформите. Поражда проблеми с поверителността на служителите в много страни.
DLP за крайни точки
Агентите за крайни точки наблюдават клипборда и въведения текст. Но имат висок процент фалшиви положителни резултати. Те не могат да разграничат "въвеждане на клиентски данни в договор" от "въвеждането им в ChatGPT". Закъснението може да пропусне изпращания в реално време.
Резултатът: повечето компании, използващи ИИ инструменти, имат малка представа какви данни достигат до тези системи.
Табло за управление на съответствието на практика
Главният директор по информационна сигурност на финансова компания трябва да покаже на одиторите, че излагането на лични данни чрез ИИ инструменти е проследявано и контролирано. Изискването за одит: конкретни данни за активното наблюдение.
Компанията внедрява Chrome Extension за 500 служители. Резултати за една седмица:
| Показател | Стойност за седмица |
|---|---|
| Общо ИИ сесии | 8 400 |
| Открити субекти с лични данни | 12 000 |
| Степен на маскиране | 94% |
| Намерени имена на клиенти | 4 800 |
| Намерени номера на сметки | 3 200 |
| Намерени идентификатори на транзакции | 2 100 |
| Немаскирани изпращания (6%) | 720 субекта |
Забележка: илюстративен сценарий. Резултатите варират в зависимост от размера на компанията и използването на ИИ.
Четири неща, които показват на одиторите:
- Мащаб на използването на ИИ инструменти (8 400 сесии на седмица)
- Обем на изложените лични данни (12 000 намерени субекта)
- Ефективност на контрола (94% степен на маскиране)
- Остатъчен риск (720 субекта изискват последващи действия)
Три неща, които одиторите могат да проверят:
- Активен е технически контрол (журнали за внедряване на разширение)
- Наблюдението е активно (седмични отчети)
- Остатъчният риск е управляван (допълнително обучение за 6%)
Това е разликата между "имаме политика" и "ето измереното ни изходно ниво на контрол".
Превръщане на резултатите в подобрения
6-те процента изпратени без маскиране не са провал. Те са успех в наблюдението. Компанията вече знае:
- Кои служители игнорират подкани за маскиране или ги пропускат.
- Кои типове субекти най-често се изпращат немаскирани.
- Кои екипи имат по-високи нива на заобикаляне.
- Дали нивото намалява с адаптирането на служителите.
Това движи целенасочени действия. Служителите с висок процент заобикаляне получават допълнително обучение. Типовете субекти с висок процент заобикаляне може да се нуждаят от по-силни подкани. Екипите с повтарящи се заобикаляния може да се нуждаят от промяна в работния процес.
Без тези резултати обучението се прилага равномерно. С тях обучението отива там, където рискът е най-висок.
Как изглежда пълен пакет по член 32
Пълен набор от документи по GDPR член 32 за програма за ИИ инструменти:
Технически мерки:
- Chrome Extension на N устройства (доказателство: MDM журнали)
- Засичане на лични данни в реално време в полетата за въвеждане на ИИ инструменти
- Работен процес за маскиране с одитна следа (журнали на разширението)
- Табло за управление на съответствието (показатели за засичане)
Организационни мерки:
- Политика за използване на ИИ инструменти
- Записи за обучение на служителите
- План за реакция при инциденти за изтичане на данни чрез ИИ
- Тримесечен преглед на изхода от наблюдението
Доказателства от наблюдението:
- Седмични показатели от таблото (последни 12 месеца)
- Тенденция на степента на маскиране
- Разбивка по тип субект
- Записи за последващи действия при заобикаляния
Засичане на инциденти:
- Изходът от наблюдението маркира необичайно поведение (внезапен спад в нивото, нови типове субекти)
- Тестван план за реакция при инциденти на [дата]
Този набор удовлетворява член 32. Той показва технически и организационни мерки с реални доказателства.
Количествено определяне на намаляването на риска
За теста на пропорционалност трябва да покажете риска, който контролът отстранява.
Без контрола:
- 11% от ИИ подканите съдържат лични данни (Cyberhaven 2025)
- 8 400 седмични сесии x 11% = 924 сесии с лични данни на седмица
- Всяка сесия: потенциално излагане по GDPR член 83, ако са включени данни на ЕС
С контрола (94% степен на маскиране):
- 924 сесии с открити лични данни
- 94% маскирани: 869 сесии защитени
- Остатък: 55 сесии на седмица с немаскирано съдържание
Резултатът: 94% спад в излагането на лични данни от използването на ИИ инструменти.
За регулаторите, прилагащи теста на пропорционалност, намаление от 94% от внедрен технически контрол е силно доказателство. Вижте също превенция на лични данни в реално време за ИИ инструменти и браузърен DLP за ChatGPT, Claude и Gemini.
Заключение
Съответствието с GDPR член 32 за ИИ инструменти не може да се основава само на политика. Наблюдението на ИИ сесии в браузъра за излагане на лични данни изисква технически контрол, който произвежда доказателства.
Живото маскиране с вградено наблюдение ви дава и двете: превенция (по-малко излагане) и доказателства (измерен риск и изход от контрола). Тази комбинация удовлетворява член 32.
За директорите по информационна сигурност, изправени пред одит от надзорен орган: одиторите искат конкретни данни. Покажете нива на засичане, нива на маскиране и тенденции на остатъчен риск. Политиката е началото. Изходът от наблюдението е доказателството.
За сравнение между блокирането и маскирането като контрол, вижте Браузърен DLP: Блокиране срещу Анонимизация.