anonym.legal

By · Last updated 2026-04-18

بازگشت به وبلاگامنیت هوش مصنوعی

۳.۸ افشای تصادفی PII روزانه در تیم‌های پشتیبانی

هر عامل پشتیبانی که از ChatGPT استفاده می‌کند به‌طور میانگین روزانه ۳.۸ بار داده حساس جای می‌گذارد. برای یک تیم ۱۰۰ نفره، این ۳۸۰ حادثه افشای GDPR در روز است.

April 18, 20268 دقیقه مطالعه
accidental PII exposuresupport team ChatGPTCyberhaven 3.8 pastesworkflow PII protectionGDPR daily exposure

ریاضی افشای روزانه PII

تحقیقات Cyberhaven نشان داد که کارکنان سازمانی به‌طور میانگین ۳.۸ بار داده حساس را در هر روز به ChatGPT جای می‌گذارند. برای یک تیم پشتیبانی ۱۰۰ نفره، این ۳۸۰ نمونه از ورود سوابق مشتریان به ChatGPT در هر روز است.

هر نمونه می‌تواند یک نقض به حداقل رساندن داده GDPR تحت ماده ۵(۱)(ج) باشد. آن ماده مستلزم است که اطلاعات شخصی «کافی، مرتبط و محدود به آنچه لازم است» باشد.

اینها کارکنان سرکش نیستند که سیاست را نادیده می‌گیرند. رقم ۳.۸ کار عادی را منعکس می‌کند. عاملان ایمیل‌های مشتریان را برای پیش‌نویس پاسخ‌ها کپی می‌کنند. متن شکایات را برای پیشنهادات همدلانه جای می‌گذارند. جزئیات حساب را برای پاسخ‌های آگاهانه درباره زمینه وارد می‌کنند. هر جای‌گذاری یک مرحله بهره‌وری معتبر است که به‌اتفاق PII را با خود حمل می‌کند.

آموزش رفتاری این مشکل را حل نمی‌کند

یک ممیزی اتحادیه اروپا در سال ۲۰۲۴ نشان داد که ۶۳٪ از داده‌های کاربران ChatGPT حاوی اطلاعات شخصی قابل شناسایی بود. تنها ۲۲٪ از کاربران می‌دانستند که می‌توانند از طریق تنظیمات ابزار انصراف دهند. اکثر محتوایی که در دستیار AI جای گذاشته می‌شود حاوی PII است. اکثر کاربران از کنترل‌ها آگاه نیستند. نتیجه افشای روزانه در مقیاس است.

آموزش سیاست با یک مشکل اساسی مواجه می‌شود. عادت کپی-پیست دهه‌ها قدمت دارد. کاربران از اولین روز در رایانه‌ای متن کپی و جای گذاشته‌اند. اضافه کردن یک ابزار چت AI به عنوان هدف جای‌گذاری، یک مقصد جدید اضافه می‌کند. عادت را تغییر نمی‌دهد.

سیاست «داده‌های شخصی مشتریان را در دستیار AI جای نگذارید» از عاملان می‌خواهد یک مرحله طبقه‌بندی — «آیا این متن حاوی PII است؟» — را در یک عمل عادتی که هیچ توقف طبیعی ندارد وارد کنند. اثرات آموزش از بین می‌روند. نتیجه تجمعی ۳۸۰ تصمیم جای‌گذاری روزانه یک ریسک انطباق است که سیاست به تنهایی قادر به مهار آن نیست.

جایی که کنترل‌های فنی کار می‌کنند

راه‌حل در خود عمل جای‌گذاری عمل می‌کند. یک افزونه مرورگر محتوای کلیپ‌بورد را در لحظه‌ای که عامل جای می‌گذارد قطع می‌کند، قبل از اینکه متن به فیلد ورودی برسد. عامل یک پنجره پیش‌نمایش می‌بیند. نشان می‌دهد چه چیزی شناسایی شده و چه چیزی قبل از ارسال متن ناشناس می‌شود.

این یک کنترل مسدودکننده نیست. عاملان می‌توانند ادامه دهند، بازنویسی کنند، یا متوقف شوند. این یک مرحله شفافیت است. یک لحظه دیده شدن به یک عمل در غیر این صورت خودکار اضافه می‌کند.

سرپرست تیم پشتیبانی تجارت الکترونیک آلمانی را در نظر بگیرید که پاسخ‌های شکایات مشتریان را پیش‌نویس می‌کند. جریان کاری یکسان می‌ماند: شکایت را کپی کنید، در ChatGPT جای بگذارید، یک پاسخ تولید کنید. افزونه یک بررسی دو ثانیه‌ای اضافه می‌کند. عامل می‌بیند که نام‌ها، آدرس‌ها، و شماره سفارش‌ها شناسایی شدند. عامل کلیک می‌کند تا ادامه دهد. ابزار نسخه ناشناس را دریافت می‌کند. نقض انطباق اتفاق نمی‌افتد.

راهنمای انطباق GDPR ما مبنای قانونی این کنترل‌ها را توضیح می‌دهد. همچنین مقایسه سیاست AI با کنترل‌های فنی و راهنمای DLP مرورگر برای ChatGPT را برای جزئیات پیاده‌سازی ببینید.

منابع

مقالات مرتبط

امنیت هوش مصنوعی

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

امنیت هوش مصنوعی

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

امنیت هوش مصنوعی

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

آماده‌اید داده‌های خود را محافظت کنید؟

شروع به ناشناس‌سازی PII با بیش از ۲۸۵ نوع نهاد در ۴۸ زبان.

آغاز دوره آزمایشی رایگانمشاهده ویژگی‌ها

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.