जब नीति वास्तविक व्यवहार से मिलती है
एक सरकारी ठेकेदार दबाव में था। उसके पास FEMA बाढ़ राहत आवेदनों का बैकलॉग था। वह नाम, पते, और स्वास्थ्य रिकॉर्ड ChatGPT में पेस्ट कर रहा था तेजी से काम करने के लिए। उसके मन में उसने कोई कानून नहीं तोड़ा था। उसने बस सबसे अच्छा उपलब्ध टूल उपयोग किया।
परिणाम: एक सरकारी जांच और एक सार्वजनिक प्रकटीकरण।
यही नीति-मात्र AI गवर्नेंस की मूल विफलता है। नीतियां कर्मचारियों को बताती हैं क्या करना है। वे व्यवहार को नहीं रोकती।
77% एंटरप्राइज़ कर्मचारी कम से कम साप्ताहिक AI टूल्स के साथ संवेदनशील कार्य डेटा साझा करते हैं – तब भी जब नीति इसे प्रतिबंधित करती है (eSecurity Planet/Cyberhaven 2025)। ये लापरवाह कर्मचारी नहीं हैं। ये समय के दबाव में सबसे तेज़ टूल चुनने वाले लोग हैं।
नीतियां क्यों टूटती हैं
AI उपयोग नीतियां इनपुट के बिंदु पर मानव निर्णय पर निर्भर करती हैं। वह क्षण तेज़ होता है। कर्मचारी नीति याद नहीं कर सकता। वे सामग्री को "संवेदनशील" नहीं देख सकते। वे जोखिम स्वीकार कर सकते हैं क्योंकि समय की बचत बड़ी लगती है।
Cyberhaven के Q4 2025 विश्लेषण ने पाया कि सभी ChatGPT इनपुट का 34.8% गोपनीय व्यावसायिक जानकारी रखता है। उन उपयोगकर्ताओं में से कई नीति जानते थे। उन्होंने फिर भी पेस्ट किया।
एक्सेस नीतियां काम करती हैं क्योंकि सिस्टम उन्हें लागू करते हैं। ईमेल लेयर पर DLP काम करता है क्योंकि सिस्टम इसे लागू करते हैं। AI उपयोग नीतियों में पेस्ट बिंदु पर कोई प्रवर्तन नहीं है। एक मानव निर्णय उस अंतराल को भरता है। स्केल पर, मनुष्य गलतियां करते हैं।
FEMA ठेकेदार ने उन गलतियों में से एक की। वह बुरा अभिनेता नहीं था। नीति ने उसे गति की जगह धीमापन चुनने को कहा। दबाव में, उसने गति चुनी।
तकनीकी नियंत्रण वह रोकते हैं जो नीतियां नहीं कर सकती
स्केल पर काम करने वाला एकमात्र समाधान तकनीकी परत पर काम करता है – प्रशिक्षण परत पर नहीं।
एक ब्राउज़र एक्सटेंशन किसी भी वेब-आधारित AI तक पहुंचने से पहले क्लिपबोर्ड सामग्री को इंटरसेप्ट कर सकता है। जब ठेकेदार आवेदक नाम और पते कॉपी करके ChatGPT में पेस्ट करता है, तो एक्सटेंशन PII का पता लगाता है, उसे अनाम करता है, और साफ संस्करण भेजता है। AI [NAME_1] और [ADDRESS_1] देखता है असली मूल्यों के बजाय। यह फिर भी कार्य पूरा करता है। आवेदक के निजी विवरण कभी ChatGPT के सर्वर तक नहीं पहुंचते।
यह स्वचालित है। यह उपयोगकर्ता को कुछ भी याद रखने के लिए नहीं कहता।
Cursor या GitHub Copilot उपयोग करने वाले डेवलपर्स के लिए, एक MCP Server वही परत प्रदान करता है। AI संदर्भ में पेस्ट किया गया कोड पहले अनामीकरण इंजन से गुजरता है। क्रेडेंशियल और मालिकाना पहचानकर्ता टोकन बन जाते हैं। AI साफ इनपुट प्राप्त करता है और फिर भी उपयोगी आउटपुट देता है।
देखें यह ब्लॉकिंग से कैसे तुलना करता है: ब्लॉकिंग बनाम अनामीकरण – ब्राउज़र DLP तुलना।
तकनीकी नियंत्रण के साथ क्या बदलता है
ब्राउज़र एक्सटेंशन के साथ, FEMA ठेकेदार परिदृश्य अलग तरह से चलता है:
- ठेकेदार केस सिस्टम से आवेदक रिकॉर्ड कॉपी करता है
- एक्सटेंशन क्लिपबोर्ड में PII का पता लगाता है
- एक पूर्वावलोकन मोडल दिखाता है कि क्या बदला जाएगा
- अनाम संस्करण ChatGPT को जाता है
- ChatGPT अनुरोध संसाधित करता है और परिणाम लौटाता है
- ठेकेदार को आवश्यक मदद मिलती है – कोई जांच शुरू नहीं होती
नीति बदलने की जरूरत नहीं थी। प्रशिक्षण चलाने की जरूरत नहीं थी। इंटरसेप्शन लेयर ने इसे संभाला।
नीति प्रशिक्षण हाशिये पर जोखिम कम करता है। तकनीकी नियंत्रण विफलता मोड को खत्म करते हैं। FEMA घटना एक नीति विफलता थी। उस ठेकेदार के डिवाइस पर तैनात एक Chrome Extension के साथ यह एक गैर-घटना होती।
यह भी देखें:
- एंटरप्राइज़ AI गवर्नेंस: Chrome Extension DLP
- ChatGPT, Claude, और Gemini के लिए ब्राउज़र DLP
- Chrome Extension: AI टूल्स के लिए ब्राउज़र DLP