anonym.legal

By · Last updated 2026-06-05

بازگشت به وبلاگامنیت هوش مصنوعی

ماده ۳۲ GDPR: نظارت بر قرار گرفتن PII در معرض ابزارهای هوش مصنوعی

تیم‌های انطباق سازمانی به شواهد کمّی از کنترل‌های PII ابزارهای هوش مصنوعی نیاز دارند. DLP شبکه تعاملات هوش مصنوعی مرورگری را از دست می‌دهد.

June 5, 20267 دقیقه مطالعه
GDPR Article 32AI compliancePII monitoringCISO evidenceenterprise AI governance

اثبات انطباق با ماده ۳۲ GDPR برای ابزارهای هوش مصنوعی

به‌روزرسانی برای ۲۰۲۶.

ماده ۳۲ GDPR «اقدامات فنی و سازمانی مناسب» برای حفاظت از داده شخصی را الزامی می‌کند. وقتی کارکنان از ابزارهای هوش مصنوعی خارجی — ChatGPT، Claude، Gemini — استفاده می‌کنند، خطر واقعی و قابل اندازه‌گیری است. کنترل‌ها هم باید قابل اندازه‌گیری باشند.

سیاستی که می‌گوید «داده شخصی را با ابزارهای هوش مصنوعی به اشتراک نگذارید» یک اقدام سازمانی است. یک اقدام فنی نیست. وقتی بازرس DPA می‌پرسد «چطور می‌دانید کارکنان رعایت می‌کنند؟» کافی نیست.

بازرسان DPA از ابزارهای هوش مصنوعی چه می‌پرسند

بعد از نقض ChatGPT سامسونگ در مارس ۲۰۲۳، نهادهای نظارتی نگاهی دقیق به برنامه‌های هوش مصنوعی سازمانی انداختند. بازرسان DPA اکنون سوالات مستقیمی می‌پرسند.

درباره کنترل‌های فنی می‌پرسند:

  • چه چیزی از رسیدن داده شخصی به سیستم‌های هوش مصنوعی جلوگیری می‌کند؟
  • چطور ماسک‌گذاری را در زمان واقعی اجرا می‌کنید؟
  • چه شواهدی نشان می‌دهد کنترل‌ها کار می‌کنند؟

درباره نظارت می‌پرسند:

  • چطور استفاده کارکنان از هوش مصنوعی را برای قرار گرفتن PII در معرض خطر ردیابی می‌کنید؟
  • چه معیارهایی جمع می‌کنید؟ هر چند وقت؟
  • چطور می‌دانید کنترل‌ها دور زده نمی‌شوند؟

درباره تشخیص حادثه می‌پرسند:

  • چطور نشت PII به ابزار هوش مصنوعی را متوجه می‌شدید؟
  • برنامه پاسخ شما چیست؟

اسناد سیاست هیچ‌کدام از این سوال‌ها را پاسخ نمی‌دهد. می‌گوید کارکنان باید چه کاری انجام دهند. نشان نمی‌دهد کارکنان واقعاً چه می‌کنند.

شکاف نظارتی برای ابزارهای هوش مصنوعی مرورگری

تیم‌های IT سازمانی با یک مشکل اساسی روبرو هستند: نظارت بر ابزارهای هوش مصنوعی مرورگری دشوار است.

رمزنگاری HTTPS

ChatGPT، Claude و Gemini همه از HTTPS با HSTS استفاده می‌کنند. بازرسی شبکه بدون رمزگشایی TLS نمی‌تواند متن درخواست را بخواند.

بازرسی TLS

بازرسی SSL به گواهینامه‌های سازمانی روی هر دستگاه نیاز دارد. می‌تواند در برخی برنامه‌ها پین کردن گواهینامه را بشکند. شکاف‌های امنیتی جدیدی ایجاد می‌کند. ممکن است شرایط خدمات پلتفرم هوش مصنوعی را نقض کند. در بسیاری از کشورها مشکلات حریم خصوصی کارکنان ایجاد می‌کند.

DLP اِندپوینت

عوامل اِندپوینت بر ورودی کلیپ‌بورد و صفحه‌کلید نظارت می‌کنند. اما نرخ مثبت کاذب بالایی دارند. نمی‌توانند «تایپ کردن داده مشتری در یک قرارداد» را از «تایپ کردن آن در ChatGPT» تمیز بدهند. تأخیر می‌تواند ارسال‌های زنده را از دست بدهد.

نتیجه: اکثر شرکت‌هایی که از ابزارهای هوش مصنوعی استفاده می‌کنند دید کمی نسبت به اینکه چه داده‌ای به آن سیستم‌ها می‌رسد دارند.

داشبورد انطباق در عمل

یک CISO خدمات مالی باید به بازرسان نشان دهد که قرار گرفتن PII ابزار هوش مصنوعی ردیابی و کنترل می‌شود. نیاز حسابرسی: داده‌های سخت درباره نظارت فعال.

شرکت یک افزونه Chrome برای ۵۰۰ کارمند منتشر می‌کند. خروجی یک هفته:

معیارمقدار هفتگی
جلسات هوش مصنوعی۸٬۴۰۰
موجودیت‌های PII شناسایی‌شده۱۲٬۰۰۰
نرخ ماسک‌گذاری۹۴٪
نام‌های مشتری یافت‌شده۴٬۸۰۰
شماره حساب‌های یافت‌شده۳٬۲۰۰
شناسه‌های تراکنش یافت‌شده۲٬۱۰۰
ارسال‌های بدون ماسک (۶٪)۷۲۰ موجودیت

توجه: سناریوی توضیحی. نتایج بر حسب اندازه شرکت و میزان استفاده از هوش مصنوعی متفاوت است.

چهار چیزی که این به بازرسان نشان می‌دهد:

  • مقیاس استفاده از ابزار هوش مصنوعی (۸٬۴۰۰ جلسه در هفته)
  • حجم PII در معرض خطر (۱۲٬۰۰۰ موجودیت شناسایی‌شده)
  • عملکرد کنترل (نرخ ماسک‌گذاری ۹۴٪)
  • ریسک باقیمانده (۷۲۰ موجودیت نیاز به پیگیری دارند)

سه چیزی که بازرسان می‌توانند تأیید کنند:

  • یک کنترل فنی فعال است (لاگ‌های استقرار افزونه)
  • نظارت فعال است (گزارش‌های هفتگی)
  • ریسک باقیمانده مدیریت می‌شود (آموزش پیگیری برای ۶٪)

این شکاف بین «ما یک سیاست داریم» و «اینجا خروجی کنترل اندازه‌گیری‌شده ما است» است.

تبدیل خروجی به بهبود

۶٪ ارسال‌شده بدون ماسک یک شکست نیست. یک موفقیت نظارتی است. شرکت اکنون می‌داند:

  1. کدام کارکنان درخواست‌های ماسک‌گذاری را رد یا نادیده می‌گیرند.
  2. کدام انواع موجودیت اغلب بدون ماسک ارسال می‌شوند.
  3. کدام تیم‌ها نرخ دور زدن بالاتری دارند.
  4. آیا نرخ با سازگاری کارکنان کاهش می‌یابد یا نه.

این اقدامات هدفمند را هدایت می‌کند. کارکنان با دور زدن زیاد آموزش اضافی می‌گیرند. انواع موجودیت با دور زدن زیاد ممکن است به درخواست‌های قوی‌تر نیاز داشته باشند. تیم‌هایی با دور زدن‌های مکرر ممکن است به تغییر جریان کاری نیاز داشته باشند.

بدون این خروجی، آموزش به طور یکسان اعمال می‌شود. با آن، آموزش به جایی می‌رود که خطر بیشترین است.

یک بسته کامل ماده ۳۲ چگونه است

یک مجموعه اسناد کامل ماده ۳۲ GDPR برای یک برنامه ابزار هوش مصنوعی:

اقدامات فنی:

  1. افزونه Chrome روی N دستگاه (شواهد: لاگ‌های MDM)
  2. تشخیص PII زنده در فیلدهای ورودی ابزار هوش مصنوعی
  3. جریان کاری ماسک‌گذاری با ردیابی حسابرسی (لاگ‌های افزونه)
  4. داشبورد انطباق (معیارهای تشخیص)

اقدامات سازمانی:

  1. سیاست استفاده از ابزار هوش مصنوعی
  2. سوابق آموزش کارکنان
  3. برنامه واکنش به حادثه برای نشت داده هوش مصنوعی
  4. بررسی فصلی خروجی نظارتی

شواهد نظارتی:

  1. معیارهای داشبورد هفتگی (۱۲ ماه متوالی)
  2. روند نرخ ماسک‌گذاری
  3. تفکیک انواع موجودیت
  4. سوابق پیگیری برای دور زدن‌ها

تشخیص حادثه:

  1. خروجی نظارتی رفتار غیرعادی را علامت‌گذاری می‌کند (کاهش ناگهانی نرخ، انواع موجودیت جدید)
  2. برنامه واکنش به حادثه در تاریخ [تاریخ] آزمایش شده

این مجموعه ماده ۳۲ را برآورده می‌کند. اقدامات فنی و سازمانی را با شواهد واقعی نشان می‌دهد.

کمّی‌سازی کاهش ریسک

برای آزمون تناسب، باید نشان دهید کنترل چه خطری را حذف می‌کند.

بدون کنترل:

  • ۱۱٪ از درخواست‌های هوش مصنوعی حاوی PII هستند (Cyberhaven 2025)
  • ۸٬۴۰۰ جلسه هفتگی × ۱۱٪ = ۹۲۴ جلسه با PII در هفته
  • هر جلسه: یک قرار گرفتن بالقوه در معرض خطر ماده ۸۳ GDPR اگر داده EU دخیل باشد

با کنترل (نرخ ماسک‌گذاری ۹۴٪):

  • ۹۲۴ جلسه با PII شناسایی‌شده
  • ۹۴٪ ماسک‌شده: ۸۶۹ جلسه محافظت‌شده
  • باقیمانده: ۵۵ جلسه در هفته با محتوای بدون ماسک

نتیجه: کاهش ۹۴٪ در قرار گرفتن PII در معرض خطر از استفاده ابزار هوش مصنوعی.

برای نهادهای نظارتی که آزمون تناسب را اعمال می‌کنند، کاهش ۹۴٪ از یک کنترل فنی مستقر شواهد قوی است. همچنین پیشگیری بلادرنگ PII برای ابزارهای هوش مصنوعی و DLP مرورگری برای ChatGPT، Claude و Gemini را ببینید.

نتیجه‌گیری

انطباق با ماده ۳۲ GDPR برای ابزارهای هوش مصنوعی نمی‌تواند صرفاً بر سیاست تکیه کند. نظارت بر جلسات هوش مصنوعی مرورگری برای قرار گرفتن PII در معرض خطر به یک کنترل فنی نیاز دارد که شواهد تولید کند.

ماسک‌گذاری زنده با نظارت داخلی هر دو را ارائه می‌دهد: پیشگیری (کمتر در معرض قرار گرفتن) و شواهد (خطر اندازه‌گیری‌شده و خروجی کنترل). این ترکیب ماده ۳۲ را برآورده می‌کند.

برای CISOهایی که با حسابرسی DPA روبرو هستند: بازرسان داده‌های سخت می‌خواهند. نرخ‌های تشخیص، نرخ‌های ماسک‌گذاری و روندهای ریسک باقیمانده را نشان دهید. سیاست شروع است. خروجی نظارتی اثبات است.

برای اینکه چطور مسدود کردن در مقایسه با ماسک‌گذاری به عنوان کنترل مقایسه می‌شود، ببینید DLP مرورگری: مسدود کردن در مقابل ناشناس‌سازی.

منابع

مقالات مرتبط

امنیت هوش مصنوعی

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

امنیت هوش مصنوعی

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

امنیت هوش مصنوعی

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

آماده‌اید داده‌های خود را محافظت کنید؟

شروع به ناشناس‌سازی PII با بیش از ۲۸۵ نوع نهاد در ۴۸ زبان.

آغاز دوره آزمایشی رایگانمشاهده ویژگی‌ها

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.