जब नीति मानव व्यवहार से मिलती है
एक सरकारी ठेकेदार, जो FEMA बाढ़-राहत आवेदनों को संसाधित करने के लिए समय के दबाव में था, ने आपदा आवेदकों के नाम, पते, संपर्क विवरण और स्वास्थ्य डेटा को तेजी से संसाधित करने के लिए ChatGPT में चिपका दिया। इरादा दुर्भावनापूर्ण नहीं था — यह दबाव में किया गया उत्पादकता निर्णय था। परिणाम एक सरकारी जांच, सार्वजनिक खुलासा, और एक प्रलेखित घटना थी जो नीति-केवल AI शासन की मुख्य विफलता मोड को दर्शाती है।
77% उद्यम कर्मचारी संवेदनशील कार्य जानकारी को AI उपकरणों के साथ कम से कम साप्ताहिक साझा करते हैं जबकि नीतियाँ इसे प्रतिबंधित करती हैं (eSecurity Planet/Cyberhaven 2025)। 77% आंकड़ा नीति उल्लंघनकर्ताओं के कार्यबल को नहीं दर्शाता, बल्कि यह दर्शाता है कि AI उपकरणों को कैसे अपनाया गया है: उत्पादकता उपकरणों के रूप में जिन्हें कर्मचारी समय के दबाव, दोहराए जाने वाले कार्यों, या जटिल विश्लेषण आवश्यकताओं का सामना करते समय स्वचालित रूप से चुनते हैं।
Cyberhaven के Q4 2025 विश्लेषण में पाया गया कि 34.8% सभी ChatGPT इनपुट में गोपनीय व्यावसायिक डेटा शामिल है। यह आंकड़ा उन कर्मचारियों को शामिल करता है जो AI उपयोग नीतियों के बारे में जानते हैं और उनका उल्लंघन करने का इरादा नहीं रखते — वे बस उस क्षण में चिपकाए गए डेटा को "गोपनीय" के रूप में वर्गीकृत नहीं कर पाए।
नीति अनुपालन समस्या
AI उपयोग नीतियों का एक अंतर्निहित प्रवर्तन अंतर है। एक्सेस नियंत्रण नीतियों (जो प्रमाणीकरण के माध्यम से तकनीकी रूप से लागू की जा सकती हैं) या डेटा वर्गीकरण नीतियों (जो ईमेल/स्टोरेज स्तर पर DLP के माध्यम से लागू की जा सकती हैं) के विपरीत, AI उपयोग नीतियाँ डेटा प्रविष्टि के क्षण में मानव निर्णय पर निर्भर करती हैं।
जब एक कर्मचारी ग्राहक डेटा को ChatGPT में चिपकाने का निर्णय लेता है, तो यह एक क्षणिक व्यवहारिक निर्णय होता है। कर्मचारी नीति को याद नहीं कर सकता, उसने यह गणना की हो सकती है कि दक्षता लाभ perceived जोखिम से अधिक है, या वह वास्तव में डेटा को नीति द्वारा कवर किए गए रूप में पहचान नहीं सकता। नीति प्रशिक्षण इस निर्णय की आवृत्ति को कम करता है लेकिन इसे बड़े पैमाने पर समाप्त नहीं कर सकता।
FEMA घटना इस आर्केटाइप को दर्शाती है: एक ठेकेदार जो आवेदनों की बड़ी मात्रा, एक समय सीमा, और एक शक्तिशाली संक्षेपण उपकरण तक पहुँचता है। नीति अनुपालन के लिए AI सहायता के बजाय मैनुअल प्रोसेसिंग चुनना आवश्यक था। समय के दबाव में, उपकरण जीत गया।
अनुप्रयोग स्तर पर तकनीकी नियंत्रण
एकमात्र शासन दृष्टिकोण जो इस विफलता मोड को संबोधित करता है वह तकनीकी स्तर पर कार्य करता है न कि नीति स्तर पर। Chrome एक्सटेंशन क्लिपबोर्ड सामग्री को किसी भी वेब-आधारित AI इंटरफेस — ChatGPT, Gemini, Claude.ai, Perplexity, या अन्य — तक पहुँचने से पहले रोकता है। यह रोकना स्वचालित है; यह उपयोगकर्ता पर निर्भर नहीं करता कि वह नीति लागू करने के लिए याद रखे।
जब FEMA ठेकेदार केस प्रबंधन प्रणाली से आवेदक के नाम और पते को कॉपी करता है और ChatGPT में चिपकाता है, तो एक्सटेंशन क्लिपबोर्ड सामग्री में PII का पता लगाता है, इसे अनामित करता है, और अनामित संस्करण को प्रस्तुत करता है। ठेकेदार एक पूर्वावलोकन मोडाल देखता है जो दिखाता है कि सबमिशन से पहले क्या प्रतिस्थापित किया जाएगा। AI को पहचान रहित डेटा प्राप्त होता है और फिर भी संक्षेपण कार्य कर सकता है। आवेदक का नाम, पता, और स्वास्थ्य डेटा कभी भी ChatGPT के सर्वर तक नहीं पहुँचता।
उन संगठनों के लिए जिनकी AI शासन चिंताएँ कोडिंग उपकरणों (Cursor, GitHub Copilot) पर केंद्रित हैं, MCP सर्वर अनुप्रयोग स्तर पर समान नियंत्रण प्रदान करता है। AI मॉडल संदर्भ में चिपकाया गया कोड रोका जाता है, क्रेडेंशियल और स्वामित्व पहचानकर्ताओं को टोकनों के साथ प्रतिस्थापित किया जाता है, और AI को अनामित संस्करण प्राप्त होता है। दोनों चैनल — ब्राउज़र-आधारित AI और IDE-आधारित AI — तकनीकी नियंत्रणों के माध्यम से सुरक्षित किए जा सकते हैं जो उपयोगकर्ता व्यवहार से स्वतंत्र रूप से कार्य करते हैं।
FEMA ठेकेदार परिदृश्य में तकनीकी नियंत्रणों के साथ एक अलग परिणाम होता। ठेकेदार आवेदनों को कुशलता से संसाधित कर सकता था; आवेदक डेटा कभी भी ChatGPT तक नहीं पहुँचता; जांच शुरू नहीं होती। नीति प्रशिक्षण ने घटना को रोकने में मदद नहीं की। एक तकनीकी इंटरसेप्शन स्तर ने ऐसा किया होता।
स्रोत: