दैनिक PII एक्सपोज़र का गणित
Cyberhaven के शोध में पाया गया कि एंटरप्राइज़ कर्मचारी प्रतिदिन ChatGPT में औसतन 3.8 संवेदनशील डेटा पेस्ट करते हैं। 100 लोगों की सपोर्ट टीम के लिए, यह प्रतिदिन 380 बार ग्राहक रिकॉर्ड ChatGPT में प्रवेश करना है।
हर घटना GDPR अनुच्छेद 5(1)(c) के तहत डेटा न्यूनीकरण उल्लंघन हो सकती है। वह अनुच्छेद आवश्यक है कि व्यक्तिगत जानकारी "पर्याप्त, प्रासंगिक और जो आवश्यक है उसतक सीमित" हो।
ये ऐसे दुष्ट कर्मचारी नहीं हैं जो नीति की अनदेखी कर रहे हों। 3.8 का आँकड़ा सामान्य काम को दर्शाता है। एजेंट जवाब तैयार करने के लिए ग्राहक ईमेल कॉपी करते हैं। वे सहानुभूतिपूर्ण सुझाव पाने के लिए शिकायत टेक्स्ट पेस्ट करते हैं। वे संदर्भ-जागरूक जवाब पाने के लिए खाता विवरण शामिल करते हैं। हर पेस्ट एक वैध उत्पादकता कदम है जो संयोगवश PII साथ लेकर आता है।
व्यवहार प्रशिक्षण यह नहीं सुधारता
2024 EU ऑडिट में पाया गया कि 63% ChatGPT उपयोगकर्ता डेटा में व्यक्तिगत पहचान योग्य जानकारी थी। केवल 22% उपयोगकर्ताओं को पता था कि वे टूल की सेटिंग्स के माध्यम से ऑप्ट आउट कर सकते हैं। AI असिस्टेंट में पेस्ट की गई अधिकांश सामग्री में PII होती है। अधिकांश उपयोगकर्ता नियंत्रणों से अनजान हैं। परिणाम है बड़े पैमाने पर दैनिक एक्सपोज़र।
नीति प्रशिक्षण एक बुनियादी समस्या में फँसता है। कॉपी-पेस्ट की आदत दशकों पुरानी है। उपयोगकर्ता अपने पहले दिन से कंप्यूटर पर टेक्स्ट कॉपी-पेस्ट कर रहे हैं। एक AI चैट टूल को पेस्ट टारगेट के रूप में जोड़ना एक नया गंतव्य जोड़ता है। यह आदत नहीं बदलता।
"ग्राहक PII को AI असिस्टेंट में पेस्ट न करें" की नीति एजेंटों से एक वर्गीकरण चरण — "क्या इस टेक्स्ट में PII है?" — को एक आदतन क्रिया में डालने के लिए कहती है जिसमें कोई प्राकृतिक विराम नहीं है। प्रशिक्षण के प्रभाव कम होते जाते हैं। 380 दैनिक पेस्ट निर्णयों का संचयी परिणाम एक कम्प्लायंस जोखिम है जिसे नीति अकेले नहीं संभाल सकती।
तकनीकी नियंत्रण कहाँ काम करते हैं
समाधान पेस्ट क्रिया पर ही काम करता है। एक ब्राउज़र एक्सटेंशन उस क्षण क्लिपबोर्ड सामग्री को इंटरसेप्ट करता है जब एजेंट पेस्ट दबाता है — टेक्स्ट इनपुट फ़ील्ड तक पहुँचने से पहले। एजेंट एक प्रीव्यू मोडल देखता है। यह दिखाता है कि क्या डिटेक्ट हुआ और टेक्स्ट भेजे जाने से पहले क्या अनामीकृत किया जाएगा।
यह कोई ब्लॉकिंग नियंत्रण नहीं है। एजेंट आगे बढ़ सकते हैं, ओवरराइड कर सकते हैं, या रोक सकते हैं। यह एक पारदर्शिता चरण है। यह एक अन्यथा स्वचालित क्रिया में दृश्यता का एक क्षण जोड़ता है।
एक जर्मन ई-कॉमर्स सपोर्ट टीम लीड की कल्पना करें जो ग्राहक शिकायतों के जवाब तैयार करती है। वर्कफ़्लो वही रहता है: शिकायत कॉपी करें, ChatGPT में पेस्ट करें, जवाब तैयार करें। एक्सटेंशन दो-सेकंड की जाँच जोड़ता है। एजेंट देखता है कि नाम, पते और ऑर्डर नंबर डिटेक्ट हुए। एजेंट आगे बढ़ने पर क्लिक करता है। टूल अनामीकृत संस्करण प्राप्त करता है। कम्प्लायंस उल्लंघन नहीं होता।
हमारा GDPR कम्प्लायंस गाइड इन नियंत्रणों के कानूनी आधार को कवर करता है। देखें AI नीति बनाम तकनीकी नियंत्रण तुलना और ChatGPT के लिए ब्राउज़र DLP गाइड कार्यान्वयन विवरण के लिए।