कॉपी-पेस्ट व्यवहार समस्या
77% एंटरप्राइज AI उपयोगकर्ता डेटा को चैटबॉट प्रश्नों में कॉपी-पेस्ट करते हैं। यह व्यवहार पैटर्न अनुपालन न करने वाले अल्पसंख्यक तक सीमित नहीं है — यह एंटरप्राइज AI उपकरणों के उपयोग के लिए प्रमुख इंटरैक्शन मोड है। जब कर्मचारी एक जटिल दस्तावेज़, ग्राहक समस्या, या विश्लेषणात्मक कार्य का सामना करते हैं, तो स्वाभाविक कार्यप्रवाह होता है: संबंधित सामग्री को कॉपी करें, AI उपकरण में पेस्ट करें, और एक प्रतिक्रिया प्राप्त करें।
यह कार्यप्रवाह उस सामग्री के बीच अंतर नहीं करता है जिसमें व्यक्तिगत डेटा होता है और जिसमें नहीं होता है। कॉपी-पेस्ट क्रिया वर्गीकरण निर्णय से पहले होती है। जब तक कर्मचारी सामग्री को पेस्ट कर चुका होता है और AI की प्रतिक्रिया पढ़ रहा होता है, तब तक संचार पहले ही हो चुका होता है। नीति प्रशिक्षण वर्गीकरण के क्षण में लागू होता है — "क्या मुझे इसे पेस्ट करना चाहिए?" — लेकिन निर्णय का क्षणिक स्वभाव यह सुनिश्चित करता है कि नीति की याददाश्त संज्ञानात्मक लोड, समय के दबाव, और आदत व्यवहार के तहत कमजोर हो जाती है।
Cyberhaven अनुसंधान ने पाया कि लगभग 40% अपलोड की गई फ़ाइलों में PII या PCI डेटा होता है। यह आंकड़ा उन कर्मचारियों को शामिल करता है जो AI उपयोग नीतियों के बारे में पूरी तरह से जागरूक हैं: वे उस फ़ाइल को अपलोड कर रहे हैं जिस पर उन्हें काम करना है, जो ग्राहक डेटा को शामिल करती है। नीति का उल्लंघन एक वैध कार्य के लिए आकस्मिक है।
क्यों प्रशिक्षण बड़े पैमाने पर विफल रहता है
नीति प्रशिक्षण कार्यक्रम सभी डेटा सुरक्षा संदर्भों में समान संरचनात्मक सीमा का सामना करते हैं: वे समय-समय पर शिक्षा हस्तक्षेप के माध्यम से गहराई से जड़े हुए व्यवहार पैटर्न को संशोधित करने का प्रयास करते हैं। प्रशिक्षण सत्रों के बीच के अंतराल (आमतौर पर वार्षिक) व्यवहारिक गिरावट के समय स्थिरांक से अधिक होते हैं। Q1 में AI डेटा हैंडलिंग पर गहन प्रशिक्षण प्राप्त करने वाले कर्मचारी Q4 में मुख्य रूप से आदत पर काम कर रहे होते हैं।
मार्च 2025 में प्रस्तावित HIPAA सुरक्षा नियम अपडेट — वार्षिक एन्क्रिप्शन ऑडिट की आवश्यकता — यह दर्शाता है कि नियामक यह मानते हैं कि नीति अनुपालन के लिए तकनीकी नियंत्रणों की समय-समय पर सत्यापन की आवश्यकता होती है, न कि केवल प्रशिक्षण कार्यक्रमों की। ऑडिट की आवश्यकता का अर्थ है कि नियामक तकनीकी नियंत्रणों को प्राथमिक तंत्र और प्रशिक्षण को सहायक तंत्र मानते हैं।
विशेष रूप से AI डेटा लीक के लिए, व्यवहार को प्रशिक्षण के माध्यम से रोकना मानक डेटा हैंडलिंग व्यवहारों की तुलना में कठिन है क्योंकि यह एक नए संदर्भ में होता है (AI उपकरण तब मौजूद नहीं थे जब अधिकांश एंटरप्राइज डेटा हैंडलिंग आदतें बनी थीं) और क्योंकि लीक से कर्मचारी को दिखाई देने वाला कोई तात्कालिक नकारात्मक परिणाम नहीं होता है।
क्रोम एक्सटेंशन इंटरसेप्शन आर्किटेक्चर
क्रोम एक्सटेंशन क्लिपबोर्ड स्तर पर काम करता है — इससे पहले कि पेस्ट की गई सामग्री AI उपकरण के इनपुट फ़ील्ड तक पहुंचे। इंटरसेप्शन उपयोगकर्ता के सबमिट करने के निर्णय से पहले की आर्किटेक्चर है: कर्मचारी अपने कार्य अनुप्रयोग से सामग्री कॉपी करता है, ChatGPT टैब पर स्विच करता है, और पेस्ट करता है। एक्सटेंशन पेस्ट के क्षण में क्लिपबोर्ड सामग्री में PII का पता लगाता है, इससे पहले कि सामग्री इनपुट फ़ील्ड में दिखाई दे।
एक पूर्वावलोकन मोडल कर्मचारी को यह दिखाता है कि क्या अनामीकृत किया जाएगा: "ग्राहक का नाम 'मारिया श्मिट' → '[PERSON_1]'; ईमेल 'maria.schmidt@company.de' → '[EMAIL_1]'." कर्मचारी अनामीकृत संस्करण के साथ आगे बढ़ सकता है या यदि विशिष्ट प्रतिस्थापन अस्वीकार्य है तो पेस्ट को रद्द कर सकता है।
पूर्वावलोकन मोडल दो उद्देश्यों की सेवा करता है। पहले, यह पारदर्शिता प्रदान करता है — कर्मचारी समझते हैं कि उपकरण क्या कर रहा है, जो उचित विश्वास का निर्माण करता है और यह धारणा कम करता है कि गोपनीयता नियंत्रण निगरानी हैं। दूसरा, यह अनामिकरण निर्णय को स्पष्ट बनाता है न कि मौन: कर्मचारी प्रत्येक अनामिकरण संचालन की पुष्टि करता है, एक मनोवैज्ञानिक क्षण बनाते हुए जहां वर्गीकरण निर्णय (क्या यह PII है?) एक मानव द्वारा किया जाता है न कि स्वचालित रूप से।
एक यूरोपीय ई-कॉमर्स कंपनी की ग्राहक सहायता टीम के लिए: एजेंट ChatGPT का उपयोग करके प्रतिक्रियाएँ तैयार करते हैं, ग्राहक पत्राचार जिसमें नाम, आदेश संख्या, और पते होते हैं, पेस्ट करते हैं। क्रोम एक्सटेंशन प्रत्येक पेस्ट को इंटरसेप्ट करता है, व्यक्तिगत डेटा को अनामीकृत करता है, और एजेंट अनामीकृत प्रॉम्प्ट को सबमिट करता है। ChatGPT की प्रतिक्रियाएँ अनामीकृत टोकनों का संदर्भ देती हैं; एजेंट AI के सुझावों को पढ़ सकता है और उन्हें वास्तविक ग्राहक प्रतिक्रिया में शामिल कर सकता है। GDPR अनुच्छेद 5 डेटा न्यूनतमकरण को संतुष्ट करता है; AI सहायता से समर्थन गुणवत्ता में सुधार बनाए रखा जाता है।
स्रोत: